GDPR-compliant
em produçãoDORA-ready
em produçãoDados na UE
em produçãoSOC 2 Type II
Q1 2027Como protegemos os seus dados
Quatro pilares, todos em produção, todos auditáveis.
Encriptação AES-256 em trânsito e em repouso
Todos os dados sensíveis, incluindo cópias de cartão de cidadão, faturas, IBANs e credenciais de ERP, são encriptados com AES-256-GCM antes de tocar disco. Chaves geridas pelo AWS KMS com rotação automática a cada 90 dias.
- TLS 1.3 em todas as conexões · HSTS preload
- AES-256-GCM at-rest · chaves rotativas AWS KMS
- Hardware security modules (HSM) para chaves-mestre
Isolamento ao nível da base de dados
Cada tenant (banco, PME) tem os seus dados fisicamente separados via PostgreSQL Row Level Security. Não é possível, mesmo via SQL injection, aceder a dados de outro tenant. Todas as queries passam por RPCs com SECURITY DEFINER.
- Row Level Security (RLS) em cada tabela · default deny
- SECURITY DEFINER RPCs · tenant_id derivado internamente
- Pen test anual · próximo Q3 2026
Audit log WORM com 7 anos de retenção
Cada acesso, cada alteração, cada decisão de score é gravada num log imutável (só de escrita) com hash SHA-256 encadeado. Não é possível apagar, modificar ou reordenar entradas, nem pela Advanta. Conforme os requisitos do Banco de Portugal para registos contabilísticos.
- SHA-256 chained hashing · qualquer alteração detetada de imediato
- S3 Object Lock · imutabilidade ao nível do storage
- Exportável para o BdP · formato padrão XML auditável
Soberania de dados europeia
Todos os dados, pessoais, financeiros, KYC, vivem em servidores na UE. Supabase em eu-central-1 (Frankfurt). Sem transferências para fora da UE em condições normais. Compatível com Schrems II e regulação pós-Privacy Shield. Réplica failover em eu-west-1 (Dublin) em Q4 2026.
- Frankfurt (eu-central-1) · região primária
- Backup encriptado · 35 dias de retenção · Object Lock
- Failover Dublin · RPO <15 min · roadmap Q4 2026
Soberania de dados UE · Schrems II safe · nunca sai da União Europeia
Vendor review? Pen test? Submissão DORA?
Temos os documentos prontos. Peça a pasta de compliance e recebe-a em menos de 1 dia útil.