Trust Center
Segurança

Documento Técnico de Segurança

Versão 1 · à data de 14 de julho de 2026

Tradução automática – sem valor jurídico. Prevalecem as versões EN/FR. Em preparação, revisão jurídica pendente.

Documento Técnico de Segurança

1. Introdução

Este documento técnico descreve como a Fotosoft SA (que opera a plataforma fotostudio.io) protege os dados que lhe são confiados por fotógrafos e estúdios profissionais. A segurança está integrada na nossa infraestrutura, no desenvolvimento do nosso software e nas nossas operações diárias. Somos o subcontratante dos dados pessoais que os nossos clientes carregam; os nossos clientes mantêm-se os responsáveis pelo tratamento (consulte o Acordo de Tratamento de Dados).

2. A nossa abordagem

  • Segurança desde a conceção e por defeito ao longo de todo o ciclo de desenvolvimento.
  • Minimização dos dados: tratamos apenas os dados necessários para prestar o serviço e nunca os revendemos nem os utilizamos para fins comerciais próprios.
  • Defesa em profundidade: múltiplas camadas de controlo independentes em vez de um único ponto de proteção.

3. Alojamento e infraestrutura

  • Todos os dados são alojados exclusivamente na União Europeia.
  • O Heroku (Salesforce, Inc.) executa a aplicação e as bases de dados; o Amazon Web Services (AWS S3) armazena os ficheiros carregados — ambos em regiões europeias.
  • Os centros de dados subjacentes estão certificados segundo as normas ISO 27001 e SOC 1/2/3. Trata-se de certificações dos nossos fornecedores de infraestrutura, não da Fotosoft.
  • A segurança física (controlo de acessos, controlos ambientais, vigilância 24/7) é fornecida e auditada por estes operadores de centros de dados.

4. Segurança de rede

  • Todo o tráfego é servido através de HTTPS/TLS 1.2+; não são utilizados protocolos em texto simples.
  • Firewalls geridas, isolamento de rede e proteção contra DDoS ao nível do fornecedor protegem o perímetro.

5. Encriptação

  • Em trânsito: TLS para cada ligação entre os clientes, a aplicação e o armazenamento.
  • Em repouso: o armazenamento é encriptado (AES-256) ao nível da infraestrutura.
  • Credenciais: as palavras-passe são armazenadas com hash e salt — nunca em texto simples.

6. Controlo de acessos e autenticação

  • Privilégio mínimo: o acesso do pessoal está limitado ao que cada função exige.
  • A autenticação de dois fatores é obrigatória para os acessos administrativos e aos servidores.
  • Os dados dos clientes estão isolados logicamente por conta; os ficheiros carregados são disponibilizados através de ligações seguras e não públicas.
  • As ações administrativas são imputáveis a contas individuais nominais.

7. Segurança da aplicação

  • Um ciclo de desenvolvimento de software seguro com revisão de código por pares.
  • Análise de dependências e vulnerabilidades como parte do processo de compilação.
  • Proteção contra as vulnerabilidades web comuns (OWASP Top 10).
  • As alterações estão sob controlo de versões e são rastreáveis.

8. Disponibilidade e resiliência

  • Disponibilidade do serviço prevista de 99.9% por ano.
  • Monitorização automatizada 24/7 com alertas.
  • Cópias de segurança diárias com redundância geográfica; os restauros são testados.
  • A infraestrutura redundante e gerida reduz os pontos únicos de falha.

9. Continuidade do negócio e recuperação de desastres

  • As cópias de segurança armazenadas em vários locais permitem a recuperação face a falhas de infraestrutura ou perda de dados.
  • Os procedimentos de recuperação documentados visam restabelecer o serviço com perda mínima de dados.

10. Gestão de vulnerabilidades e patches

  • As dependências e os componentes da plataforma são monitorizados e corrigidos regularmente.
  • As vulnerabilidades confirmadas são priorizadas e corrigidas com prontidão.

11. Resposta a incidentes

  • Um processo documentado de resposta a incidentes rege a deteção, a contenção e a recuperação.
  • Quando uma violação de dados pessoais afeta um cliente, notificamos o responsável pelo tratamento afetado sem demora injustificada e no prazo de 72 horas.

12. Subcontratantes e gestão de fornecedores

  • Recorremos a um conjunto limitado de subcontratantes verificados (alojamento, armazenamento de ficheiros, e-mail transacional, pagamentos) ao abrigo de contratos conformes com o RGPD. A lista atual é publicada na página de Subcontratantes e as alterações são anunciadas com antecedência.

13. Proteção e conservação de dados

  • O tratamento é conforme com o RGPD; um Acordo de Tratamento de Dados e as TOM estão disponíveis neste Trust Center.
  • Após a cessação da conta, os dados pessoais são eliminados de forma permanente no prazo de 30 dias; as cópias de segurança expiram após o respetivo período de conservação.
  • Os titulares dos dados podem exercer os seus direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição.

14. Segurança do pessoal

  • O pessoal está vinculado a obrigações de confidencialidade e o acesso é concedido estritamente com base na necessidade de conhecer.

15. Divulgação responsável

Agradecemos os relatos de investigadores de segurança. Contacte security@fotostudio.io; confirmamos os relatos com prontidão e trabalhamos para corrigir rapidamente os problemas confirmados. Atue de boa-fé e evite aceder aos dados de outros utilizadores ou modificá-los.

16. Contacto

Segurança: security@fotostudio.io · Geral: support@fotostudio.io

Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate. Confirm encryption-at-rest scope and the availability SLA with the team.