Ir para o conteúdo
Lexiik
rollback

Segurança API: Proteção de dados e conformidade RGPD

Última atualização : 9 février 2026

A segurança dos seus dados é a nossa prioridade absoluta. Descubra como o Lexiik protege as suas informações sensíveis com os mais altos padrões de segurança da indústria, garantindo ao mesmo tempo uma conformidade total com o RGPD.

Certificação ISO 27001

O Lexiik é certificado ISO 27001 (segurança da informação) e é auditado anualmente por um organismo independente. Os seus dados são protegidos de acordo com as normas internacionais mais rigorosas.

Arquitetura de segurança do Lexiik

A segurança do Lexiik assenta numa abordagem de Defense in Depth (defesa em profundidade) com várias camadas de proteção independentes. Mesmo que uma camada seja comprometida, as restantes garantem a proteção dos seus dados.

Encriptação em trânsito (TLS 1.3)

Todas as comunicações entre a sua loja e os servidores do Lexiik são encriptadas com TLS 1.3, o protocolo de segurança mais recente e robusto:

  • Perfect Forward Secrecy (PFS): Mesmo que uma chave seja comprometida, as comunicações passadas permanecem seguras
  • Certificados SSL wildcard: *.lexiik.com e cdn.lexiik.com com renovação automática
  • HSTS ativado: Obriga o browser a utilizar sempre HTTPS (sem possibilidade de downgrade para HTTP)
  • TLS 1.0/1.1 desativados: Protocolos obsoletos bloqueados, apenas TLS 1.2 e 1.3 são aceites

Bom saber

Pontuação A+ no SSL Labs (teste de referência de segurança SSL). Pode verificar a nossa configuração em qualquer momento em ssllabs.com.

Encriptação em repouso (AES-256)

Todos os dados armazenados nos servidores do Lexiik são encriptados com o algoritmo AES-256 (Advanced Encryption Standard, chave de 256 bits), considerado inquebrável pela própria NSA:

  • Base de dados: Encriptação completa do PostgreSQL com Transparent Data Encryption (TDE)
  • Snapshots: Cada snapshot é encriptado individualmente com uma chave única derivada
  • Imagens: As imagens originais (antes da otimização CDN) são encriptadas no armazenamento S3
  • Logs: Registos de auditoria encriptados e assinados criptograficamente (impossíveis de falsificar)

As chaves de encriptação são por sua vez encriptadas com uma Master Key armazenada num HSM (Hardware Security Module) fisicamente seguro nos nossos centros de dados europeus.

Isolamento de tenants (Multi-tenancy seguro)

O Lexiik é uma plataforma multi-tenant, o que significa que vários clientes partilham a mesma infraestrutura. Para garantir o isolamento total entre contas:

  • Row-Level Security (RLS): Cada consulta SQL filtra automaticamente os dados por account_id
  • Namespaces isolados: As chaves API, webhooks e tarefas assíncronas estão isolados por tenant
  • Rate limiting por conta: Um cliente malicioso não pode afetar o desempenho dos outros
  • Quotas por recurso: CPU, RAM, armazenamento e largura de banda limitados por plano (política de utilização justa)

Plano Enterprise: Dedicated Infrastructure

Os clientes Enterprise podem optar por uma infraestrutura dedicada (servidores e base de dados isolados) para um isolamento físico total. Contacto: [email protected]

Autenticação e autorização API

Chaves API: Geração e rotação

A API do Lexiik utiliza chaves API secretas para autenticar os pedidos provenientes da sua loja (através do Bridge) ou das suas integrações personalizadas:

  • Formato: lxk_live_xxxxxxxxxxxxxxxxxxxxx (prefixo para ambiente live) ou lxk_test_xxxxxxxxxxxxxxxxxxxxx (prefixo para ambiente de teste)
  • Comprimento: 64 caracteres (256 bits de entropia, ou seja 2^256 combinações possíveis = 10^77)
  • Armazenamento: Hasheadas em bcrypt (custo 12) na base de dados, nunca armazenadas em texto simples
  • Rotação recomendada: A cada 90 dias para os planos Pro e superiores

Geração de uma chave API:

  1. Aceda a Configurações > API e integrações
  2. Clique em Gerar uma nova chave API
  3. Atribua um nome à chave (ex.: «Bridge Produção» ou «Script de migração»)
  4. Copie a chave apresentada (nunca mais será mostrada!)
  5. Guarde-a num gestor de segredos (1Password, Bitwarden, Vault, etc.)

Atenção

Importante: NUNCA faça commit de uma chave API no Git, mesmo num repositório privado. Utilize variáveis de ambiente (.env) e adicione .env ao seu .gitignore.

Scopes e permissões granulares

Cada chave API pode ter permissões limitadas (princípio do menor privilégio):

  • read:products: Ler as fichas de produto
  • write:products: Criar e modificar fichas de produto
  • read:audits: Consultar os relatórios de auditoria SEO
  • write:audits: Lançar uma auditoria (consome créditos)
  • read:snapshots: Aceder ao histórico (Rollback)
  • write:snapshots: Restaurar um snapshot (ação sensível)
  • admin:all: Acesso completo (reservado para administradores)

Exemplo: uma chave API utilizada apenas para mostrar KPIs num dashboard interno pode ser limitada a read:products e read:audits.

Rate limiting e proteção anti-abuso

A API do Lexiik implementa um rate limiting rigoroso para evitar abusos e garantir a disponibilidade:

  • Plano Gratuito: 100 pedidos / hora
  • Plano Starter: 500 pedidos / hora
  • Plano Pro: 2 000 pedidos / hora
  • Plano Expert: 10 000 pedidos / hora
  • Plano Enterprise: Ilimitado (política de utilização justa com alerta aos 50 000 pedidos/h)

Em caso de excesso, a API devolve o código HTTP 429 Too Many Requests com um header Retry-After a indicar quantos segundos aguardar.

Bom saber

O Bridge do Lexiik (módulo para CMS) beneficia de um rate limit mais elevado porque os pedidos são agrupados (batch processing). Uma sincronização de 1000 produtos = 1 único pedido API.

Conformidade RGPD (Regulamento Geral sobre a Proteção de Dados)

O Lexiik respeita integralmente o RGPD (Regulamento Europeu 2016/679) e aplica os princípios de Privacy by Design desde a conceção de cada funcionalidade.

Alojamento 100% europeu

Todos os seus dados são alojados exclusivamente na União Europeia:

  • Centro de dados principal: OVHcloud Gravelines (França)
  • Replicação secundária: OVHcloud Estrasburgo (França)
  • Replicação terciária: Hetzner Falkenstein (Alemanha)
  • CDN Edge: 35 pontos de presença mundiais, mas dados sensíveis nunca são colocados em cache fora da UE

Os seus dados NUNCA transitam pelos Estados Unidos nem por qualquer país fora da UE. Não utilizamos AWS, Google Cloud ou Azure (fornecedores sujeitos ao Cloud Act americano).

Sucesso

O Lexiik está registado junto da CNIL (Commission Nationale de l'Informatique et des Libertés) e dispõe de um DPO (Encarregado de Proteção de Dados) certificado.

Minimização dos dados recolhidos

O Lexiik apenas recolhe os dados estritamente necessários ao funcionamento do serviço:

Dados recolhidos:

  • E-mail (autenticação e notificações)
  • Nome e apelido (faturação)
  • Dados de pagamento (armazenados pela Stripe, certificada PCI-DSS nível 1)
  • Fichas de produto (título, descrição, imagens, preço público, categorias)
  • Logs técnicos (IP, user-agent, timestamp) conservados no máximo 90 dias

Dados NUNCA recolhidos:

  • Dados pessoais dos seus clientes finais (e-mails, moradas, histórico de compras)
  • Números de cartão bancário (delegado à Stripe)
  • Palavras-passe em texto simples (hasheadas em Argon2id)
  • Dados de navegação na sua loja (não somos uma ferramenta de analytics)

Os seus direitos ao abrigo do RGPD

Beneficia de todos os direitos previstos pelo RGPD, diretamente acessíveis a partir da sua conta Lexiik:

  • Direito de acesso (Art. 15): Descarregar todos os seus dados em formato JSON (Configurações > Exportar os meus dados)
  • Direito de retificação (Art. 16): Modificar as suas informações pessoais em qualquer momento
  • Direito ao apagamento (Art. 17): Eliminar definitivamente a sua conta e todos os seus dados (Configurações > Eliminar a minha conta)
  • Direito à portabilidade (Art. 20): Exportar os seus dados num formato padrão (JSON, CSV)
  • Direito de oposição (Art. 21): Recusar o tratamento de certos dados (ex.: e-mails de marketing)
  • Direito de limitação (Art. 18): Suspender temporariamente o tratamento dos seus dados

Para exercer os seus direitos ou contactar o nosso DPO: [email protected]

Bom saber

Prazo de resposta garantido: 72 horas para um pedido de acesso, 30 dias no máximo para uma eliminação completa (em conformidade com o Art. 12 do RGPD).

Auditorias de segurança e certificações

Testes de intrusão regulares

O Lexiik é sujeito regularmente a testes de intrusão (pentests) por empresas especializadas:

  • Frequência: 1 pentest completo a cada 6 meses (planos Pro e Enterprise)
  • Âmbito: Aplicação web, API, infraestrutura, Bridge (módulos CMS)
  • Metodologia: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Relatório: Relatório de auditoria disponível mediante pedido para clientes Enterprise

As vulnerabilidades críticas e altas são corrigidas em 48 horas, as médias em 7 dias e as baixas em 30 dias.

Programa de Bug Bounty

O Lexiik opera um programa de Bug Bounty (recompensa por vulnerabilidades) para incentivar os investigadores de segurança a reportar falhas:

  • Plataforma: YesWeHack (plataforma europeia de bug bounty)
  • Recompensas: De 100 € a 5 000 € consoante a criticidade (pontuação CVSS)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, módulos Bridge
  • Tempo de resposta: Menos de 24 horas para relatórios válidos

Acesso ao programa: yeswehack.com/programs/lexiik

Certificações e conformidades

O Lexiik detém as seguintes certificações:

  • ISO 27001: Segurança da informação (auditado pelo Bureau Veritas)
  • SOC 2 Type II: Disponibilidade, confidencialidade, integridade (em processo de certificação)
  • RGPD: Conformidade total, DPO certificado, registado na CNIL
  • HDS (Alojamento de Dados de Saúde): Não aplicável (apenas e-commerce)
  • PCI-DSS nível 1: Via Stripe (processador de pagamentos)

Função Premium

Os clientes Enterprise podem solicitar uma auditoria de conformidade personalizada (SOC 2, ISO 27001, etc.) para satisfazer as suas exigências internas.
Contactar a equipa Enterprise →

Boas práticas de segurança para utilizadores

Gestão de chaves API

Para garantir a segurança da sua conta, siga estas boas práticas:

  • Nunca partilhar uma chave API: Crie uma chave dedicada por serviço/programador
  • Rotação regular: Mude as suas chaves a cada 90 dias (automatizável via API)
  • Nomeie as suas chaves: «Bridge Produção», «Script Analytics», «Integração Zapier», etc.
  • Revogue as chaves não utilizadas: Elimine as chaves de antigos prestadores ou scripts desativados
  • Variáveis de ambiente: Nunca introduza chaves diretamente no código-fonte

Segurança das palavras-passe

A sua conta Lexiik está protegida pelas seguintes medidas:

  • Hashing Argon2id: Algoritmo recomendado pela OWASP (resistente a GPU e ASIC)
  • Salt único: Cada palavra-passe tem um salt aleatório de 128 bits
  • Política de complexidade: Mínimo de 12 caracteres, pelo menos 1 maiúscula, 1 número e 1 carácter especial
  • Proteção anti-bruteforce: Bloqueio após 5 tentativas falhadas (desbloqueio por e-mail)
  • 2FA disponível: Autenticação de dois fatores via TOTP (Google Authenticator, Authy) – fortemente recomendado

Ative o 2FA

A ativação da autenticação de dois fatores reduz em 99,9% o risco de pirataria da conta, mesmo que a sua palavra-passe seja comprometida. Ative-o em Configurações > Segurança.

Monitorização da sua conta

O Lexiik alerta-o automaticamente em caso de atividade suspeita:

  • Ligação a partir de um novo país: E-mail com link de confirmação
  • Novo dispositivo: Notificação push se a aplicação móvel estiver instalada
  • Criação de chave API: E-mail resumo com nome e permissões
  • Alteração do meio de pagamento: Dupla confirmação por e-mail + SMS
  • Tentativas de ligação falhadas: Alerta após 3 falhas

Consulte o histórico completo de ligações em Configurações > Atividade da conta.

Em resumo

A segurança do Lexiik assenta numa abordagem multicamada (Defense in Depth) com os mais altos padrões da indústria:

  • Encriptação: TLS 1.3 em trânsito + AES-256 em repouso
  • Autenticação: Chaves API de 256 bits + 2FA disponível
  • Alojamento: 100% europeu (França + Alemanha), nunca nos EUA
  • Conformidade: RGPD completo, ISO 27001, SOC 2 Type II em curso
  • Auditorias: Pentests semestrais + Bug Bounty ativo

Os seus dados estão protegidos com o mesmo nível de segurança que os bancos online e as instituições financeiras.

Sucesso

Tem dúvidas ou requisitos de segurança específicos? A nossa equipa de Segurança está ao seu dispor.
Contactar a equipa de segurança →

Artigos relacionados: A Garantia Rollback · Retenção de dados · Ligar a sua loja