Princípios

A Gravenos trata os dados sob o princípio de recolher o mínimo necessário para prestar o serviço, conservá-los pelo período mínimo consistente com essa prestação e protegê-los com os controlos que um profissional razoável esperaria.

Não vendemos dados. Não partilhamos dados com parceiros de marketing. Não recorremos a publicidade comportamental. Não são afirmações promocionais; são compromissos arquitetónicos, evidenciados pela ausência, na nossa base de código, de qualquer integração que os tornasse outra coisa.

Que Dados Conservamos

No sítio institucional (gravenos.com), recolhemos endereços de correio eletrónico dos subscritores do boletim e o conteúdo das submissões do formulário de contacto. Na plataforma Drusus (drusus.ai), conservamos os dados necessários ao funcionamento de um produto de subscrição: identidade da conta (correio eletrónico e hash da palavra-passe), conteúdos da carteira que o utilizador tenha optado por registar, listas de acompanhamento, configurações de alertas e histórico analítico.

Os dados de pagamento são processados pela Stripe. A Gravenos não armazena nos seus servidores números de cartão, CVCs ou dados completos de conta bancária. A integração foi concebida de modo a que estes dados nunca transitem pelos nossos sistemas.

Infraestrutura

A nossa base de dados e a camada de autenticação são operadas pela Supabase, na região eu-north-1. A plataforma Drusus e o sítio gravenos.com são implantados na Vercel. O correio eletrónico é expedido através da Resend. Os domínios estão registados através da Cloudflare. Os pagamentos são processados pela Stripe.

Cada um destes fornecedores opera segundo um padrão de segurança reconhecido. Nenhum deles é exclusivo da Gravenos; foram selecionados por serem as escolhas estabelecidas e credíveis nas respetivas categorias. A contrapartida envolvida nesta escolha é a de que a nossa postura de segurança é, em parte, função da deles. Divulgamos incidentes em qualquer um destes fornecedores que tenham qualquer incidência plausível sobre os nossos utilizadores (consulte a secção de notícias).

Autenticação

As contas na plataforma Drusus são autenticadas por correio eletrónico e palavra-passe. As palavras-passe são armazenadas como hashes com sal; não conseguimos, e não podemos, recuperar a palavra-passe em texto simples de um utilizador. O início de sessão único através dos principais fornecedores está disponível. A autenticação multifator será introduzida antes do lançamento público.

Posição Regulatória

A Gravenos está registada no Reino Unido. A plataforma Drusus produz comentário analítico, modelos de cenários e cálculos de risco; não produz aconselhamento de investimento na aceção do perímetro regulatório da FCA. Em devido tempo, contactaremos o FCA Innovation Hub para obter confirmação formal desta posição de perímetro. Até que esse contacto esteja concluído, a posição aqui enunciada constitui a nossa melhor avaliação profissional, sustentada na revisão do nosso Aviso Legal Financeiro por aconselhamento jurídico.

A conformidade em proteção de dados é conduzida ao abrigo do UK GDPR e do Data Protection Act 2018. O registo junto do Information Commissioner's Office encontra-se em curso.

Divulgação de Incidentes

Em caso de incidente de segurança que afete os sistemas da Gravenos, ou que afete qualquer fornecedor terceiro de modo a ter incidência plausível sobre os utilizadores da Gravenos, publicaremos um aviso na secção de Notícias deste sítio com a maior brevidade que os factos permitirem, e atualizá-lo-emos à medida que a investigação avance.

Não subscrevemos a prática de emitir avisos iniciais de redação tão vaga que nada transmitem. Onde os factos forem incertos, di-lo-emos; onde os dados possam ou não ter sido afetados, diremos quais; onde o âmbito for desconhecido, diremos o que se sabe e o que se desconhece. O corolário é que os nossos avisos poderão ser mais longos do que a norma da indústria. Cremos ser este o compromisso correto.

Comunicação de Vulnerabilidades

Se considera ter identificado uma vulnerabilidade de segurança em qualquer sistema da Gravenos, solicitamos que escreva para legal@gravenos.com com os detalhes. Acusaremos a receção do seu relato e, quando apropriado, atribuiremos publicamente o crédito da descoberta uma vez resolvido o problema.