Segurança
em cada camada.

Todos os dados que entram e saem da plataforma Vowly Event são encriptados com algoritmos de referência do setor. Utilizamos TLS 1.3 com perfect forward secrecy para os dados em trânsito e AES-256 em modo GCM para os dados em repouso na nossa base de dados principal, no armazenamento de ficheiros e nas cópias de segurança.

• TLS 1.3 para todas as ligações cliente–servidor; inclusão na lista de pré-carregamento HSTS
• Encriptação AES-256-GCM em repouso para o Firestore, o Cloud Storage e as cópias de segurança
• Armazenamento encriptado de credenciais com bcrypt (fator de trabalho 12) e Argon2id para contas mais recentes
• Gestão de chaves criptográficas através do Google Cloud KMS, com rotação anual de chaves

Seguimos o princípio do menor privilégio em todos os sistemas. O acesso em produção está restrito a um pequeno grupo de engenheiros, exige autenticação multifator e cada ação privilegiada é registada para fins de auditoria.

• Controlo de acesso baseado em funções (RBAC) imposto em todas as ferramentas internas
• Chaves de segurança de hardware obrigatórias (FIDO2/WebAuthn) para o acesso em produção
• Concessões de acesso just-in-time com expiração automática (normalmente 4 horas)
• Registo de auditoria exaustivo de todas as ações administrativas
• Revisões de acesso trimestrais e desativação automatizada no prazo de 1 hora após uma alteração de função

O Vowly Event corre na Google Cloud Platform, com a infraestrutura principal na região europe-west3 (Frankfurt) e replicação multirregional em toda a UE. A nossa infraestrutura foi concebida para resiliência, escalabilidade e conformidade regulamentar com os requisitos de residência de dados da UE e do Reino Unido.

• Fornecedor de nuvem: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
• Região principal: europe-west3 (Frankfurt, Alemanha)
• Base de dados: Cloud Firestore com replicação multirregional (eur3)
• CDN e proteção contra DDoS: Cloudflare com limitação de taxa e mitigação de bots
• Cópias de segurança diárias encriptadas, com conservação de 35 dias e simulações de restauro trimestrais

Monitorizamos a plataforma 24 horas por dia, 7 dias por semana, com alertas automáticos para anomalias, eventos de segurança e degradações de desempenho. A nossa equipa de resposta a incidentes está de prevenção para resolver questões críticas em minutos.

• Monitorização de segurança em tempo real para padrões de início de sessão invulgares e tentativas de credential stuffing
• Monitorização do desempenho das aplicações (APM) com deteção de anomalias
• Firewall de aplicações web (WAF) e limitação de taxa em todos os pontos de acesso públicos
• Análise contínua de vulnerabilidades das dependências (npm audit, Snyk)
• Testes de intrusão anuais por entidades terceiras acreditadas pela CREST

A segurança está integrada em todas as fases do nosso ciclo de desenvolvimento de software. Seguimos as melhores práticas da OWASP e exigimos que todas as alterações de código passem em verificações de segurança automatizadas antes da implementação em produção.

• Revisão de código por pares obrigatória para todas as alterações; sem commits diretos nos ramos de produção
• Teste estático de segurança de aplicações (SAST) em cada pull request
• Análise da composição de software (SCA) para identificar dependências vulneráveis
• Cabeçalhos de segurança automatizados (CSP, X-Frame-Options, Referrer-Policy)
• Análise e prevenção de segredos através de hooks de pré-commit do git

Apesar dos nossos melhores esforços, nenhuma plataforma está imune a incidentes de segurança. Se detetarmos uma violação de dados pessoais, seguimos um plano documentado de resposta a incidentes e notificaremos os utilizadores afetados e o ICO do Reino Unido no prazo de 72 horas, em conformidade com o Artigo 33.º do RGPD do Reino Unido.

• Plano documentado de resposta a incidentes com níveis de gravidade definidos
• Rotação de prevenção com SLA de resposta de 15 minutos para incidentes críticos
• Análise post-mortem e remediação obrigatórias para todos os incidentes P0/P1
• Compromisso de notificação de violações em 72 horas às autoridades de controlo e aos utilizadores afetados

O Vowly Event assenta numa infraestrutura com certificações de segurança de referência e foi concebido para cumprir os requisitos de vários enquadramentos de privacidade e segurança.

• RGPD do Reino Unido e RGPD da UE — conformidade total, incluindo os registos do Artigo 30.º e as AIPD
• Lei de Proteção de Dados do Reino Unido de 2018
• PCI DSS — a Stripe trata todos os dados de pagamento; mantemos um âmbito SAQ-A
• Revisões de segurança regulares, auditorias de dependências e reforço da nossa infraestrutura
• SOC 2 Type II — certificação do fornecedor de infraestrutura (Google Cloud)

Agradecemos a ajuda da comunidade de segurança em manter a nossa plataforma segura. Se descobrir uma vulnerabilidade, por favor comunique-a para security@vowly.co com uma descrição clara, passos de reprodução e os seus dados de contacto. Comprometemo-nos a confirmar a receção dos relatórios no prazo de 48 horas e a trabalhar consigo nos prazos de divulgação responsável.