TRUEINGS

Segurança e conformidade

Onde residem os dados, e o que não residem.

Escrito para equipas de aquisições, de segurança informática e jurídicas. Sem embrulho de marketing, apenas factos como se apresentam hoje, incluindo as coisas que ainda não afirmamos.

URL reencaminhável. Se a sua equipa de segurança precisar de um questionário de fornecedor ou de um DPA assinado por ambas as partes, consulte Contacto no fundo.

Uma pequena torre de pedra com uma única porta com luz acolhedora, ao amanhecer num prado tranquilo: proteção pela conceção e não pela força.

Subcontratantes

Onde os seus dados são tratados.

A lista completa dos terceiros que tocam em dados de subscritores ou respondentes, com a região e o fundamento de transferência. A Anthropic está nos Estados Unidos e é coberta por Cláusulas Contratuais-Tipo; todo o resto está na UE.

ServiçoFinalidadeRegiãoFundamento de transferência
Supabase
supabase.com/security
Postgres gerido (dados de subscritores + respondentes, com RLS aplicada), autenticação sem palavra-passe.UEDentro da UE.
Anthropic
trust.anthropic.com
Inferência de LLM para o Criteria Designer, o Interviewer e o Synthesizer.Estados UnidosUE → EUA ao abrigo de Cláusulas Contratuais-Tipo, com DPA da Anthropic assinado. Apenas a Messages API, sem Batch, Files ou Memory de servidor.
Resend
resend.com/legal/security
Email transacional (início de sessão por ligação mágica, convites a respondentes, lembretes).UEDentro da UE.
Stripe
stripe.com/privacy
Processamento de pagamentos para os planos de $50 avulso e $100/ano e para os conjuntos de licenças de equipas.Estados Unidos (infraestrutura global da Stripe)UE → EUA ao abrigo de Cláusulas Contratuais-Tipo. Os dados de cartão são recolhidos diretamente pela Stripe; a Trueings nunca vê nem armazena dados de cartões.
PostHog
posthog.com/handbook/company/security
Análise de produto (apenas contagens de eventos: sem cookies, sem gravação de sessão, sem captura automática, sem perfil por pessoa).UE (eu.i.posthog.com)Dentro da UE.

Alojamento: a própria aplicação corre em infraestrutura serverless gerida (Vercel). Nenhum conteúdo de feedback de clientes é armazenado nos registos da aplicação; o repositório canónico é a Supabase.

Retenção

O que guardamos, durante quanto tempo, e o que não guardamos.

As transcrições em bruto são eliminadas por uma tarefa agendada da base de dados 30 dias após a síntese de cada campanha. A tarefa corre diariamente e é auditável. Depois de correr, a campanha não pode ser ressintetizada; permanece apenas o relatório anonimizado.

  • Transcrições em bruto dos respondentes

    30 dias após a finalização da síntese de uma campanha

    Eliminadas diariamente por uma tarefa agendada da base de dados. Após a eliminação, a campanha não pode ser ressintetizada; permanece apenas o relatório anonimizado.

  • Relatório sintetizado (temas, mapa de Johari, plano de desenvolvimento)

    Vigência da conta do subscritor

    Com identificadores limpos pela passagem obrigatória do Guardião de Confidencialidade. O subscritor pode exportá-lo ou eliminá-lo a qualquer momento.

  • Registos de conta, consentimento e faturação

    Vigência da conta + o período exigido pela lei fiscal / do consumidor da UE

    Associados ao subscritor; eliminados na supressão da conta sob reserva da conservação legal.

  • Registos operacionais agregados (sem conteúdo de respondentes)

    Até 90 dias

    Utilizados para resposta a incidentes e deteção de abusos. Sem respostas de respondentes; sem conteúdo de feedback.

A confidencialidade é arquitetural

Aplicada em código, não por política.

O produto não consegue revelar feedback à parte errada porque a parte errada não está no caminho dos dados. São garantias estruturais, não compromissos.

  • Segurança ao nível da linha em cada tabela sensível. Políticas restritas, de negação por predefinição; a própria base de dados rejeita leituras entre contas.
  • O Synthesizer nunca vê a identidade dos respondentes. Recebe apenas texto de evidências (sem nomes, sem endereços de email, sem ligação a quem disse o quê), pelo que mesmo um prompt arbitrário não consegue extrair o que não está no seu contexto.
  • Um Guardião de Confidencialidade determinístico corre antes de o subscritor ver fosse o que for. Aplica o limiar mínimo de respondentes, a redução de detalhe da restrição suave e uma limpeza final de identificadores. Não é um juízo de um LLM.
  • Para equipas: o portal da empresa é cego ao conteúdo por conceção. Expõe apenas a contagem de resgates e a taxa de conclusão, nunca a identidade, o conteúdo ou os temas.

Autenticação e acesso

Sem palavra-passe, com âmbito definido, auditado.

  • Subscritores iniciam sessão através de ligações mágicas de utilização única para um email verificado. Não são armazenadas nem aceites palavras-passe. A emissão de ligações mágicas tem a frequência limitada e falha em silêncio em sondagens de enumeração.
  • Respondentes não têm contas. Cada convite é um JWT assinado, com âmbito de audiência definido, de utilização única, associado a uma resposta específica; o algoritmo é fixado e os tokens são invalidados ao submeter.
  • Administradores da empresa autenticam-se da mesma forma que os subscritores, através de uma ligação mágica para um email verificado, num portal separado e cego ao conteúdo.
  • Acesso de operador está limitado a um pequeno número de colaboradores nomeados, através de uma superfície de administração condicionada por ambiente. Os colaboradores não acedem ao conteúdo de feedback no decurso normal da operação; o acesso à base de dados é registado.

Encriptação e transporte

Padrão, ponta a ponta.

  • Em trânsito: TLS 1.2+ em cada ligação: navegador ↔ aplicação, e aplicação ↔ cada subcontratante.
  • Em repouso: a encriptação é fornecida por cada subcontratante (com ligação na tabela acima): Postgres gerido pela Supabase, runtime gerido pela Vercel, Resend, Stripe, PostHog.
  • Dados de cartão: tratados diretamente pela Stripe via Checkout. A Trueings nunca vê nem armazena números de cartão.
  • Segredos: os segredos da aplicação residem no armazenamento de variáveis de ambiente encriptado da plataforma; a chave de base de dados de função de serviço nunca chega ao navegador.

O que não afirmamos

As coisas que preferimos que leia aqui a que não leia de todo.

O oposto de uma página de segurança de marketing. Se um controlo ou certificação não estiver abaixo, parta do princípio de que ainda não o temos. Se for importante para a sua avaliação, diga-nos e indicaremos qual é o plano.

Sem SOC 2

Não concluímos uma auditoria SOC 2. O Tipo I está previsto para a fase B2B2C do mercado intermédio; publicaremos o relatório quando estiver pronto e não antes.

Sem ISO 27001

Não procurada para a beta. Reconsideraremos quando a procura dos compradores a tornar relevante.

Sem AIPD formal arquivada

Uma Avaliação de Impacto sobre a Proteção de Dados está reservada para a expansão para a área da saúde. O produto atual é RGPD desde a conceção (confidencialidade aplicada estruturalmente, não por política) e está documentado como tal no Aviso de privacidade e no DPA.

Ainda sem CAPTCHA anti-bot no formulário de início de sessão

O início de sessão por ligação mágica tem a frequência limitada e falha em silêncio em tentativas de enumeração; um CAPTCHA está no roteiro.

Retenção zero de dados da Anthropic: solicitada, verificação pendente

A nossa organização Anthropic está no nível Comercial e solicitámos a ZDR. O Aviso de privacidade e o DPA serão atualizados, e os subscritores existentes voltarão a consentir, no momento em que a cobertura ZDR for confirmada.

Revisão de segurança independente

Revisto na origem antes do lançamento.

A base de código foi sujeita a uma revisão de segurança ao nível do código-fonte em 2026-05-19. Não foram identificadas conclusões Críticas. Todos os itens de gravidade Alta e Média levantados pela revisão foram corrigidos, com uma exceção que está documentada e aceite como um residual monitorizável em vez de prevenido (um caso-limite de identidade falsa contra o mínimo de anonimato).

A revisão centrou-se na autenticação, no motor de entrevistas, no Guardião de Confidencialidade, na faturação e nas superfícies propensas a abusos. Podemos partilhar o âmbito e o resumo das correções a pedido, no âmbito de um questionário de fornecedor.

Notificação de violações

72 horas, por escrito, com o que sabemos e o que estamos a fazer.

Se tomarmos conhecimento de uma violação de dados pessoais que afete dados de subscritores ou respondentes, notificaremos o responsável pelo tratamento relevante sem demora injustificada e no prazo de 72 horas, quando a violação for suscetível de resultar num risco para os titulares dos dados, em conformidade com o artigo 33.º do RGPD. Os compromissos processuais constam do Acordo de Tratamento de Dados.

Documentos legais

O contrato e as divulgações, num só lugar.

Aviso de privacidade

O que tratamos, porquê, durante quanto tempo, e os seus direitos, para subscritores e respondentes.

Termos de serviço

O contrato para subscritores que utilizam a Trueings diretamente.

Master Subscription Agreement

O contrato para empresas que compram um conjunto de licenças para as suas pessoas.

Acordo de Tratamento de Dados

Funções, subcontratantes, retenção, transferências, medidas de segurança, notificação de violações.

Contacto

Para a sua equipa de segurança.

Para um questionário de fornecedor, um DPA assinado por ambas as partes, uma subscrição de notificação de alterações de subcontratantes, ou qualquer questão que esta página deixe em aberto, escreva para teams@trueings.com. Respondemos no prazo de dois dias úteis.

Para pedidos de titular dos dados (acesso, eliminação, portabilidade), os subscritores utilizam os controlos de privacidade dentro do produto; os respondentes e terceiros podem escrever para privacy@trueings.com.