RGPD (UE 2016/679) — bases legais, direitos do titular, notificação de violação em 72h, contratos Art. 28.º com cada subprocessador.
Hospedagem na UE — aplicação em Vercel Frankfurt, base de dados em Supabase Frankfurt. Sem trânsito de dados clínicos para fora do EEE.
Encriptação obrigatória — TLS 1.3 em trânsito, AES-256 em repouso, segredos isolados em variáveis de ambiente cifradas.
Isolamento por linha — políticas Postgres RLS em todas as tabelas com dados clínicos. O Postgres recusa-se a devolver dados que não pertencem ao utilizador autenticado.
Audit Trail imutável — cada evento sensível com hash SHA-256 encadeado ao anterior. Adulteração detetável criptograficamente.
Mecanismos fiscais portugueses — ATCUD, QR Code AT (Portaria 195/2020), SAF-T (PT) com estrutura 1.04_01. O Phlox NÃO é certificado pela AT — é mega-compatível com o software certificado que a tua instituição usa.

Construído sobre

Vercel

Hosting · UE

Supabase

Postgres · UE

Stripe

Subscrições

Cloudflare

Edge & DNS

OpenAI / Gemini

IA · sem dados clínicos persistidos

Pronto a avaliar?

Gera o contrato Art. 28.º RGPD com o NIF da tua instituição, ou ativa o plano Institucional para começar.

Gerar DPA →Ativar Institucional

Phlox

Phlox · Trust Center

Tudo o que precisas para confiar no Phlox.

Os clientes institucionais sérios pedem isto antes de assinar. Aqui está, num único sítio — sem ter de mandar email a ninguém.

99.9%

Uptime mensal

medido publicamente em /status

< 24h

Resposta a incidente de segurança crítico

CVSS ≥ 7.0

72h

Notificação de violação de dados

titular + CNPD, Art. 33.º RGPD

Residência de dados

Vercel Frankfurt + Supabase Frankfurt

Recursos

●

Estado da plataforma

Uptime e saúde dos componentes em tempo real.

🔒

Modelo de segurança

Encriptação, RLS, hospedagem na UE, backups.

⛓

Audit Trail

Cadeia SHA-256 imutável dos teus eventos sensíveis.

✏

Histórico de alterações

O que mudou e quando.

Termos de Serviço

Contrato base.

Privacidade

Como tratamos dados pessoais.

✎

DPA (Art. 28.º RGPD)

Contrato de subcontratante gerado por NIF.

⌬

SSO Empresarial

SAML/OIDC com Microsoft Entra ID, Workspace, Okta.

⌘

API pública

Chaves rotáveis com scopes e rate limit.

↗

Webhooks

Eventos assinados (HMAC-SHA256) para o teu sistema.

Compromissos legais e técnicos

RGPD (UE 2016/679) — bases legais, direitos do titular, notificação de violação em 72h, contratos Art. 28.º com cada subprocessador.
Hospedagem na UE — aplicação em Vercel Frankfurt, base de dados em Supabase Frankfurt. Sem trânsito de dados clínicos para fora do EEE.
Encriptação obrigatória — TLS 1.3 em trânsito, AES-256 em repouso, segredos isolados em variáveis de ambiente cifradas.
Isolamento por linha — políticas Postgres RLS em todas as tabelas com dados clínicos. O Postgres recusa-se a devolver dados que não pertencem ao utilizador autenticado.
Audit Trail imutável — cada evento sensível com hash SHA-256 encadeado ao anterior. Adulteração detetável criptograficamente.
Mecanismos fiscais portugueses — ATCUD, QR Code AT (Portaria 195/2020), SAF-T (PT) com estrutura 1.04_01. O Phlox NÃO é certificado pela AT — é mega-compatível com o software certificado que a tua instituição usa.