Política de Privacidade
Última atualização: 16 de abril de 2026 · Em vigor: 16 de abril de 2026
Esta é uma tradução informativa da versão inglesa. Em caso de divergência, prevalece a versão inglesa, juridicamente vinculativa.
A StenVault assenta numa arquitetura de encriptação zero-knowledge. Não podemos aceder, ler ou desencriptar os seus ficheiros, nomes de ficheiros ou conteúdos — mesmo que legalmente obrigados. As suas chaves de encriptação nunca saem do seu dispositivo.
1. Introdução
Esta Política de Privacidade explica como a StenVault (“nós”, “nosso”) recolhe, utiliza, armazena e protege os seus dados pessoais quando utiliza o nosso serviço de armazenamento na cloud encriptado ponta a ponta (“Serviço”). A StenVault é operada a partir de Portugal e está sujeita ao Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 (“RGPD”) e à legislação portuguesa de proteção de dados.
Esta política aborda igualmente os direitos ao abrigo da Lei Geral de Proteção de Dados brasileira (LGPD, Lei 13.709/2018) para utilizadores localizados no Brasil.
Esta Política de Privacidade complementa os nossos Termos de Serviço.
2. Responsável pelo Tratamento
O responsável pelo tratamento dos seus dados pessoais é:
Atualmente não temos um Encarregado de Proteção de Dados (DPO) formalmente nomeado. Para todas as questões relacionadas com privacidade, contacte-nos através do endereço de email acima. Nomearemos um DPO se e quando exigido pela legislação aplicável.
3. O Que Não Podemos Aceder (Zero-Knowledge)
Devido à nossa arquitetura de encriptação zero-knowledge, os seguintes dados são encriptados no seu dispositivo antes de serem transmitidos aos nossos servidores. Não temos os meios técnicos para aceder a:
- Os seus ficheiros e respetivos conteúdos
- Os seus nomes de ficheiros e nomes de pastas
- A sua Palavra-passe de encriptação
- As suas chaves de encriptação (Chave-mestra, chaves de ficheiro, chaves de pasta)
- Partes secretas da Recuperação por Círculo de Confiança (na posse dos seus contactos de confiança, não nossa)
Toda a encriptação utiliza AES-256-GCM para o conteúdo dos ficheiros, Argon2id para a derivação de chaves e criptografia híbrida pós-quântica (X25519 + ML-KEM-768) para a troca de chaves. Em nenhuma circunstância podemos desencriptar conteúdo encriptado ponta a ponta e divulgar cópias desencriptadas, mesmo que legalmente obrigados.
4. Dados Que Recolhemos
4.1 Dados da Conta
| Dados | Finalidade | Fundamento jurídico (RGPD) |
|---|---|---|
| Endereço de email | Identificação da conta, notificações, faturação | Execução do contrato (art. 6.º, n.º 1, al. b)) |
| Nome de apresentação | Apresentado em partilhas | Execução do contrato (art. 6.º, n.º 1, al. b)) |
| Registo OPAQUE | Autenticação zero-knowledge (a palavra-passe nunca sai do seu dispositivo) | Execução do contrato (art. 6.º, n.º 1, al. b)) |
| Blob encriptado da Chave-mestra | Encapsulamento de chave — não pode ser desencriptado sem a sua Palavra-passe de encriptação | Execução do contrato (art. 6.º, n.º 1, al. b)) |
| Plano e estado da subscrição | Prestação do serviço, acesso a funcionalidades | Execução do contrato (art. 6.º, n.º 1, al. b)) |
4.2 Dados de Faturação
O processamento de pagamentos é tratado integralmente pela Stripe. Não armazenamos o número completo do seu cartão de crédito. Podemos receber e armazenar:
- ID de cliente Stripe
- ID e estado da subscrição
- ID do método de pagamento Stripe (não armazenamos dados completos do cartão)
- País de faturação (para cálculo de IVA)
- PDFs de faturas arquivados durante 10 anos num bucket dedicado da Cloudflare R2 (obrigação da lei fiscal portuguesa: art. 52.º do CIVA e DL 28/2019)
Fundamento jurídico: Execução do contrato (art. 6.º, n.º 1, al. b)) e obrigação jurídica de cumprimento fiscal (art. 6.º, n.º 1, al. c)).
4.3 Dados Técnicos
| Dados | Finalidade | Conservação |
|---|---|---|
| Endereço IP (limitação de pedidos) | Prevenção de abuso, mitigação de DDoS | 24 horas (TTL do Redis) |
| Endereço IP (registos de auditoria) | Revisão de eventos de segurança (ativação opcional em Definições → Segurança → Histórico de Sessões, desativado por predefinição) | Até 180 dias quando ativado; não armazenado de todo quando desativado |
| Cadeia user-agent | Identificação de dispositivos, gestão de dispositivos de confiança | Até 90 dias após a última utilização (dispositivos de confiança); mesma regra de ativação opcional do IP para registos de auditoria |
| Metadados do dispositivo | Fluxo de aprovação de dispositivos, gestão de sessões | Até o dispositivo ser removido ou 90 dias após a última utilização |
Fundamento jurídico: Interesse legítimo na segurança do serviço e prevenção de fraude (art. 6.º, n.º 1, al. f)). Somos uma microempresa fora do âmbito da conservação obrigatória da NIS2, pelo que a conservação dos nossos registos de auditoria é escolhida para minimizar dados pessoais e não para cumprir um mínimo de segurança.
4.4 Estatísticas
Atualmente não utilizamos quaisquer ferramentas de análise estatística no Serviço. Quaisquer contagens agregadas de visualizações de página derivam apenas de registos de acesso ao servidor anonimizados e não estão associadas a utilizadores individuais.
Não é necessário consentimento, uma vez que não são tratados dados pessoais.
4.5 Metadados dos Ficheiros (Encriptados)
Armazenamos blobs encriptados que contêm os seus ficheiros. Os seguintes metadados estão associados a cada ficheiro, mas os nomes de ficheiros são encriptados e ilegíveis por nós:
- Tamanho do ficheiro (necessário para a aplicação de quotas)
- Data e hora do carregamento
- Identificador da versão de encriptação
- Tipo MIME (encriptado ou genérico “application/octet-stream”)
4.6 Registos de Auditoria
Para monitorização de segurança, conservamos registos de auditoria de eventos de autenticação, acesso a ficheiros e alterações de configuração durante 180 dias, após os quais são eliminados definitivamente. Estes registos contêm:
- ID de utilizador, email, tipo de ação e data/hora
- Endereço IP e cadeia user-agent — captados apenas se tiver ativado o Histórico de Sessões em Definições → Segurança. Esta opção está desativada por predefinição (art. 25.º do RGPD, privacidade por defeito). Desativá-la também anonimiza quaisquer entradas que já tenhamos armazenado para si.
Fundamento jurídico: art. 6.º, n.º 1, al. f) — interesse legítimo na segurança do serviço.
5. Cookies
A StenVault utiliza apenas cookies essenciais necessários para o funcionamento do Serviço:
| Cookie | Finalidade | Duração |
|---|---|---|
| Token de sessão (JWT) | Autenticação | Sessão / expiração configurável |
| Token CSRF | Proteção contra falsificação de pedidos entre sítios | Sessão |
Não utilizamos cookies de publicidade, cookies de rastreio ou cookies de terceiros. Não é necessário qualquer banner de consentimento de cookies, uma vez que utilizamos apenas cookies estritamente necessários (isenção do art. 5.º, n.º 3 da Diretiva ePrivacy).
6. Subcontratantes de Dados (Terceiros)
Utilizamos os seguintes serviços de terceiros para operar a StenVault. Cada subcontratante recebe apenas os dados mínimos necessários à sua função:
| Subcontratante | Finalidade | Dados Partilhados | Localização |
|---|---|---|---|
| Stripe | Processamento de pagamentos | Email, nome, dados de pagamento | EUA/UE (DPA do RGPD) |
| Cloudflare (R2) | Armazenamento de ficheiros encriptados | Apenas blobs encriptados (ilegíveis) | UE |
| Resend | Emails transacionais | Endereço de email, nome de apresentação | EUA (DPA do RGPD) |
| Railway | Alojamento da aplicação, base de dados | Dados da aplicação (BD encriptada em repouso) | UE |
| Upstash | Redis (limitação de pedidos, sessões) | Hashes de IP, tokens de sessão (efémeros) | UE |
Todos os subcontratantes que tratam dados pessoais fora da UE fazem-no ao abrigo de Cláusulas Contratuais-Tipo (CCT) ou mecanismos de transferência equivalentes em conformidade com o RGPD.
7. Conservação de Dados
O calendário abaixo é a referência autoritativa de conservação. Cada linha corresponde a uma tarefa de conservação ou endpoint específico no nosso código. Os detalhes são também publicados no nosso Registo das Atividades de Tratamento interno (art. 30.º do RGPD).
| Dados | Período de Conservação | Fundamento jurídico |
|---|---|---|
| Dados da conta (email, nome, registo OPAQUE) | Até à eliminação da conta | Art. 6.º, n.º 1, al. b) |
| Ficheiros encriptados + nomes de ficheiros | Até serem eliminados por si ou até à eliminação da conta | Art. 6.º, n.º 1, al. b) |
| Lixo (ficheiros eliminados temporariamente) | Free: 30 dias · Pro: 90 dias | Art. 6.º, n.º 1, al. b) |
| Histórico de versões (apenas Pro) | Pro: 30 dias | Art. 6.º, n.º 1, al. b) |
| Registos de faturação (PDFs de faturas Stripe) | 10 anos (art. 52.º do CIVA, DL 28/2019) | Art. 6.º, n.º 1, al. c) |
| Endereços IP (limitação de pedidos) | 24 horas (TTL do Redis) | Art. 6.º, n.º 1, al. f) |
| Endereços IP (registos de auditoria) | Apenas por ativação opcional (desativado por predefinição); até 180 dias quando ativado | Art. 6.º, n.º 1, al. f) |
| Registos de auditoria | 180 dias, depois eliminados definitivamente | Art. 6.º, n.º 1, al. f) |
| Tokens de sessão | Até à expiração do refresh-token (7 dias por predefinição). O tempo limite de inatividade sela o Vault mas não elimina a sessão. | Art. 6.º, n.º 1, al. b) |
| Registos de confiança de dispositivos | Expiram automaticamente 90 dias após a última utilização, ou quando os remove | Art. 6.º, n.º 1, al. f) |
| Registos de eventos webhook (idempotência Stripe) | 90 dias | Art. 6.º, n.º 1, al. b) |
| Contas Free inativas | Eliminadas após 12 meses de inatividade (com 3 emails de aviso) | Art. 5.º, n.º 1, al. e) |
| Ficheiros do Public Send | Anónimo: 24h por predefinição, 7 dias máx. Autenticado: até 90 dias. | Art. 6.º, n.º 1, al. b) |
8. Os Seus Direitos
Ao abrigo do RGPD (e da LGPD para utilizadores brasileiros), tem os seguintes direitos relativamente aos seus dados pessoais:
| Direito | Como Exercer |
|---|---|
| Acesso | Solicite uma cópia dos seus dados pessoais através da exportação self-service em Definições → Armazenamento → Exportar Dados, ou contacte-nos por email. |
| Retificação | Atualize o seu nome e email nas definições da conta, ou contacte-nos. |
| Apagamento (“Direito a Ser Esquecido”) | Elimine a sua conta em Definições. Todos os dados são removidos definitivamente. |
| Portabilidade dos Dados | Exporte o seu Vault completo como arquivo ZIP em Definições → Armazenamento → Exportar Dados. Os ficheiros são desencriptados localmente pelo seu navegador antes de serem adicionados ao arquivo. É incluído um ficheiro de metadados JSON (account.json) com o seu perfil e informações de armazenamento. |
| Limitação do Tratamento | Contacte-nos para solicitar o tratamento limitado dos seus dados. |
| Oposição | Contacte-nos para se opor ao tratamento baseado em interesse legítimo. |
| Retirar o Consentimento | Quando o tratamento se baseia no consentimento, retire-o a qualquer momento sem afetar o tratamento anterior. |
Para exercer qualquer um destes direitos, contacte-nos em privacy@stenvault.com. Responderemos no prazo de 30 dias, conforme exigido pelo RGPD.
Nota sobre dados encriptados: Os seus ficheiros encriptados são tecnicamente inacessíveis para nós. O “apagamento” de ficheiros encriptados significa eliminar os blobs encriptados do nosso armazenamento. Não podemos fornecer cópias desencriptadas dos seus ficheiros, uma vez que não possuímos as chaves de desencriptação.
Se considerar que os seus direitos de proteção de dados foram violados, tem o direito de apresentar uma reclamação junto da autoridade de controlo local. Para Portugal: CNPD (Comissão Nacional de Proteção de Dados).
9. Segurança dos Dados
Implementamos as seguintes medidas técnicas e organizativas para proteger os seus dados:
- Encriptação ponta a ponta: AES-256-GCM para todo o conteúdo dos ficheiros, com chaves derivadas via Argon2id (custo de memória de 47 MiB).
- Criptografia pós-quântica: Troca de chaves híbrida X25519 + ML-KEM-768, assinaturas Ed25519 + ML-DSA-65.
- Autenticação zero-knowledge: Protocolo OPAQUE (RFC 9807) — a sua palavra-passe nunca é transmitida ao servidor.
- Encriptação de transporte: TLS 1.3 para todas as ligações.
- Encriptação da base de dados: PostgreSQL com encriptação em repouso.
- Autenticação multifator: MFA baseada em TOTP disponível para todas as contas.
- Limitação de pedidos: Limitação de pedidos por IP para autenticação e endpoints da API.
- Antifraude: Bloqueio de emails descartáveis, limites de velocidade de registo, Stripe Radar (deteção de fraude em pagamentos).
10. Notificação de Violação de Dados
Em caso de violação de dados pessoais, iremos:
- Notificar a autoridade de controlo competente (CNPD) no prazo de 72 horas após tomarmos conhecimento da violação, conforme exigido pelo artigo 33.º do RGPD.
- Notificar os utilizadores afetados sem demora injustificada se a violação for suscetível de resultar num elevado risco para os seus direitos e liberdades (artigo 34.º do RGPD).
- Documentar a violação, os seus efeitos e as ações corretivas tomadas.
Importante: Devido à nossa arquitetura zero-knowledge, mesmo em caso de violação do servidor, os conteúdos e nomes dos seus ficheiros permanecem encriptados e ilegíveis. Um atacante que obtenha acesso aos nossos servidores obteria apenas blobs encriptados que não podem ser desencriptados sem a sua Palavra-passe de encriptação.
11. Transferências Internacionais de Dados
Os seus ficheiros encriptados são armazenados na União Europeia (Cloudflare R2, região da UE). A nossa base de dados principal está alojada na UE (Railway, região da UE).
Alguns dos nossos subcontratantes (Stripe, Resend) podem tratar dados pessoais limitados nos Estados Unidos. Estas transferências são protegidas por:
- Quadro de Privacidade de Dados UE-EUA (quando aplicável)
- Cláusulas Contratuais-Tipo (CCT) aprovadas pela Comissão Europeia
- Medidas técnicas suplementares (encriptação em trânsito e em repouso)
12. Privacidade das Crianças
A StenVault não se destina a crianças com menos de 13 anos. Não recolhemos intencionalmente dados pessoais de crianças com menos de 13 anos. Utilizadores entre os 13 e os 16 anos na União Europeia devem ter consentimento parental para utilizar o Serviço.
Se descobrirmos que recolhemos dados de uma criança com menos de 13 anos sem o consentimento adequado, eliminaremos a conta e os dados associados prontamente. Se acredita que uma criança com menos de 13 anos criou uma conta, contacte-nos em privacy@stenvault.com.
13. Autoridades Policiais e Divulgação
Apenas podemos divulgar dados pessoais a autoridades policiais quando:
- Exigido por uma ordem judicial válida de um tribunal de jurisdição competente em Portugal ou na UE.
- Necessário para prevenir dano iminente a pessoas.
- Exigido pela legislação aplicável.
Em nenhuma circunstância podemos divulgar o conteúdo dos seus ficheiros encriptados. Não possuímos as suas chaves de encriptação e não podemos desencriptar os seus dados. Em resposta a uma ordem judicial válida, apenas podemos fornecer:
- Endereço de email e nome de apresentação da conta
- Data de criação da conta
- Plano de subscrição e informações de faturação
- Endereços IP (contadores de limitação de pedidos conservados durante 24 horas; registos de auditoria de autenticação conservados até 180 dias apenas quando o Histórico de Sessões está ativado — desativado por predefinição)
- Metadados de ficheiros encriptados (tamanhos, datas/horas — os nomes de ficheiros são encriptados)
Notificaremos os utilizadores afetados sobre qualquer pedido das autoridades, salvo se estivermos legalmente proibidos de o fazer (por exemplo, por uma ordem de sigilo). Publicamos um relatório de transparência quando aplicável.
14. Alterações a Esta Política
Podemos atualizar esta Política de Privacidade periodicamente. Quando efetuarmos alterações substanciais:
- Notificá-lo-emos por email pelo menos 30 dias antes de as alterações entrarem em vigor.
- Atualizaremos a data de “Última atualização” no topo desta página.
- Forneceremos um resumo claro do que foi alterado.
As versões anteriores desta política serão arquivadas e disponibilizadas mediante pedido.
15. Contacte-nos
Para quaisquer questões, preocupações ou pedidos relativos a esta Política de Privacidade ou aos seus dados pessoais, contacte-nos em:
Email: privacy@stenvault.com
Tempo de resposta: No prazo de 30 dias (exigência do RGPD)
Para reclamações, pode também contactar a autoridade portuguesa de proteção de dados:
CNPD — Comissão Nacional de Proteção de Dados
StenVault · Armazenamento na cloud encriptado ponta a ponta · Operado a partir de Portugal