O FlexiSurvey aplica controlos em camadas para separar os dados dos clientes, proteger campos sensíveis, governar o acesso e preservar um registo operacional. Esta página declara o estado atual dos controlos e da garantia; documentos detalhados estão disponíveis para revisões qualificadas.

O isolamento de inquilinos é imposto na aplicação e por políticas de segurança ao nível da linha do PostgreSQL em tabelas delimitadas por inquilino, pelo que uma consulta que omita o filtro de inquilino continua a não devolver dados de outro inquilino. Está disponível uma nota de arquitetura datada para revisões qualificadas.
Os dados são encriptados em trânsito (TLS) e em repouso através da encriptação de armazenamento gerida pela AWS que cobre a base de dados e o repositório de ficheiros, e os dispositivos móveis usam encriptação do dispositivo (AES-256-GCM). Os dados de cada inquilino estão ainda isolados por segurança ao nível da linha aplicada na base de dados.
O início de sessão suporta palavras-passe com autenticação de dois fatores TOTP, início de sessão social Google e Microsoft, e início de sessão único empresarial SAML 2.0 com configuração de fornecedor de identidade por inquilino. Os administradores podem aplicar permissões baseadas em funções, controlos de sessão e listas de IP permitidos.
As ações administrativas e de dados importantes são registadas num registo de auditoria com retenção configurável. Os administradores controlam quem pode ver e exportar registos, e as próprias decisões de permissão são registadas.
O FlexiSurvey suporta registos de consentimento, pedidos de acesso e de apagamento por parte do titular dos dados, retenção e eliminação configuráveis, e cópias de segurança encriptadas. As funcionalidades de narrativa por IA enviam apenas valores desidentificados e pré-agregados ao fornecedor do modelo, nunca linhas de resposta brutas.
O FlexiSurvey está alojado na Amazon Web Services nos Estados Unidos (us-east-1), uma única região, com cópias de segurança encriptadas automatizadas e recuperação para um ponto no tempo.
Estado atual dos controlos e da garantia. Documentos detalhados estão disponíveis sob NDA para revisões qualificadas.
| Área | Estado atual | Evidências disponíveis |
|---|---|---|
| SOC 2 | Controlos alinhados com SOC 2 com monitorização interna contínua; sem atestação de terceiros Type II neste momento | Mapeamento de controlos mediante pedido |
| Testes de penetração | Contacte a nossa equipa de segurança para saber o estado atual | Resumo executivo sob NDA quando disponível |
| GDPR | Medidas contratuais e operacionais, não uma certificação | DPA, aviso de privacidade, apoio a registos de tratamento |
| Acessibilidade | Construído segundo as diretrizes WCAG 2.1 AA com verificações de acessibilidade automatizadas em CI; ainda sem VPAT independente | Declaração de acessibilidade mediante pedido |
| Cópia de segurança e recuperação | Cópias de segurança encriptadas automatizadas com recuperação para um ponto no tempo | Resumo de cópia de segurança e recuperação mediante pedido |
| Isolamento de inquilinos | Imposto na aplicação e por segurança ao nível da linha do PostgreSQL em tabelas delimitadas por inquilino | Nota de arquitetura mediante pedido |
Encontrou um potencial problema de segurança? Envie um e-mail à nossa equipa de segurança e iremos confirmar a receção do seu relatório e trabalhar consigo numa resolução.
support@spancorp.netPara aquisição ou revisão de segurança, contacte-nos para obter o mapeamento de controlos atual, informações sobre o tratamento de dados e as evidências disponíveis sob NDA.