Quem tem acesso aos meus dados de vendas?

Apenas você e os membros da equipe que você explicitamente convida. Engenheiros da Boloo verificados têm acesso técnico necessário para suporte e manutenção, mas cada ação é registrada e realizada apenas por solicitação. Nós nunca vemos seus dados sem motivo.

Onde meus dados são armazenados fisicamente?

Em centros de dados certificados pela ISO 27001 na Alemanha. Isso mantém seus dados dentro da União Europeia e sob o regime de privacidade europeu rigoroso (GDPR/AVG mais a lei alemã BDSG) — não sob a Lei de Nuvem Americana ou regulamentações semelhantes.

O que acontece em caso de violação de dados?

Temos um procedimento de resposta a incidentes. Em caso de violação de dados comprovada que afeta dados pessoais, notificamos a Autoridade de Proteção de Dados dentro de 72 horas (obrigatório sob o GDPR) e informamos os usuários afetados com ações concretas.

Posso exportar ou levar meus dados?

Sim. Você tem o direito à portabilidade de dados sob o GDPR e facilitamos isso — entre em contato com o suporte e você receberá uma exportação em um formato comum (JSON, CSV).

O que acontece quando cancelo minha conta?

Seus dados serão excluídos definitivamente dentro dos prazos legais de retenção. Certos dados administrativos (como faturas) devem ser mantidos por 7 anos de acordo com a Lei de Impostos — esses estão desconectados de seu perfil e são acessíveis apenas para nossa administração.

E se eu perder meu dispositivo de 2FA?

Ao ativar 2FA, você recebe 10 códigos de recuperação — guarde-os em um local seguro (gerenciador de senhas, cópia impressa ou em uma gaveta trancada). Com um desses códigos, você pode fazer login novamente e reconfigurar 2FA. Se você não tiver mais códigos? Entre em contato com o suporte; nós então passamos por uma verificação de identidade antes de redefinir 2FA.

Vocês vendem meus dados ou os usam para anúncios?

Não. Seus dados de vendas, estoque e dados de clientes são acessíveis apenas para você e sua equipe. Nós não vendemos, alugamos ou compartilhamos dados com terceiros para fins de marketing ou perfis. O único propósito para o qual usamos seus dados é fornecer a funcionalidade da Boloo.

Como relato um problema de segurança?

Descobriu uma vulnerabilidade? Envie um e-mail para support@boloo.co com "segurança" no assunto e direcionaremos sua mensagem internamente para a equipe certa. Valorizamos relatórios responsáveis e respondemos, em princípio, dentro de um dia útil. Não explore a vulnerabilidade, não compartilhe vulnerabilidades publicamente antes que as tenhamos resolvido, e não acesse dados de outros usuários.

Segurança

Seus dados de vendas, protegidos como em um banco

Sua receita na bol.com, estoque e dados de clientes são informações comerciais sensíveis. Nesta página, você lerá exatamente como a Boloo os protege — sem jargão de marketing, apenas as medidas técnicas reais que você pode verificar.

Pergunte ao time de segurança

Autenticação resistente a phishing

Passkeys (FIDO2), autenticação de dois fatores e SSO do Google — os métodos mais modernos para fazer login sem que uma senha possa ser roubada

Criptografia em todos os níveis

AES-256 para dados armazenados, TLS 1.2+ para tráfego de dados, e hashing de padrão da indústria para senhas e segredos de 2FA

Hospedagem na Alemanha

Centros de dados certificados pela ISO 27001 dentro da EU — monitoramento 24/7 e controle de acesso rigoroso

Autenticação como deve ser

O elo mais fraco na maioria das contas online é a senha. Por isso, construímos três alternativas mais modernas — você escolhe qual usar.

Passkeys (FIDO2 / WebAuthn)

Faça login com sua impressão digital, rosto ou uma chave de hardware como um YubiKey. Uma passkey é criptograficamente vinculada ao boloo.co — mesmo uma página de phishing perfeitamente feita não pode roubar a chave. Desde 2024, o padrão da indústria recomendado pela Apple, Google e Microsoft.

Autenticação de dois fatores (2FA)

Além de sua senha, pedimos um código de 6 dígitos do seu aplicativo de autenticação (1Password, Google Authenticator, Authy). Funciona offline, é independente de SMS (que pode ser contornado por ataques de troca de SIM), e a chave secreta está criptografada em nossos servidores.

SSO do Google

Use sua conta do Google existente para fazer login — o Google lida com a verificação de identidade. Você também pode ativar 2FA em cima do Google para uma camada extra.

Segurança de login em nível de API

Nossos endpoints de login são ativamente protegidos contra ataques de força bruta, e se comportam da mesma forma para contas existentes e não existentes — um atacante não pode ler se um endereço de e-mail é conhecido por nós através dos tempos de resposta.

Criptografia de dados, em cada camada

Criptografia só é valiosa se for aplicada consistentemente em todos os lugares. Por isso, cobrimos cada camada:

Em repouso — AES-256

Arquivos em nosso armazenamento são criptografados com AES-256, o mesmo algoritmo usado pelo governo americano para documentos ultrassecretos.

Em trânsito — TLS 1.2+

Todo o tráfego entre seu navegador e nossos servidores ocorre sobre HTTPS com conjuntos de cifras modernos. Sem suporte a TLS 1.0/1.1 obsoleto, sem fallbacks não criptografados.

Senhas são armazenadas de forma ilegível

Senhas nunca são armazenadas como texto puro. Usamos um pipeline de hash de padrão da indústria que é intencionalmente lento, para que ataques de força bruta em hashes roubados sejam inviáveis. Mesmo nossos próprios engenheiros não podem ler sua senha.

Segredos de 2FA criptografados em repouso

A chave secreta usada pelo seu aplicativo de autenticação é criptografada e armazenada em nossa base de dados com uma combinação validada de criptografia simétrica e autenticação. Um dump de banco de dados não produzirá códigos de 2FA funcionais.

Códigos de recuperação visíveis apenas uma vez

Os 10 códigos de recuperação que você recebe ao ativar 2FA são criptografados e armazenados imediatamente após serem exibidos. Nós apenas vemos os códigos uma vez — depois disso, apenas a versão criptografada.

Infraestrutura confiável

Nós não construímos nossos próprios centros de dados. Usamos os melhores — e garantimos que nossa configuração não comprometa o perfil de segurança deles.

Hospedagem dentro da União Europeia

Nossos servidores estão em centros de dados na Alemanha. Isso mantém seus dados de vendas sob a lei europeia — incluindo o GDPR/AVG, a lei alemã BDSG e os requisitos rigorosos que a EU impõe ao processamento de dados. Não sob a Lei de Nuvem Americana ou leis semelhantes.

Certificado ISO 27001

Nosso parceiro de hospedagem é certificado de acordo com a ISO 27001 (segurança da informação), ISO 27017 (controles específicos de nuvem) e ISO 27018 (proteção de dados pessoais). Auditores independentes verificam essas certificações anualmente.

Controle de acesso rigoroso

Apenas um grupo limitado de membros da equipe verificados tem acesso a sistemas de produção, e apenas quando necessário para suporte ou manutenção. Sem contas compartilhadas, sem planilhas de senhas.

Monitoramento de falhas 24/7

Uma plataforma de monitoramento de padrão da indústria monitora cada solicitação e cada tarefa em segundo plano. Qualquer desvio, erro ou padrão suspeito dispara um alerta dentro de segundos — geralmente vemos problemas antes que você os experimente.

Privacidade e conformidade

Segurança não é apenas sobre manter hackers fora. É também sobre o que fazemos e não fazemos com seus dados. A explicação completa está em nossa declaração de privacidade.

Conformidade com o GDPR/AVG

Totalmente conforme com o Regulamento Geral de Proteção de Dados. Você tem o direito de acesso, retificação, exclusão, limitação e portabilidade de dados — configurado em nossos processos e detalhado em nossa declaração de privacidade.

Os dados são seus

Nunca vendemos seus dados a terceiros para anúncios, perfis ou qualquer outro propósito. Seus dados de vendas são usados apenas para fornecer a funcionalidade da Boloo.

Processamento mínimo de dados

Armazenamos apenas o que precisamos para ajudá-lo a vender com sucesso na bol.com. Sem rastreamento oculto, sem perfis não solicitados.

Exclusão por solicitação

Quer cancelar sua conta? Seus dados serão excluídos definitivamente dentro dos prazos legais — não "arquivados" ou "anonimizados" com um ID rastreável.

Perguntas frequentes

Declaração de privacidade — como processamos dados pessoais sob o GDPR/AVG.
Termos gerais — os acordos que se aplicam entre você e a Boloo.
Contato — perguntas sobre nossas medidas de segurança ou relatar uma vulnerabilidade.