Segurança

Os seus dados
protegidos a sério.

Tratamos a segurança como um produto, não como uma lista de verificação. Cada decisão de arquitetura tem a segurança como requisito não-negociável.

Infraestrutura

  • Servidores dedicados em centro de dados Tier IV na União Europeia
  • Isolamento total entre contas de diferentes clientes (multi-tenant seguro)
  • Firewalls de aplicação web (WAF) com proteção contra OWASP Top 10
  • DDoS mitigation ativa 24/7
  • Monitorização de intrusão em tempo real

Cifra e Chaves

  • TLS 1.3 em todos os dados em trânsito
  • AES-256 para dados em repouso
  • Chaves criptográficas geridas com rotação automática
  • Hashing de palavras-passe com bcrypt (factor 12)
  • Tokens JWT com expiração curta e refresh token rotation

Controlo de Acesso

  • Autenticação multi-fator (MFA) disponível para todos os utilizadores
  • Princípio do mínimo privilégio em todos os sistemas internos
  • Revisão trimestral de acessos de colaboradores
  • Logs de auditoria imutáveis de todos os acessos a dados de clientes
  • Sessões automáticas expiram após inatividade

Continuidade e Recuperação

  • Backups automáticos diários com retenção de 30 dias
  • Backups cifrados em localização geográfica separada
  • RTO (Recovery Time Objective): < 4 horas
  • RPO (Recovery Point Objective): < 1 hora
  • Testes de restauro mensais com relatório documentado

Ciclo de Desenvolvimento Seguro

  • Code review obrigatório antes de qualquer deployment em produção
  • Análise estática de segurança (SAST) em cada pull request
  • Testes de penetração externos anuais
  • Programa de bug bounty (contacto: seguranca@aminhapastelaria.com)
  • Dependency scanning automático para vulnerabilidades conhecidas

Compliance

  • Conformidade com o RGPD — registados na CNPD
  • SOC 2 Type II em auditoria (previsão: Q3 2025)
  • Conformidade PCI DSS via Stripe (sem dados de cartão nos nossos servidores)
  • DPA disponível para todos os clientes
  • Relatório de transparência publicado anualmente

Responsible Disclosure

Encontrou uma vulnerabilidade?

Agradecemos relatórios responsáveis de segurança. Respondemos em 48h, corrigimos com prioridade máxima e reconhecemos publicamente a contribuição (se desejado).

Reportar vulnerabilidade