1. O que consideramos incidente
Para os fins desta política, consideramos incidente de segurança qualquer evento confirmado de acesso, alteração, destruição, perda, comunicação ou divulgação não autorizada de dados pessoais sob nossa responsabilidade.
2. Prevenção
- Criptografia em trânsito (TLS) em todas as integrações;
- Controle de acesso, autenticação forte e bloqueio após tentativas inválidas;
- Registros de auditoria de criação, alteração e exclusão de dados;
- Backups com controle de acesso restrito;
- Monitoramento contínuo, revisões periódicas e tratativa de vulnerabilidades.
3. Processo de resposta
Quando um incidente é detectado, seguimos um processo estruturado:
- Contenção: isolamento do ativo afetado e bloqueio do vetor de ataque.
- Avaliação: identificação dos dados pessoais envolvidos, número de titulares, riscos.
- Erradicação e recuperação: remoção da causa raiz e restabelecimento do serviço.
- Notificação: comunicação à ANPD e aos titulares afetados, conforme critérios legais.
- Lições aprendidas: análise pós-incidente e implementação de melhorias.
4. Como você é notificado
Em incidentes que possam acarretar risco ou dano relevante aos titulares, comunicaremos:
- Titulares afetados: por e-mail registrado em sua conta e, quando aplicável, por aviso no painel do cliente.
- ANPD: conforme prazos e formato definidos pela autoridade.
A comunicação incluirá, no mínimo, a descrição da natureza dos dados afetados, as medidas adotadas e recomendações de proteção que o titular possa adotar.
5. Como reportar uma suspeita
Identificou uma falha de segurança, vazamento ou comportamento suspeito? Nos avise antes de divulgar publicamente, para que possamos proteger os titulares.
- E-mail: [email protected]
- Encarregado de Dados: [email protected]
Pesquisadores de segurança são bem-vindos. Praticamos divulgação coordenada e responsável (responsible disclosure).
Está com uma dúvida que não envolve incidente?
Veja a documentação da nossa API ou fale com nosso comercial.