Acordo de tratamento de dados
Modelo DPA padrão para cada escola cliente. Define papéis (responsável, subcontratante), finalidades de tratamento, períodos de conservação, política de eliminação.
Segurança
Proteção de dados pessoais.
A segurança não é uma escolha.
Os alunos fazem exames. Os professores gerem as notas.
É da nossa responsabilidade que esta informação fique acessível
apenas a quem deve aceder a ela.
GDPR
conformidade total
Encriptadas
ligações em todo o lado
24h
arquivos de cópia
100%
registo de auditoria
Arquitetura
Proteção em camadas, do dispositivo à base de dados
01
O que vê
Aplicação ou navegador. Ligação encriptada desde o momento em que abre.
02
A ligação entre si e nós
Protegida com protocolos modernos. Ninguém no caminho consegue ler a comunicação.
03
Antes de chegar ao servidor
Limites de pedidos, cabeçalhos de segurança, filtros. Primeira linha contra ataques automatizados.
04
Quem vê o quê
Uma sessão ativa de cada vez, controlo de papéis, isolamento por escola.
05
O que acontece
Aplicação das regras de negócio, verificações para cada ação, auditoria de operações sensíveis.
06
Onde vivem os dados
Base de dados protegida num ambiente isolado. Os serviços têm apenas os direitos necessários. Cópias de segurança diárias.
GDPR
Transparência e controlo
A conformidade com o GDPR está integrada no design. A exportação e a eliminação são ferramentas na aplicação — diretamente acessíveis, sem formulários e sem esperas.
Direito de acesso
O utilizador vê que dados guardamos sobre ele — nomes, e-mail, notas, exames, ficheiros. Transparente, em exportação JSON. (GDPR art. 15.º)
Exportação de dados pessoais
Exportação com um clique na aplicação. Formato JSON — legível por humanos e programas. Sem formulários, sem e-mail para o suporte. (GDPR art. 15.º + 20.º)
Informação minimizada
Não recolhemos dados desnecessários. Sem rastreio, sem impressões digitais de dispositivos, sem comportamento publicitário. Só o necessário para o funcionamento do exame.
Pedido de eliminação
O utilizador inicia a eliminação da conta a partir das definições. O pedido passa por uma breve aprovação para fins de auditoria. Após aprovação — eliminação completa em cascata de todos os dados pessoais. (GDPR art. 17.º)
Notificação de incidente
Em caso de violação de segurança — no prazo de 72 horas notificamos as escolas afetadas com detalhes: o que aconteceu, que dados foram afetados, que medidas tomámos. (GDPR art. 33.º)
Defesa ativa
Segurança em tempo real
Ligações encriptadas em todo o lado
Todo o tráfego é encriptado com protocolos modernos. As versões mais antigas estão desativadas. Os certificados renovam-se automaticamente 30 dias antes do vencimento.
Limites contra tráfego excessivo
Cada tipo de pedido — API principal, ficheiros, gestão — tem limites separados. Proteção contra ataques automatizados e carga excessiva.
Uma sessão ativa
Numa nova autenticação do mesmo utilizador, todas as sessões anteriores são terminadas automaticamente. Proteção contra acessos partilhados.
Isolamento por escola
Os dados de uma escola não são visíveis para outra, mesmo para um administrador. Os pedidos são restringidos ao nível da base de dados — é impossível, acidental ou intencionalmente, ver alunos, notas ou exames de outras escolas.
Transparência para tudo o que importa
Cada ação sensível é registada — quem a fez, quando, sobre o quê. O diretor da escola vê o histórico de tudo dentro da escola. Os registos não são apagados.
Processos isolados
A base de dados, a cache e a aplicação funcionam como utilizadores separados sem direitos desnecessários. Cada serviço tem acesso apenas ao que precisa.
Segurança no exame
Proteção do ambiente de exame
Bloqueio por IP
Opcional: a escola pode bloquear os seus exames apenas aos endereços IP da sua própria rede. O aluno não pode fazer o exame a partir de casa, mesmo com sessão iniciada.
Monitorização em tempo real
O professor acompanha a atividade dos alunos durante o exame — quem está ativo, quem parou de trabalhar, quem terminou.
Reenvio seguro
A submissão do exame está protegida contra duplicações. Mesmo quando a rede obriga o cliente a repetir várias vezes, as respostas chegam ao servidor apenas uma vez.
Submissão automática ao expirar
Quando o tempo expira, as respostas são submetidas automaticamente. Não há possibilidade de continuar para além do prazo definido.
Ficheiros de exame protegidos
As imagens e PDFs nos exames abrem-se apenas a partir da aplicação com identificação de sessão. Um link partilhado em chat ou navegador não funciona fora da sessão. Os links têm uma duração limitada.
Registo de cada violação
Mudança de janela, cópia, abertura de novo separador — tudo é registado. O professor vê as violações imediatamente no registo do exame.
Cópias de segurança
Processo de recuperação testado
Periodicamente restauramos os dados num ambiente separado e verificamos a sua integridade — para sabermos que o procedimento funciona quando é necessário e que as nossas cópias não são uma ilusão de segurança.
- Cópia de segurança diária da base de dados
- Histórico de 30 dias
- Recuperação de dados críticos
- Cópia de segurança antes de cada implantação em produção
- Opcional: cópia de segurança externa numa localização separada
Requisitos específicos?
Entre em contacto para uma análise detalhada da segurança ou para um modelo DPA.
Contacte-nos