Segurança no Conviro

Segurança de nível empresarial construída de raiz. Os dados dos seus clientes e conversas estão protegidos em cada camada.

Encriptação

Em Trânsito: Todos os dados são encriptados com TLS 1.2+ e encriptação de 256 bits. Todos os endpoints de API, webhooks e ligações de widget são exclusivamente HTTPS. HSTS é aplicado com max-age de 1 ano, incluindo subdomínios.

Em Repouso: Os dados dos clientes são encriptados com AES-256 na camada de armazenamento. Os volumes de base de dados utilizam encriptação de disco completo. Os ficheiros de cópia de segurança são encriptados com chaves separadas.

Gestão de Segredos: Chaves de API, tokens e credenciais são encriptados em repouso com hierarquias de chaves separadas e nunca são registados nem expostos em respostas de API.

Infraestrutura

Centro de Dados: Toda a infraestrutura de produção está alojada em centros de dados certificados ISO 27001 na União Europeia (Alemanha). Os servidores não são acessíveis a partir da internet pública.

Isolamento de Rede: Os serviços de base de dados, cache e fila de mensagens funcionam em redes privadas sem endereços IP públicos. Apenas a API e a aplicação web têm endpoints públicos, protegidos por um proxy reverso com limitação de taxa e proteção contra DDoS.

Monitorização: Monitorização de infraestrutura 24/7 com alertas automáticos. Objetivo de disponibilidade: 99,9%.

Controlo de Acesso

Autenticação: Email/password com hash bcrypt (salt rounds: 12) ou Google OAuth 2.0. Tokens de acesso baseados em JWT com expiração de 15 minutos e tokens de atualização aleatórios criptograficamente.

Autorização: Controlo de acesso baseado em funções (RBAC) com as funções Proprietário, Administrador e Agente. Autenticação por chave de API para acesso programático com âmbito de permissões por chave.

Limitação de Taxa: Limites de taxa por IP e por conta em todos os endpoints. Os endpoints de autenticação têm limites mais rigorosos para prevenir ataques de força bruta.

Conformidade

GDPR: Conformidade total com o Regulamento Geral de Proteção de Dados da UE. Acordos de Processamento de Dados (DPA) disponíveis para clientes Enterprise. Princípios de privacidade por design aplicados em toda a plataforma.

Residência de Dados: Todos os dados dos clientes são armazenados e processados na UE. Os fornecedores de modelos de AI processam dados de conversas ao abrigo de DPAs com salvaguardas adequadas para transferências para os EUA (EU-US DPF, Cláusulas Contratuais Padrão).

Conformidade de Cookies: Banner de consentimento de cookies em conformidade com o GDPR com controlo granular por categoria (Essenciais, Analíticos, Marketing). Os registos de consentimento são armazenados para fins de auditoria.

Lei de Proteção de Dados da Estónia: Conforme com a regulamentação local estoniana. Autoridade de supervisão: Inspeção de Proteção de Dados da Estónia (Andmekaitse Inspektsioon).

Retenção e Eliminação de Dados

Dados de Conversas: Retidos com base nas definições do seu espaço de trabalho (predefinição: 90 dias). Configurável por espaço de trabalho.

Eliminação de Conta: Quando elimina a sua conta ou um chatbot, todos os dados associados são imediatamente eliminados permanentemente das bases de dados ativas. As cópias de segurança encriptadas que contêm os dados eliminados são removidas definitivamente no prazo de 30 dias.

Direito ao Apagamento: Os pedidos ao abrigo do Artigo 17.º do GDPR são processados no prazo de 30 dias. Contacte [email protected].

Segurança do Modelo de AI

Isolamento de Dados: A sua base de conhecimento e os dados de conversas nunca são utilizados para treinar modelos de AI. Os dados de cada espaço de trabalho são estritamente isolados.

Acordos com Fornecedores: Mantemos Acordos de Processamento de Dados com todos os fornecedores de AI (Anthropic, OpenAI, Google). Os acordos de API de retenção zero garantem que os fornecedores não armazenam os seus dados.

Filtragem de Conteúdo: Os resultados de AI são monitorizados para segurança. Proteções contra injeção de prompts e filtros de segurança de conteúdo são aplicados a todas as interações de AI.

Divulgação de Vulnerabilidades

Se acredita ter encontrado uma vulnerabilidade de segurança no Conviro, por favor reporte-a de forma responsável à nossa equipa de segurança. Não divulgue a vulnerabilidade publicamente até termos tido a oportunidade de a resolver.

Contacto: [email protected]

Comprometemo-nos a:

  • Confirmar a receção do seu relatório no prazo de 24 horas.
  • Fornecer um cronograma de resolução no prazo de 72 horas.
  • Mantê-lo informado do nosso progresso.
  • Não intentar ações legais contra investigadores de segurança de boa-fé.