Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Segurança no YARDtwin

Como protegemos os dados dos clientes, mantemos a plataforma disponível e cumprimos o EU GMP Annex 11, 21 CFR Part 11 e GDPR.

Pontuação 4,8/5,00 resultados de pentestResidência de dados EU/EEAConforme com GDPR

Plataforma e alojamento

O YARDtwin funciona no Microsoft Azure com computação na Noruega (East) e Suécia Central para dados, registo e segredos. Todos os dados dos clientes permanecem dentro da EU/EEA, em conformidade com os Artigos 44–49 do GDPR.

App Service (Contentor Linux) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, contentores privados
Azure Key Vault — Sweden Central, controlado por RBAC
Azure Front Door + WAF — Modo de prevenção
Log Analytics + Microsoft Sentinel — Retenção de 90 dias

Segurança de rede e transporte

Controlo	Implementação	Estado
TLS	TLS 1.3 com AES-256-GCM via Azure	Verificado
WAF	Azure Front Door WAF (modo de Prevenção)	Ativo
HSTS	max-age de 2 anos com preload	Verificado
Apenas HTTPS	Aplicado pelo App Service	Verificado
Firewall de BD	Apenas Azure + lista de permissões de IP de administrador	Verificado

Autenticação e controlo de acesso

Controlo	Implementação	Estado
Política de palavras-passe	8+ caracteres, maiúsculas, minúsculas, número, especial	Aplicado
Verificação de violação	Consulta de k-anonimato HIBP no registo / alteração	Ativo
MFA	TOTP (Google/Microsoft Authenticator)	Disponível
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Ativo
Força bruta	5 tentativas, bloqueio de 15 min (429)	Ativo
Tokens JWT	Acesso de 1 hora, renovação de 7 dias	Ativo
RBAC	8 funções com aplicação ao nível de rota	Ativo
Isolamento de tenant	Todas as consultas filtradas por tenant_id	Verificado

Proteção de dados

Controlo	Implementação	Estado
Encriptação em repouso	Azure PostgreSQL AES-256	Ativo
Encriptação em trânsito	TLS 1.3	Ativo
Hashing de palavras-passe	bcrypt (12 rondas)	Ativo
SQL parametrizado	154 consultas, 0 concatenações	Verificado
Segredos	Azure Key Vault	Ativo
Trilha de auditoria	Apenas de acréscimo, conforme com ALCOA+	Ativo

Content Security Policy

CSP restrita com nonces por pedido nos scripts (sem unsafe-inline). Conjunto completo de cabeçalhos de segurança devolvidos em cada resposta: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testes e validação

Teste de intrusão independente a 17–18 de abril de 2026 (10 categorias OWASP, 36 payloads): 0 vulnerabilidades.Testes de segurança funcional a 11 de abril de 2026, abrangendo mais de 1.890 chamadas API em 270 agendamentos: 0 falhas.Pentest anual de terceiros agendado e auditoria SOC 2 Type II em curso.

Conformidade

EU GMP Annex 11 — Integridade de dados (ALCOA+), registo de auditoria append-only, registos eletrónicos, controlo de acesso, validado
21 CFR Part 11 — Registos eletrónicos, registo de auditoria, atribuição, cadeia de custódia do selo
GDPR — Portabilidade de dados (JSON + CSV), fluxo de trabalho DSAR, rastreio de consentimento, residência exclusiva na UE/EEE
SOC 2 Type II — Auditoria em curso

Documentos e modelos

Modelo de Acordo de Processamento de Dados (DPA) — para revisão e assinatura empresarial
Política GDPR
Política de privacidade
security.txt

Divulgação responsável

Agradecemos relatórios de investigadores de segurança. Envie um e-mail para admin@yardtwin.comcom uma descrição da descoberta e os passos para reproduzi-la. Confirmamos a receção no prazo de 2 dias úteis e procuramos corrigir problemas críticos em 7 dias. Por favor, não divulgue publicamente vulnerabilidades antes de termos tido a oportunidade de as remediar.

Última atualização: abril de 2026 · yardtwin.com

Olá! Comece o seu teste gratuito em 2 minutos — eu ajudo-o a configurar tudo!