atendeme
Segurança e privacidade
Documento técnico destinado a equipas de TI e compliance. Perguntas: security@atendeme.ai
Residência de dados
Dados armazenados (todos na UE)
| Onde | Localização |
|---|---|
| Base de dados principal | Supabase EU (Frankfurt) |
| Armazenamento de ficheiros e gravações | Supabase EU (Frankfurt) |
| Backend API | Vultr London |
| Infraestrutura de voz | LiveKit EU region |
Processamento em tempo real (transitório, não retido por fornecedor)
| Serviço | Região | Finalidade | Salvaguarda |
|---|---|---|---|
| Google Vertex AI (Gemini) | UE Bélgica (europe-west1) | LLM do agente de voz | Residência UE |
| Azure Speech (STT/TTS) | UE Países Baixos (westeurope) | Áudio de voz em tempo real | Residência UE |
| Deepgram | EUA | Transcrição de voz | DPF + SCCs |
| Cartesia (TTS primário) | EUA | Texto para fala | SCCs |
| ElevenLabs (TTS fallback) | EUA | Texto para fala | DPF + SCCs |
| Anthropic Claude | EUA | LLM de email/chat | DPF + SCCs |
| Resend | EUA (envio UE) | Entrega de email | DPF + SCCs |
| Meta (WhatsApp) | UE Irlanda + EUA | Mensagens WhatsApp | DPF + SCCs |
| EasyTransfer | Portugal | Reservas de transferes | Tratamento UE |
Encriptação
- TLS 1.2+ em trânsito
- AES-256 em repouso (Supabase)
- Chaves de API PMS: pgcrypto, nunca no log
- Gravações de voz: encriptadas em Supabase Storage
O que nunca fazemos
- Nunca treinamos modelos com dados de hóspedes (contratual com todos os fornecedores de IA)
- Nunca vendemos ou partilhamos dados de hóspedes
- Nunca combinamos dados entre hotéis, nem de forma agregada
Controlo de acesso
- Row-Level Security em todas as tabelas
- Padrão de 4 políticas: service_role, admin, partner, hotel
- Modo de falha de RLS: "mostrar nada", não "mostrar tudo"
- Nenhum funcionário da Atende-me tem acesso por defeito a dados de hotéis
Autenticação
- MFA (TOTP) obrigatória antes de ir live para proprietários
- Verificação HIBP de passwords em fuga no registo e redefinição
- Timeouts de sessão, proteção anti-brute-force, alertas de anomalias
- OAuth: Google, Microsoft. SAML disponível no escalão enterprise.
Resposta a incidentes
Notificação em 48 horas aos responsáveis pelo tratamento (excede as 72h do GDPR). Ver registo de incidentes.
Conformidade
- GDPR: conforme, DPA disponível mediante pedido
- Dados em repouso na UE: sim
- SOC 2 Type II: via infraestrutura Supabase (não certificação própria)
- ISO 27001: em curso via Supabase (não certificação própria)
- Sem certificações falsas, sem badges enganadores.
Contacto
- Questões de segurança: security@atendeme.ai
- Pedidos de titulares de dados: dpo@atendeme.ai