§
Zeimu
Iniciar sessão
Segurança

Como protegemos os teus dados

O Zeimu oferece encriptação client-side opcional para os teus dados fiscais. Quando activada, os dados são encriptados no browser antes de chegarem aos nossos servidores — e a nossa equipa não os consegue ler.

Encriptação client-side (opcional)

Quando activas a encriptação nas definições, toda a encriptação e desencriptação dos teus dados fiscais acontece exclusivamente no teu browser, antes de qualquer comunicação com os nossos servidores. A nossa equipa não tem acesso à chave nem ao conteúdo.

Por defeito (sem encriptação activada), os dados ficam armazenados em texto simples na base de dados Supabase na UE, protegidos por Row Level Security — apenas a tua conta tem acesso. A encriptação client-side acrescenta uma camada adicional para quem pretende que nem a equipa Zeimu possa aceder ao conteúdo.

Fluxo de dados

  1. 1Introduzes a tua palavra-passe de encriptação no browser
  2. 2O browser deriva uma chave KEK via PBKDF2-SHA256 (600 000 iterações)
  3. 3A KEK desencripta a DEK (Data Encryption Key) armazenada no servidor
  4. 4A DEK encripta/desencripta os teus dados com AES-256-GCM
  5. 5Só o ciphertext encriptado é transmitido e armazenado

Especificações técnicas

Algoritmo de encriptaçãoAES-256-GCM
Derivação de chavesPBKDF2-SHA256
Iterações PBKDF2600 000
Tamanho da chave DEK256 bits
Vetor de inicialização (IV)96 bits aleatórios (CSPRNG)
API criptográficaWeb Crypto API (SubtleCrypto)
Chave de recuperação32 bytes aleatórios (256 bits)

Onde ficam os dados

Toda a informação do Zeimu é armazenada na infraestrutura da Supabase, na região eu-central-1 (Frankfurt, Alemanha). Os teus dados nunca saem da União Europeia.

Fornecedor

Supabase

Região

Frankfurt, EU

Encriptação em repouso

AES-256 (Supabase)

Encriptação em trânsito

TLS 1.3

Autenticação com Google

Quando clicas em "Continuar com Google", o fluxo é gerido pela Supabase através do protocolo padrão OAuth 2.0 / OpenID Connect. Eis o que acontece:

  1. 1accounts.google.comConfirmas a tua identidade directamente com o Google
  2. 2supabase.coO Google devolve um token ao Supabase (fornecedor de autenticação)
  3. 3O Zeimu recebe apenas o teu email e nome público do Google
  4. 4A tua palavra-passe Google nunca é partilhada nem armazenada pelo Zeimu

O URL supabase.co que vês na barra de endereço durante o login com Google é o callback do nosso fornecedor de autenticação. É o comportamento normal e esperado de qualquer aplicação que use Supabase Auth.

O que a equipa Zeimu pode ver

  • Endereço de email
  • Data de criação de conta e último acesso
  • Plano de subscrição (gratuito / Power User)
  • NIF e dados de identificação fiscalEncriptado
  • Rendimentos e retenções na fonteEncriptado
  • Deduções e despesasEncriptado
  • Conteúdo das declarações IRSEncriptado
  • Chave de encriptaçãoEncriptado

Os itens marcados como "Encriptado" aplicam-se quando a encriptação client-side está activada nas definições da conta. Sem encriptação activada, os dados ficam em texto simples na base de dados, acessíveis apenas pela tua conta via Row Level Security.

Headers de segurança HTTP

O Zeimu implementa os seguintes headers de segurança em todas as respostas:

Strict-Transport-SecurityForça HTTPS por 2 anos (HSTS preload)
X-Content-Type-OptionsPrevine MIME sniffing
X-Frame-OptionsBloqueia clickjacking (DENY)
Content-Security-PolicyRestringe fontes de scripts e recursos
Referrer-PolicyLimita informação no header Referer
Permissions-PolicyDesactiva câmara, microfone, geolocalização

Questões de segurança? seguranca@zeimu.pt