Segurança e privacidade

Segurança real, sem teatro.

Construímos o LinkVerse.Work com a noção de que confiança não se pede — demonstra-se. Aqui mostramos exatamente o que fazemos para proteger os teus dados, e o que ainda não fazemos.

Não pedimos que confies em nós. Mostramos como a confiança está construída — camada a camada, decisão a decisão.

Camadas de proteção

Seis pilares que sustentam a plataforma

Cada um destes está implementado e ativo agora, hoje, em produção.

Comunicação encriptada

Todo o tráfego entre o teu browser e o LinkVerse.Work passa por TLS 1.3 com forward secrecy. As versões inseguras estão desativadas no servidor.

TLS 1.3

Hashing de palavras-passe

As tuas passwords nunca são armazenadas em texto. Usamos bcrypt — algoritmo padrão da indústria, recomendado pelo OWASP — com sal aleatório por utilizador.

argon2id

Autenticação em dois fatores

Suporte a TOTP via Google Authenticator, Authy ou 1Password. Compatível com qualquer app que siga o standard RFC 6238.

RFC 6238

Login social via OAuth

Integração nativa com Google, Microsoft, GitHub, Discord, Facebook e LinkedIn. Nunca recebemos a tua password — só o token autorizado.

OAuth 2.0

Defesa contra OWASP Top 10

Tokens CSRF em todos os formulários, escape automático contra XSS, queries parametrizadas contra SQLi, headers de segurança adequados.

CSRF · XSS · SQLi

Dados em PostgreSQL

Base de dados PostgreSQL 16 com encriptação em repouso, backups diários encriptados e separação de papéis para limitar acessos.

PostgreSQL · Backups
Arquitetura

Como os teus dados viajam

Cada conexão entre componentes é encriptada e autenticada. O teu pedido passa por estas camadas:

O teu browser
TLS 1.3
Cloudflare Edge WAF + DDoS
WAF · DDoS
App LinkVerse.Work PHP-FPM · Nginx
Internal TLS
Base de dados PostgreSQL 16
Nenhum dado pessoal sai da União Europeia. Todos os servidores estão alojados em datacenters certificados ISO 27001 dentro da UE.
Os nossos compromissos

O que prometemos — e cumprimos

Zero tracking de terceiros

Não usamos Google Analytics, Facebook Pixel ou afins. Não vendemos dados. Pagas com dinheiro, nunca com a tua atenção.

Os teus dados são teus

Direito de acesso, retificação, portabilidade e apagamento — sempre, dois cliques. Conforme RGPD desde o primeiro dia.

Apagamento real

Quando apagas a tua conta, é mesmo. Sem "soft delete" eterno. Os dados desaparecem dos backups dentro de 30 dias.

Hospedagem na UE

Servidores em datacenters europeus. Os teus dados não atravessam o Atlântico nem ficam sujeitos ao CLOUD Act.

O que ainda não temos — e admitimos

Trabalhamos para qualidade de produção, não para parecer mais do que somos. Aqui está o que ainda não conseguimos prometer:

  • Certificação SOC 2 ou ISO 27001 (ainda não passámos pela auditoria — está no roadmap).
  • SLA de 99,9% contratual (ainda não temos historico operacional suficiente para garantir).
  • SSO empresarial (SAML, SCIM) — disponível para clientes Enterprise quando o tier abrir.

Quando estes pontos mudarem, atualizamos esta página. Não antes.

Divulgação responsável

Encontraste uma vulnerabilidade?

Agradecemos a quem nos ajuda a melhorar. Tratamos cada reporte com seriedade e respondemos em menos de 48 horas.

01

Reporta em privado

Envia um email para [email protected] com a descrição técnica, passos para reproduzir e impacto estimado. Não publiques antes do fix.

02

Confirmamos em 48h

Recebes acknowledgment com janela estimada de correção. Nas vulnerabilidades graves, agimos em horas.

03

Coordenamos a divulgação

Após o fix, podes publicar a descoberta. Damos crédito público se assim quiseres — sempre com o teu acordo.

[email protected] PGP disponível por pedido

Confiança construída em código.

Cria a tua conta. Vê os controlos de privacidade. Decide tu se faz sentido.

Criar conta Estado dos sistemas