Centro de Confiança
Segurança
Como protegemos os seus dados, infraestrutura e negócio.
Última Atualização: Abril 2026
1. Certificações e Conformidade
Parceiro Stripe
Processamento de pagamentos via Stripe, certificado PCI DSS Nível 1. A Vale nunca lida com dados de cartão diretamente.
ActiveConforme ao RGPD
Processamos dados pessoais de acordo com o RGPD. DPA disponível a pedido.
ActiveAlinhado com OWASP
Conformidade auto-atestada com o OWASP Top 10 (2025), verificada por testes automatizados e manuais.
ActiveISO 27001
Certificação de sistema de gestão de segurança da informação. Em preparação.
In Progress2. Dados e Privacidade
Para detalhes completos sobre os dados que recolhemos, períodos de retenção, direitos RGPD e subprocessadores, consulte a nossa Política de Privacidade.
- PII de reservas de convidados encriptado em repouso com AES-256-GCM
- Registos de auditoria retidos por 12 meses com eliminação automática via TTL
- Tentativas de login retidas por 90 dias com eliminação automática via TTL
- Nunca armazenamos, vemos ou transmitimos dados de cartão — o Stripe processa tudo
- Sem cookies de rastreamento, sem venda de dados a terceiros
Um Acordo de Processamento de Dados (DPA) está disponível a pedido para clientes empresariais.
3. Infraestrutura
A nossa infraestrutura está alojada em fornecedores reputados e compatíveis com SOC 2:
| Service | Provider | Detail |
|---|---|---|
| API Backend | Railway | Servidor de aplicação Node.js/Express |
| Base de Dados | MongoDB Atlas | MongoDB gerido com encriptação TLS, backups automáticos |
| Site de marketing | Netlify | Alojamento de site estático com CDN |
| Pagamentos | Stripe | Processamento de pagamentos certificado PCI DSS Nível 1 |
| Resend | Envio de email transacional | |
| Gateway IoT | Railway | Integração de dispositivos Shelly para controlo de portões |
Segurança de Rede
- Encriptação TLS aplicada em todas as conexões (HSTS com preload)
- CORS restrito a origens autorizadas
- Cabeçalhos Content Security Policy (CSP) configurados
- Limitação de taxa em todos os endpoints com capacidade de throttle de emergência
4. Práticas de Segurança
Encriptação
- TLS 1.2+ em trânsito
- AES-256-GCM em repouso
- bcrypt com fator 12 para palavras-passe
- PBKDF2-SHA256 com 100.000 iterações
- Chaves API com hash SHA-256
Autenticação e Controlo de Acesso
- Tokens JWT com 45 minutos de validade
- Rotação de refresh tokens
- Revogação de tokens ao fazer logout
- MFA baseado em TOTP com códigos de backup
- Bloqueio de conta após 5 tentativas falhadas
- Controlo de acesso baseado em funções
- Tokens MFA pendentes bloqueados em recursos protegidos
Proteção de Input
- Prevenção de injeção NoSQL
- Queries parametrizadas
- Payload JSON limitado a 10KB
- Complexidade de palavra-passe obrigatória
- Validação de Content-Type
- Limites de comprimento em campos de texto
Cabeçalhos de Segurança
- HSTS com preload
- Content-Security-Policy
- X-Frame-Options: DENY
- X-Content-Type-Options: nosniff
- Referrer-Policy: no-referrer
- Permissions-Policy
- Cache-Control: no-store em respostas sensíveis
Auditoria e Monitorização
- Registo de auditoria para alterações de palavra-passe, MFA, funções e chaves API
- Rastreamento de tentativas de login com IP
- Correlação de pedidos via X-Request-Id
- Sanitização de erros — sem stack traces nas respostas
5. Conformidade OWASP Top 10
Testamos ativamente contra o OWASP Top 10 (2025). Todas as categorias passam:
| ID | Category | Status |
|---|---|---|
| A01 | Controlo de Acesso | Passa |
| A02 | Falhas Criptográficas | Passa |
| A03 | Injeção | Passa |
| A04 | Design Inseguro | Passa |
| A05 | Configuração Incorreta | Passa |
| A06 | Componentes Vulneráveis | Passa |
| A07 | Falhas de Autenticação | Passa |
| A08 | Integridade de Dados | Passa |
| A09 | Registo e Monitorização | Passa |
| A10 | SSRF | Passa |
Testes e Verificação
- 2.507 testes automatizados em 101 suites
- 37 testes de penetração OWASP automáticos em cada commit
- 80+ testes de penetração manuais documentados e executados trimestralmente
- Runbook de resposta a incidentes mantido e revisto regularmente
Segurança Contínua
- Dependabot monitoriza dependências
- Auditoria npm semanal via GitHub Actions
- Hooks pré-commit executam suite completa de testes
- 0 vulnerabilidades conhecidas em produção
6. Divulgação de Segurança
Se descobrir uma vulnerabilidade de segurança, reporte-a de forma responsável:
Email: privacy@valepark.org
Não abra issues públicas no GitHub para vulnerabilidades de segurança.
Acusamos receção em 24 horas e fornecemos um prazo de resolução em 72 horas.