Segurança de Nível Empresarial

A segurança dos seus dados é a nossa prioridade máxima. Saiba mais sobre as nossas medidas de segurança abrangentes, padrões de conformidade e como protegemos as suas informações sensíveis.

Encriptação AES-256

Encriptação de nível militar para todos os dados em repouso e em trânsito

Conforme SOC 2

Controlos de segurança auditados e padrões de conformidade

99,9% SLA de Disponibilidade

Infraestrutura confiável com failover automático e backups

Encriptação de Dados

Encriptação de nível militar protege os seus dados em todos os níveis

Encriptação em Repouso

  • Encriptação AES-256: Todos os dados armazenados nas nossas bases de dados são encriptados usando o Padrão de Encriptação Avançada com chaves de 256 bits
  • Encriptação de Base de Dados: Firebase Firestore fornece encriptação automática em repouso para todos os dados armazenados
  • Dados Biométricos: Dados de impressão digital são hash usando SHA-256 e armazenados em formato encriptado, tornando impossível a engenharia reversa
  • Encriptação de Backup: Todos os backups são encriptados com o mesmo padrão AES-256
  • Armazenamento de Ficheiros: Quaisquer ficheiros carregados (relatórios, documentos) são encriptados antes do armazenamento

Encriptação em Trânsito

  • TLS 1.3: Todos os dados transmitidos entre o seu navegador e os nossos servidores usam Transport Layer Security 1.3
  • HTTPS em Todo o Lado: Toda a nossa plataforma opera sobre HTTPS com HSTS ativado
  • Segurança API: Todas as chamadas API são encriptadas e autenticadas usando tokens seguros
  • Fixação de Certificado: As nossas aplicações móveis usam fixação de certificado para prevenir ataques man-in-the-middle

Gestão de Chaves

  • Google Cloud KMS: Chaves de encriptação são geridas pelo Google Cloud Key Management Service
  • Rotação de Chaves: Chaves de encriptação são automaticamente rotacionadas a cada 90 dias
  • Controlos de Acesso: Apenas sistemas autorizados podem aceder a chaves de encriptação, com registo completo de auditoria
  • Módulos de Segurança de Hardware (HSM): Chaves são armazenadas em HSMs certificados FIPS 140-2 Nível 3

Autenticação e Controlo de Acesso

Segurança multicamada para proteger o acesso à conta

Autenticação de Dois Fatores (2FA)

  • Suporte TOTP: Senhas únicas baseadas em tempo via Google Authenticator, Authy ou aplicações similares
  • 2FA por Email: 2FA alternativo via códigos de verificação por email
  • 2FA Obrigatório: Organizações podem impor 2FA para todos os utilizadores
  • Códigos de Backup: Códigos de recuperação fornecidos em caso de perda do dispositivo autenticador

Segurança de Senha

  • Hash Bcrypt: Todas as senhas são hash usando bcrypt com salt
  • Políticas de Senha: Mínimo de 8 caracteres, requisitos de complexidade impostos
  • Deteção de Violações: Senhas são verificadas contra bases de dados de violações conhecidas (Have I Been Pwned)
  • Limitação de Taxa: Tentativas de login falhadas são limitadas para prevenir ataques de força bruta
  • Gestão de Sessão: Logout automático após inatividade, períodos de timeout configuráveis

Controlo de Acesso Baseado em Funções (RBAC)

  • Permissões Granulares: Controlos de acesso detalhados para diferentes funções de utilizador (Admin, Gestor, Colaborador)
  • Princípio do Menor Privilégio: Utilizadores têm apenas acesso a dados necessários para a sua função
  • Isolamento de Organização: Arquitetura multi-inquilino garante isolamento completo de dados entre organizações
  • Registos de Auditoria: Todos os acessos e alterações de permissões são registados e monitorizados

Autenticação Firebase

  • Padrão da Indústria: Alimentado pela plataforma Firebase Authentication da Google
  • OAuth 2.0: Suporte para provedores de login social (Google, Microsoft) com OAuth 2.0
  • Verificação de Email: Verificação de email obrigatória para todas as novas contas
  • Recuperação de Conta: Redefinição segura de senha via email com tokens de tempo limitado

Segurança de Infraestrutura

Infraestrutura em nuvem de nível empresarial com redundância global

Infraestrutura em Nuvem

  • Google Cloud Platform: Hospedado no Google Cloud com certificações ISO 27001, SOC 2 e SOC 3
  • Implementação Multi-Região: Dados replicados em várias regiões geográficas para redundância
  • Escalamento Automático: Infraestrutura escala automaticamente para lidar com picos de tráfego
  • Proteção DDoS: Google Cloud Armor fornece mitigação automática de DDoS
  • Isolamento de Rede: Redes VPC privadas com regras de firewall e segmentação de rede

Disponibilidade e Confiabilidade

  • 99,9% SLA de Disponibilidade: Disponibilidade de serviço garantida com créditos financeiros para tempo de inatividade
  • Failover Automático: Sistemas redundantes assumem automaticamente em caso de falha
  • Balanceamento de Carga: Tráfego distribuído entre vários servidores para desempenho ideal
  • Monitorização de Saúde: Monitorização automatizada 24/7 com alertas instantâneos
  • Resposta a Incidentes: Equipa dedicada responde a incidentes dentro de 15 minutos

Backup e Recuperação de Desastres

  • Backups Contínuos: Firebase fornece backups automáticos e contínuos de dados
  • Recuperação Ponto-no-Tempo: Restaurar dados para qualquer ponto nos últimos 35 dias
  • Redundância Geográfica: Backups armazenados em várias localizações geográficas
  • Plano de Recuperação de Desastres: Plano DR abrangente com Objetivo de Tempo de Recuperação (RTO) de 4 horas
  • Teste de Backup: Testes regulares de restauração de backup para garantir integridade de dados

Segurança Física

  • Centros de Dados Google: Instalações de última geração com pessoal de segurança 24/7
  • Acesso Biométrico: Acesso ao centro de dados controlado por autenticação biométrica
  • Vigilância por Vídeo: Monitorização contínua com gravação de vídeo
  • Controlos Ambientais: Supressão de incêndio, controlo climático e redundância de energia

Segurança de Aplicação

Práticas de codificação segura e gestão de vulnerabilidades

Desenvolvimento Seguro

  • SDLC Seguro: Segurança integrada em cada fase do ciclo de vida de desenvolvimento de software
  • Revisões de Código: Todas as alterações de código revistas por vários programadores antes da implementação
  • Análise Estática: Digitalização automática de código para vulnerabilidades de segurança (SAST)
  • Digitalização de Dependências: Bibliotecas de terceiros digitalizadas para vulnerabilidades conhecidas
  • Formação em Segurança: Formação regular em segurança para todos os membros da equipa de desenvolvimento

Gestão de Vulnerabilidades

  • Testes de Penetração: Testes de penetração anuais por terceiros por empresas de segurança certificadas
  • Programa de Recompensas por Bugs: Programa de divulgação responsável com recompensas para investigadores de segurança
  • Digitalização de Vulnerabilidades: Digitalizações semanais automatizadas para vulnerabilidades de segurança
  • Gestão de Patches: Patches de segurança críticos implementados dentro de 24 horas
  • Monitorização CVE: Monitorização contínua de Vulnerabilidades e Exposições Comuns

Proteção OWASP Top 10

  • Injeção SQL: Consultas parametrizadas e ORM previnem ataques de injeção SQL
  • Prevenção XSS: Sanitização de entrada e cabeçalhos Content Security Policy (CSP)
  • Proteção CSRF: Tokens anti-CSRF em todas as operações que alteram estado
  • Falhas de Autenticação: Autenticação padrão da indústria via Firebase Auth
  • Configuração Incorreta de Segurança: Verificações automatizadas de configuração e endurecimento
  • Exposição de Dados Sensíveis: Encriptação e armazenamento seguro de todos os dados sensíveis

Segurança API

  • Tokens JWT: Autenticação API usando JSON Web Tokens com expiração
  • Limitação de Taxa: Limites de taxa API previnem abuso e ataques DDoS
  • Validação de Entrada: Todas as entradas API validadas e sanitizadas
  • OAuth 2.0: Acesso seguro API de terceiros com protocolo OAuth 2.0

Conformidade e Certificações

Cumprimento de padrões globais de segurança e privacidade

SOC 2 Type II

Auditorias anuais dos nossos controlos de segurança, disponibilidade e confidencialidade por auditores terceiros independentes.

Conformidade RGPD

Conformidade total com o Regulamento Geral de Proteção de Dados da UE, incluindo direitos dos titulares de dados e notificação de violações.

Conformidade CCPA

Conformidade com a Lei de Privacidade do Consumidor da Califórnia para clientes baseados nos EUA com controlos de privacidade abrangentes.

ISO 27001 (GCP)

O nosso fornecedor de infraestrutura (Google Cloud) mantém certificação ISO 27001 para gestão de segurança da informação.

PCI DSS

Processamento de pagamentos através de processadores de pagamento conformes PCI DSS Nível 1. Nunca armazenamos detalhes de cartão de crédito.

Pronto para HIPAA

Infraestrutura suporta requisitos de conformidade HIPAA para organizações de saúde (BAA disponível mediante pedido).

Privacidade e Proteção de Dados

Práticas de dados transparentes e controlos de privacidade do utilizador

Minimização de Dados

  • Recolhemos apenas dados necessários para funcionalidade do serviço
  • Sem cookies de rastreamento para fins de marketing
  • Dados biométricos armazenados em formato hash não reversível
  • Recursos opcionais permitem desativar certa recolha de dados

Direitos do Utilizador

  • Direito de Acesso: Exporte todos os seus dados em formatos padrão (CSV, JSON, Excel)
  • Direito ao Apagamento: Solicite eliminação permanente dos seus dados
  • Direito de Retificação: Corrija dados imprecisos ou incompletos
  • Direito à Portabilidade: Transfira dados para outro fornecedor de serviços
  • Direito de Oposição: Opt-out de comunicações de marketing e analytics

Acordos de Processamento de Dados

  • Cláusulas Contratuais-Tipo: SCCs aprovadas pela UE para transferências internacionais de dados
  • Conformidade RGPD: Conformidade total com obrigações do processador do Artigo 28 RGPD
  • Transparência de Sub-processadores: Lista pública de todos os sub-processadores com notificação de alterações
  • Notificação de Violação de Dados: Notificação dentro de 72 horas de qualquer violação de dados

Monitorização de Segurança e Resposta a Incidentes

Monitorização 24/7 e resposta rápida a incidentes

Monitorização Contínua

  • Monitorização 24/7: Monitorização contínua de infraestrutura e aplicações
  • Integração SIEM: Gestão de Informação e Eventos de Segurança para deteção de ameaças
  • Deteção de Anomalias: Deteção baseada em machine learning de atividade incomum
  • Alertas em Tempo Real: Notificações instantâneas para incidentes de segurança
  • Agregação de Logs: Registo centralizado com retenção para análise forense

Resposta a Incidentes

  • Equipa Dedicada: Equipa de resposta a incidentes de segurança disponível 24/7
  • Tempo de Resposta: Resposta inicial dentro de 15 minutos da deteção de incidente crítico
  • Comunicação: Comunicação transparente com clientes afetados durante incidentes
  • Revisão Pós-Incidente: Análise detalhada e ações corretivas após incidentes
  • Notificação Regulamentar: Conformidade com requisitos de notificação de violações (RGPD, CCPA)

Registo de Auditoria

  • Logs Abrangentes: Todas as ações de utilizador, eventos do sistema e eventos de segurança registados
  • Logs Imutáveis: Logs não podem ser modificados ou eliminados, garantindo integridade de trilha de auditoria
  • Retenção de Logs: Logs de segurança retidos por 2 anos para conformidade e forense
  • Atividade do Utilizador: Clientes podem ver logs de auditoria da sua atividade organizacional

Acesso e Formação de Colaboradores

Controlos rigorosos sobre acesso de colaboradores a dados de clientes

Controlos de Acesso

  • Menor Privilégio: Colaboradores têm apenas acesso a dados necessários para a sua função de trabalho
  • Verificações de Antecedentes: Todos os colaboradores passam por verificações de antecedentes antes da contratação
  • NDA e Confidencialidade: Todos os colaboradores assinam acordos de não divulgação
  • Revisões de Acesso: Revisões trimestrais de permissões de acesso de colaboradores
  • Revogação Imediata: Acesso revogado imediatamente após rescisão

Formação em Segurança

  • Formação de Integração: Formação obrigatória em segurança para todos os novos colaboradores
  • Formação Anual: Formação anual de consciencialização de segurança com ameaças atualizadas
  • Simulações de Phishing: Testes regulares de phishing para manter vigilância
  • Exercícios de Resposta a Incidentes: Exercícios trimestrais de resposta a incidentes de segurança
  • Formação de Conformidade: Formação RGPD, SOC 2 e proteção de dados

Acesso a Dados de Clientes

  • Sem Acesso Padrão: Colaboradores não têm acesso a dados de clientes por padrão
  • Acesso de Suporte: Suporte ao cliente só pode aceder a dados com permissão explícita
  • Trilha de Auditoria: Todo o acesso de colaboradores a dados de clientes é registado e monitorizado
  • Anonimização de Dados: Engenheiros trabalham com dados anonimizados para depuração

Melhores Práticas de Segurança para Clientes

Recomendamos as seguintes práticas para aumentar a segurança da sua conta:

  • Ative a autenticação de dois fatores (2FA) para todos os utilizadores
  • Use senhas fortes e únicas (mínimo 12 caracteres)
  • Reveja regularmente permissões de acesso de utilizadores e remova acesso desnecessário
  • Treine colaboradores sobre consciencialização de phishing e engenharia social
  • Implemente os seus próprios controlos de acesso e políticas internas
  • Exporte e faça backup dos seus dados regularmente
  • Monitorize logs de auditoria para atividade suspeita
  • Reporte imediatamente quaisquer preocupações de segurança para [email protected]

Programa de Divulgação Responsável

Valorizamos a comunidade de segurança e acolhemos relatórios de vulnerabilidades de segurança. Se descobrir um problema de segurança, por favor reporte-o de forma responsável:

Email de Segurança: [email protected]

Chave PGP: Disponível mediante pedido para comunicações encriptadas

Tempo de Resposta: Reconhecemos relatórios dentro de 24 horas

Recompensas por Bugs: Recompensas disponíveis para vulnerabilidades qualificadas

Diretrizes

  • Não aceda ou modifique dados de clientes sem autorização
  • Não realize ataques de negação de serviço ou testes disruptivos
  • Permita-nos tempo razoável para resolver o problema antes da divulgação pública
  • Forneça passos detalhados de reprodução e avaliação de impacto
  • Não tomaremos ação legal contra investigadores agindo de boa fé

Questões Sobre Segurança?

A nossa equipa de segurança está aqui para ajudar a responder às suas questões

Contactar Equipa de Segurança Ver Política de Privacidade