preloader

Segurança

Last Edited : May 25, 2026

A segurança não é um módulo — é uma decisão de arquitectura. Esta página descreve a forma como a SolidSoft protege os dados dos seus clientes em todas as aplicações.

A segurança das aplicações SolidSoft é tratada como uma responsabilidade contínua, com revisões regulares e melhorias incrementais. Esta página resume os princípios que orientam essas decisões e as capacidades que decorrem deles.

1. Princípios

  • Defesa em profundidade — várias camadas independentes de protecção (rede, aplicação, dados), de forma a que a falha de uma não comprometa as restantes.
  • Menor privilégio — cada utilizador, integração e componente tem apenas o acesso estritamente necessário.
  • Isolamento entre clientes — os dados de cada cliente vivem em ambientes separados, sem partilha de esquema nem de credenciais.
  • Transparência operacional — quando algo não corre como esperado, o registo está disponível para auditoria interna e para o próprio cliente.

2. Isolamento entre Clientes

Cada cliente acede exclusivamente aos seus próprios dados. O modelo de isolamento varia consoante a aplicação — algumas mantêm base de dados dedicada por cliente, outras aplicam segregação rigorosa ao nível da aplicação — mas o princípio é o mesmo: nenhuma consulta atravessa fronteiras de cliente, e as credenciais de acesso a sistemas internos não estão expostas à aplicação cliente.

3. Autenticação e Sessão

  • Autenticação por token assinado com expiração obrigatória e validação de assinatura em todos os endpoints.
  • Autenticação em 2 passos (2FA) disponível, com canais alternativos (aplicação autenticadora, email, SMS) consoante o produto.
  • Políticas de password com requisitos mínimos de complexidade e armazenamento protegido por técnicas criptográficas modernas e irreversíveis.
  • Recuperação de acesso por canais verificados e nunca por divulgação de credenciais existentes.

4. Comunicações

Todas as comunicações entre a aplicação cliente, o backend e os portais (cliente, fornecedor, técnico) ocorrem exclusivamente em HTTPS com TLS moderno. Não existe endpoint de produção exposto em HTTP simples.

5. Operação

  • Backups encriptados e armazenados em localização separada da produção.
  • Registos de acesso e operação preservados por períodos compatíveis com a investigação de incidentes.
  • Monitorização contínua de erros, latência e padrões anómalos.
  • Atualizações de segurança aplicadas em janela curta após divulgação.

6. Divulgação Responsável

Se identificar uma vulnerabilidade num dos nossos produtos, contacte-nos por email para security@solidsoft.pt. Comprometemo-nos a responder no prazo de 5 dias úteis e a manter o investigador informado do progresso da resolução. Pedimos que não divulgue publicamente o problema até termos tido oportunidade de o corrigir.

7. Limitações

Esta página descreve a postura de segurança da SolidSoft em traços gerais. Para questões específicas de conformidade (RGPD, contratos de processamento de dados, certificações), por favor contacte-nos directamente — respondemos a questionários de fornecedor e fornecemos documentação adicional sob NDA.