Versão 1 · à data de 14 de julho de 2026
Tradução automática – sem valor jurídico. Prevalecem as versões EN/FR. Em preparação, revisão jurídica pendente.
Documento Técnico de Segurança
1. Introdução
Este documento técnico descreve como a Fotosoft SA (que opera a plataforma fotostudio.io) protege os dados que lhe são confiados por fotógrafos e estúdios profissionais. A segurança está integrada na nossa infraestrutura, no desenvolvimento do nosso software e nas nossas operações diárias. Somos o subcontratante dos dados pessoais que os nossos clientes carregam; os nossos clientes mantêm-se os responsáveis pelo tratamento (consulte o Acordo de Tratamento de Dados).
2. A nossa abordagem
- Segurança desde a conceção e por defeito ao longo de todo o ciclo de desenvolvimento.
- Minimização dos dados: tratamos apenas os dados necessários para prestar o serviço e nunca os revendemos nem os utilizamos para fins comerciais próprios.
- Defesa em profundidade: múltiplas camadas de controlo independentes em vez de um único ponto de proteção.
3. Alojamento e infraestrutura
- Todos os dados são alojados exclusivamente na União Europeia.
- O Heroku (Salesforce, Inc.) executa a aplicação e as bases de dados; o Amazon Web Services (AWS S3) armazena os ficheiros carregados — ambos em regiões europeias.
- Os centros de dados subjacentes estão certificados segundo as normas ISO 27001 e SOC 1/2/3. Trata-se de certificações dos nossos fornecedores de infraestrutura, não da Fotosoft.
- A segurança física (controlo de acessos, controlos ambientais, vigilância 24/7) é fornecida e auditada por estes operadores de centros de dados.
4. Segurança de rede
- Todo o tráfego é servido através de HTTPS/TLS 1.2+; não são utilizados protocolos em texto simples.
- Firewalls geridas, isolamento de rede e proteção contra DDoS ao nível do fornecedor protegem o perímetro.
5. Encriptação
- Em trânsito: TLS para cada ligação entre os clientes, a aplicação e o armazenamento.
- Em repouso: o armazenamento é encriptado (AES-256) ao nível da infraestrutura.
- Credenciais: as palavras-passe são armazenadas com hash e salt — nunca em texto simples.
6. Controlo de acessos e autenticação
- Privilégio mínimo: o acesso do pessoal está limitado ao que cada função exige.
- A autenticação de dois fatores é obrigatória para os acessos administrativos e aos servidores.
- Os dados dos clientes estão isolados logicamente por conta; os ficheiros carregados são disponibilizados através de ligações seguras e não públicas.
- As ações administrativas são imputáveis a contas individuais nominais.
7. Segurança da aplicação
- Um ciclo de desenvolvimento de software seguro com revisão de código por pares.
- Análise de dependências e vulnerabilidades como parte do processo de compilação.
- Proteção contra as vulnerabilidades web comuns (OWASP Top 10).
- As alterações estão sob controlo de versões e são rastreáveis.
8. Disponibilidade e resiliência
- Disponibilidade do serviço prevista de 99.9% por ano.
- Monitorização automatizada 24/7 com alertas.
- Cópias de segurança diárias com redundância geográfica; os restauros são testados.
- A infraestrutura redundante e gerida reduz os pontos únicos de falha.
9. Continuidade do negócio e recuperação de desastres
- As cópias de segurança armazenadas em vários locais permitem a recuperação face a falhas de infraestrutura ou perda de dados.
- Os procedimentos de recuperação documentados visam restabelecer o serviço com perda mínima de dados.
10. Gestão de vulnerabilidades e patches
- As dependências e os componentes da plataforma são monitorizados e corrigidos regularmente.
- As vulnerabilidades confirmadas são priorizadas e corrigidas com prontidão.
11. Resposta a incidentes
- Um processo documentado de resposta a incidentes rege a deteção, a contenção e a recuperação.
- Quando uma violação de dados pessoais afeta um cliente, notificamos o responsável pelo tratamento afetado sem demora injustificada e no prazo de 72 horas.
12. Subcontratantes e gestão de fornecedores
- Recorremos a um conjunto limitado de subcontratantes verificados (alojamento, armazenamento de ficheiros, e-mail transacional, pagamentos) ao abrigo de contratos conformes com o RGPD. A lista atual é publicada na página de Subcontratantes e as alterações são anunciadas com antecedência.
13. Proteção e conservação de dados
- O tratamento é conforme com o RGPD; um Acordo de Tratamento de Dados e as TOM estão disponíveis neste Trust Center.
- Após a cessação da conta, os dados pessoais são eliminados de forma permanente no prazo de 30 dias; as cópias de segurança expiram após o respetivo período de conservação.
- Os titulares dos dados podem exercer os seus direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição.
14. Segurança do pessoal
- O pessoal está vinculado a obrigações de confidencialidade e o acesso é concedido estritamente com base na necessidade de conhecer.
15. Divulgação responsável
Agradecemos os relatos de investigadores de segurança. Contacte security@fotostudio.io; confirmamos os relatos com prontidão e trabalhamos para corrigir rapidamente os problemas confirmados. Atue de boa-fé e evite aceder aos dados de outros utilizadores ou modificá-los.
16. Contacto
Segurança: security@fotostudio.io · Geral: support@fotostudio.io
Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate. Confirm encryption-at-rest scope and the availability SLA with the team.