Saltar para o conteúdo

3 meses grátis · novos clientes

Ver planos
Conformidade e segurança

Política de Segurança da Informação

Como a Zynvio protege a informação que lhe confia: princípios e controlos alinhados com as normas ISO/IEC 27001 e ISO/IEC 27701, e as medidas técnicas e organizativas exigidas pelo artigo 32.º do RGPD.

Versão 1.1 — Última atualização: 11 de julho de 2026 · PIXELARIS S.L.

Encriptação em trânsito e em repouso

Comunicações protegidas com TLS/SSL e dados armazenados encriptados com AES-256. Palavras-passe com funções hash com salt.

Controlo de acesso granular

Princípio do privilégio mínimo, controlo baseado em funções e permissões granulares em toda a plataforma.

Isolamento multiempresa

Arquitetura multi-tenant com separação lógica dos dados de cada empresa.

Auditoria e rastreabilidade

Registo de auditoria com rastreabilidade das operações: quem fez o quê e quando.

Cópias de segurança

Cópias de segurança periódicas orientadas para a disponibilidade e recuperação da informação.

Alojamento na UE

Infraestrutura alojada na União Europeia, com fornecedores selecionados com garantias adequadas.

Quadro normativo e de referência

ISO/IEC 27001
ISO/IEC 27701
RGPD
LOPDGDD
LSSI-CE
VERI*FACTU

A Zynvio aplica os princípios e controlos destas normas e regulamentos como quadro de trabalho. Esta política não constitui uma declaração de certificação ao abrigo das normas ISO/IEC 27001 ou ISO/IEC 27701.

Texto integral da política

1. Objetivo e âmbito

A presente Política de Segurança da Informação descreve os princípios e as medidas com que a Zynvio, plataforma operada pela PIXELARIS S.L., protege a informação que trata, incluindo a informação dos seus clientes e utilizadores. Esta política aplica-se a:

  • A plataforma Zynvio (app.zynvio.com) e o site corporativo.
  • Todo o pessoal com acesso aos sistemas ou à informação.
  • Os processos de desenvolvimento, operação e suporte do serviço.

2. Objetivos de segurança

O sistema de gestão da segurança visa garantir quatro propriedades da informação:

  • Confidencialidade: apenas acede à informação quem está autorizado.
  • Integridade: a informação é exata e completa, e qualquer modificação é detetável.
  • Disponibilidade: a informação e o serviço estão acessíveis quando necessários, com cópias de segurança que suportam a recuperação.
  • Rastreabilidade: as operações ficam registadas, permitindo verificar quem fez o quê e quando.

3. Quadro de referência

O nosso sistema de gestão da segurança da informação baseia-se nos princípios e controlos da norma ISO/IEC 27001, e a gestão da informação de caráter pessoal está alinhada com as diretrizes da ISO/IEC 27701 (extensão para a gestão da privacidade). Aplicamos igualmente as medidas técnicas e organizativas exigidas pelo artigo 32.º do Regulamento (UE) 2016/679 (RGPD) e pela LOPDGDD espanhola.

Esta política é uma declaração de princípios e práticas de segurança; não constitui uma declaração de certificação ao abrigo dessas normas.

4. Governação e compromisso da Direção

A Direção da PIXELARIS S.L. assume o compromisso com a segurança da informação e é responsável por:

  • Aprovar esta política e revê-la periodicamente.
  • Atribuir as responsabilidades em matéria de segurança.
  • Disponibilizar os recursos necessários para o seu cumprimento.
  • Promover a melhoria contínua do sistema de gestão.

5. Gestão de riscos

Avaliamos periodicamente os riscos que afetam a confidencialidade, a integridade e a disponibilidade da informação, bem como a eficácia das medidas de segurança implementadas. As medidas são ajustadas quando mudam os riscos, a tecnologia ou o contexto do serviço.

6. Controlo de acessos

O acesso à informação é gerido de acordo com os seguintes princípios:

  • Princípio do privilégio mínimo no acesso aos dados.
  • Controlo de acesso baseado em funções e permissões granulares.
  • Isolamento lógico de dados entre empresas (arquitetura multi-tenant).
  • Tokens de sessão gerados criptograficamente.

7. Encriptação e proteção de dados

Aplicamos encriptação para proteger a informação em todos os seus estados:

  • Encriptação de dados em trânsito através de TLS/SSL.
  • Encriptação de dados em repouso através de AES-256.
  • Armazenamento de palavras-passe através de funções hash com salt.
  • Proteção encriptada de certificados eletrónicos e credenciais sensíveis.

8. Segurança no desenvolvimento e na operação

O desenvolvimento e a operação da plataforma incorporam medidas de segurança desde a conceção:

  • Prevenção de injeção SQL através de consultas parametrizadas.
  • Validação e sanitização dos ficheiros carregados.
  • Proteção contra ataques automatizados.
  • Registo de auditoria com rastreabilidade das operações.

9. Integridade dos registos de faturação (VERI*FACTU)

Como sistema informático de faturação que opera em modo VERI*FACTU, a Zynvio garante a integridade, conservação, rastreabilidade e inalterabilidade dos registos de faturação:

  • Cada registo incorpora uma impressão digital SHA-256 encadeada com a do registo anterior, formando uma cadeia verificável.
  • Os registos são remetidos de forma contínua à agência tributária espanhola (AEAT).
  • Cada fatura inclui um código QR verificável.
  • Nenhum registo pode ser modificado ou eliminado sem que o sistema o detete; as correções são efetuadas através de novos registos que conservam os originais.

10. Cópias de segurança e continuidade

Realizamos cópias de segurança periódicas destinadas a garantir a disponibilidade e a recuperação da informação em caso de incidentes.

11. Gestão de incidentes e notificação de violações

Dispomos de procedimentos de gestão de incidentes de segurança. Quando um incidente constitui uma violação de dados pessoais, atuamos em conformidade com os artigos 33.º e 34.º do RGPD e com a nossa Política de Privacidade:

  • Como responsável pelo tratamento: notificação à autoridade de controlo espanhola (AEPD) no prazo máximo de 72 horas quando exista risco para os direitos e liberdades dos titulares e, se o risco for elevado, comunicação direta aos afetados.
  • Como subcontratante: notificação ao cliente (responsável) sem demora injustificada, fornecendo a informação necessária para que possa cumprir as suas próprias obrigações de notificação.

12. Privacidade desde a conceção

Em linha com a ISO/IEC 27701, a gestão da informação pessoal integra-se no sistema de segurança de acordo com os princípios de privacidade desde a conceção e por defeito:

  • Funções diferenciadas de responsável pelo tratamento e subcontratante, conforme descrito na Política de Privacidade.
  • Acordo de tratamento de dados (DPA) com os clientes da plataforma.
  • Gestão de subcontratantes ulteriores com garantias equivalentes.
  • Minimização dos dados e limitação da finalidade.

13. Pessoal

Todo o pessoal está sujeito a obrigações de confidencialidade, acede à informação segundo o princípio do privilégio mínimo e aplica esta política no desempenho das suas funções.

14. Fornecedores e alojamento

Os fornecedores que participam na prestação do serviço são selecionados exigindo garantias adequadas de segurança e proteção de dados. A infraestrutura da Zynvio está alojada na União Europeia.

15. Revisão e melhoria contínua

Esta política é revista periodicamente e atualizada quando mudam os riscos, a tecnologia ou os requisitos legais aplicáveis. A versão publicada nesta página é a que se encontra em vigor.

16. Contacto e comunicação de vulnerabilidades

Se detetar uma vulnerabilidade ou um problema de segurança relacionado com a Zynvio, ou tiver qualquer questão sobre esta política, escreva-nos para:

privacy@zynvio.comAgradecemos a comunicação responsável de vulnerabilidades e analisamos todas as comunicações recebidas.