O QuoteForge foi construído com o princípio de que a geometria das suas peças e os dados dos seus clientes pertencem exclusivamente a si. Aqui está um resumo claro de como os protegemos.
Os controlos de aplicação e API do QuoteForge estão alinhados com o OWASP Top 10 e as famílias de controlos CASA (Cloud Application Security Assessment) Tier 2: segurança OAuth 2.0, controlo de acesso, validação de entradas, gestão de segredos e registo de eventos. Não dispomos atualmente de uma attestação formal CASA Tier 2; estes controlos constituem a nossa referência de segurança interna.
Não utilizamos os seus ficheiros STEP, orçamentos ou dados de clientes para treinar modelos de IA ou aprendizagem automática — nem os nossos nem de terceiros.
O motor de preços é totalmente determinístico: lê a configuração da sua oficina (máquinas, materiais, avanços e velocidades) e aplica aritmética. Nenhum modelo é treinado, nenhum dado sai do seu tenant em forma agregada.
Para funcionalidades que utilizam um LLM (como a geração de comentários DFM), apenas metadados de geometria extraídos — não o binário STEP bruto — são enviados para a chamada da API LLM. O LLM recebe instruções para não registar nem reter o conteúdo dos pedidos.
Cada consulta à base de dados é automaticamente restrita ao seu tenant_id ao nível do ORM. Não existe nenhuma via pela qual um cliente possa ler os orçamentos, ficheiros STEP, configuração de oficina ou dados de contacto de outro cliente. O acesso entre tenants é uma impossibilidade estrutural, não apenas uma política.
Todo o tráfego entre o seu browser e os nossos servidores é encriptado em trânsito com TLS 1.2+. As ligações a sub-serviços (armazenamento, base de dados, APIs LLM) são também exclusivamente TLS.
Os dados em repouso — ficheiros STEP, PDFs de orçamentos, registos de clientes — são encriptados ao nível da camada de armazenamento do Azure (AES-256).
Os dados de pagamento são tratados exclusivamente pelo Stripe. Nunca vemos, armazenamos ou transmitimos números de cartão brutos. O Stripe tem certificação PCI DSS Nível 1.
A base de dados de produção é submetida a cópia de segurança diariamente com um período de retenção de 30 dias. As cópias são armazenadas numa região Azure separada.
Os ficheiros STEP e os PDFs gerados são armazenados no Azure Blob Storage com replicação geo-redundante.
Ao abrigo do RGPD, tem o direito de solicitar a exportação ou eliminação de todos os dados associados à sua conta. Envie um pedido para [email protected] e trataremos dele em 30 dias.
Se descobrir um problema de segurança, por favor divulgue-o de forma responsável enviando um e-mail para [email protected].