APPA8

Segurança

A nossa abordagem à segurança

Última atualização: 2026-05-13

🇵🇹 Português🇬🇧 English

Esta página descreve, em linguagem clara, as medidas técnicas e organizativas que o APPA8 aplica para proteger os dados confiados pelos seus clientes. É também a referência invocada pelos nossos Termos de Serviço e pelo DPA.


1. Encriptação em trânsito

Todo o tráfego entre o navegador do cliente e a plataforma é cifrado com TLS 1.2 ou superior. O acesso via HTTP é automaticamente redireccionado para HTTPS.


A terminação de TLS e gestão de rotas é realizada através de um reverse proxy (Traefik), garantindo comunicação segura entre utilizadores e serviços internos.


2. Credenciais e autenticação

  • Passwords nunca são armazenadas em claro. São protegidas com bcrypt e salt por utilizador.
  • São aplicados mecanismos de proteção contra força bruta, incluindo rate limiting em endpoints de autenticação.
  • Sessões são geridas através de cookies seguros (HttpOnly, Secure e SameSite), com expiração configurada.
  • Existe possibilidade de revogação de sessões em caso de compromisso de conta ou término de acesso.

3. Isolamento multi-tenant

A plataforma utiliza um modelo de isolamento forte por cliente (tenant isolation), baseado em bases de dados separadas.


Cada cliente dispõe de bases de dados dedicadas para os diferentes componentes do sistema:


  • Base de dados da aplicação
  • Base de dados de autenticação
  • Base de dados de auditoria

Este modelo garante isolamento de dados entre clientes, reduzindo o risco de acesso cruzado ou impacto direto entre diferentes contas. Cada operação é executada exclusivamente no contexto do respetivo cliente.


4. Backups

  • São realizados backups automáticos por cliente, abrangendo dados da aplicação, autenticação e auditoria.
  • Os backups são armazenados de forma segura e mantidos por um período definido de retenção.
  • São realizados testes periódicos de recuperação para validação da integridade dos dados.
  • O restauro pode ser solicitado pelo cliente dentro do período de retenção aplicável.

5. Logs e auditoria

Todas as ações sensíveis são registadas num sistema de auditoria dedicado por cliente, incluindo autenticações, alterações de permissões e operações críticas.


Os registos são imutáveis (append-only) e mantidos durante um período definido de retenção.


6. Controlo de acessos

  • O modelo de permissões segue o princípio do menor privilégio e é baseado em roles.
  • O cliente é responsável pela gestão de acessos dos seus utilizadores dentro da sua organização.
  • O acesso a dados de clientes por parte do fornecedor ocorre apenas mediante pedido do cliente, para suporte técnico, ou por obrigação legal.
  • O acesso administrativo à plataforma é restrito e protegido por autenticação multifator (2FA).

7. Segurança da infraestrutura

  • A plataforma é executada em servidores próprios geridos peloAPPA8, localizados em instalações controladas na União Europeia.
  • Os serviços são executados em contentores Docker isolados, com gestão de tráfego através de Traefik.
  • O acesso administrativo é restrito e protegido por VPN e autenticação multifator.
  • O tráfego público é filtrado por mecanismos de proteção contra ataques e abuso (quando aplicável).
  • Atualizações de segurança são aplicadas regularmente e vulnerabilidades críticas são tratadas com prioridade máxima.
  • Segredos e credenciais são armazenados de forma segura e não estão presentes no código-fonte.

8. Resposta a incidentes

Em caso de incidente de segurança com impacto em dados pessoais, o APPA8 compromete-se a investigar e mitigar o incidente sem demora injustificada.


Quando aplicável, os clientes afetados serão notificados em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD), incluindo os prazos legais de comunicação à autoridade de controlo.


9. Pagamentos

Os pagamentos são processados através de fornecedores certificados PCI DSS, como a Stripe.


O APPA8 não armazena dados de cartão de crédito. São apenas armazenados identificadores e tokens de pagamento necessários para faturação recorrente.


10. Como reportar vulnerabilidades

Se identificar uma vulnerabilidade de segurança, pode reportá-la para geral@appa8.comcom o assunto "Security".


Comprometemo-nos a responder em até 72 horas e a coordenar uma divulgação responsável quando aplicável.