Segurança e Privacidade
no ISMS Copilot
Desenvolvemos ferramentas de conformidade para profissionais de segurança. A segurança dos seus dados não é apenas uma funcionalidade — é a nossa base.
Conformidade total com o RGPD com DPA disponível
Residência completa de dados UE com Proteção Avançada
Fornecedores de infraestrutura (AWS, Supabase) possuem atestações SOC 2 Type II
Práticas de Segurança
Como protegemos os seus dados de conformidade
Encriptação em trânsito
Todas as ligações seguras com TLS 1.3. Nenhum dado não encriptado sai do seu navegador.
Encriptação em repouso
Encriptação AES-256 para todos os dados armazenados. Base de dados e armazenamento encriptados por defeito.
Segurança ao nível da linha
Isolamento de acessos ao nível da base de dados. Os utilizadores só podem aceder aos seus próprios dados.
Centro de dados UE
Infraestrutura principal alojada em Frankfurt, Alemanha (AWS EU-Central-1). Os dados permanecem na UE.
Infraestrutura SOC 2 Type II
Baseada em Supabase e AWS, ambos com atestação SOC 2 Type II. Segurança empresarial por defeito.
Sem treino de IA
Os seus dados nunca são usados para treinar modelos de IA. Todos os fornecedores de IA estão contratualmente vinculados.
Redação de DPP
A redação integrada de dados pessoais remove automaticamente informações sensíveis antes de chegarem aos fornecedores de IA.
Residência dos Dados
Escolha onde os seus dados são processados
Modo Padrão
- Base de dadosEUUE (Frankfurt)
- ArmazenamentoEUUE (Frankfurt)
- Processamento IAUSAnthropic Claude (direto) e OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (allowlist + ZDR)
- Retenção IA30 dias
- Moderação de conteúdoEUMistral AI
- Failover IAEUMistral AI (UE)
- Garantias de dadosCláusulas Contratuais Tipo
Proteção Avançada de Dados
- Base de dadosEUUE (Frankfurt)
- ArmazenamentoEUUE (Frankfurt)
- Processamento IAEUApenas Mistral AI
- Retenção IASem retenção
- Moderação de conteúdoEUMistral AI
- Failover IAEUMistral AI (UE)
- Transferências EUAEliminadas
A base de dados e o armazenamento de ficheiros estão sempre alojados na UE (Frankfurt, Alemanha), independentemente do modo selecionado.
Os metadados de moderação são retidos por 12 meses para revisão de segurança (sem conteúdo de mensagem). Os tópicos com mensagens sinalizadas são bloqueados contra eliminação pelo utilizador. Consulte DPA §2.8.
Os endereços de e-mail são processados pela SendGrid e Kit (EUA) com Cláusulas Contratuais Tipo em todos os modos.
Subprocessadores
Serviços de terceiros que processam dados em nosso nome
| Serviço | Finalidade | Localização | Retenção |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the four allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Integrações ativadas pelo cliente
Ativas para os seus dados apenas quando a sua organização as instala.
| Serviço | Finalidade | Localização | Retenção |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Última atualização: abril 2026 · Aviso prévio de 30 dias antes de adicionar novos subprocessadores. As integrações ativadas pelo cliente não estão sujeitas a esta regra porque nenhum dado flui até que a sua organização as instale explicitamente.
Conteúdo de terceiros
Conteúdo de código aberto e Creative Commons incorporado na plataforma, com atribuição aos mantenedores originais.
Skill Revisão de relatório SOC 2
Adapta o SOC 2 Reliability Rubric mantido pelo SOC 2 Quality Guild. A taxonomia de 11 sinais e os pilares Structure / Substance / Source provêm do rubric do Guild; o fluxo conversacional, os veredictos e a scorecard são a adaptação deste projeto. Em conformidade com CC BY-SA 4.0 §3(b)(1), esta adaptação é também publicada sob CC BY-SA 4.0.
Documentos Legais
Documentação de transparência disponível para consulta
Acordo de Tratamento de Dados
DPA conforme o artigo 28.º do RGPD
Política de Privacidade
Como recolhemos, usamos e protegemos os seus dados
Termos de Serviço
Termos que regem a utilização do ISMS Copilot
Registo de Atividades de Tratamento
RoPA completo de todas as operações de tratamento
Conformidade da propriedade intelectual
Como adquirimos as normas, protegemos os direitos de PI na nossa orientação de IA e creditamos os conteúdos de terceiros
Registo de alterações dos documentos legais
Resumo cumulativo das revisões dos nossos documentos legais