Șapte piloni. Verificați zilnic. Auditați extern. Fără compromisuri.
Parolă puternică. 2FA. Sesiuni izolate.
bcrypt cu cost factor 12 pentru parole. Zero parole stocate în clar, zero recuperare prin email (doar reset).
2FA obligatoriu pentru planul Leul de Aur, disponibil pe toate planurile. TOTP — Google Authenticator, 1Password, Authy.
Fiecare sesiune are IP, device fingerprint și timestamp. Le revezi toate în Setări → Sesiuni active. Închizi oricare, de oriunde.
Row-Level Security la nivel PostgreSQL.
Fiecare query este legat de user_id prin RLS policies. Nu există nicio cale prin care codul aplicației să poată accesa datele altui utilizator, chiar și cu un bug.
Verificat la nivel de bază de date, nu de aplicație. Dacă cineva fură credențialele unui user, nu ajunge la datele altuia.
Tenant isolation testat lunar cu un utilizator-capcană — nicio breșă în 18 luni de producție.
TLS 1.3 în tranzit. AES-256 în repaus.
Tot traficul este TLS 1.3 (HSTS preload list). Certificate gestionate de Let's Encrypt cu rotație automată la 60 de zile.
Backup-urile sunt criptate cu AES-256 și stocate în 3 regiuni UE diferite (Frankfurt, Paris, Stockholm).
Cheile de criptare sunt în Cloud HSM — FIPS 140-2 Level 3, fără acces uman direct.
Servere în UE. Frankfurt, nu Ashburn.
Supabase (PostgreSQL + Auth) în Frankfurt, Vercel Edge în UE, Upstash Redis în Irlanda. Niciun bit de date al tău nu părăsește Uniunea Europeană.
Containers efemere — niciun server cu stare care să poată fi compromis pe termen lung.
Zero acces SSH în producție. Tot accesul se face prin PR și merge, cu audit trail Git imuabil.
PSD2 prin Salt Edge. Read-only. Zero credențiale stocate.
Conectarea la bancă se face prin Salt Edge, providerul oficial PSD2 al peste 200 de bănci din UE, inclusiv toate cele românești.
Acces strict read-only — nu putem inicia tranzacții, nu putem transfera, nu putem autoriza nimic. Fizic imposibil prin API.
Token-uri OAuth rotite la 90 de zile. Le revoci oricând din Setări → Conturi conectate — instant, fără intermediar.
Alerte în 60 de secunde. Status public în timp real.
Sentry pentru erori, Better Stack pentru uptime, Cronitor pentru joburi. Alertă pe Slack + SMS în maximum 60 de secunde pentru orice incident Severity 1.
status.portivo.ro e public și actualizat în timp real. Nu ascundem incidentele — le anunțăm, le rezolvăm, le postmortem-ăm.
Postmortem public pentru orice incident > 15 minute. Ultimul: 14 martie 2026, slow queries pe Transactions (SLA restaurat în 23 min).
GDPR strict. Pen-testing anual.
GDPR compliant cu DPA semnabil la cerere pentru clienți enterprise. DPO dedicat: dpo@portivo.ro.
Servere UE (Frankfurt), criptat TLS 1.3 în tranzit și AES-256-GCM la repaus.
Pen-testing anual cu Bit Sentinel (RO). Raport disponibil sub NDA pentru planuri Enterprise.
La ora 03:47, 22 nov 2025, sistemul nostru de detectare a observat 12.400 de încercări de autentificare în 90 de secunde, de pe 340 de IP-uri din Asia de Sud-Est. Pattern clasic de credential stuffing — parole scurse de pe alte servicii, testate pe Portivo.
Sistemul a escaladat automat: rate-limiting agresiv, CAPTCHA forțat după a treia încercare, blocare IP după a cincea. Zero conturi compromise. Zero utilizatori afectați. SRE-ul a primit alerta și a monitorizat — nu a trebuit să intervină.
Am trimis email proactiv celor 180 de utilizatori ale căror conturi au fost țintite (nu compromise), cu recomandarea de a schimba parola. 94% au făcut-o în primele 48h. Postmortem-ul e public la portivo.ro/postmortems/2025-11-22.
Îți mulțumim înainte să ne-o spui. Răspundem în < 24h, hall of fame permanent, bug bounty de la 200€ la 5.000€ pentru descoperiri confirmate.
security@portivo.ro