FAQ — Segurança e alojamento
Esta página resume os pontos mais frequentes em matéria de segurança e alojamento. Para uma descrição exaustiva, a Omniscol fornece, mediante pedido (ou sob NDA, consoante os casos), os documentos oficiais:
SECURITY_OVERVIEW.md— visão geral pública,SECURITY_ONE_PAGER.md— síntese para CISO,SECURITY_FULL.md— documentação completa (governança, infraestrutura, controlos, conformidade, resposta a incidentes),ISO27001_MAPPING.md— mapeamento para os controlos ISO 27001,SSI_QUESTIONNAIRE_STANDARD.md— respostas ao questionário de segurança da informação padrão.
Para qualquer questão de segurança: security@omniscol.com.
Onde estão alojados os meus dados?
As menções legais indicam um alojamento na União Europeia, na AWS Paris e na Scaleway. Os compromissos precisos de redundância, cópia de segurança, retenção e disponibilidade dependem do quadro contratual aplicável à sua conta.
A Omniscol está em conformidade com o RGPD?
A Omniscol foi concebida para uma utilização conforme ao RGPD. Consequências práticas:
- Alojamento exclusivo na UE (França).
- Isolamento lógico por cliente: nenhum acesso cruzado é possível entre contas.
- Nenhuma definição de perfil, nenhuma revenda de dados, nenhuma utilização secundária dos conteúdos da sua escola.
- Reversibilidade: exportação completa em JSON a partir de Baixar.
- Tratamento dos pedidos dos titulares dos dados de acordo com o quadro contratual e regulamentar aplicável.
A Omniscol é certificada ISO 27001?
Não é certificada até à data, mas as práticas estão alinhadas com os princípios do referencial e seguem uma abordagem baseada nos riscos e continuamente revista. O detalhe dos controlos pode ser fornecido no âmbito do quadro contratual ou de segurança adequado.
Como são protegidas as palavras-passe?
A Omniscol protege as palavras-passe da seguinte forma:
- Pré-cálculo do hash do lado do cliente com scrypt — a sua palavra-passe em texto simples nunca chega aos servidores.
- Armazenamento no servidor sob a forma de hash com sal.
- Nenhuma palavra-passe em texto simples é alguma vez transmitida ou armazenada.
- Nenhum administrador Omniscol pode ler, recuperar ou obter uma palavra-passe de utilizador.
Em caso de dúvida sobre o comprometimento de uma conta, a alteração da palavra-passe invalida os acessos derivados que dependem deste segredo, nomeadamente as ligações de partilha associadas à palavra-passe de quem as criou.
As comunicações são cifradas?
Os acessos aplicacionais públicos passam por HTTPS. A configuração de exposição na rede depende da implementação escolhida e deve ser verificada no âmbito de segurança ou contratual da conta em causa.
Como funciona a autenticação?
As sessões Omniscol utilizam tokens assinados com um tempo de vida limitado; o acesso é renovado enquanto o utilizador trabalha na interface.
As ligações de partilha e os tokens de API seguem regras separadas:
- uma ligação de partilha pode ter uma data de expiração e depende também da conta que a criou; alterar a palavra-passe dessa conta ou desativá-la invalida os acessos em causa;
- um token de API depende de uma chave criada na interface; eliminar essa chave ou atingir a sua data de expiração invalida os tokens associados.
Ver também Link de compartilhamento e API Omniscol.
API: chaves e tokens
O acesso à API gere-se a partir da interface com dois objetos visíveis:
- Chave — criada com um rótulo e, se necessário, uma data de expiração. Esta expiração pode ser alterada mais tarde.
- Token — gerado a partir de uma chave, com uma lista de pontos de acesso à API autorizados e uma expiração própria. Esta expiração não se altera após a geração; é preciso criar um novo token.
Boa prática: uma chave por integração, com um rótulo explícito e uma expiração adaptada à necessidade. Em caso de dúvida, elimine a chave e crie uma nova.
Ver API Omniscol.
Os meus utilizadores podem usar a conta da sua empresa (SSO)?
Sim, através de OIDC / SSO, quando a configuração está ativada na conta. A Omniscol é compatível com o Google Workspace, o Microsoft Entra ID e os fornecedores OIDC genéricos.
Cada utilizador liga-se então com a sua identidade empresarial e conserva os direitos configurados na Omniscol.
Que proteções existem contra tentativas de ligação abusivas?
- As respostas de autenticação falhada são deliberadamente atrasadas.
- Os ecrãs de administração beneficiam de proteções reforçadas.
- A Omniscol não indica se o identificador existe ou não: a mensagem permanece genérica.
Ciclo de vida das contas de utilizador
- Desativação sem eliminação — uma conta desativada já não se pode ligar, mas os dados a ela associados são preservados.
- Alteração obrigatória no primeiro acesso — quando uma palavra-passe é definida manualmente, o utilizador deve alterá-la na primeira ligação.
- Reinicialização — um administrador pode desencadear uma reposição sem conhecer a palavra-passe existente.
Segurança de rede e operação
Os documentos de segurança fornecidos mediante pedido detalham o alojamento, a separação de rede, as regras de acesso aos dados e os procedimentos operacionais aplicáveis à conta em causa.
Existe um registo de auditoria?
Sim, quando a opção de registos e a retenção correspondente estão ativadas para a conta. O perímetro visível depende das operações registadas e da profundidade configurada pela Omniscol. Ver Registros de atividades (logs).
OWASP Top 10
A Omniscol aplica controlos alinhados com os riscos do OWASP Top 10: controlo de acesso, cifragem, validação das entradas, configuração segura, acompanhamento das dependências, proteção das sessões e registo. O perímetro exato pode ser detalhado nos documentos de segurança fornecidos mediante pedido.
Testes de segurança automatizados
Controlos automatizados estão integrados no processo de desenvolvimento e de implementação da Omniscol. O seu perímetro evolui com o produto; os elementos detalhados podem ser fornecidos no âmbito de segurança adequado.
Como efetuar uma cópia de segurança manual?
O botão Baixar transfere uma exportação completa da conta no formato JSON. O ficheiro deve ser conservado com cuidado: contém os hashes das palavras-passe e o conjunto dos dados pessoais.
Em caso de incidente grave, este ficheiro pode ser reenviado à equipa da Omniscol para reinjeção.
Se a opção Snapshots estiver ativada na conta, pode também automatizar a criação de pontos de cópia de segurança restauráveis. Ver Pontos de backup.
Histórico de incidentes
No recenseamento mais recente (fevereiro de 2026):
- 0 violações de dados de clientes (histórico acumulado).
- 0 incidentes de segurança em 2025.
Estes números são publicados no SECURITY_ONE_PAGER.md, documento
revisto trimestralmente.