Segurança
O nosso compromisso de segurança
Na Zylior, o teu crescimento passa pelos teus dados: campanhas publicitárias, leads, conteúdos, calendários de marcações, acesso às tuas ferramentas. Temos plena consciência disso. A segurança não é uma caixa que se assinala de uma vez por todas, é uma disciplina que aplicamos a cada linha de código, cada deployment e cada acesso. Esta página explica-te concretamente como protegemos o teu posto de comando de crescimento e as informações que por ele transitam.
Privilegiamos uma abordagem «managed-first»: apoiamo-nos em fornecedores de infraestrutura reconhecidos e certificados, reduzimos a superfície que operamos nós próprios, e aplicamos sistematicamente o princípio do menor privilégio. Menos complexidade desnecessária é menos risco para ti.
Cifragem dos dados
Em trânsito
Todas as comunicações entre o teu navegador, as nossas aplicações e os nossos serviços são cifradas através de TLS 1.2 ou superior. O tráfego não cifrado é recusado: nenhum dado circula em claro na rede. Aplicamos o redirecionamento HTTPS estrito (HSTS) e utilizamos suites criptográficas modernas.
Em repouso
Os dados armazenados nas nossas bases e nos nossos volumes são cifrados em repouso com o algoritmo AES-256. Isto vale para as bases de dados, as cópias de segurança e os ficheiros depositados na plataforma. As chaves de cifragem são geridas pelo nosso fornecedor de infraestrutura através de um serviço dedicado, com rotação regular, e nunca são expostas no código ou nos registos.
Segredos e credenciais de terceiros
Os tokens de acesso e as credenciais que ligas à Zylior (plataformas publicitárias, serviços de mensagens, CRM, agendas) são cifrados e armazenados num cofre de segredos isolado. Só são decifrados no momento estritamente necessário à execução de uma automatização, e nunca exibidos em claro na interface.
Alojamento e localização dos dados
Toda a infraestrutura da Zylior está alojada dentro da União Europeia, junto de fornecedores de infraestrutura cloud reconhecidos, que dispõem de certificações de segurança de primeiro plano (nomeadamente ISO 27001 e SOC 2). Os teus dados de produção e as respetivas cópias de segurança permanecem na UE.
Quando o tratamento de uma funcionalidade implica um subcontratante situado fora da UE, enquadramo-lo através das garantias adequadas previstas no RGPD (cláusulas contratuais-tipo) e documentamo-lo no nosso registo de subcontratantes.
Isolamento dos dados por cliente
A Zylior pilota uma carteira de vários micro-SaaS para fundadores e agências. A separação entre os dados de cada cliente é uma exigência fundamental da nossa arquitetura.
- Cada registo está associado a um identificador de conta (tenant), e todas as consultas são filtradas a esse nível por defeito.
- O controlo de isolamento é aplicado ao nível mais baixo possível da camada de acesso aos dados, e não deixado ao critério de cada ecrã.
- Os ambientes de produção, de teste e de desenvolvimento estão estritamente separados. Nenhum dado real de cliente é utilizado para o desenvolvimento ou os testes.
- Os tratamentos de IA são executados no perímetro da conta em causa: os dados de um cliente nunca servem para enriquecer, treinar ou alimentar a conta de outro.
Controlo de acesso e menor privilégio
O acesso aos sistemas da Zylior é estritamente enquadrado e limitado às pessoas que dele realmente necessitam para a sua função.
- Menor privilégio: cada membro da equipa e cada serviço dispõe apenas dos direitos indispensáveis à sua tarefa, nada mais.
- Autenticação forte: a autenticação multifator (MFA) é obrigatória em todos os acessos às ferramentas de administração e à infraestrutura.
- Acessos nominais: os acessos são individuais e rastreáveis. As contas partilhadas são proibidas.
- Revisão regular: os direitos de acesso são revistos periodicamente e revogados imediatamente aquando da saída de um colaborador.
- No lado da plataforma: dentro do teu espaço, geres os papéis e as permissões da tua equipa para controlar quem pode ver e fazer o quê.
Cópias de segurança e recuperação de atividade
Os teus dados são salvaguardados de forma automática e regular, para que possam ser restaurados em caso de incidente.
- Cópias de segurança cifradas e automatizadas das bases de dados, conservadas durante um período deslizante.
- Armazenamento das cópias de segurança na UE, separado do ambiente de produção.
- Testes de restauro realizados periodicamente para garantir que as cópias de segurança são utilizáveis, e não apenas existentes.
- Plano de recuperação de atividade documentado, com objetivos de tempo de recuperação (RTO) e de perda máxima de dados (RPO) definidos.
Registo e supervisão
Os nossos sistemas são monitorizados continuamente para detetar o mais cedo possível os comportamentos anómalos.
- Registo dos acessos, das ações sensíveis e dos eventos de autenticação.
- Supervisão da disponibilidade e do desempenho, com alertas automáticos em caso de anomalia.
- Centralização dos registos e conservação durante um período definido, com proteção contra alteração.
- Os registos são concebidos para não conter segredos nem dados pessoais supérfluos.
Gestão de incidentes
Apesar de todas as precauções, nenhum sistema é infalível. Por isso temos um processo claro para reagir depressa e bem.
- Deteção e qualificação: qualquer evento suspeito é analisado e classificado segundo a sua gravidade.
- Contenção e resolução: isolamos a causa, corrigimos a falha e repomos o serviço.
- Notificação: em caso de violação de dados de caráter pessoal, notificamos a autoridade de controlo competente no prazo de 72 horas e informamos os clientes em causa sem demora injustificada, em conformidade com o RGPD.
- Análise pós-incidente: cada incidente significativo é objeto de um relato de experiência documentado para evitar que se repita.
Conformidade com o RGPD
A Zylior trata dados de caráter pessoal no estrito respeito do Regulamento Geral sobre a Proteção de Dados (RGPD).
- Fundamentos jurídicos e finalidades: só tratamos os dados para finalidades determinadas e legítimas ligadas à prestação do serviço.
- Minimização: recolhemos apenas os dados necessários ao funcionamento da plataforma.
- Papel de subcontratante: para os dados dos teus próprios potenciais clientes e clientes, és o responsável pelo tratamento e a Zylior atua como subcontratante, no âmbito de um acordo de tratamento de dados (DPA).
- Direitos dos titulares: ajudamos-te a responder aos pedidos de acesso, retificação, apagamento e portabilidade.
- Subcontratantes ulteriores: mantemos atualizada a lista dos nossos subcontratantes e enquadramo-los por via contratual.
- Conservação: os dados são conservados pelo tempo necessário à prestação do serviço, sendo depois eliminados ou anonimizados.
Para qualquer questão relativa à proteção de dados ou para exerceres os teus direitos, escreve-nos para hello@zylior.com.
Síntese das medidas de segurança
| Domínio | Medida aplicada |
|---|---|
| Cifragem em trânsito | TLS 1.2+, HTTPS estrito (HSTS) |
| Cifragem em repouso | AES-256 (bases, cópias de segurança, ficheiros) |
| Alojamento | União Europeia, fornecedores certificados ISO 27001 / SOC 2 |
| Isolamento | Compartimentação dos dados por conta de cliente |
| Controlo de acesso | Menor privilégio, MFA obrigatória, acessos nominais |
| Cópias de segurança | Automatizadas, cifradas, restauro testado |
| Supervisão | Registo, alertas, conservação protegida |
| Conformidade | RGPD, DPA, registo de subcontratantes |
Divulgação responsável
A segurança é um trabalho de equipa, e a comunidade dos investigadores de segurança contribui para ele. Se descobrires uma vulnerabilidade potencial na Zylior, contamos contigo para no-la comunicares de forma responsável, em vez de a divulgares publicamente.
- Escreve-nos para security@zylior.com com uma descrição detalhada e os passos que permitem reproduzir o problema.
- Dá-nos um prazo razoável para analisar e corrigir a falha antes de qualquer divulgação pública.
- Não acedas aos dados de outros clientes, não degrades o serviço e não realizes qualquer ação destrutiva durante os teus testes.
- Comprometemo-nos a acusar a receção da tua comunicação, a manter-te informado do seu tratamento e a reconhecer a tua contribuição se assim o desejares.
Os investigadores que respeitem esta abordagem de boa-fé não serão alvo de qualquer ação judicial da nossa parte.