Segurança e conformidade por design

Não tratamos a segurança como uma funcionalidade extra. É a base sobre a qual todo o serviço foi construído — desde a arquitetura do plugin até ao modo como os dados são armazenados.

Cifra e chaves

Cifra AES-256 com chave exclusiva por cliente

Cada cliente tem a sua própria chave de cifra. Os seus dados nunca são acessíveis à CTS nem a outros clientes.

AES-256 em repouso

Todos os backups são cifrados com AES-256-GCM antes de serem escritos no object storage. A chave de cifra é exclusiva por cliente e gerida separadamente dos dados — nem a CTS consegue ler o conteúdo dos seus ficheiros.

TLS em trânsito

Todas as comunicações entre o plugin e os nós CTS usam TLS 1.3. Não existe caminho não cifrado para os seus dados — nem no envio inicial nem nas transferências internas entre nós.

Autenticação por token por site

O plugin autentica-se com um token único por site. Não existem credenciais partilhadas. Comprometer um site não compromete outros clientes nem dá acesso ao armazenamento.

Isolamento multi-tenant

Cada cliente tem o seu diretório, chave e configuração de retenção completamente isolados. A arquitetura segue o padrão project-per-tenant — não existe armazenamento partilhado entre clientes.

Imutabilidade

Cópias imutáveis — resistentes a ransomware

Mesmo que um atacante comprometa o site e o painel de gestão, as cópias não podem ser apagadas dentro do período de retenção.

Object-lock / append-only

Pelo menos uma cópia em cada ciclo de backup fica em modo object-lock com retenção baseada em tempo. O S3 rejeita qualquer pedido de apagamento ou sobrescrita durante o período definido — mesmo com credenciais de administrador.

Regra 3-2-1-1-0

3 cópias, em 2 localizações/suportes diferentes, 1 fora do local, 1 imutável, 0 erros após restore-test. Esta regra é verificada automaticamente em cada ciclo de backup.

Retenção escalonada por plano

15 dias (Essencial), 30 dias (Pro) ou 90+ dias (Agência). A expiração é automática e aplicada no servidor — sem ação manual necessária, sem risco de retenção excessiva.

Plugin sem acesso ao armazenamento

O princípio do menor privilégio aplicado: o plugin no site apenas envia dados. Nunca tem credenciais de leitura, escrita ou apagamento do armazenamento. Comprometer o site não compromete as cópias.

Residência de dados

Dados na Europa, replicação controlada

Cópia primária na UE

O nó primário está na Europa (Hetzner em Falkenstein/Helsínquia). Os dados nunca saem da UE sem consentimento explícito do cliente. Conformidade com o RGPD garantida por arquitetura, não apenas por política.

Réplica US opcional e transparente

A replicação para o nó americano (Ashburn/Hillsboro) é opt-in, disponível nos planos Pro e Agência. O cliente sabe exactamente onde os dados estão armazenados — sem transferências ocultas para fora da UE.

RGPD

Conformidade RGPD por contrato

A CTS Guardian atua como subcontratante de tratamento de dados. Todos os compromissos legais estão documentados e contratualizados.

Subcontratante RGPD DPA disponível Registo de tratamentos Direito ao apagamento Dados na UE Sem partilha com terceiros

Acordo de Processamento de Dados (DPA)

DPA assinável disponível para todos os clientes, conforme com o Art.º 28 do RGPD. Define claramente as responsabilidades de cada parte no tratamento dos dados de backup.

Direito ao apagamento respeitado

Pode solicitar o apagamento dos seus dados a qualquer momento. As cópias imutáveis dentro do período de retenção contratado são excluídas — conforme com as exceções legais do RGPD para obrigações contratuais.

Registo de atividades de tratamento

Mantemos registo atualizado de todas as atividades de tratamento de dados conforme exigido pelo Art.º 30 do RGPD. Disponível para auditoria a pedido.

Perguntas sobre segurança

Dúvidas frequentes sobre segurança e RGPD

A CTS consegue ler o conteúdo dos meus backups?

Não. A cifra AES-256 com chave exclusiva por cliente significa que os dados são cifrados antes de sair do seu servidor. A CTS armazena dados cifrados — sem a chave do cliente (que é gerida separadamente), o conteúdo é ilegível. Mesmo em caso de violação da infraestrutura da CTS, os seus dados permanecem protegidos.

O que acontece se a própria infraestrutura da CTS for comprometida?

O design de segurança assume que qualquer componente pode ser comprometido. Os dados estão cifrados com chaves por cliente geridas fora dos nós de execução. As cópias imutáveis (object-lock) não podem ser apagadas mesmo com credenciais de administrador da infraestrutura. O isolamento multi-tenant impede o acesso cruzado entre clientes.

Posso auditar onde os meus dados estão armazenados?

Sim. O painel de gestão mostra em tempo real a localização das cópias (nó UE, réplica US se ativada). O DPA especifica explicitamente os fornecedores de armazenamento (Hetzner Object Storage para a UE) e as localizações geográficas. Pode solicitar relatório de conformidade RGPD a qualquer momento.

Como funciona o acesso ao painel de gestão?

O acesso ao painel de gestão CTS requer autenticação com MFA. Todas as ações ficam registadas em audit log com timestamp, utilizador e IP. O acesso da equipa CTS à infraestrutura de produção segue princípio de menor privilégio — nenhum colaborador tem acesso universal a todos os sistemas.

Quer discutir os requisitos de segurança da sua organização?

Fale com a nossa equipa. Temos DPA disponível e respondemos a auditorias de segurança.

Contactar a equipa Ver arquitetura