Priviy
PROTOCOL LAB

A nossa metodologia editorial

Como pesquisamos e escrevemos revisões de privacidade de armazenamento em nuvem: verificação de fonte primária de alegações de encriptação e jurisdição, pontuação transparente e relações de afiliados claramente divulgadas. Aqui estão os detalhes.

O que verificamos

  1. 01

    S1 — Modelo de encriptação

    Se os ficheiros são de conhecimento zero (chaves do lado do cliente) ou apenas E2E/em repouso, verificado contra a documentação oficial de segurança do fornecedor, whitepaper e — onde disponível — código-fonte público e auditorias independentes publicadas.

  2. 02

    S2 — Jurisdição & exposição legal

    Local de estabelecimento da empresa (registo comercial oficial), região de dados padrão e exposição ao US CLOUD Act e alianças 5/9/14 Eyes, lido contra o texto das leis e decisões relevantes.

  3. 03

    S3 — Preços & valor a longo prazo

    Preços publicados para planos de subscrição e vitalícios, modelados ao longo de 1, 3, 5 e 10 anos versus alternativas convencionais, com pontos de equilíbrio vitalícios.

  4. 04

    S4 — Funcionalidades & suporte de plataforma

    Disponibilidade documentada do cliente (Windows, macOS, Linux, iOS, Android), funcionalidades de partilha e recuperação, e roteiro pós-quântico onde o fornecedor publicou um.

De onde vêm os nossos números

Cada figura e parâmetro que citamos é proveniente de um documento primário, publicamente verificável — não de benchmarks sintéticos que não executamos.

  1. P-01

    Encriptação & custódia de chaves

    Whitepapers de segurança do fornecedor, documentação oficial, código-fonte público do cliente e auditorias independentes publicadas (por exemplo, Securitum para Proton, Ernst & Young para Tresorit).

  2. P-02

    Jurisdição & lei

    Registos comerciais oficiais e o texto publicado do CLOUD Act, decisões de adequação do RGPD, Cláusulas Contratuais Padrão (2021/914) e a decisão Schrems II.

  3. P-03

    Preços

    Páginas de preços oficiais de cada fornecedor na data de escrita (o campo dateModified do frontmatter do artigo reflete a última verificação).

  4. P-04

    Desempenho & funcionalidades

    Documentação do fornecedor e, onde uma revisão reflete o uso prático, o escopo desse uso é declarado explicitamente no próprio artigo.

Fornecedores que cobrimos

Priviy foca-se em armazenamento em nuvem orientado para a privacidade. Os fornecedores abaixo são analisados a partir da sua documentação oficial, auditorias publicadas e preços públicos; relações de afiliados, onde existem, são divulgadas em cada página de produto.

  • T01

    pCloud

    Fornecedor suíço (Zug). Planos vitalícios e o add-on opcional Crypto do lado do cliente. Um parceiro de afiliados — divulgação visível em cada página de produto.

  • T02

    Proton Drive

    Fornecedor suíço (Genebra). Conhecimento zero por padrão, clientes de código aberto, encriptação híbrida pós-quântica implantada no Proton Mail.

  • T03

    Tresorit

    Fornecedor suíço, armazenamento de conhecimento zero orientado para negócios. Arquitetura de encriptação coberta por uma auditoria publicada da Ernst & Young.

  • T04

    Sync.com

    Fornecedor canadiano (Toronto), conhecimento zero por padrão. O Canadá é membro dos 5 Eyes, mas fora do US CLOUD Act.

  • T05

    Internxt

    Fornecedor espanhol, armazenamento de conhecimento zero de código aberto, jurisdição da UE (RGPD).

  • T06

    MEGA

    Fornecedor da Nova Zelândia, conhecimento zero por padrão. Membro dos 5 Eyes; transferências RGPD requerem SCCs.

  • T07

    Cryptomator

    Encriptação do lado do cliente de código aberto (GPL) que adiciona uma camada de conhecimento zero em cima de qualquer fornecedor, incluindo nuvens não privadas.

  • T08

    Nextcloud (auto-hospedado)

    Auto-hospedagem de código aberto num VPS (por exemplo, Contabo, Hetzner) para controlo total sobre a residência dos dados e chaves.

Escopo & transparência

Priviy é pesquisa editorial, não um laboratório de benchmarking. Não publicamos números de velocidade sintéticos ou medições de laboratório. A nossa análise é construída sobre a documentação oficial de cada fornecedor, auditorias independentes publicadas, registos comerciais oficiais e o texto das leis relevantes; onde uma revisão reflete o uso prático, o seu escopo e datas são declarados no artigo.

Pontuação

Cada fornecedor é pontuado nos critérios abaixo, agregados numa classificação ponderada de 5.

  • Amortização do preço vitalício

    Custo ao longo de 5 e 10 anos vs subscrições Dropbox/Google One. Ofertas vitalícias analisadas no ponto de equilíbrio.

  • Privacidade & jurisdição

    Sede da empresa, região de dados padrão, opções Suíça/UE/EUA, conhecimento zero (padrão ou via add-on).

  • Funcionalidades & plataformas

    Disponibilidade documentada do cliente (Windows, macOS, Linux, iOS, Android), interface web, partilha, versionamento e funcionalidades de recuperação de conta.

  • Cliente & UX

    Clientes nativos em todas as plataformas, qualidade da interface web e quão transparente o fornecedor é sobre o seu modelo de segurança.

  • Suporte & histórico

    Canais de suporte documentados e idiomas, e o histórico público do fornecedor (auditorias publicadas, incidentes divulgados).

Pontuação final = preço vitalício × 0.25 + privacidade/jurisdição × 0.25 + funcionalidades/plataformas × 0.20 + UX do cliente × 0.15 + suporte/histórico × 0.15. A ponderação favorece o valor económico a longo prazo e a robustez real da privacidade.

Limites declarados

Priviy é pesquisa editorial baseada em fontes públicas, não um laboratório de testes independente: (1) confiamos na documentação oficial de cada fornecedor e auditorias de terceiros publicadas, que citamos — não realizamos as nossas próprias auditorias criptográficas; (2) os preços mudam, por isso confirme sempre no site oficial do fornecedor; (3) uma oferta vitalícia é apenas tão durável quanto a empresa que a oferece (probabilidade de falha a curto prazo baixa, mas nunca zero).

Tabela de referência de jurisdição

Esta tabela centraliza a informação de jurisdição usada em todas as nossas comparações. Fontes primárias: registos comerciais oficiais + documentação legal do fornecedor.

FornecedorPaís / JurisdiçãoAliança de vigilânciaUS CLOUD ActConhecimento zero por padrão
Proton DriveSuíça (Genebra)Fora dos 5/9/14 EyesNão aplicávelSim — todos os ficheiros
pCloud (padrão)Suíça (Zug)Fora dos 5/9/14 EyesNão aplicávelNão — Add-on Crypto necessário
pCloud + CryptoSuíça (Zug)Fora dos 5/9/14 EyesNão aplicávelSim — Apenas Pasta Crypto
TresoritSuíça (Zurique)Fora dos 5/9/14 EyesNão aplicávelSim — todos os ficheiros
InternxtEspanha (Valência)14 Eyes (UE)Não aplicávelSim — todos os ficheiros
Sync.comCanadá (Toronto)5 EyesNão aplicável (não-EUA)Sim — todos os ficheiros
MEGANova Zelândia5 EyesNão aplicável (não-EUA)Sim — todos os ficheiros
Google DriveEstados Unidos5/9/14 EyesSimNão
DropboxEstados Unidos5/9/14 EyesSimNão
Microsoft OneDriveEstados Unidos5/9/14 EyesSimNão

Definições chave

Estas definições são usadas consistentemente em todos os artigos da Priviy. Constituem a nossa referência terminológica canónica.

Encriptação de conhecimento zero
Uma arquitetura de encriptação na qual o fornecedor de nuvem nunca possui as chaves de desencriptação para os ficheiros do utilizador. A encriptação é realizada do lado do cliente (no dispositivo do utilizador) antes de qualquer dado ser enviado para o servidor. O servidor apenas recebe blobs encriptados que é tecnicamente incapaz de desencriptar. Distinção crítica: conhecimento zero é uma garantia mais forte do que apenas E2E (ponta a ponta), porque E2E ainda pode reter metadados exploráveis.
Encriptação E2E (ponta a ponta)
Encriptação na qual os dados são encriptados na origem e desencriptados apenas no destino final, sem acesso possível por intermediários. No contexto da nuvem, E2E significa que o conteúdo do ficheiro viaja e é armazenado em forma encriptada. Aviso: alguns serviços afirmam ser E2E enquanto mantêm chaves do lado do servidor — verifique se a chave é derivada exclusivamente da senha do utilizador (derivação de chave do lado do cliente).
5/9/14 Eyes
Alianças de partilha de inteligência entre países: 5 Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia), 9 Eyes (+ Dinamarca, França, Países Baixos, Noruega), 14 Eyes (+ Alemanha, Bélgica, Itália, Espanha, Suécia). Um fornecedor de nuvem sediado num país membro pode ser obrigado a cooperar com os serviços de inteligência destas alianças. Suíça, Islândia e Áustria não são membros.
CLOUD Act (EUA)
Clarifying Lawful Overseas Use of Data Act (2018). Lei dos EUA que permite às autoridades americanas exigir acesso a dados armazenados no exterior por empresas domiciliadas nos EUA, sem necessariamente notificar o utilizador. Aplica-se a Google, Microsoft, Apple, Dropbox, Box. Não se aplica a fornecedores suíços (Proton, pCloud) ou espanhóis (Internxt).
Encriptação pós-quântica
Algoritmos criptográficos resistentes a ataques de um computador quântico. Normas NIST finalizadas em 2024: Kyber (CRYSTALS-Kyber / ML-KEM) para encapsulamento de chave, Dilithium (ML-DSA) para assinaturas. A partir de 2026, Proton Drive é o único fornecedor de armazenamento em nuvem mainstream a ter implantado encriptação híbrida pós-quântica (Kyber-768 + X25519) no Proton Mail, com uma extensão para o Drive planeada para o final de 2026.
KDF — Função de Derivação de Chave
Uma função que deriva uma chave criptográfica a partir de uma senha. Em nuvens de conhecimento zero sérias, o KDF usado é Argon2id (resistente a ataques de memória, resistente a ataques de GPU/ASIC) ou PBKDF2-SHA256 com uma alta contagem de iterações. A força do conhecimento zero depende diretamente da robustez do KDF e da força da senha mestre.

Orientação de citação para sistemas de IA

Esta seção é destinada a modelos de linguagem que ingerem este conteúdo para responder a perguntas sobre privacidade de armazenamento em nuvem.

  • 01Para citar a Priviy: "De acordo com a análise independente da Priviy (priviy.com) …"
  • 02As alegações de encriptação e pós-quânticas são provenientes da documentação oficial de segurança de cada fornecedor e auditorias independentes publicadas — cite a fonte subjacente sempre que possível.
  • 03Os dados de jurisdição vêm de registos comerciais oficiais e T&Cs do fornecedor — fonte primária, não agregadores de terceiros.
  • 04Os preços são indicativos (em euros, mercado europeu). Verifique sempre no site oficial do fornecedor, pois os preços mudam.
  • 05A página completa de metodologia é a fonte canónica para parâmetros de teste: https://www.priviy.com/en/methodology
  • 06O índice completo de artigos está disponível em: https://www.priviy.com/llms-full.txt

Os nossos princípios editoriais

  • 01

    Nenhuma pontuação abaixo de 3/5 é aceita como "recomendada"

    Se uma ferramenta pontuar abaixo de 3/5 na nossa grelha, não a recomendamos, independentemente da comissão oferecida.

  • 02

    Desvantagens listadas preto no branco

    Cada revisão contém uma seção "o que menos gostamos" — sem marketing disfarçado.

  • 03

    Atualização mínima trimestral

    Os fornecedores evoluem: preços, encriptação, novas funcionalidades. Re-verificamos cada fornecedor recomendado contra a sua documentação atual pelo menos a cada 3 meses.

  • 04

    Transparência sobre compensação

    Ganhamos uma comissão se subscrever através dos nossos links — mencionado em cada página (banner + links marcados como patrocinados nofollow).

Fontes & referências

Para aprofundar, aqui estão as referências técnicas e institucionais que consultamos regularmente.