FundaFácil

Tecnologia e segurança

Plataforma moderna,
princípios antigos.

Construímos o FundaFácil com a infraestrutura de uma empresa séria — não com atalhos. Tudo o que segue está em produção neste momento e pode ser verificado em /status.

Esta página é técnica mas acessível. Se preferires uma visão geral, vê /sobre.

Princípios

01

Dados na União Europeia

Base de dados em Frankfurt (Supabase, AWS eu-central-1). Edge cache via Cloudflare (rede global mas sem armazenamento permanente fora da UE). Conformidade RGPD por design, não a posteriori.

02

Segurança ativa, não passiva

HTTPS estrito (HSTS), CSP com nonce por request, RLS no Postgres (cada utilizador só lê os seus dados), zero credenciais em plaintext. Headers de segurança auditáveis em qualquer página.

03

IA como assistente, não oráculo

Cada output de IA é claramente identificado, com modelo e timestamp. Onde há risco de alucinação (datas, valores, leis), a UI obriga o utilizador a verificar na fonte oficial linkada.

04

Sem vendor lock-in para o utilizador

Exportação JSON completa (candidaturas, notas, análises) a qualquer momento. Conforme RGPD Art. 20.º (portabilidade). Se quiseres sair, sais com os teus dados.

A nossa stack

Que tecnologias usamos — e porquê.

Cada escolha tem uma justificação. Não usamos “a tecnologia da moda” — usamos o que é fiável, auditável e residente na UE.

Frontend

Next.js 16 + React + TypeScript

Framework maduro com server components — renderização rápida, SEO forte, código tipado (menos bugs). Open-source.

Localização: Vercel (edge global)

Base de dados

PostgreSQL via Supabase

Postgres é o gold standard. Supabase adiciona auth + storage + row-level security (RLS), garantindo que cada utilizador só vê os seus dados.

Localização: AWS eu-central-1 (Frankfurt)

IA

Claude (Anthropic) — Opus 4.7, Sonnet 4.6, Haiku 4.5

Modelos de fronteira com forte aderência a instruções. Usamos Opus para análises críticas (memória descritiva, avaliador), Haiku para tarefas leves. Sem treinar com os dados dos utilizadores.

Localização: API Anthropic (privacidade contratual: não usa inputs para treino)

Email

Resend (transactional) + Cloudflare Email Routing (receção)

Resend é especializado em emails transaccionais (magic links, confirmações). Cloudflare encaminha @fundafacil.pt para o nosso inbox. Sem caixas próprias.

Localização: EU (Resend EU region)

Pagamentos

Stripe

Standard global. Nós nunca vemos números de cartão — Stripe processa tudo PCI-DSS compliant. Webhooks assinados criptograficamente.

Localização: Stripe Europe (IE)

Rede e DNS

Cloudflare

Proteção contra ataques (DDoS, bots), DNS rápido, cache de assets estáticos. Não armazenamos dados sensíveis em cache.

Localização: Edge global, sem persistência

Monitorização

Sentry (errors) + Status page interna

Erros JavaScript reportados em tempo real. /status mostra uptime e tempos de resposta de cada dependência. Transparência total.

Localização: Sentry EU

Segurança

Como protegemos os teus dados.

Não publicamos auditoria SOC 2 (somos pequenos demais para a justificar agora) — mas aplicamos os mesmos controlos.

Autenticação

  • Magic link via email (sem passwords default)
  • Sessões com refresh tokens rotativos
  • Logout em todos os dispositivos disponível

Isolamento de dados

  • Row-Level Security (RLS) no Postgres
  • Cada query é filtrada pelo user_id na base
  • Mesmo se o backend tivesse bug, o user A não consegue ler dados do user B

Transporte

  • HTTPS obrigatório (HSTS preload)
  • Content-Security-Policy estrita com nonce por request
  • X-Frame-Options: DENY (não pode ser embedded)

Segredos

  • Variáveis de ambiente cifradas no Vercel
  • Zero credenciais no código (Git)
  • Rotação de chaves API a pedido

Privacidade IA

  • Inputs enviados à Anthropic NÃO são usados para treino (contratual)
  • Sem logging de payloads sensíveis em Sentry
  • Dados extraídos de PDFs apagados após análise (não persistidos)

Direitos do utilizador (RGPD)

  • Exportação JSON: Settings → Os meus dados
  • Apagar conta: requer typed-confirmation (não acidental)
  • Pedidos por email respondidos em ≤ 30 dias

Como usamos IA

IA forte. Humanos no comando.

Acreditamos que IA é uma ferramenta poderosa — mas perigosa quando usada como oráculo. No FundaFácil, IA acelera tarefas chatas (analisar documentos, escrever uma memória descritiva, comparar perfis com programas). Nunca substitui verificação humana.

Por isso:

  • Cada output gerado por IA está marcado com badge IA e timestamp.
  • Avisos visíveis em outputs de IA: “Confirma sempre na fonte oficial”.
  • Para riscos altos (memória descritiva final), só o user submete — nunca o sistema.
  • Os dados dos utilizadores não treinam modelos (contratual com Anthropic).
  • Não usamos IA para tomar decisões automatizadas sobre elegibilidade.

Mais detalhes? Pergunta.

Se representas uma instituição, empresa ou media e queres aprofundar algum tópico técnico (arquitectura, RGPD, segurança, IA), respondemos diretamente.

ContactarVer estado do serviço