Os dados de cartão estão seguros connosco
Guardamos os dados de cartão no vault PCI DSS Nível 1: encriptados, apenas em centros de dados europeus, com cada acesso registado. Nunca toca no número de cartão: trabalha apenas com tokens.
Dados encriptados em repouso
AES-256 no vault
Centros de dados na UE
Os dados de cartão nunca saem da Europa
Acessos rastreados
Cada pedido fica registado
PCI DSS Nível 1
É o nível mais alto de conformidade PCI. Significa que o nosso vault é auditado todos os anos por auditores independentes, e herda grande parte dessa proteção.
Auditoria anual
Um auditor PCI qualificado (QSA) verifica todos os anos que cumprimos todos os requisitos. O relatório está disponível para as redes de pagamento e, a pedido, também para si.
Controlos trimestrais
Todos os trimestres analisamos a infraestrutura exposta na internet. Se encontrarmos algo a corrigir, resolvemos antes do próximo controlo.
Menos obrigações para si
Como os dados de cartão estão no nosso vault, o seu perímetro PCI reduz-se. Muitas vezes pode preencher um questionário mais simples (SAQ A) em vez de gerir tudo sozinho.
Os dados de cartão não saem da UE
Armazenamos e processamos os dados de cartão apenas dentro da União Europeia. Sem cópias fora da Europa, sem cloud extra-UE para as operações do vault.
Concebido para o RGPD
Contratos de tratamento de dados, bases legais e documentação já integrados. Sabe onde estão os dados e quem os gere: nós, na UE.
Centros de dados na Alemanha e Países Baixos
Infraestrutura redundante com alta disponibilidade. A recuperação de desastres também se mantém dentro das fronteiras europeias.
Sem transferências para o exterior
As chaves de encriptação, os mapeamentos de tokens e os registos de auditoria permanecem em jurisdição da UE. Sem riscos associados a transferências de dados fora da Europa.
O que garantimos
Encriptação em repouso e em trânsito
Os dados de cartão nunca viajam em texto claro. Encriptamo-los quando os armazenamos e quando os transferimos entre os nossos sistemas.
AES-256 no vault
Em repousoCada número de cartão no vault está encriptado com AES-256. As chaves permanecem protegidas dentro de hardware dedicado (HSM). Nunca as exportamos em texto claro.
TLS 1.3 em trânsito
Apenas ligações segurasAs API e os fluxos de pagamento usam TLS 1.3. As versões antigas estão desativadas. Mesmo que alguém interceptasse o tráfego passado, não o conseguiria desencriptar.
Rotação de chaves
Sem interrupçõesAs chaves mestras rodam anualmente, conforme exigido pelo PCI DSS. A re-encriptação ocorre em segundo plano: para si e para os seus clientes nada muda.
AES-256
Encriptação em repouso
TLS 1.3
Entre sistemas
Anual
Rotação de chaves
As chaves vivem num HSM
Um HSM é um dispositivo hardware resistente a adulterações onde geramos e guardamos as chaves de encriptação. Os números de cartão nunca saem daí em texto claro.
Certificado FIPS 140-2 Nível 3
Norma reconhecida para a segurança hardware. Se alguém tentar abrir fisicamente o dispositivo, as chaves são destruídas automaticamente.
Chaves geradas dentro do HSM
A geração, rotação e destruição ocorrem apenas dentro do perímetro do HSM. Não guardamos chaves mestras em disco nem em cloud genérico.
Resistência a adulterações
Sensores e invólucros dedicados detetam tentativas de acesso físico. Perante qualquer anomalia, o material criptográfico é apagado imediatamente.
Como flui um pedido
Controlos anti-abuso
Além de encriptar e tokenizar, monitorizamos cada pedido. Se algo não bate certo, bloqueamos ou alertamos antes que se torne um problema.
Limites de velocidade
Detetamos picos anómalos de pedidos da mesma conta, IP ou chave API. Os limiares configuráveis ativam bloqueios temporários e alertam a equipa de segurança.
Padrões suspeitos
Analisamos os fluxos para identificar comportamentos anómalos: testes sequenciais, volumes invulgares, incoerências geográficas. Os pedidos sinalizados são bloqueados de acordo com a sua política.
Monitorização 24/7
A nossa equipa de segurança vigia erros, latência e acessos aos dados. Se algo se desviar do normal, intervimos em poucos minutos.
Também nos auditam externamente
Não nos limitamos às auditorias PCI: testes de penetração e análises regulares por terceiros verificam que o vault permanece sólido.
Testes de penetração
Duas vezes por ano, empresas acreditadas simulam ataques sobre a rede e a API. Cada problema encontrado é corrigido e verificado novamente.
Gestão de vulnerabilidades
Análises internas semanais em todos os componentes. As vulnerabilidades críticas são resolvidas com prazos definidos: as mais graves em menos de 24 horas.
Relatório SOC 2 Type II
Todos os anos, auditores independentes verificam segurança, disponibilidade e confidencialidade. A pedido com NDA, partilhamos o relatório com os clientes.
Desenvolvimento seguro
Cada alteração no código passa por revisão e testes automatizados. Antes de tocar no vault, avaliamos os riscos de forma estruturada.
Resposta a incidentes
Esperamos que nunca seja necessário. Mas se ocorrer um evento de segurança, detetamo-lo, contemo-lo e mantemo-lo informado com total transparência.
Sempre ativos
Registos e alertas correlacionados em tempo real sobre toda a infraestrutura
Primeira intervenção
Classificamos a gravidade e iniciamos a contenção em menos de 15 minutos
Avisamos
Se necessário, notificamos em menos de 72 horas conforme exigido pelo RGPD e PCI
Análise e correção
Post-mortem com ações corretivas para evitar recorrências
Disponibilidade: 99,95% de uptime com failover automático. Um incidente em produção é escalado à equipa sénior em menos de 5 minutos.
99,95% uptimeNormas que cumprimos
PCI DSS, ISO 27001, ISO 9001, SOC 2, RGPD, DORA e hardware certificado: não são simples rótulos, são controlos verificados todos os anos.
PCI DSS L1
Nível máximo PCI
FIPS 140-2 L3
Hardware HSM certificado
SOC 2 Type II
Controlos verificados
RGPD
Dados apenas na UE
ISO 27001
Segurança da informação
ISO 9001
Gestão da qualidade
DORA
Resiliência operacional
Auditoria PCI anual
Relatório de conformidade completo
Análises trimestrais
Vulnerabilidades externas
Pen tests semestrais
Terceiros acreditados
Quer saber como protegemos os seus pagamentos?
Nós gerimos o vault PCI. Integra a API e trabalha com tokens. Menos risco, menos burocracia, os mesmos pagamentos.