Segurança
Como protegemos a plataforma e os teus dados
Esta página resume os controlos de segurança que estão em produção neste momento, sem promessas aspiracionais. Para a arquitetura completa vê /tecnologia; para o tratamento de dados pessoais vê a Política de Privacidade.
Controlos em produção
Dados na União Europeia
Base de dados PostgreSQL gerida pela Supabase em datacenter da UE, com Row-Level Security: cada utilizador só consegue ler os seus próprios dados, mesmo que exista um bug na aplicação.
Transporte cifrado e headers estritos
HTTPS obrigatório com HSTS (preload), Content-Security-Policy com nonce gerado por pedido, X-Frame-Options DENY e X-Content-Type-Options nosniff em todas as páginas.
Autenticação sem passwords
Login por magic link enviado ao teu email, com sessões baseadas em refresh tokens rotativos. Sem passwords guardadas, não há passwords para fugir.
Pagamentos fora dos nossos servidores
O checkout é processado pela Stripe (PCI-DSS Level 1). Nunca vemos nem guardamos números de cartão; os webhooks são verificados por assinatura criptográfica.
IA sem treino com os teus dados
Os pedidos enviados à Anthropic não são usados para treinar modelos (garantia contratual). Não fazemos logging de payloads sensíveis na monitorização de erros.
Rate limiting central e auditoria
Limites de pedidos por IP e por conta em Redis central (não contornáveis por paralelização), registo de auditoria de eventos sensíveis e validação das variáveis críticas no arranque de cada deploy.
Os teus dados são teus
Exportação completa em JSON a qualquer momento e eliminação de conta com confirmação explícita, conforme o RGPD (Art. 20.º e 17.º). Sem lock-in.
Monitorização pública
A página /status mostra em tempo real o estado da base de dados, pagamentos, email e IA. Quando algo falha, vês tu também.
Não publicamos (ainda) uma auditoria SOC 2: somos pequenos demais para a justificar. Aplicamos os controlos acima e dizemos exatamente o que temos, que é a forma de confiança que podemos oferecer hoje.
Encontraste uma vulnerabilidade?
Agradecemos a quem investiga de boa-fé e reporta primeiro. O nosso contacto de segurança está publicado em /.well-known/security.txt (RFC 9116).
- 1.Escreve para geral@fundafacil.pt com «Segurança» no assunto, descrevendo o problema e os passos para o reproduzir.
- 2.Confirmamos a receção em até 72 horas e mantemos-te informado do progresso até à correção.
- 3.Pedimos tempo razoável para corrigir antes de qualquer divulgação pública, e que a investigação não aceda a dados de outros utilizadores nem degrade o serviço (sem testes destrutivos ou de negação de serviço).
Compromisso: não tomaremos medidas legais contra investigação de boa-fé que respeite estas regras. Não temos programa de recompensas pago, mas damos crédito público a quem reportar, se o desejar.
Dúvidas técnicas ou institucionais?
Se representas uma instituição e precisas de detalhe adicional (RGPD, arquitetura, subprocessadores), respondemos diretamente e sem rodeios.