Criptografia AES-256-GCM em repouso
Criptografia AES-256-GCM aplicada aos campos sensíveis no banco de dados: e-mails de usuários e colaboradores, secret TOTP do 2FA, tokens de API de suas integrações HRIS, client secret de OIDC e o RUT nos dados de faturamento.
As chaves são gerenciadas via AWS KMS em produção, com suporte de rotação incremental. Para lookups que não exigem descriptografar (autenticação, busca de pessoas), usamos hashes SHA-256 determinísticos em índices compostos.