A Verdaio opera em infraestrutura alojada na UE, processa o mínimo de dados necessário e documenta abaixo cada subcontratante, controlo e compromisso. Se a sua equipa de procurement precisar de algo, estará provavelmente aqui. Caso contrário, escreva-nos para privacy@verdaio.ai.
Questionários estruturados recolhem dados empresariais ao nível da empresa: setor, dimensão, políticas e práticas. Não são necessários dados pessoais sensíveis.
As suas respostas são enviadas ao Claude (da Anthropic, alojado no Amazon Bedrock na UE) para análise. O processamento é efémero: os inputs não são armazenados pela Verdaio e não são utilizados para treino de modelos.
Um relatório de compliance estruturado é gerado e um link seguro de download é enviado para o seu email. Os relatórios são armazenados temporariamente (até 48 horas) para download e depois automaticamente eliminados.
Dados do formulário submetidos por ligação encriptada TLS 1.2+.
Lambda serverless processa o seu pedido em eu-west-1. Sem servidores persistentes.
Modelo Claude alojado em eu-west-1. Processamento efémero. Sem dados armazenados. Sem treino de modelos.
Link seguro de download enviado por email. Relatório eliminado automaticamente após 48 horas.
Toda a infraestrutura opera em AWS eu-west-1 (Irlanda) e Supabase eu-central-2 (Suíça). Os seus dados ficam na UE.
TLS 1.2+ para todos os dados em trânsito. Encriptação AES-256 em repouso. Row-Level Security em todas as tabelas da base de dados.
Os inputs de avaliação são processados e descartados. Os relatórios gerados por IA são armazenados temporariamente (até 48 horas) para download e depois automaticamente eliminados.
Utilizamos o Plausible Analytics, uma ferramenta de analítica de código aberto alojada na UE que não utiliza cookies e não recolhe dados pessoais. Nenhuma informação de analítica é armazenada no seu dispositivo.
Todos os relatórios gerados por IA divulgam claramente que são produzidos por IA (Claude da Anthropic, alojado na UE via Amazon Bedrock) e não constituem aconselhamento jurídico. Conforme com o Art. 50.º da Lei IA da UE.
Privacidade desde a concepção. Minimização de dados. DPAs com todos os subcontratantes. Avaliação de Impacto de Transferência documentada para todas as transferências fora do EEE.
Cada categoria de dados que tratamos, o fornecedor que a aloja, a região onde reside, e durante quanto tempo é retida. Para a versão autoritativa consulte o nosso ROPA.
| Categoria de dados | Fornecedor | Região | Conservação |
|---|---|---|---|
| Autenticação de conta (email, palavra-passe em hash) | Supabase | Zurique (Suíça, adequação UE) | Até eliminação da conta |
| Registos de subscrição e compras avulsas | Supabase | Zurique (Suíça, adequação UE) | Até eliminação; vínculo à fatura retido 10 anos (lei fiscal PT) |
| Relatórios gerados por IA | AWS S3 | Irlanda (UE) | 48 horas, depois eliminados automaticamente |
| Logs de acesso ao servidor | AWS CloudWatch | Irlanda (UE) | 90 dias (segurança) |
| Logs de acesso da CDN | AWS CloudFront | N/A | Não capturados (minimização de dados, desde 2026-04-10) |
| Email transacional (links de relatório, notificações) | Brevo (Sendinblue SAS) | França + Alemanha + GCP Bélgica (UE) | 100 dias (padrão Brevo) |
| Faturas e notas de crédito | InvoiceXpress | Portugal (UE) | 10 anos (CIRC Art. 123.º, DL 28/2019) |
| Registos de pagamentos | Stripe | Irlanda (UE, primária) + Estados Unidos (CCT + DPF) | Conforme política de conservação da Stripe |
| Analítica web (sem cookies, agregada) | Plausible | Estónia (UE) | Agregada indefinidamente; sem dados individuais |
| Caixa de entrada do responsável (privacy@, support@, legal@) | Google Workspace | Estados Unidos (CCT + DPF) | Conforme definições da caixa |
O mapa completo de categorias de dados e fundamentos legais consta do nosso Registo Interno de Atividades de Tratamento (Art. 30.º RGPD), disponível à autoridade de controlo e a clientes qualificados, mediante pedido por email para privacy@verdaio.ai.
Os relatórios da Verdaio são gerados por um modelo de IA. Porque vendemos compliance, documentamos a camada de IA com o mesmo rigor que exigimos das empresas que avaliamos.
| Fornecedor | Finalidade | Localização |
|---|---|---|
| Amazon Web Services | Alojamento, computação, análise de conformidade com IA (Amazon Bedrock, modelo Claude) | Irlanda (UE) |
| Supabase | Base de dados e autenticação | Suíça (adequação UE) |
| Stripe | Processamento de pagamentos | Irlanda (UE, primária) + Estados Unidos (CCT + DPF) |
| Brevo (Sendinblue SAS) | Email transacional | França (UE) |
| Google Workspace | Alojamento de caixas de entrada do responsável pelo tratamento (email @verdaio.ai) | Estados Unidos (CCT + DPF) |
| Plausible | Analítica com privacidade | Estónia (UE) |
| InvoiceXpress | Geração de faturas | Portugal (UE) |
Para detalhes jurídicos completos, consulte o nosso Adendo de Tratamento de Dados.
| Categoria | Duração | Fundamento legal |
|---|---|---|
| Contas de utilizador | Até eliminação | Contrato (Art. 6.º(1)(b)) |
| Relatórios gerados por IA | 48 horas, depois eliminados automaticamente | Contrato + minimização (Art. 5.º(1)(e)) |
| Inputs de avaliação | Não retidos (processamento efémero) | Minimização de dados (Art. 5.º(1)(c)) |
| Faturas e notas de crédito | 10 anos | Obrigação legal (CIRC Art. 123.º, DL 28/2019) |
| Logs de acesso ao servidor (CloudWatch) | 90 dias | Interesse legítimo (Considerando 49, segurança) |
| Logs de email transacional (Brevo) | 100 dias | Padrão do subcontratante; interesse legítimo (entregabilidade) |
| Analítica web | Agregada indefinidamente; sem dados individuais | Não é dado pessoal |
| Registos de consentimento | Até eliminação da conta + 3 anos | Responsabilização (Art. 7.º(1)) |
| Registos de notificação de violações | 3 anos | Responsabilização (Art. 33.º(5)) |
Política completa na Política de Privacidade §7. Procedimento interno de conservação documentado em DATA-RETENTION-POLICY e disponível sob NDA.
| Área | Estado |
|---|---|
| Encarregado de Proteção de Dados | Não exigido ao abrigo do Art. 37.º do RGPD (não somos uma autoridade pública, não efetuamos monitorização sistemática em larga escala, não tratamos categorias especiais de dados em larga escala). Análise documentada no nosso ROPA e disponível mediante pedido. |
| Avaliação de Impacto sobre a Proteção de Dados | Análise de necessidade concluída ao abrigo do Art. 35.º(3) do RGPD; não é exigida uma DPIA no âmbito atual. Análise documentada na nossa avaliação de necessidade de DPIA e disponível mediante pedido. |
| Resposta a incidentes | Notificação à CNPD no prazo de 72 horas ao abrigo do Art. 33.º do RGPD. Clientes empresariais notificados no prazo de 48 horas ao abrigo do nosso DPA. Runbook completo mantido internamente e disponível sob NDA para due diligence empresarial. |
Para acesso a qualquer um dos artefactos acima, envie um email para privacy@verdaio.ai.
Não houve incidentes.
Se alguma vez ocorrer uma violação qualificável, publicaremos uma análise detalhada nesta página no prazo de 72 horas após notificação à CNPD ao abrigo do Art. 33.º do RGPD. Clientes empresariais são notificados no prazo de 48 horas conforme o nosso DPA, com ou sem notificação à CNPD.
A Verdaio é um SaaS europeu operado por uma única pessoa. Não temos atualmente certificação ISO 27001 ou SOC 2; nesta dimensão o custo operacional ultrapassa o benefício face a um pacote de controlos documentado. As nossas Medidas Técnicas e Organizativas (TOMs) ao abrigo do Art. 32.º do RGPD estão totalmente documentadas e disponíveis sob NDA para due diligence empresarial.