Política de privacidade
Última atualização: 2026-04-18
Esta página explica que dados pessoais recolhemos, porque os recolhemos, quanto tempo os guardamos e que direitos tens. Procuramos linguagem clara — sem juridiquês.
Quem somos
Este serviço é operado por pingtoren. Para qualquer questão relacionada com privacidade, escreve para:
Contacto: privacy@pingtoren.com
Dados que tratamos
Só recolhemos o estritamente necessário para operar o serviço:
- Informação de conta — o teu endereço de e-mail e um hash unidirecional da palavra-passe. Se escolheres entrar com o GitHub, guardamos também o teu username do GitHub, o e-mail principal verificado, o nome a exibir e o URL do avatar, importados com a tua autorização explícita no ecrã de consentimento do GitHub.
- Conteúdo do serviço — os URLs, nomes, horários, destinatários de alertas e definições dos monitors que criares.
- Dados operacionais — os resultados de cada verificação que corremos por ti (estado, tempo de resposta, erro se houver), incidentes e estatísticas diárias agregadas.
- Metadados técnicos — endereço IP do pedido e user agent, guardados em registos de servidor de curta duração para segurança e diagnóstico.
Porquê tratamos os dados e com que fundamento legal
Cada finalidade tem um único fundamento legal ao abrigo do artigo 6.º do RGPD:
- Prestar o serviço de monitorização (correr verificações, enviar alertas, mostrar os teus dados).Execução de contrato — artigo 6.º, n.º 1, alínea b).
- Manter o serviço seguro e prevenir abusos (limites de tráfego, fraude, proteção da conta).Interesse legítimo — artigo 6.º, n.º 1, alínea f).
- Diagnosticar erros e manter a fiabilidade (registos de servidor).Interesse legítimo — artigo 6.º, n.º 1, alínea f).
- Cumprir obrigações legais (ex.: responder a pedidos de autoridades).Obrigação legal — artigo 6.º, n.º 1, alínea c).
Quem recebe os teus dados
Os teus dados são tratados por nós e por um pequeno conjunto de prestadores de serviços que agem sob as nossas instruções:
- AWS Europe S.à r.l. (Luxemburgo) — o nosso fornecedor de infraestrutura na cloud. Usamo-lo para alojamento, início de sessão, armazenamento de dados e envio de notificações por e-mail. Tudo corre em Frankfurt. Outras regiões só correm as tuas verificações se as ativares explicitamente — detalhes na secção Infraestrutura abaixo.
- Plausible Insights OÜ (Estónia) — analítica web respeitadora da privacidade. Detalhes na secção Analítica abaixo.
- GitHub, Inc. (Estados Unidos) — apenas se escolheres entrar com a tua conta GitHub. Lemos o teu username, o e-mail principal verificado, o nome a exibir e o URL do avatar para te autenticarmos. A GitHub, Inc. está certificada ao abrigo do EU–US Data Privacy Framework, que cobre esta transferência.
Onde ficam os dados e transferências internacionais
Todos os dados de conta, de monitors e operacionais são armazenados no Espaço Económico Europeu (Frankfurt, Alemanha).
Por defeito, não transferimos dados para fora do EEE. Duas coisas podem mudar isso, ambas sob o teu controlo explícito: entrares com o GitHub (a tua entrada chega à GitHub, Inc. nos EUA, coberta pela certificação EU–US Data Privacy Framework do GitHub) e ligares verificações de monitorização em regiões fora da UE. O quadro completo está na secção Infraestrutura abaixo.
Infraestrutura e residência dos dados
Onde vivem os teus dados
A tua conta, os teus monitors, os resultados das verificações que recolhemos para ti e o histórico de incidentes estão armazenados num único sítio: Frankfurt, Alemanha. Nenhuma outra região tem cópia dos teus dados.
Os dados em repouso são cifrados com AES-256, usando uma chave de cifragem detida e controlada por nós — rotacionada no nosso calendário, auditável em cada utilização e revogável à vontade. Os dados em trânsito circulam sempre sobre HTTPS com TLS moderno (1.2 ou superior).
Monitorização a partir de outras regiões
Quando configuras um monitor para correr verificações a partir dos EUA ou da Ásia-Pacífico, a verificação corre nessa região e o resultado fica registado em Frankfurt. Durante cada verificação, as definições do monitor que indicaste — URL alvo, método HTTP, cabeçalhos, corpo do pedido e credenciais de autenticação básica, se as usares — são usadas nessa região apenas para correr essa verificação e descartadas no fim. Nada dos teus dados fica fora de Frankfurt.
Monitors novos correm apenas a partir da Europa. Regiões adicionais só são acrescentadas quando as ligares explicitamente, monitor a monitor.
- Europa — Frankfurt e Irlanda
- EUA — Virgínia do Norte e Oregon
- Ásia-Pacífico — Singapura e Tóquio
Entidade contratante e salvaguardas para transferências
A nossa infraestrutura de cloud é operada por contrato com a AWS Europe S.à r.l. (Luxemburgo), regido pelo AWS EU Data Processing Addendum com Cláusulas Contratuais Tipo. Se entrares com o GitHub, a autenticação é tratada pela GitHub, Inc. (EUA), coberta pela sua certificação EU–US Data Privacy Framework.
Soberania dos dados e US CLOUD Act
O nosso fornecedor de infraestrutura tem uma empresa-mãe nos EUA (Amazon.com, Inc.), o que significa que as suas subsidiárias estrangeiras estão sujeitas à lei norte-americana, incluindo o CLOUD Act. Desenhámos o serviço à volta dessa realidade:
- Os teus dados nunca saem da Europa. Frankfurt é o único sítio onde vivem — não replicamos, não metemos em cache, nem fazemos cópias de segurança noutro lado.
- Tudo em repouso é cifrado com uma chave que detemos e controlamos. Rotacionamo-la, auditamos o seu uso e podemos invalidá-la se for necessário.
- Só recolhemos os dados pessoais realmente necessários para o serviço funcionar. Sem profiling, sem identificadores publicitários, sem tracking comportamental.
Se operas num setor regulado, no setor público ou num contexto de infraestrutura crítica onde precisas de uma postura totalmente soberana na UE, podemos avaliar um deployment dedicado num fornecedor de cloud europeu (por exemplo, Hetzner ou Scaleway) em base contratual. Escreve para privacy@pingtoren.com para conversarmos.
Quanto tempo guardamos os teus dados
Guardamos os dados apenas enquanto forem necessários para a finalidade:
- Conta (e-mail, hash da palavra-passe, perfil) — até eliminares a conta.
- Configurações de monitors e incidentes — até eliminares o monitor ou a conta.
- Resultados brutos das verificações — 7 dias (rolantes).
- Estatísticas diárias agregadas — 400 dias.
- Registos de pedidos ao servidor — 14 dias.
Os teus direitos
Ao abrigo do RGPD tens os seguintes direitos sobre os teus dados pessoais:
- Acesso — obter uma cópia dos dados que temos sobre ti.
- Retificação — corrigir dados inexatos.
- Apagamento («direito ao esquecimento») — pedir-nos que eliminemos os teus dados.
- Limitação — restringir como tratamos os teus dados.
- Portabilidade — receber os teus dados num formato legível por máquina.
- Oposição — opor-te ao tratamento baseado em interesse legítimo.
- Retirar o consentimento — a qualquer momento, para o que quer que dependa de consentimento.
Para exerceres qualquer um destes direitos, escreve para privacy@pingtoren.com. Respondemos em 30 dias.
Se achares que tratámos mal os teus dados, podes apresentar queixa à autoridade nacional de proteção de dados — em Portugal, a CNPD. A lista das autoridades da UE/EEE está disponível em edpb.europa.eu.
Cookies
Não usamos cookies nossos. A aplicação corre como uma single-page web app sem cookies de tracking e sem scripts de publicidade. O nosso fornecedor de analítica (ver secção Analítica abaixo) não usa cookies por desenho. Durante uma entrada com GitHub, pode ser definida uma cookie de sessão de curta duração pelo endpoint de autenticação, no seu próprio subdomínio; é estritamente necessária para completar o redirecionamento OAuth e não escoa para o domínio da aplicação.
Não mostramos banner de cookies porque não definimos cookies que exijam consentimento ao abrigo do RGPD ou da Diretiva ePrivacy.
Analítica
Para sabermos que páginas são visitadas e como o tráfego evolui, usamos o Plausible — uma ferramenta de analítica web respeitadora da privacidade, sem cookies, operada pela Plausible Insights OÜ (Estónia) em infraestrutura da UE. Dá-nos apenas contagens agregadas; não usa cookies, não recolhe dados pessoais nem identifica visitantes. Por isso, não é exigido banner de consentimento ao abrigo do RGPD ou da Diretiva ePrivacy.
Qualquer bloqueador de tracking no navegador (incluindo os integrados no Firefox, Brave e Safari) vai bloquear o Plausible como a qualquer outro script de terceiros. O site continua a funcionar normalmente.
Armazenamento no navegador
Usamos armazenamento no navegador para alguns itens necessários ao funcionamento do serviço. Ao abrigo da ePrivacy e do RGPD estão isentos de consentimento ("estritamente necessários" ou preferências iniciadas pelo utilizador):
- Tokens de sessão — mantêm-te com sessão iniciada e renovam-na automaticamente. Apagados ao terminar sessão.
- Preferências de apresentação — o idioma escolhido, o fuso horário e o tema claro/escuro.
- Código de segurança de início de sessão — de curta duração, definido apenas durante uma tentativa de entrada com GitHub e apagado quando regressas.
Segurança
Os dados são cifrados em trânsito (HTTPS/TLS) e em repouso com uma chave que detemos e controlamos. O acesso aos sistemas de produção é muito restrito e está em registo de auditoria. As palavras-passe são guardadas apenas como hashes unidirecionais — nunca as vemos. Seguimos práticas modernas de segurança e continuamos a endurecer o serviço à medida que as ameaças evoluem.
Crianças
Este serviço não se destina a crianças com menos de 16 anos. Não recolhemos conscientemente dados pessoais de crianças. Se achares que uma criança se registou, escreve para privacy@pingtoren.com e eliminaremos a conta.
Alterações a esta política
Podemos atualizar esta política quando as nossas práticas mudarem. A data «Última atualização» no topo reflete a alteração mais recente. Alterações materiais (ex.: novo subcontratante ou nova finalidade de recolha) serão comunicadas no próprio serviço, não apenas aqui.
Contacto
Para qualquer questão, pedido ou queixa em matéria de privacidade, escreve para: