FAQ — Segurança e alojamento

Esta página resume os pontos mais frequentes em matéria de segurança e alojamento. Para uma descrição exaustiva, a Omniscol fornece, mediante pedido (ou sob NDA, consoante os casos), os documentos oficiais:

  • SECURITY_OVERVIEW.md — visão geral pública,
  • SECURITY_ONE_PAGER.md — síntese para CISO,
  • SECURITY_FULL.md — documentação completa (governança, infraestrutura, controlos, conformidade, resposta a incidentes),
  • ISO27001_MAPPING.md — mapeamento para os controlos ISO 27001,
  • SSI_QUESTIONNAIRE_STANDARD.md — respostas ao questionário de segurança da informação padrão.

Para qualquer questão de segurança: security@omniscol.com.

Onde estão alojados os meus dados?

As menções legais indicam um alojamento na União Europeia, na AWS Paris e na Scaleway. Os compromissos precisos de redundância, cópia de segurança, retenção e disponibilidade dependem do quadro contratual aplicável à sua conta.

A Omniscol está em conformidade com o RGPD?

A Omniscol foi concebida para uma utilização conforme ao RGPD. Consequências práticas:

  • Alojamento exclusivo na UE (França).
  • Isolamento lógico por cliente: nenhum acesso cruzado é possível entre contas.
  • Nenhuma definição de perfil, nenhuma revenda de dados, nenhuma utilização secundária dos conteúdos da sua escola.
  • Reversibilidade: exportação completa em JSON a partir de Baixar.
  • Tratamento dos pedidos dos titulares dos dados de acordo com o quadro contratual e regulamentar aplicável.

A Omniscol é certificada ISO 27001?

Não é certificada até à data, mas as práticas estão alinhadas com os princípios do referencial e seguem uma abordagem baseada nos riscos e continuamente revista. O detalhe dos controlos pode ser fornecido no âmbito do quadro contratual ou de segurança adequado.

Como são protegidas as palavras-passe?

A Omniscol protege as palavras-passe da seguinte forma:

  • Pré-cálculo do hash do lado do cliente com scrypt — a sua palavra-passe em texto simples nunca chega aos servidores.
  • Armazenamento no servidor sob a forma de hash com sal.
  • Nenhuma palavra-passe em texto simples é alguma vez transmitida ou armazenada.
  • Nenhum administrador Omniscol pode ler, recuperar ou obter uma palavra-passe de utilizador.

Em caso de dúvida sobre o comprometimento de uma conta, a alteração da palavra-passe invalida os acessos derivados que dependem deste segredo, nomeadamente as ligações de partilha associadas à palavra-passe de quem as criou.

As comunicações são cifradas?

Os acessos aplicacionais públicos passam por HTTPS. A configuração de exposição na rede depende da implementação escolhida e deve ser verificada no âmbito de segurança ou contratual da conta em causa.

Como funciona a autenticação?

As sessões Omniscol utilizam tokens assinados com um tempo de vida limitado; o acesso é renovado enquanto o utilizador trabalha na interface.

As ligações de partilha e os tokens de API seguem regras separadas:

  • uma ligação de partilha pode ter uma data de expiração e depende também da conta que a criou; alterar a palavra-passe dessa conta ou desativá-la invalida os acessos em causa;
  • um token de API depende de uma chave criada na interface; eliminar essa chave ou atingir a sua data de expiração invalida os tokens associados.

Ver também Link de compartilhamento e API Omniscol.

API: chaves e tokens

O acesso à API gere-se a partir da interface com dois objetos visíveis:

  1. Chave — criada com um rótulo e, se necessário, uma data de expiração. Esta expiração pode ser alterada mais tarde.
  2. Token — gerado a partir de uma chave, com uma lista de pontos de acesso à API autorizados e uma expiração própria. Esta expiração não se altera após a geração; é preciso criar um novo token.

Boa prática: uma chave por integração, com um rótulo explícito e uma expiração adaptada à necessidade. Em caso de dúvida, elimine a chave e crie uma nova.

Ver API Omniscol.

Os meus utilizadores podem usar a conta da sua empresa (SSO)?

Sim, através de OIDC / SSO, quando a configuração está ativada na conta. A Omniscol é compatível com o Google Workspace, o Microsoft Entra ID e os fornecedores OIDC genéricos.

Cada utilizador liga-se então com a sua identidade empresarial e conserva os direitos configurados na Omniscol.

Que proteções existem contra tentativas de ligação abusivas?

  • As respostas de autenticação falhada são deliberadamente atrasadas.
  • Os ecrãs de administração beneficiam de proteções reforçadas.
  • A Omniscol não indica se o identificador existe ou não: a mensagem permanece genérica.

Ciclo de vida das contas de utilizador

  • Desativação sem eliminação — uma conta desativada já não se pode ligar, mas os dados a ela associados são preservados.
  • Alteração obrigatória no primeiro acesso — quando uma palavra-passe é definida manualmente, o utilizador deve alterá-la na primeira ligação.
  • Reinicialização — um administrador pode desencadear uma reposição sem conhecer a palavra-passe existente.

Segurança de rede e operação

Os documentos de segurança fornecidos mediante pedido detalham o alojamento, a separação de rede, as regras de acesso aos dados e os procedimentos operacionais aplicáveis à conta em causa.

Existe um registo de auditoria?

Sim, quando a opção de registos e a retenção correspondente estão ativadas para a conta. O perímetro visível depende das operações registadas e da profundidade configurada pela Omniscol. Ver Registros de atividades (logs).

OWASP Top 10

A Omniscol aplica controlos alinhados com os riscos do OWASP Top 10: controlo de acesso, cifragem, validação das entradas, configuração segura, acompanhamento das dependências, proteção das sessões e registo. O perímetro exato pode ser detalhado nos documentos de segurança fornecidos mediante pedido.

Testes de segurança automatizados

Controlos automatizados estão integrados no processo de desenvolvimento e de implementação da Omniscol. O seu perímetro evolui com o produto; os elementos detalhados podem ser fornecidos no âmbito de segurança adequado.

Como efetuar uma cópia de segurança manual?

O botão Baixar transfere uma exportação completa da conta no formato JSON. O ficheiro deve ser conservado com cuidado: contém os hashes das palavras-passe e o conjunto dos dados pessoais.

Em caso de incidente grave, este ficheiro pode ser reenviado à equipa da Omniscol para reinjeção.

Se a opção Snapshots estiver ativada na conta, pode também automatizar a criação de pontos de cópia de segurança restauráveis. Ver Pontos de backup.

Histórico de incidentes

No recenseamento mais recente (fevereiro de 2026):

  • 0 violações de dados de clientes (histórico acumulado).
  • 0 incidentes de segurança em 2025.

Estes números são publicados no SECURITY_ONE_PAGER.md, documento revisto trimestralmente.

See also