Voltar ao blog

Por que considerar monitorização de uptime alojada na UE

· 9 min de leitura

Os seus dados de monitorização contêm informação sensível sobre a sua infraestrutura. O local onde são armazenados afeta o RGPD, a soberania dos dados e o risco operacional.

Por que considerar monitorização de uptime alojada na UE

O que contém uma base de dados de monitorização

A monitorização de uptime contém dados sensíveis nos quais raramente se pensa:

  • A lista de todos os seus URLs críticos e endereços IP.
  • As marcas temporais das falhas com detalhes da resposta do servidor.
  • As configurações do mecanismo de verificação (headers personalizados, palavras-chave esperadas, detalhes SSL).
  • Os contactos de escalonamento - números de telefone de plantão (on-call), IDs de chat do Telegram, URLs de webhook.
  • Os registos de respostas - dumps de códigos de estado, strings de erro, endereços IP dos servidores.

Para um atacante, isto é um mapa de reconhecimento da sua infraestrutura (recon map). Para si, é uma lista de coisas que não pode perder nem divulgar por descuido.

Schrems II e os serviços norte-americanos

Desde 2020 (acórdão Schrems II do Tribunal de Justiça da UE), a transferência de dados pessoais para os EUA não está coberta pelo acordo padrão Privacy Shield (invalidado pelo Schrems II em julho de 2020). Atualmente (06/2026) aplica-se o EU-US Data Privacy Framework adotado em 10 de julho de 2023, que foi contestado por uma ação (o caso Latombe) apresentada em setembro de 2023; o Tribunal Geral da UE rejeitou-a em 3 de setembro de 2025, mas a NOYB anuncia a sua própria ação mais ampla - a sustentabilidade a longo prazo do DPF continua incerta. Para uma operação em conformidade com o RGPD, isto significa que usar um serviço de monitorização norte-americano exige:

  1. Uma análise rigorosa das razões pelas quais transfere dados para um país terceiro.
  2. Cláusulas contratuais-tipo (Standard Contractual Clauses, SCCs) com o fornecedor norte-americano.
  3. Medidas complementares - normalmente cifragem dos dados também em trânsito.
  4. Uma AIPD (Avaliação de Impacto sobre a Proteção de Dados, DPIA) se se tratar de dados sensíveis.

Na prática, muitas empresas negligenciam isto. A maioria das empresas europeias usa o UptimeRobot ou o Pingdom apesar de a sua monitorização conter os URLs de sistemas de produção e os contactos de engenheiros de plantão. No primeiro auditoria séria ao RGPD, vem ao de cima.

Segunda razão: o US CLOUD Act

Independentemente do RGPD, os EUA têm em vigor o CLOUD Act de 2018. Este permite às autoridades norte-americanas solicitar dados a empresas norte-americanas sem o conhecimento do proprietário dos dados e independentemente de os dados estarem armazenados nos EUA ou noutra região (incluindo datacenters na UE de empresas norte-americanas).

Isto significa que, do ponto de vista do CLOUD Act, até a região UE do Pingdom é equivalente à região dos EUA desde que se trate de uma empresa norte-americana. A jurisdição rege-se pela propriedade da empresa, não pela localização física do servidor.

Terceira razão: o risco operacional

Os serviços norte-americanos faturam em USD. Com um dólar forte paga mais, com um fraco menos, por isso o câmbio interessa-lhe todos os meses. Os fornecedores da UE faturam em EUR.

Além disso: quando tem um problema, o suporte norte-americano responde em inglês e com um fuso horário de 6-9 horas. Os fornecedores da UE conseguem responder-lhe no seu idioma durante o horário de trabalho.

ePulz.io em resumo

O ePulz.io é uma monitorização de uptime com 3 nós worker: primary em Liptovský Hrádok, eu2 em Liptovský Mikuláš, eu1 em Bratislava. Em concreto, o que suporta hoje:

Tipos de monitores (12 tipos): - HTTP / HTTPS (com decomposição de tempos - DNS, connect, TLS, TTFB, download) - Certificados SSL (validade, emissor, cadeia) - Porta TCP - Ping ICMP - Registos DNS (A, AAAA, MX, TXT, CNAME, NS) - Expiração de domínio (WHOIS) - Heartbeat (para tarefas cron e processos em segundo plano) - Visual regression (diferença de capturas de ecrã) - Monitorização de navegador (Chromium headless real) - Verificações multi-step / JSONPath (disponíveis nos planos Profi e Business) - Monitores LAN (através de um agente pull na sua rede)

Notificações: - E-mail (SMTP) - Telegram (ligação por utilizador, mais um canal de administração) - Webhook com assinatura HMAC-SHA256 (global e override por monitor; deteção automática para Slack, Discord, Microsoft Teams)

Outras funcionalidades: - Páginas de estado públicas - Multi-region consensus voting entre 3 nós worker para verificações HTTP, TCP e ping (Liptovský Hrádok, Liptovský Mikuláš, Bratislava; limiar predefinido 2 de 3) - Gerador de bundle de worker para auto-alojamento de workers regionais adicionais - Interface em 14 idiomas (sk, cs, en, de, pl, hu, fr, es, it, pt, nl, ru, uk, tr) - ferramentas públicas gratuitas (SSL, headers, DNS, WHOIS, IP geo, DNS propagation, ping, portas e mais)

Preços (verificados 06/2026): - Período de avaliação: 7 dias, 3 monitores, grátis, sem cartão de pagamento - Standard: 4 EUR/mês, 15 monitores, intervalo de 5 min, histórico de 30 dias - Profi: 9 EUR/mês, 25 monitores, intervalo de 2 min, histórico de 90 dias - Business: 27 EUR/mês, 100 monitores, intervalo de 1 min, histórico de 365 dias, visual regression

Alojado em Liptovský Hrádok (primary), Liptovský Mikuláš (eu2) e Bratislava (eu1), os dados não saem da UE.

Quando um serviço norte-americano está bem

Sejamos honestos - o RGPD tem as suas nuances. Se monitoriza:

  • Sites estáticos sem dados pessoais (blog, marketing).
  • Uma API que não tem dados de clientes no URL nem nos headers.
  • Ferramentas internas de uma equipa que opera inteiramente nos EUA.

Então um serviço norte-americano está bem - o RGPD não se aplica.

Se monitoriza:

  • Sistemas de saúde, financeiros ou governamentais.
  • SaaS B2B com clientes europeus.
  • E-commerce com clientela europeia.
  • Qualquer aplicação onde a monitorização contenha endpoints com dados pessoais (ou até IDs que possam ser associados a dados pessoais).

Nestes casos, um serviço alojado na UE faz sentido prático.

Migração

Se decidir migrar do UptimeRobot ou do Pingdom para um serviço da UE, o procedimento é direto:

  1. Exporte a lista de monitores (URLs, intervalos, códigos de estado esperados).
  2. Importe para o novo serviço (a maioria suporta CSV).
  3. Configure as notificações para os novos canais.
  4. Corra em paralelo durante 1-2 semanas e compare os resultados.
  5. Depois de estável, desligue o fornecedor antigo.

Para 20-30 monitores são 2-4 horas de trabalho.

Relacionado

Partilhar: Link copiado

Experimente o ePulz.io grátis - 7 dias sem cartão de crédito.

Criar conta