Konforme Segurança Última atualização abril 2026

Como protegemos os seus dados.

Segurança no Konforme.

Enquanto plataforma de conformidade, exigimos de nós próprios os mesmos padrões que ajudamos os nossos clientes a alcançar. Todos os dados são processados e armazenados na União Europeia. Seguimos princípios de privacidade por conceção, encriptamos todos os dados em repouso e em trânsito, e mantemos controlos de acesso rigorosos. Esta página descreve as nossas práticas de segurança em detalhe.

i. Infraestrutura e alojamento.
Alojamento exclusivo na UE
Toda a infraestrutura funciona em AWS eu-west-1 (Irlanda). Nenhum dado é transferido para ou processado em jurisdições fora da UE. A nossa base de dados, servidores de aplicação e serviços de email residem todos dentro da UE.
Encriptação em repouso
Todos os dados armazenados na nossa base de dados PostgreSQL são encriptados em repouso usando AES-256. As credenciais cloud fornecidas pelos utilizadores são adicionalmente encriptadas antes do armazenamento usando encriptação ao nível da aplicação.
Encriptação em trânsito
Todas as ligações utilizam TLS 1.2 ou superior. O HSTS é aplicado com um max-age de um ano incluindo subdomínios. Utilizamos conjuntos de cifras modernos e atualizamos regularmente a nossa configuração TLS.
Segurança de rede
A nossa aplicação funciona numa VPC privada com regras rigorosas de grupos de segurança. A base de dados não é acessível publicamente. Todo o acesso administrativo requer VPN e MFA.
ii. Segurança da aplicação.
Autenticação
Autenticação baseada em JWT com tokens criptograficamente seguros (secrets.token_urlsafe). Verificação de email obrigatória para todas as contas. O hashing de palavras-passe utiliza bcrypt com salts por utilizador.
Limitação de taxa
Todos os endpoints de autenticação têm limitação de taxa: login (5/min), registo (3/min), verificação de email (10/hora), recuperação de palavra-passe (5/hora). Os endpoints da API têm limites por utilizador para prevenir abusos.
Proteção CSRF
A proteção contra Cross-Site Request Forgery está ativada em todos os endpoints autenticados. Utilizamos o padrão de cookie de dupla submissão com atributos de cookie SameSite.
Validação de entrada
Toda a entrada do utilizador é validada e sanitizada no lado do servidor usando esquemas Pydantic. Protegemos contra injeção SQL, XSS e outras vulnerabilidades do OWASP Top 10.
Cabeçalhos de segurança
Content Security Policy rigorosa, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, e cabeçalhos Permissions-Policy em todas as respostas.
Acesso cloud apenas de leitura
Ao analisar a sua infraestrutura AWS ou Azure, o Konforme utiliza credenciais apenas de leitura. Nunca modificamos os seus recursos cloud. As credenciais são encriptadas em repouso e podem ser revogadas a qualquer momento.
iii. Proteção de dados e RGPD.

O Konforme foi concebido para ser conforme com o RGPD desde a base. Recolhemos apenas os dados necessários para prestar o nosso serviço. Os dados dos utilizadores nunca são vendidos a terceiros. A eliminação da conta remove permanentemente todos os dados associados, incluindo resultados de análises, respostas de avaliações e credenciais.

Prática Detalhe
Minimização de dados Recolhemos apenas o necessário para a avaliação de conformidade. Sem píxeis de rastreamento, sem analítica de terceiros.
Direito ao apagamento A eliminação da conta remove todos os dados do utilizador. As credenciais cloud são eliminadas imediatamente na eliminação lógica da conta.
Portabilidade dos dados Exporte os seus dados de conformidade como relatórios PDF a qualquer momento. Os dados de avaliação podem ser exportados a pedido.
Subprocessadores AWS (alojamento), Netlify (site de marketing), SES (email transacional). Todo o processamento baseado na UE.
Notificação de violação Em caso de violação de dados, os utilizadores afetados serão notificados no prazo de 72 horas conforme os requisitos do RGPD.
iv. Divulgação responsável.

Se descobrir uma vulnerabilidade de segurança no Konforme, por favor reporte para konform@konforme.io. Levamos todos os relatórios a sério e responderemos no prazo de 48 horas. Pedimos que nos dê um prazo razoável para resolver o problema antes de qualquer divulgação pública.