Ir para o conteúdo principal
Certyneo

Segurança e conformidade

A confiança está no centro da Certyneo. Esta página descreve exatamente o que está hoje implementado na nossa infraestrutura e na nossa aplicação.

Última atualização .

Sécurité Certyneo — infrastructure et chiffrement

Em conformidade com o eIDAS

As nossas assinaturas simples (SES) e avançadas (AES com OTP e-mail + SMS) cumprem o Regulamento eIDAS da União Europeia.

Cifra TLS 1.3

Todas as comunicações cliente-servidor estão protegidas por TLS 1.3 através do nosso reverse proxy (certificados Let's Encrypt autorrenovados).

Alojamento em França

A aplicação, a base de dados PostgreSQL e o armazenamento de objetos estão alojados na nossa própria infraestrutura em França (IONOS).

Registo de auditoria das assinaturas

Cada ação (abertura, OTP, assinatura, recusa, expiração) é registada com selo temporal e armazenada. É integrado um rodapé de auditoria no PDF assinado.

Autenticação do signatário

Para o nível avançado (AES): duplo OTP e-mail + SMS (OTP SMS). Para o início de sessão do remetente: e-mail + palavra-passe, Google, Microsoft Entra.

RGPD

Cumprimento do Regulamento Geral de Proteção de Dados: direito de acesso, retificação e supressão, registo das atividades de tratamento.

Conformidade regulamentar

A Certyneo cumpre os regulamentos europeus aplicáveis à assinatura eletrónica e à proteção de dados pessoais.

eIDAS

Assinaturas SES e AES

Assinatura eletrónica simples (SES) por omissão. Assinatura eletrónica avançada (AES) com OTP e-mail + SMS para um maior valor probatório nos termos do Regulamento (UE) n.º 910/2014.

RGPD

Proteção de dados

Cumprimento do Regulamento (UE) 2016/679. Dados alojados na União Europeia, períodos de conservação documentados, registo das atividades de tratamento e DPA disponível mediante pedido.

As nossas práticas de segurança

Estas são as medidas concretas implementadas em produção.

  • Cifra TLS 1.3 para todas as comunicações HTTP (Caddy 2, Let's Encrypt)
  • Hashing com scrypt (com salt e comparação timing-safe) para as palavras-passe de utilizador
  • Tokens de verificação de e-mail e de reposição de palavra-passe de utilização única, com expiração em 1 h
  • OTP (OTP SMS) para a assinatura avançada, validade curta, utilização única
  • Rate limiting aplicacional (Redis) por plano nos endpoints sensíveis
  • Armazenamento de objetos compatível com S3 com versionamento ativo nos documentos
  • Registo de auditoria com selo temporal em cada etapa do ciclo de vida de um envelope
  • Registo de auditoria com data e hora de cada etapa do ciclo de vida de um envelope

Pronto para assinar com segurança?

5 envelopes gratuitos por mês, sem cartão bancário. Conformidade eIDAS e RGPD incluídas.

Começar gratuitamenteSolicitar uma demonstração

Security roadmap

Our upcoming milestones to strengthen trust and compliance.

  • Q4 2026

    ISO 27001 audit

    Planeado

    ISO 27001 certification audit planned with an accredited body.

  • 2027

    SOC 2 Type II

    Planeado

    SOC 2 Type II report covering security, availability and confidentiality.

Responsible disclosure

Found a vulnerability? Please contact us responsibly before any public disclosure. We acknowledge receipt within 48 business hours.

[email protected]

Data Processing Agreement

Our DPA details Certyneo's obligations as a data processor under the GDPR, including technical and organisational measures.

Download DPA (PDF)

Perguntas frequentes sobre segurança Certyneo

Onde estão alojados os dados Certyneo?
Todos os dados estão alojados exclusivamente na Alemanha (IONOS SE, Frankfurt), na União Europeia. Nenhuma replicação ou subcontratação para servidores fora da UE é efetuada.
Certyneo está sujeito ao Cloud Act americano?
Não. Certyneo é uma entidade francesa (SAS de direito francês), não sujeita à extraterritorialidade do Cloud Act americano. Contrariamente a DocuSign, Adobe Sign ou Dropbox Sign (empresas americanas), as autoridades americanas não podem forçar Certyneo a divulgar os seus dados.
O Certyneo está em conformidade com o RGPD?
Sim. O Certyneo está em conformidade com o RGPD: alojamento na UE, encriptação TLS 1.3 em trânsito e AES-256 em repouso, DPA disponível (artigo 28.º do RGPD), período de retenção limitado e documentado, direito de acesso e eliminação respeitados.
Como os documentos assinados são protegidos contra falsificação?
Cada documento assinado é protegido por um selo criptográfico (hash SHA-256) inscrito numa pista de auditoria datada. Qualquer modificação do documento após assinatura invalida o selo e é detectada imediatamente. A pista de auditoria é conservada durante 10 anos.
O Certyneo tem um DPA (Data Processing Agreement)?
Sim. O Certyneo oferece um DPA em conformidade com o artigo 28.º do RGPD, disponível e assinável eletronicamente a partir do seu painel de controlo ou mediante pedido. Detalha os subcontratantes, as medidas técnicas e organizacionais (TOMs) e os direitos dos titulares de dados.

Aprofunde o seu conhecimento

Aprofunde a sua compreensão do quadro regulamentar e dos níveis de assinatura.