Trust Center

Segurança e Confiança

A Agentive trata conversas com clientes finais, incluindo dados sensíveis em clínicas. Esta página descreve em concreto como protegemos esses dados, que subcontratantes usamos, como respondemos a incidentes e em que estamos a investir no próximo ano.

Última actualização: 22 de abril de 2026

Infraestrutura

Hosting e redes

Marketing e aplicação servidos por Vercel (edge global com pontos de presença na UE). Serviços auxiliares (integração WhatsApp Business API, cron-worker) em Railway. Base de dados Postgres em região UE (Neon, driver HTTP serverless). Armazenamento de ficheiros em Vercel Blob. Isolamento multi-tenant ao nível da camada de aplicação, com segregação de ambientes (dev / staging / production).

Cifragem

Em trânsito: TLS 1.3 em todas as ligações, incluindo chamadas a fornecedores de IA. Em repouso: AES-256 em base de dados e em backups. Gestão de chaves através do KMS do cloud provider, com rotação anual.

Controlo de acesso

Princípio do menor privilégio. MFA obrigatório para toda a equipa interna. Acesso produção auditável, com janelas de tempo limitadas para intervenções. Revisão trimestral de permissões.

Modelos de IA · privacidade

Stack multi-provider: OpenAI e Anthropic (Claude) via API, Mistral (sedeada na UE) e Cerebras (inferência rápida para personalização de campanhas). A selecção por agente e por tarefa depende de qualidade, latência e custo. Contratos com opt-out de training activo em todos, as conversas dos seus clientes não alimentam modelos. Agentes específicos podem usar a chave API do próprio cliente, em cujo caso os dados ficam abrangidos pelo contrato entre esse cliente e o fornecedor.

Lista nominal de subcontratantes, país de processamento e mecanismo de transferência em /sub-processadores. Transferências para os EUA cobertas por EU-US Data Privacy Framework + Cláusulas Contratuais Tipo (SCCs) como redundância.

Conformidade

  • RGPD / Lei 58/2019, DPO nomeado, registo de actividades, DPIA formal antes de clientes clínicos, notificação de violações à CNPD em 72h.
  • AI Act (Regulamento (UE) 2024/1689), disclosure de IA no início de cada interacção (art. 50.º), aplicável desde 2 de Agosto de 2026.
  • Lei 41/2004 / ePrivacy, gravação de chamadas com aviso prévio, opt-in granular para cookies não essenciais.
  • Roadmap 2026, SOC 2 Type I no 3º trimestre, ISO 27001 em planeamento para 2027.

Resposta a incidentes

Playbook escrito com responsabilidades, cadeia de notificação e SLAs. Violações comunicadas ao cliente em 48h após conhecimento (via DPA) e à CNPD em 72h quando aplicável. Post-mortem público em resumo, com causa raiz e acções correctivas.

Reporte responsável de vulnerabilidades

Agradecemos a comunicação privada e responsável de vulnerabilidades. Envie para security@agentive.pt com detalhes técnicos suficientes para reproduzir. Triamos em até 48h e comunicamos o plano de correcção. Não processamos pedidos de bounty, mas reconhecemos formalmente quem reporta (se autorizar).

Continuidade de negócio

Backups diários com retenção de 30 dias e backups semanais com retenção de 90 dias. RPO target 24h, RTO target 4h. Testes de recuperação trimestrais. Dependências críticas redundantes quando o provider o permite.

Documentos relacionados