Por que considerar monitorização de uptime alojada na UE
· 9 min de leitura
Os seus dados de monitorização contêm informação sensível sobre a sua infraestrutura. O local onde são armazenados afeta o RGPD, a soberania dos dados e o risco operacional.
O que contém uma base de dados de monitorização
A monitorização de uptime contém dados sensíveis nos quais raramente se pensa:
- A lista de todos os seus URLs críticos e endereços IP.
- As marcas temporais das falhas com detalhes da resposta do servidor.
- As configurações do mecanismo de verificação (headers personalizados, palavras-chave esperadas, detalhes SSL).
- Os contactos de escalonamento - números de telefone de plantão (on-call), IDs de chat do Telegram, URLs de webhook.
- Os registos de respostas - dumps de códigos de estado, strings de erro, endereços IP dos servidores.
Para um atacante, isto é um mapa de reconhecimento da sua infraestrutura (recon map). Para si, é uma lista de coisas que não pode perder nem divulgar por descuido.
Schrems II e os serviços norte-americanos
Desde 2020 (acórdão Schrems II do Tribunal de Justiça da UE), a transferência de dados pessoais para os EUA não está coberta pelo acordo padrão Privacy Shield (invalidado pelo Schrems II em julho de 2020). Atualmente (06/2026) aplica-se o EU-US Data Privacy Framework adotado em 10 de julho de 2023, que foi contestado por uma ação (o caso Latombe) apresentada em setembro de 2023; o Tribunal Geral da UE rejeitou-a em 3 de setembro de 2025, mas a NOYB anuncia a sua própria ação mais ampla - a sustentabilidade a longo prazo do DPF continua incerta. Para uma operação em conformidade com o RGPD, isto significa que usar um serviço de monitorização norte-americano exige:
- Uma análise rigorosa das razões pelas quais transfere dados para um país terceiro.
- Cláusulas contratuais-tipo (Standard Contractual Clauses, SCCs) com o fornecedor norte-americano.
- Medidas complementares - normalmente cifragem dos dados também em trânsito.
- Uma AIPD (Avaliação de Impacto sobre a Proteção de Dados, DPIA) se se tratar de dados sensíveis.
Na prática, muitas empresas negligenciam isto. A maioria das empresas europeias usa o UptimeRobot ou o Pingdom apesar de a sua monitorização conter os URLs de sistemas de produção e os contactos de engenheiros de plantão. No primeiro auditoria séria ao RGPD, vem ao de cima.
Segunda razão: o US CLOUD Act
Independentemente do RGPD, os EUA têm em vigor o CLOUD Act de 2018. Este permite às autoridades norte-americanas solicitar dados a empresas norte-americanas sem o conhecimento do proprietário dos dados e independentemente de os dados estarem armazenados nos EUA ou noutra região (incluindo datacenters na UE de empresas norte-americanas).
Isto significa que, do ponto de vista do CLOUD Act, até a região UE do Pingdom é equivalente à região dos EUA desde que se trate de uma empresa norte-americana. A jurisdição rege-se pela propriedade da empresa, não pela localização física do servidor.
Terceira razão: o risco operacional
Os serviços norte-americanos faturam em USD. Com um dólar forte paga mais, com um fraco menos, por isso o câmbio interessa-lhe todos os meses. Os fornecedores da UE faturam em EUR.
Além disso: quando tem um problema, o suporte norte-americano responde em inglês e com um fuso horário de 6-9 horas. Os fornecedores da UE conseguem responder-lhe no seu idioma durante o horário de trabalho.
ePulz.io em resumo
O ePulz.io é uma monitorização de uptime com 3 nós worker: primary em Liptovský Hrádok, eu2 em Liptovský Mikuláš, eu1 em Bratislava. Em concreto, o que suporta hoje:
Tipos de monitores (12 tipos): - HTTP / HTTPS (com decomposição de tempos - DNS, connect, TLS, TTFB, download) - Certificados SSL (validade, emissor, cadeia) - Porta TCP - Ping ICMP - Registos DNS (A, AAAA, MX, TXT, CNAME, NS) - Expiração de domínio (WHOIS) - Heartbeat (para tarefas cron e processos em segundo plano) - Visual regression (diferença de capturas de ecrã) - Monitorização de navegador (Chromium headless real) - Verificações multi-step / JSONPath (disponíveis nos planos Profi e Business) - Monitores LAN (através de um agente pull na sua rede)
Notificações: - E-mail (SMTP) - Telegram (ligação por utilizador, mais um canal de administração) - Webhook com assinatura HMAC-SHA256 (global e override por monitor; deteção automática para Slack, Discord, Microsoft Teams)
Outras funcionalidades: - Páginas de estado públicas - Multi-region consensus voting entre 3 nós worker para verificações HTTP, TCP e ping (Liptovský Hrádok, Liptovský Mikuláš, Bratislava; limiar predefinido 2 de 3) - Gerador de bundle de worker para auto-alojamento de workers regionais adicionais - Interface em 14 idiomas (sk, cs, en, de, pl, hu, fr, es, it, pt, nl, ru, uk, tr) - ferramentas públicas gratuitas (SSL, headers, DNS, WHOIS, IP geo, DNS propagation, ping, portas e mais)
Preços (verificados 06/2026): - Período de avaliação: 7 dias, 3 monitores, grátis, sem cartão de pagamento - Standard: 4 EUR/mês, 15 monitores, intervalo de 5 min, histórico de 30 dias - Profi: 9 EUR/mês, 25 monitores, intervalo de 2 min, histórico de 90 dias - Business: 27 EUR/mês, 100 monitores, intervalo de 1 min, histórico de 365 dias, visual regression
Alojado em Liptovský Hrádok (primary), Liptovský Mikuláš (eu2) e Bratislava (eu1), os dados não saem da UE.
Quando um serviço norte-americano está bem
Sejamos honestos - o RGPD tem as suas nuances. Se monitoriza:
- Sites estáticos sem dados pessoais (blog, marketing).
- Uma API que não tem dados de clientes no URL nem nos headers.
- Ferramentas internas de uma equipa que opera inteiramente nos EUA.
Então um serviço norte-americano está bem - o RGPD não se aplica.
Se monitoriza:
- Sistemas de saúde, financeiros ou governamentais.
- SaaS B2B com clientes europeus.
- E-commerce com clientela europeia.
- Qualquer aplicação onde a monitorização contenha endpoints com dados pessoais (ou até IDs que possam ser associados a dados pessoais).
Nestes casos, um serviço alojado na UE faz sentido prático.
Migração
Se decidir migrar do UptimeRobot ou do Pingdom para um serviço da UE, o procedimento é direto:
- Exporte a lista de monitores (URLs, intervalos, códigos de estado esperados).
- Importe para o novo serviço (a maioria suporta CSV).
- Configure as notificações para os novos canais.
- Corra em paralelo durante 1-2 semanas e compare os resultados.
- Depois de estável, desligue o fornecedor antigo.
Para 20-30 monitores são 2-4 horas de trabalho.
Relacionado
Experimente o ePulz.io grátis - 7 dias sem cartão de crédito.
Criar conta