Segurança

Os dados de cartão estão seguros connosco

Guardamos os dados de cartão no vault PCI DSS Nível 1: encriptados, apenas em centros de dados europeus, com cada acesso registado. Nunca toca no número de cartão: trabalha apenas com tokens.

Certificação

PCI DSS Nível 1

É o nível mais alto de conformidade PCI. Significa que o nosso vault é auditado todos os anos por auditores independentes, e herda grande parte dessa proteção.

Auditoria anual

Um auditor PCI qualificado (QSA) verifica todos os anos que cumprimos todos os requisitos. O relatório está disponível para as redes de pagamento e, a pedido, também para si.

Controlos trimestrais

Todos os trimestres analisamos a infraestrutura exposta na internet. Se encontrarmos algo a corrigir, resolvemos antes do próximo controlo.

Menos obrigações para si

Como os dados de cartão estão no nosso vault, o seu perímetro PCI reduz-se. Muitas vezes pode preencher um questionário mais simples (SAQ A) em vez de gerir tudo sozinho.

Apenas na Europa

Os dados de cartão não saem da UE

Armazenamos e processamos os dados de cartão apenas dentro da União Europeia. Sem cópias fora da Europa, sem cloud extra-UE para as operações do vault.

Concebido para o RGPD

Contratos de tratamento de dados, bases legais e documentação já integrados. Sabe onde estão os dados e quem os gere: nós, na UE.

Centros de dados na Alemanha e Países Baixos

Infraestrutura redundante com alta disponibilidade. A recuperação de desastres também se mantém dentro das fronteiras europeias.

Sem transferências para o exterior

As chaves de encriptação, os mapeamentos de tokens e os registos de auditoria permanecem em jurisdição da UE. Sem riscos associados a transferências de dados fora da Europa.

O que garantimos

Dados de cartão armazenados apenas em centros de dados da UE
Chaves de encriptação geradas e guardadas na UE
DPA conforme ao art. 28 RGPD disponível
Sem subcontratante extra-UE para o vault
Recuperação de desastres dentro das fronteiras da UE
Encriptação

Encriptação em repouso e em trânsito

Os dados de cartão nunca viajam em texto claro. Encriptamo-los quando os armazenamos e quando os transferimos entre os nossos sistemas.

01

AES-256 no vault

Em repouso

Cada número de cartão no vault está encriptado com AES-256. As chaves permanecem protegidas dentro de hardware dedicado (HSM). Nunca as exportamos em texto claro.

02

TLS 1.3 em trânsito

Apenas ligações seguras

As API e os fluxos de pagamento usam TLS 1.3. As versões antigas estão desativadas. Mesmo que alguém interceptasse o tráfego passado, não o conseguiria desencriptar.

03

Rotação de chaves

Sem interrupções

As chaves mestras rodam anualmente, conforme exigido pelo PCI DSS. A re-encriptação ocorre em segundo plano: para si e para os seus clientes nada muda.

AES-256

Encriptação em repouso

TLS 1.3

Entre sistemas

Anual

Rotação de chaves

Hardware dedicado

As chaves vivem num HSM

Um HSM é um dispositivo hardware resistente a adulterações onde geramos e guardamos as chaves de encriptação. Os números de cartão nunca saem daí em texto claro.

Certificado FIPS 140-2 Nível 3

Norma reconhecida para a segurança hardware. Se alguém tentar abrir fisicamente o dispositivo, as chaves são destruídas automaticamente.

Chaves geradas dentro do HSM

A geração, rotação e destruição ocorrem apenas dentro do perímetro do HSM. Não guardamos chaves mestras em disco nem em cloud genérico.

Resistência a adulterações

Sensores e invólucros dedicados detetam tentativas de acesso físico. Perante qualquer anomalia, o material criptográfico é apagado imediatamente.

Como flui um pedido

O seu pedido API (TLS 1.3)
Motor PCI Proxy Recebe os dados de cartão e cria o token
HSM (FIPS 140-2 L3) Gera chaves e encripta os dados de cartão
Vault encriptado (AES-256) Número de cartão encriptado, chaves apenas no HSM
Proteção ativa

Controlos anti-abuso

Além de encriptar e tokenizar, monitorizamos cada pedido. Se algo não bate certo, bloqueamos ou alertamos antes que se torne um problema.

Limites de velocidade

Detetamos picos anómalos de pedidos da mesma conta, IP ou chave API. Os limiares configuráveis ativam bloqueios temporários e alertam a equipa de segurança.

Padrões suspeitos

Analisamos os fluxos para identificar comportamentos anómalos: testes sequenciais, volumes invulgares, incoerências geográficas. Os pedidos sinalizados são bloqueados de acordo com a sua política.

Monitorização 24/7

A nossa equipa de segurança vigia erros, latência e acessos aos dados. Se algo se desviar do normal, intervimos em poucos minutos.

Controlos externos

Também nos auditam externamente

Não nos limitamos às auditorias PCI: testes de penetração e análises regulares por terceiros verificam que o vault permanece sólido.

01

Testes de penetração

Duas vezes por ano, empresas acreditadas simulam ataques sobre a rede e a API. Cada problema encontrado é corrigido e verificado novamente.

02

Gestão de vulnerabilidades

Análises internas semanais em todos os componentes. As vulnerabilidades críticas são resolvidas com prazos definidos: as mais graves em menos de 24 horas.

03

Relatório SOC 2 Type II

Todos os anos, auditores independentes verificam segurança, disponibilidade e confidencialidade. A pedido com NDA, partilhamos o relatório com os clientes.

04

Desenvolvimento seguro

Cada alteração no código passa por revisão e testes automatizados. Antes de tocar no vault, avaliamos os riscos de forma estruturada.

Se acontecer algo

Resposta a incidentes

Esperamos que nunca seja necessário. Mas se ocorrer um evento de segurança, detetamo-lo, contemo-lo e mantemo-lo informado com total transparência.

24/7
Monitorização

Sempre ativos

Registos e alertas correlacionados em tempo real sobre toda a infraestrutura

<15m
Deteção

Primeira intervenção

Classificamos a gravidade e iniciamos a contenção em menos de 15 minutos

<72h
Comunicação

Avisamos

Se necessário, notificamos em menos de 72 horas conforme exigido pelo RGPD e PCI

Depois
Melhoria

Análise e correção

Post-mortem com ações corretivas para evitar recorrências

Disponibilidade: 99,95% de uptime com failover automático. Um incidente em produção é escalado à equipa sénior em menos de 5 minutos.

99,95% uptime
Certificações

Normas que cumprimos

PCI DSS, ISO 27001, ISO 9001, SOC 2, RGPD, DORA e hardware certificado: não são simples rótulos, são controlos verificados todos os anos.

PCI DSS L1

Nível máximo PCI

FIPS 140-2 L3

Hardware HSM certificado

SOC 2 Type II

Controlos verificados

RGPD

Dados apenas na UE

ISO 27001

Segurança da informação

ISO 9001

Gestão da qualidade

DORA

Resiliência operacional

Auditoria PCI anual

Relatório de conformidade completo

Análises trimestrais

Vulnerabilidades externas

Pen tests semestrais

Terceiros acreditados

Quer saber como protegemos os seus pagamentos?

Nós gerimos o vault PCI. Integra a API e trabalha com tokens. Menos risco, menos burocracia, os mesmos pagamentos.