Segurança

FIPS 140-2 Level 3, eIDAS, RGPD e servidores na UE — a base técnica que garante que cada comunicação DUO é segura, legal e verificável.

Criptografia de Grau Militar

Hardware Security Modules (HSM) Thales certificados FIPS 140-2 Level 3. As chaves criptográficas nunca saem do hardware — o mesmo nível do Banco Central Europeu.

Validade Legal Europeia

Certificados qualificados eIDAS emitidos por Asseco e Multicert — inscritas na EU Trust List. Validade jurídica em Portugal e nos 27 EM da UE.

Encriptação de Ponta a Ponta

TLS 1.3 em trânsito e AES-256 em repouso — os standards mais recentes. Todos os dados processados e armazenados em servidores na União Europeia.

Conformidade Total

RGPD, DPA disponível para assinatura imediata, gestão automática de opt-out e auditoria completa de todas as ações na plataforma.

Stack de Segurança DUO
Infraestrutura

O mesmo nível de segurança dos bancos centrais europeus

A infraestrutura DUO foi construída de raiz com segurança como requisito — não como funcionalidade. Cada camada foi escolhida para cumprir os requisitos mais exigentes do setor financeiro e público.

  • HSMs Thales certificados FIPS 140-2 Level 3 — o standard mais exigente disponível
  • Chaves criptográficas que nunca saem do hardware — impossível de comprometer remotamente
  • Redundância geográfica em múltiplos data centers na UE
  • SLA de 99,9% de disponibilidade garantida
  • Monitorização de segurança 24/7/365 com resposta a incidentes em menos de 1 hora
  • Auditorias de segurança independentes realizadas regularmente
Conformidade Legal

Juridicamente sólido em Portugal e na UE

O DUO foi construído para cumprir os requisitos legais mais exigentes — não apenas os mínimos. Cada funcionalidade foi validada juridicamente antes de ser disponibilizada.

  • Certificados qualificados eIDAS com validade em 27 países da UE
  • Equivalência legal ao correio registado com AR (DL 12/2021)
  • Não repúdio — o remetente não pode negar que enviou a mensagem
  • Integridade do conteúdo garantida por hash SHA-256
  • Arquivo com validade legal de 10 anos
  • Verificação pública de certificados disponível para tribunais e auditores

Admissível em Tribunal

Os certificados DUO REGISTADO são admissíveis como prova em processos judiciais em Portugal e em todos os 27 EM da UE — com o mesmo valor que o correio registado físico.

Verificação Pública

Qualquer pessoa — incluindo tribunais, auditores e reguladores — pode verificar a autenticidade de um certificado DUO através do portal de verificação público.

Auditoria em Segundos

Arquivo pesquisável por UUID, destinatário, data ou assunto. O que antes demorava horas a encontrar, demora agora segundos. Pronto para qualquer inspeção regulatória.

Proteção de Dados

RGPD e privacidade. Por design, não por obrigação.

A proteção de dados foi integrada na arquitetura DUO desde o primeiro dia — não acrescentada depois. Privacy by design, não privacy by compliance.

Dados na União Europeia

Todos os dados processados e armazenados em servidores localizados na UE — sem transferências para países terceiros sem base legal adequada.

DPA Disponível de Imediato

Data Processing Agreement disponível para assinatura imediata — sem negociações prolongadas. Conforme os requisitos do RGPD para processadores de dados.

Gestão Automática de Opt-out

Pedidos de cancelamento processados automaticamente e registados com timestamp — conformidade RGPD sem intervenção manual.

Controlo de Acesso Granular

RBAC (Role-Based Access Control) com permissões por utilizador, registo de auditoria de todas as ações e MFA obrigatório para acessos sensíveis.

Direito ao Esquecimento

Processos automatizados para cumprimento do direito ao apagamento — conformes com o Artigo 17.º do RGPD.

Portabilidade de Dados

Exportação de dados em formatos standard (CSV, JSON) — conforme o direito à portabilidade de dados do Artigo 20.º do RGPD.

FAQs

Perguntas frequentes

As dúvidas mais comuns dos equipas de segurança e compliance.

O que é o FIPS 140-2 Level 3 e porque é importante?

FIPS 140-2 Level 3 é o standard de certificação criptográfica mais exigente disponível — usado por bancos centrais, governos e forças armadas. Garante que as chaves criptográficas nunca saem do hardware (HSM) e que qualquer tentativa de acesso físico não autorizado destrói as chaves automaticamente.

Os dados dos nossos clientes ficam na União Europeia?

Sim. Todos os dados são processados e armazenados exclusivamente em servidores localizados na União Europeia. Não há transferências para países terceiros sem base legal adequada — conforme os requisitos do RGPD e da legislação portuguesa.

Quem são as entidades certificadoras e como são reconhecidas?

Os certificados são emitidos pela Asseco e pela Multicert — ambas inscritas na EU Trust List como prestadores qualificados de serviços de confiança, reconhecidas pelo Estado Português e pela Comissão Europeia. Os seus certificados têm o mesmo valor jurídico que os emitidos por notários.

O DUO tem um DPA (Data Processing Agreement) disponível?

Sim. O DPA está disponível para assinatura imediata — sem negociações prolongadas. Cobre todos os requisitos do RGPD para processadores de dados e pode ser assinado digitalmente.

Como é feita a gestão de acessos e permissões?

O DUO implementa RBAC (Role-Based Access Control) com permissões granulares por utilizador, MFA obrigatório para acessos sensíveis e registo de auditoria completo de todas as ações na plataforma — com timestamp e identificação do utilizador.

O que acontece em caso de incidente de segurança?

O DUO tem monitorização de segurança 24/7/365 com SLA de resposta a incidentes em menos de 1 hora. Em caso de incidente com impacto em dados pessoais, os clientes são notificados dentro dos prazos legais do RGPD (72 horas).

Precisas de mais detalhes técnicos sobre a nossa infraestrutura?

Fala com a nossa equipa de segurança — respondemos a qualquer questão técnica ou de compliance.

Falar com a equipa
Ver DUO Registado