Como protegemos os teus dados
O Zeimu oferece encriptação client-side opcional para os teus dados fiscais. Quando activada, os dados são encriptados no browser antes de chegarem aos nossos servidores — e a nossa equipa não os consegue ler.
Encriptação client-side (opcional)
Quando activas a encriptação nas definições, toda a encriptação e desencriptação dos teus dados fiscais acontece exclusivamente no teu browser, antes de qualquer comunicação com os nossos servidores. A nossa equipa não tem acesso à chave nem ao conteúdo.
Por defeito (sem encriptação activada), os dados ficam armazenados em texto simples na base de dados Supabase na UE, protegidos por Row Level Security — apenas a tua conta tem acesso. A encriptação client-side acrescenta uma camada adicional para quem pretende que nem a equipa Zeimu possa aceder ao conteúdo.
Fluxo de dados
- 1Introduzes a tua palavra-passe de encriptação no browser
- 2O browser deriva uma chave KEK via PBKDF2-SHA256 (600 000 iterações)
- 3A KEK desencripta a DEK (Data Encryption Key) armazenada no servidor
- 4A DEK encripta/desencripta os teus dados com AES-256-GCM
- 5Só o ciphertext encriptado é transmitido e armazenado
Especificações técnicas
Onde ficam os dados
Toda a informação do Zeimu é armazenada na infraestrutura da Supabase, na região eu-central-1 (Frankfurt, Alemanha). Os teus dados nunca saem da União Europeia.
Fornecedor
Supabase
Região
Frankfurt, EU
Encriptação em repouso
AES-256 (Supabase)
Encriptação em trânsito
TLS 1.3
Autenticação com Google
Quando clicas em "Continuar com Google", o fluxo é gerido pela Supabase através do protocolo padrão OAuth 2.0 / OpenID Connect. Eis o que acontece:
- 1accounts.google.comConfirmas a tua identidade directamente com o Google
- 2supabase.coO Google devolve um token ao Supabase (fornecedor de autenticação)
- 3O Zeimu recebe apenas o teu email e nome público do Google
- 4A tua palavra-passe Google nunca é partilhada nem armazenada pelo Zeimu
O URL supabase.co que vês na barra de endereço durante o login com Google é o callback do nosso fornecedor de autenticação. É o comportamento normal e esperado de qualquer aplicação que use Supabase Auth.
O que a equipa Zeimu pode ver
- Endereço de email
- Data de criação de conta e último acesso
- Plano de subscrição (gratuito / Power User)
- NIF e dados de identificação fiscalEncriptado
- Rendimentos e retenções na fonteEncriptado
- Deduções e despesasEncriptado
- Conteúdo das declarações IRSEncriptado
- Chave de encriptaçãoEncriptado
Os itens marcados como "Encriptado" aplicam-se quando a encriptação client-side está activada nas definições da conta. Sem encriptação activada, os dados ficam em texto simples na base de dados, acessíveis apenas pela tua conta via Row Level Security.
Headers de segurança HTTP
O Zeimu implementa os seguintes headers de segurança em todas as respostas:
Questões de segurança? seguranca@zeimu.pt