A versão curta. A Astrolium encripta cada byte dos seus dados em repouso com AES-256 e em trânsito com TLS 1.3. As palavras-passe são hasheadas com Argon2id e nunca guardadas em texto simples. A autenticação de dois fatores está disponível em todos os níveis, incluindo gratuito. Os servidores estão em Frankfurt com uma réplica em Dublin. Não treinamos modelos de IA com os seus mapas. Consulte a política de privacidade para os dados que recolhemos, os termos de serviço para o enquadramento legal e a página de estado para a disponibilidade em tempo real.
1. Encriptação
- Em repouso — Todos os dados de clientes são encriptados ao nível do volume com AES-256. Os backups de base de dados são encriptados de forma independente com chaves separadas, rodadas a cada 90 dias.
- Em trânsito — Todas as ligações à Astrolium usam TLS 1.3 com HSTS preload. Não aceitamos TLS 1.0 ou 1.1, e o TLS 1.2 é rejeitado para novas sessões desde janeiro de 2026.
- Backups — Backups encriptados diários, conservados durante 30 dias, armazenados numa região separada (Dublin) da primária (Frankfurt). Após 30 dias são eliminados permanentemente e de forma verificável.
2. Autenticação
- As palavras-passe são hasheadas com Argon2id, configurado com o custo recomendado pela OWASP (memória: 64 MiB, iterações: 3, paralelismo: 4). Nunca vemos a sua palavra-passe em texto simples, nem a nossa base de dados. Um dump comprometido da tabela de utilizadores contém apenas hashes.
- A autenticação de dois fatores está disponível em todos os níveis — Gratuito, Pro, Adept e Master. Suportamos aplicações TOTP (Authy, 1Password, Google Authenticator) e chaves de segurança de hardware (WebAuthn).
- Os cookies de sessão são HttpOnly, Secure, SameSite=Lax e rodam a cada alteração de privilégio. As sessões expiram após 30 dias de inatividade.
- O SSO (Google Workspace, Microsoft 365, Okta) está disponível no nível Master.
3. Infraestrutura
- O frontend de marketing e o runtime de edge estão alojados na Vercel. O backend do produto e todos os dados de clientes correm na Hetzner Cloud na UE, em 2 regiões (primária em Frankfurt, réplica em Dublin).
- A aplicação está protegida pela Cloudflare para proteção DDoS e cache CDN de assets estáticos apenas — nenhum corpo de pedido é armazenado no edge da Cloudflare.
- O serviço de efemérides corre em containers de 1 vCPU, 2 réplicas por região. Consulte o artigo sobre engenharia do serviço de efemérides para os detalhes técnicos.
- Visamos 99,9% de disponibilidade; os valores reais de abril de 2026 foram 99,96%. O estado em tempo real está na página de estado.
4. Conformidade
- RGPD — A Astrolium aplica proteções equivalentes ao RGPD a nível global porque é mais simples e porque achamos que é o correto. Leia a política de privacidade para os seus direitos e como exercê-los.
- SOC 2 Tipo II — Auditoria em curso, data prevista de certificação no 3.º trimestre de 2026. Atualizações no roteiro.
- Testes de penetração — Teste de penetração anual por terceiros. O relatório de 2026 está resumido abaixo; o relatório completo está disponível sob NDA a pedido de clientes empresariais.
- Subprocessadores — Apenas subprocessadores nomeados: Vercel (alojamento do frontend), Hetzner (backend e alojamento de dados, UE), Stripe (pagamentos), Postmark (email transacional), OpenRouter (inferência de IA, modelos Google Gemini) e Cloudflare (CDN/DNS). Não adicionamos um subprocessador sem atualizar primeiro a política de privacidade.
5. Comunicar vulnerabilidades
Encontrou um problema de segurança? Envie email para security@astrolium.com. Respondemos em 24 horas, confirmamos em 72 horas e visamos publicar correções em 7 dias para problemas de alta gravidade. Pagamos recompensas por relatórios válidos — intervalos atuais:
- Crítico (tomada de conta, execução de código no servidor): $1.000–$5.000
- Alto (bypass de autenticação, exposição de dados sensíveis): $500–$2.000
- Médio (XSS, CSRF, IDOR): $100–$500
- Baixo (divulgação de informação, bypass de limite de taxa): até $100
Não temos um programa de bug bounty público; as submissões são por email. Não tomaremos ações legais contra investigadores que reportem de boa-fé e sigam a divulgação responsável padrão.
6. Propriedade e portabilidade dos dados
Os seus dados são seus. Nas definições de conta:
- Exporte todos os mapas como um único arquivo JSON a 1 clique
- Exporte mapas individuais em PDF, PNG ou SVG com metadados
- Elimine a sua conta permanentemente em 30 dias (incluindo backups)
- Corrija quaisquer dados que a Astrolium guarde sobre si
A Astrolium não o prende. O formato de exportação está documentado e é legível por humanos.
7. IA e aprendizagem automática
A Astrolium não treina modelos de IA com os seus mapas, o seu roster de clientes, as suas notas ou as suas interpretações. As funcionalidades assistidas por IA correm em modelos Google Gemini acedidos através do OpenRouter, que recebe apenas o mapa em que está ativamente a trabalhar, para inferência. Os seus dados de mapa nunca são utilizados para treinar qualquer modelo. A inferência é sem estado do nosso lado: sem registo, sem cache de inputs, sem treino.
8. Incidentes anteriores
A página de estado lista todos os incidentes dos últimos 90 dias com uma análise de causa raiz para qualquer um com duração superior a 30 minutos. À data desta página, nenhum incidente envolveu acesso não autorizado a dados de utilizadores. Se isso alguma vez acontecer, publicaremos a análise aqui e enviaremos email a todos os utilizadores afetados em 72 horas após a descoberta — bem dentro da janela de 72 horas de notificação de violação do RGPD.
Para a nossa postura de engenharia mais ampla, consulte o artigo sobre o serviço de efemérides. Para o enquadramento legal, consulte privacidade e termos. Para a disponibilidade, consulte estado. Para tudo o resto, security@astrolium.com.