Na Clario, a proteção dos seus dados pessoais e a segurança da nossa infraestrutura estão no centro dos nossos compromissos. Em conformidade com o RGPD e construída sobre infraestrutura certificada SOC 2 Type II (Supabase, Vercel), implementamos elevados padrões técnicos e organizacionais para garantir a confidencialidade, integridade e disponibilidade da informação tratada na nossa plataforma.
Política de Segurança
I. Medidas Técnicas de Segurança
Autenticação
- Identificadores e palavras-passe únicos por utilizador com requisitos de autenticação forte
- Autenticação baseada em tokens encriptados seguros com chaves secretas únicas
- Autenticação de dois fatores (2FA) opcional para todos os utilizadores
- 2FA obrigatório para todos os acessos administrativos e de produção
- Limite de 5 tentativas de login antes do bloqueio da conta
- Registo de acessos, anomalias e eventos relacionados com segurança
Registo de Acessos e Gestão de Incidentes
- Proteção dos equipamentos de registo contra acesso não autorizado
- Retenção de registos durante 12 meses
- Revisão regular dos registos de eventos com deteção automatizada de anomalias
- Plano detalhado de resposta a incidentes com procedimentos para vários cenários
- Incidentes de segurança classificados por gravidade (P0–P3) com escalonamento imediato para problemas críticos
- Acesso a dados restrito a pessoal autorizado via 2FA
Resiliência, Backup e Disponibilidade de Dados
- Dados replicados em múltiplos nós para bases de dados e armazenamento
- Capacidade automática de failover de servidores
- Backups diários com verificação semanal dos procedimentos de recuperação
- Encriptação HTTPS dos backups durante a transferência
- RTO: 1–4 horas | RPO: 0–2 horas para funções críticas
- Procedimentos de recuperação de desastres testados anualmente
Alojamento e Rede
- Alojamento fornecido por Supabase / AWS em servidores localizados na UE
- Transmissão encriptada HTTPS ponta-a-ponta entre todos os serviços
- Separação funcional dos ambientes de desenvolvimento e produção
- Políticas de Row Level Security (RLS) aplicadas ao nível da base de dados
- Acesso restrito a ferramentas e interfaces de administração
- Implementação imediata de atualizações de segurança críticas
- Filtragem DNS segura e mecanismos de bloqueio de domínios
Segurança de Dados e Fluxos
- Encriptação de dados em repouso (AES-256) e em trânsito (TLS 1.3)
- Transferência de dados utilizando TLS/SSL com HSTS e perfect forward secrecy
- Todos os documentos de clientes armazenados em buckets Supabase Storage encriptados
- URLs assinados com expiração curta para acesso a documentos
- Row Level Security garantindo isolamento de dados entre organizações
II. Segurança Organizacional
Pessoal
- Obrigações de confidencialidade e carta informática para todos os membros da equipa
- Programas de formação e sensibilização em segurança
- Gestão de direitos de acesso com princípio do menor privilégio
- Compromissos de confidencialidade dos colaboradores assinados no início da colaboração
- Formação regular em segurança e RGPD
Continuidade dos Serviços
- Procedimento documentado para eventos de segurança com escalonamento dedicado
- Automatização de atualizações de segurança para implementação rápida de correções
- Testes de restauração a partir de backups para garantir eficácia da recuperação
- Política centralizada de segurança de dispositivos (bloqueio automático, complexidade de password, firewall, atualizações)
Auditorias
- Auditorias regulares de segurança da aplicação e infraestrutura
- Monitorização contínua das obrigações de conformidade regulatória
- Acompanhamento dos resultados de auditorias e planos de remediação
- Análise contínua de registos para detetar atividades anormais ou suspeitas
Política de Privacidade e RGPD
A Clario está comprometida em proteger a confidencialidade dos seus Clientes, Utilizadores e Visitantes, e em utilizar os seus dados pessoais em conformidade com o Regulamento (UE) 2016/679 (o "RGPD") e a legislação nacional aplicável de proteção de dados. A Clario nunca vende dados pessoais e apenas os partilha com terceiros que atuam em seu nome, exclusivamente para fins de prestação dos seus Serviços.
Recolha, Tratamento e Armazenamento de Dados Pessoais
A Clario recolhe e trata dados pessoais apenas na medida necessária para a prestação dos seus Serviços. Todos os dados pessoais são armazenados em infraestrutura localizada na UE com encriptação ponta-a-ponta.
Categorias de Dados Pessoais Recolhidos
- Dados de Visitantes: endereços IP, tipo de browser, sistema operativo, histórico de páginas
- Dados de Identificação: nome, email profissional, nome de utilizador e password (hash)
- Dados de Conexão: endereço IP, registos de login, timestamps
- Dados de Faturação: informação de pagamento gerida de forma segura via Stripe
- Documentos de Clientes: documentos carregados por utilizadores finais, armazenados com encriptação AES-256
Finalidade e Bases Legais do Tratamento
- Prestação e melhoria dos Serviços no âmbito do contrato de subscrição
- Gestão de Contas de Utilizador e controlo de acesso seguro
- Faturação e gestão de subscrições via Stripe
- Manutenção técnica e continuidade do serviço
- Validação de documentos e deteção de fraude por IA para garantia de qualidade
- Envio de comunicações e notificações relacionadas com o serviço
Períodos de Retenção de Dados
- Dados de identificação: mantidos durante a relação contratual e até 3 anos após a cessação
- Dados de conexão: mantidos por um máximo de 12 meses para segurança e manutenção
- Dados de faturação: mantidos durante a subscrição e períodos legais aplicáveis
- Documentos de clientes: mantidos conforme configurado pela organização, com opções de purga automática
Direitos dos Titulares dos Dados
Em conformidade com o RGPD, os Utilizadores têm os seguintes direitos:
- Direito de acesso, retificação e eliminação dos dados pessoais
- Direito de limitação ou oposição ao tratamento
- Direito à portabilidade dos dados
- Direito de retirar o consentimento a qualquer momento contactando o suporte
- Direito de apresentar queixa junto da autoridade de controlo competente