Práticas Voluntárias de Segurança
Última atualização: 2026-03-15
O nosso compromisso com a segurança
O Veleiras trata memórias pessoais com o mesmo cuidado que as famílias que nos confiam as suas histórias. A segurança não é apenas uma funcionalidade — é um princípio fundador.
Esta página descreve as práticas técnicas e organizacionais que adotamos voluntariamente, alinhadas com normas reconhecidas internacionalmente.
Alinhamento com o RGPD
Embora o Veleiras não processe dados em larga escala, aplicamos os princípios do Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia em toda a plataforma.
- Princípios (Art. 5.º RGPD) — Tratamento conforme os princípios de licitude, limitação de finalidade, minimização de dados, exatidão, limitação de conservação, integridade e confidencialidade.
- Base legal (Art. 6.º RGPD) — Cada operação de tratamento assenta numa base legal clara: consentimento explícito ou execução contratual.
- Minimização de dados — Recolhemos apenas o estritamente necessário para prestar o serviço. Sem rastreamento comportamental, sem perfis publicitários.
- Direitos dos titulares — Acesso, retificação, apagamento, portabilidade e oposição ao tratamento estão disponíveis a qualquer momento através das definições da conta ou por contacto direto.
- Subcontratantes (Art. 28.º RGPD) — Todos os prestadores terceiros estão vinculados por acordos de tratamento de dados conformes com o RGPD.
- Encriptação — Todos os dados são encriptados em trânsito (TLS 1.2+) e em repouso (AES-256).
- Proteção de dados desde a conceção (Art. 25.º RGPD) — A privacidade é incorporada na arquitetura do sistema desde o início, não adicionada posteriormente.
- Notificação de violações — Em caso de violação de dados pessoais, comprometemo-nos a notificar a autoridade de controlo competente no prazo de 72 horas e a informar os titulares afetados sem demora injustificada, conforme exigido pelos Art. 33/34 RGPD.
Práticas alinhadas com a ISO 27001
Aplicamos controlos técnicos inspirados na norma ISO/IEC 27001 para a gestão da segurança da informação.
- Controlo de acessos — O acesso ao sistema e aos dados é restrito ao pessoal autorizado através de funções separadas de utilizador e administrador, com privilégios de administrador reverificados em cada pedido.
- Política de palavras-passe — Hashing com bcrypt, requisitos mínimos de complexidade e proteção contra ataques de força bruta.
- Gestão de sessões — As sessões têm tempo limitado, estão vinculadas a uma impressão digital do dispositivo, são regeneradas periodicamente e completamente invalidadas ao encerrar sessão.
- HTTPS obrigatório — Todo o tráfego é forçado através de ligações HTTPS com certificados válidos e HSTS ativo.
- Cabeçalhos de segurança — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options e Referrer-Policy configurados em todas as respostas.
- Limitação de pedidos — Proteção contra abuso através de limites de taxa em pontos de autenticação e API.
- Registos de auditoria — Os eventos de segurança como acessos, falhas de autenticação e alterações de permissões são registados com carimbos temporais e identificadores pseudonimizados. Estamos a expandir progressivamente a cobertura de auditoria em todos os serviços.
- Validação de entrada — Todas as entradas do utilizador são validadas e sanitizadas no servidor para prevenir injeção de código e XSS.
Princípios SOC 2 (Trust Services Criteria)
As nossas práticas operacionais seguem os critérios de serviços de confiança definidos pelo AICPA no âmbito do SOC 2.
- Segurança — Os sistemas estão protegidos contra acessos não autorizados através de firewalls de aplicações web, limitação de taxa, proteção CSRF e impressão digital de sessão.
- Disponibilidade — A infraestrutura é alojada com fornecedores que oferecem garantias de alta disponibilidade. Estamos a avaliar medidas adicionais de redundância e backup à medida que a plataforma cresce.
- Confidencialidade — Os dados dos utilizadores são isolados, encriptados e acessíveis apenas ao pessoal autorizado, com controlos de acesso rigorosos.
- Privacidade — A recolha, utilização, retenção e eliminação de dados pessoais seguem políticas claras e transparentes.
Infraestrutura e prestadores terceiros
Selecionamos prestadores que cumprem as normas mais exigentes de segurança e proteção de dados.
- Alojamento — Servidores na União Europeia com encriptação em repouso, backups diários e isolamento de rede.
- CDN e proteção DDoS — Distribuição global de conteúdos com mitigação automática de ataques de negação de serviço.
- Pagamentos — Processados por um prestador certificado PCI DSS Nível 1. O Veleiras nunca armazena dados de cartão de crédito.
- Rastreamento — Não utilizamos serviços de análise de terceiros, pixels de rastreamento ou cookies entre sites. Os dados de utilização agregados são recolhidos internamente e de forma anónima quando necessário.
Contacto para questões de segurança
Se descobrir uma vulnerabilidade ou tiver questões sobre as nossas práticas de segurança, entre em contacto connosco. Respondemos a todos os relatórios de segurança no prazo de 48 horas.
privacy@veleiras.com
Esta página descreve práticas voluntárias de segurança. Não constitui uma garantia legal nem uma certificação formal.
← Voltar a Veleiras