Política de Privacidade

Última atualização: fevereiro de 2026

1. Quem Somos

O YourInfoSec ("nós", "nos", "nosso") opera o website yourinfosec.com. Fornecemos ferramentas gratuitas de avaliação de cibersegurança concebidas para ajudar indivíduos e organizações a compreender e melhorar a sua postura de segurança.

Para efeitos do Regulamento Geral sobre a Proteção de Dados (RGPD), o YourInfoSec é o responsável pelo tratamento dos seus dados pessoais.

2. Dados que Recolhemos

Dados da Avaliação (Utilizadores Anónimos)

Quando realiza a nossa avaliação de cibersegurança sem conta, as suas respostas são processadas inteiramente no seu navegador. Não transmitimos, recolhemos nem armazenamos as suas respostas em nenhum servidor. Os seus dados permanecem no seu dispositivo e são eliminados quando fecha o separador do navegador.

Dados da Avaliação (Utilizadores Registados)

Se criar uma conta e estiver autenticado, as suas respostas, pontuações e resultados são armazenados nos nossos servidores para que possa acompanhar o seu progresso ao longo do tempo. Pode visualizar, exportar ou eliminar todos os dados de avaliação armazenados a qualquer momento a partir da sua página de perfil.

Dados da Conta

Quando cria uma conta, recolhemos:

  • Endereço de email — usado para login, verificação da conta e recuperação de palavra-passe. Verificamos o seu email antes de ativar a conta.
  • Nome (opcional) — usado para personalização dentro da plataforma.
  • Palavra-passe — armazenada como hash criptográfico usando PBKDF2-SHA256 com 100.000 iterações e um salt aleatório único por conta. Nunca armazenamos palavras-passe em texto simples e não conseguimos recuperar a sua palavra-passe.
  • Preferência de idioma — o idioma escolhido (inglês ou português).

Lista de Espera para Empresas

Se se inscrever na nossa lista de espera para funcionalidades empresariais, recolhemos o seu endereço de email exclusivamente para o notificar quando essas funcionalidades estiverem disponíveis. Pode cancelar a subscrição a qualquer momento.

Dados Recolhidos Automaticamente

Quando visita o nosso website, podemos recolher automaticamente:

  • Endereço IP — usado para limitação de pedidos e segurança (proteção contra ataques de força bruta). Os endereços IP não são armazenados a longo prazo.
  • Dados de utilização — através do Google Analytics, recolhemos dados de utilização anonimizados, como páginas visitadas, tempo no site e tipo de dispositivo. Consulte a secção 6 para mais detalhes.

Cookies e Armazenamento Local

Utilizamos cookies essenciais para autenticação e segurança, e armazenamento local para dados temporários. Não utilizamos cookies de publicidade ou rastreamento. Consulte a nossa Política de Cookies para todos os detalhes.

3. Base Legal para o Tratamento (RGPD)

Tratamos os seus dados pessoais com base nas seguintes bases legais ao abrigo do Artigo 6.º do RGPD:

  • Consentimento (Art. 6.º(1)(a)) — para cookies de análise opcionais e a lista de espera empresarial.
  • Execução de um contrato (Art. 6.º(1)(b)) — para fornecer o serviço de avaliação, gerir a sua conta e guardar os seus resultados quando se regista.
  • Interesses legítimos (Art. 6.º(1)(f)) — para medidas de segurança (limitação de pedidos, registos de auditoria, prevenção de fraude) e melhoria do serviço. Equilibramos os nossos interesses com os seus direitos e liberdades.

4. Como Usamos os Seus Dados

  • Para fornecer e operar o serviço de avaliação de cibersegurança
  • Para criar e gerir a sua conta
  • Para autenticá-lo e manter as suas sessões seguras
  • Para guardar o seu histórico de avaliações e mostrar o progresso ao longo do tempo
  • Para enviar emails transacionais (verificação de conta, recuperação de palavra-passe)
  • Para notificar os subscritores da lista de espera empresarial quando as funcionalidades forem lançadas
  • Para proteger contra abuso, fraude e ameaças de segurança
  • Para analisar padrões de utilização agregados e anonimizados para melhorar o nosso serviço

Não vendemos, alugamos nem partilhamos os seus dados pessoais com terceiros para fins de marketing ou publicidade. Não realizamos perfilagem ou tomada de decisões automatizada que produza efeitos legais.

5. Armazenamento e Segurança dos Dados

Levamos a segurança dos seus dados a sério e implementamos múltiplas camadas de proteção:

  • Encriptação em trânsito — todas as comunicações utilizam TLS 1.2+ (HTTPS).
  • Encriptação em repouso — os dados armazenados na nossa base de dados são encriptados em repouso.
  • Hash de palavras-passe — as palavras-passe são transformadas com PBKDF2-SHA256 (100.000 iterações) usando um salt aleatório único por conta. Não conseguimos ler a sua palavra-passe.
  • Tokens seguros — os tokens de autenticação são armazenados como cookies httpOnly, Secure, com SameSite=Strict para prevenir ataques cross-site. Os tokens são transformados em hash antes do armazenamento.
  • Bloqueio de conta — as contas são temporariamente bloqueadas após 5 tentativas de login falhadas para prevenir ataques de força bruta.
  • Proteção CSRF — todos os pedidos que alteram estado são protegidos contra falsificação de pedidos cross-site.
  • Limitação de pedidos — os endpoints da API são limitados para prevenir abuso.

Os dados de avaliação anónimos são processados e armazenados localmente no seu navegador (sessionStorage). Nunca são transmitidos para os nossos servidores.

6. Serviços de Terceiros

Utilizamos um número limitado de serviços de terceiros para operar o YourInfoSec:

ServiçoFinalidadeDados PartilhadosPolítica de Privacidade
Cloudflare Alojamento, CDN, base de dados e proteção DDoS Endereço IP, dados do pedido Política de Privacidade da Cloudflare
Google Analytics Análise anonimizada de utilização do website Páginas visitadas, tipo de dispositivo, país (sem identificadores pessoais) Política de Privacidade da Google
Resend Entrega de emails transacionais Endereço de email (apenas para emails de verificação e recuperação de palavra-passe) Política de Privacidade da Resend

Não utilizamos plataformas de publicidade, rastreadores de redes sociais ou intermediários de dados.

7. Transferências Internacionais de Dados

Os seus dados podem ser processados em países fora do Espaço Económico Europeu (EEE) através dos nossos prestadores de serviços terceiros (Cloudflare e Google). Estas transferências são protegidas por:

  • Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia
  • A conformidade dos prestadores de serviços com os quadros de proteção de dados aplicáveis

8. Retenção de Dados

Retemos os seus dados apenas durante o tempo necessário para cumprir os fins descritos nesta política:

  • Dados da conta — mantidos até eliminar a sua conta.
  • Histórico de avaliações — mantido até eliminar a sua conta.
  • Tokens de verificação de email — expiram e são eliminados automaticamente após 24 horas.
  • Tokens de recuperação de palavra-passe — expiram e são eliminados automaticamente após 1 hora.
  • Tokens de sessão (refresh) — expiram automaticamente após 30 dias.
  • Registos de auditoria — mantidos durante 90 dias para fins de segurança, depois permanentemente eliminados.
  • Lista de espera empresarial — mantida até cancelar a subscrição ou a funcionalidade ser lançada.

9. Eliminação da Conta

Pode eliminar a sua conta e todos os dados associados a qualquer momento a partir da sua página de perfil. Quando elimina a sua conta:

  • Todos os dados pessoais são permanente e irreversivelmente eliminados
  • Todo o histórico e resultados de avaliações são removidos
  • Todos os tokens de autenticação e sessões são invalidados
  • Os registos de auditoria são anonimizados

A eliminação é imediata. Não mantemos cópias de segurança de contas eliminadas.

10. Os Seus Direitos (RGPD)

Se estiver localizado no Espaço Económico Europeu (EEE), tem os seguintes direitos ao abrigo do RGPD:

  • Direito de acesso (Art. 15.º) — solicitar uma cópia dos dados pessoais que temos sobre si.
  • Direito de retificação (Art. 16.º) — solicitar a correção de dados inexatos ou incompletos.
  • Direito ao apagamento (Art. 17.º) — solicitar a eliminação dos seus dados, ou eliminar a sua conta diretamente a partir do seu perfil.
  • Direito à limitação do tratamento (Art. 18.º) — solicitar que limitemos o tratamento dos seus dados em determinadas circunstâncias.
  • Direito à portabilidade dos dados (Art. 20.º) — receber os seus dados num formato estruturado e legível por máquina.
  • Direito de oposição (Art. 21.º) — opor-se ao tratamento baseado em interesses legítimos.
  • Direito de retirar o consentimento (Art. 7.º(3)) — retirar o consentimento a qualquer momento quando o tratamento se baseia no consentimento.

Para exercer qualquer destes direitos, contacte-nos através do email abaixo. Responderemos no prazo de 30 dias.

Tem também o direito de apresentar uma reclamação junto da sua autoridade local de proteção de dados. Em Portugal, trata-se da Comissão Nacional de Proteção de Dados (CNPD)www.cnpd.pt.

11. Privacidade de Menores

O YourInfoSec não se destina a menores de 16 anos. Não recolhemos conscientemente dados pessoais de crianças. Se acreditar que um menor de 16 anos nos forneceu dados pessoais, contacte-nos e eliminaremos prontamente essa informação.

12. Contacto

Para quaisquer questões, pedidos ou preocupações relacionados com privacidade, contacte-nos em:

Email: privacy [at] yourinfosec.com

13. Alterações a Esta Política

Podemos atualizar esta política de privacidade periodicamente para refletir alterações nas nossas práticas ou requisitos legais. Quando fizermos alterações significativas:

  • Atualizaremos a data de "Última atualização" no topo desta página
  • Notificaremos os utilizadores registados por email para alterações materiais

Encorajamos a revisão periódica desta página.