As partes chatas, bem feitas.
Residência UE, isolamento Firecracker por preview, TLS 1.3 + AES-256, opt-out de treino por defeito, propriedade total do código. Os detalhes em baixo — escritos para que um questionário de segurança tenha respostas sem precisar de chamada.
Como a VULK está construída, em seis pilares.
Residência de dados
A base de dados de produção é PostgreSQL 16 alojado em AWS RDS eu-central-1 (Frankfurt). Servidores aplicacionais na UE. Ativos estáticos distribuídos por CDN. Nenhum registo de cliente sai da UE sem um DPA addendum explícito.
- ▸Base de dados: AWS RDS eu-central-1 (Frankfurt)
- ▸Servidores aplicacionais: AWS Frankfurt (eu-central-1)
- ▸CDN: Cloudflare global edge (apenas HTTPS)
Isolamento de geração
Cada preview ao vivo corre em microVM Firecracker dedicada, com kernel, rootfs e namespace de rede próprios. Um projeto não pode ler ou afetar a árvore de processos, filesystem ou rede de outro. As VMs são destruídas no fim da sessão — sem estado persistente partilhado.
- ▸MicroVM Firecracker por preview
- ▸Namespace de rede + filtro iptables de saída
- ▸Rootfs efémero, destruído ao terminar sessão
Encriptação
TLS 1.3 em trânsito em todo o lado. AES-256 em repouso no RDS e em R2 / S3. Segredos de cliente em keychain (env vars do lado da aplicação, nunca registados nem devolvidos em respostas API). Payloads de webhook assinados com HMAC.
- ▸TLS 1.3 (apenas HTTPS)
- ▸AES-256 em repouso (RDS, R2, S3)
- ▸Segredos nunca registados nem ecoados
Política de providers de IA
Encaminhamos via OpenRouter para Anthropic, Google, OpenAI e outros. Preferimos provider routes com no-training ou zero-retention quando disponíveis. O opt-out de dados de treino da VULK está incluído em Max e Business; clientes BYOM podem impor a política diretamente com as suas próprias chaves.
- ▸Zero-retention por defeito nos modelos roteados
- ▸Opt-out de treino em Max e Business
- ▸BYOK (chave própria) no Business
Autenticação
A autenticação usa NextAuth com PKCE. Ligação ao Stripe Customer só do lado do servidor. MFA opcional, SSO via SAML / OIDC no Business, com entrega de audit log para o teu SIEM.
- ▸NextAuth (PKCE, cookies secure-only)
- ▸MFA opcional via TOTP
- ▸SSO SAML / OIDC no Business
Propriedade do código
Cada projeto é teu código. Exportas para GitHub ou ZIP; corres na tua infra; cancelas amanhã e as apps que fizeste continuam a funcionar. Não temos licença sobre o teu output, e não há runtime dependente de subscrição SaaS.
- ▸Export completo (GitHub ou ZIP)
- ▸Sem runtime proprietário
- ▸Licenciável MIT à tua escolha
Como tratamos da conformidade.
O que fazemos hoje — direto, sem certificações que não temos.
- RGPDConformeA VULK é o controlador de dados. DPA disponível mediante pedido. Sub-processadores divulgados e notificados em caso de mudança.
- Acordo de Tratamento de DadosDisponívelEnviado gratuitamente em Pro e Business. Termos Enterprise revistos em 5 dias úteis.
- PCI-DSSN/A — Stripe trata dos cartõesOs dados de cartão nunca tocam nos servidores VULK. Stripe Checkout / Elements trata de todo o âmbito PCI.
Quem mais toca nos teus dados.
Somos obrigados a divulgar cada serviço externo que possa processar os teus dados. Notificação em caso de mudança faz parte do DPA.
| Serviço | Finalidade | Região |
|---|---|---|
| AWS (RDS, S3) | Base de dados + armazenamento | eu-central-1 (Frankfurt) |
| Cloudflare | CDN, DNS, armazenamento R2, deploy | Edge global |
| Stripe | Faturação + processamento de pagamentos | UE + EUA (PCI-compliant) |
| Resend | Email transacional | UE |
| OpenRouter | Routing de modelos de IA | Global (provider routing zero-retention) |
| Sentry | Monitorização de erros | UE |
Encontraste uma vulnerabilidade? Diz-nos primeiro.
Aceitamos disclosure responsável. Email para security@vulk.dev com passos de reprodução, comportamento esperado vs. observado, e qualquer avaliação de severidade tipo CVSS. Confirmamos em 24 horas e fazemos triagem em 72. Não exigimos NDA para falar com investigadores.
Pagamentos de bounty avaliados caso a caso pelo impacto. Crédito público (ou anónimo, à tua escolha) oferecido no changelog.
Última revisão: April 30, 2026