Política de Segurança da Informação
Como a Zynvio protege a informação que lhe confia: princípios e controlos alinhados com as normas ISO/IEC 27001 e ISO/IEC 27701, e as medidas técnicas e organizativas exigidas pelo artigo 32.º do RGPD.
Versão 1.1 — Última atualização: 11 de julho de 2026 · PIXELARIS S.L.
Encriptação em trânsito e em repouso
Comunicações protegidas com TLS/SSL e dados armazenados encriptados com AES-256. Palavras-passe com funções hash com salt.
Controlo de acesso granular
Princípio do privilégio mínimo, controlo baseado em funções e permissões granulares em toda a plataforma.
Isolamento multiempresa
Arquitetura multi-tenant com separação lógica dos dados de cada empresa.
Auditoria e rastreabilidade
Registo de auditoria com rastreabilidade das operações: quem fez o quê e quando.
Cópias de segurança
Cópias de segurança periódicas orientadas para a disponibilidade e recuperação da informação.
Alojamento na UE
Infraestrutura alojada na União Europeia, com fornecedores selecionados com garantias adequadas.
Quadro normativo e de referência
A Zynvio aplica os princípios e controlos destas normas e regulamentos como quadro de trabalho. Esta política não constitui uma declaração de certificação ao abrigo das normas ISO/IEC 27001 ou ISO/IEC 27701.
Texto integral da política
1. Objetivo e âmbito
A presente Política de Segurança da Informação descreve os princípios e as medidas com que a Zynvio, plataforma operada pela PIXELARIS S.L., protege a informação que trata, incluindo a informação dos seus clientes e utilizadores. Esta política aplica-se a:
- A plataforma Zynvio (app.zynvio.com) e o site corporativo.
- Todo o pessoal com acesso aos sistemas ou à informação.
- Os processos de desenvolvimento, operação e suporte do serviço.
2. Objetivos de segurança
O sistema de gestão da segurança visa garantir quatro propriedades da informação:
- Confidencialidade: apenas acede à informação quem está autorizado.
- Integridade: a informação é exata e completa, e qualquer modificação é detetável.
- Disponibilidade: a informação e o serviço estão acessíveis quando necessários, com cópias de segurança que suportam a recuperação.
- Rastreabilidade: as operações ficam registadas, permitindo verificar quem fez o quê e quando.
3. Quadro de referência
O nosso sistema de gestão da segurança da informação baseia-se nos princípios e controlos da norma ISO/IEC 27001, e a gestão da informação de caráter pessoal está alinhada com as diretrizes da ISO/IEC 27701 (extensão para a gestão da privacidade). Aplicamos igualmente as medidas técnicas e organizativas exigidas pelo artigo 32.º do Regulamento (UE) 2016/679 (RGPD) e pela LOPDGDD espanhola.
Esta política é uma declaração de princípios e práticas de segurança; não constitui uma declaração de certificação ao abrigo dessas normas.
4. Governação e compromisso da Direção
A Direção da PIXELARIS S.L. assume o compromisso com a segurança da informação e é responsável por:
- Aprovar esta política e revê-la periodicamente.
- Atribuir as responsabilidades em matéria de segurança.
- Disponibilizar os recursos necessários para o seu cumprimento.
- Promover a melhoria contínua do sistema de gestão.
5. Gestão de riscos
Avaliamos periodicamente os riscos que afetam a confidencialidade, a integridade e a disponibilidade da informação, bem como a eficácia das medidas de segurança implementadas. As medidas são ajustadas quando mudam os riscos, a tecnologia ou o contexto do serviço.
6. Controlo de acessos
O acesso à informação é gerido de acordo com os seguintes princípios:
- Princípio do privilégio mínimo no acesso aos dados.
- Controlo de acesso baseado em funções e permissões granulares.
- Isolamento lógico de dados entre empresas (arquitetura multi-tenant).
- Tokens de sessão gerados criptograficamente.
7. Encriptação e proteção de dados
Aplicamos encriptação para proteger a informação em todos os seus estados:
- Encriptação de dados em trânsito através de TLS/SSL.
- Encriptação de dados em repouso através de AES-256.
- Armazenamento de palavras-passe através de funções hash com salt.
- Proteção encriptada de certificados eletrónicos e credenciais sensíveis.
8. Segurança no desenvolvimento e na operação
O desenvolvimento e a operação da plataforma incorporam medidas de segurança desde a conceção:
- Prevenção de injeção SQL através de consultas parametrizadas.
- Validação e sanitização dos ficheiros carregados.
- Proteção contra ataques automatizados.
- Registo de auditoria com rastreabilidade das operações.
9. Integridade dos registos de faturação (VERI*FACTU)
Como sistema informático de faturação que opera em modo VERI*FACTU, a Zynvio garante a integridade, conservação, rastreabilidade e inalterabilidade dos registos de faturação:
- Cada registo incorpora uma impressão digital SHA-256 encadeada com a do registo anterior, formando uma cadeia verificável.
- Os registos são remetidos de forma contínua à agência tributária espanhola (AEAT).
- Cada fatura inclui um código QR verificável.
- Nenhum registo pode ser modificado ou eliminado sem que o sistema o detete; as correções são efetuadas através de novos registos que conservam os originais.
10. Cópias de segurança e continuidade
Realizamos cópias de segurança periódicas destinadas a garantir a disponibilidade e a recuperação da informação em caso de incidentes.
11. Gestão de incidentes e notificação de violações
Dispomos de procedimentos de gestão de incidentes de segurança. Quando um incidente constitui uma violação de dados pessoais, atuamos em conformidade com os artigos 33.º e 34.º do RGPD e com a nossa Política de Privacidade:
- Como responsável pelo tratamento: notificação à autoridade de controlo espanhola (AEPD) no prazo máximo de 72 horas quando exista risco para os direitos e liberdades dos titulares e, se o risco for elevado, comunicação direta aos afetados.
- Como subcontratante: notificação ao cliente (responsável) sem demora injustificada, fornecendo a informação necessária para que possa cumprir as suas próprias obrigações de notificação.
12. Privacidade desde a conceção
Em linha com a ISO/IEC 27701, a gestão da informação pessoal integra-se no sistema de segurança de acordo com os princípios de privacidade desde a conceção e por defeito:
- Funções diferenciadas de responsável pelo tratamento e subcontratante, conforme descrito na Política de Privacidade.
- Acordo de tratamento de dados (DPA) com os clientes da plataforma.
- Gestão de subcontratantes ulteriores com garantias equivalentes.
- Minimização dos dados e limitação da finalidade.
13. Pessoal
Todo o pessoal está sujeito a obrigações de confidencialidade, acede à informação segundo o princípio do privilégio mínimo e aplica esta política no desempenho das suas funções.
14. Fornecedores e alojamento
Os fornecedores que participam na prestação do serviço são selecionados exigindo garantias adequadas de segurança e proteção de dados. A infraestrutura da Zynvio está alojada na União Europeia.
15. Revisão e melhoria contínua
Esta política é revista periodicamente e atualizada quando mudam os riscos, a tecnologia ou os requisitos legais aplicáveis. A versão publicada nesta página é a que se encontra em vigor.
16. Contacto e comunicação de vulnerabilidades
Se detetar uma vulnerabilidade ou um problema de segurança relacionado com a Zynvio, ou tiver qualquer questão sobre esta política, escreva-nos para: