em conformidade com a lgpd e gpdr

Segurança e Privacidade

Esse documento apresenta as principais informações relacionadas a forma como o Ouvidor Digital lida com a segurança e privacidade dos dados de seus clientes. Ele foi elaborado para nossos clientes e também para empresas que estão avaliando a contratação dos nossos serviços.

Última modificação: 29 de Setembro de 2020



Proteção de dados

O Ouvidor Digital está em conformidade com a LGPD, GDPR e CCPA 

LGPD: Lei geral de proteção de dados (Brasil) 

GDPR: General Data Protection Regulation - Regulamento geral de proteção de dados da União Europeia 

CCPA: California Consumer Privacy Act - A Lei de Privacidade do Consumidor da Califórnia (EUA). 

Todos os serviços e dados do Ouvidor Digital estão hospedados na nuvem do Google (Google Cloud Platform). Os dados são armazenados, geograficamente, de acordo com a necessidade de cada cliente. Atualmente, já temos dados armazenados nas regiões us-central (EUA) e southamerica-east1 (São Paulo - Brasil).
Entre em contato conosco caso precise que os dados de sua empresa fique disponível em outra região. Observação: As informações de autenticação dos usuários (email e senha) são processadas exclusivamente nos EUA.

Certificações

O Ouvidor Digital é construído sobre a plataforma Firebase (PAAS do Google), certificada de acordo com os principais padrões de privacidade e segurança.

Todos os serviços do Firebase passaram pelo processo de avaliação dos padrões ISO 27001, SOC 1, SOC 2 e SOC 3. Alguns deles também passaram pelos processos de certificação ISO 27017 e ISO 27018. Para mais detalhes veja este link.

Além disso, toda a infraestrutura utilizada pelo Ouvidor Digital possui certificação das estruturas Privacy Shield EU-US e Swiss-US. Em julho de 2016, a Comissão Europeia concluiu que a estrutura Privacy Shield para EUA e UE oferece um mecanismo ideal que permite às empresas da UE ficarem em conformidade com os requisitos da Diretiva em relação à transferência de dados pessoais da União Europeia para os Estados Unidos.

Encarregado responsável

Dados do encarregado responsável pelas questões de Segurança da Informação no Ouvidor Digital:

  • Nome: Rafael Avelar Pacheco
  • Cargo: Diretor de Tecnologia & Segurança da Informação
  • Email: legal@ouvidordigital.com.br  

Informações sobre o processamento de dados

A GDPR impõe obrigações aos controladores e processadores de dados. Normalmente, os clientes do Ouvidor Digital atuam como "controladores de dados" com relação a todos os dados pessoais fornecidos associados ao uso de nossa plataforma. Por sua vez, o Ouvidor Digital, em geral, é o "processador de dados". 

Isso significa que os dados estão sob controle do cliente. Os controladores são responsáveis por cumprir certas obrigações, como acatar aos direitos de um indivíduo em relação aos dados pessoais.

Além das figuras de "controlador de dados" e "processador de dados", o Ouvidor Digital trabalha com usuários finais (denunciantes) dispostos a fornecer dados para o sistema. Esses usuários são, em geral, chamados de "usuários finais". 

Alguns serviços do Ouvidor Digital processam os dados pessoais dos usuários (com acesso autenticado ao sistema - membros dos comitês de ética) para fornecer funcionalidades específicas. Veja abaixo como o Ouvidor Digital usa e manipula os dados pessoais destes usuários.  

Observação: As informações descritas acima não são processadas para os usuários finais (denunciantes) que desejam permanecer anônimos. Nestes casos os dados não possuem qualquer identificação do usuário.

Informações de segurança

     1. Encriptação dos dados:

Os serviços do Ouvidor Digital utilizam criptografia de transporte HTTPS e isolamento lógico dos dados de cada cliente. Além disso, todos os dados armazenados em nossa infraestrutura são criptografados no armazenamento através do algoritmo AES256. Este serviço é provido pelo Firebase do Google.

     2. Práticas de seguranças:

Com o objetivo de manter os dados de nossos clientes seguros, o Ouvidor Digital emprega diversas técnicas de segurança para reduzir o acesso a qualquer tipo de dado sensível. 

  • O Ouvidor Digital restringe o acesso ao servidor dos dados exclusivamente ao grupo de responsáveis técnicos da organização com o objetivo de garantir a correta prestação dos serviços;
  • O sistema do Ouvidor Digital possui registro de logs de acesso aos dados de cada cliente; 
  • Apenas contas de usuários com fator duplo de autenticação têm acesso ao servidor de dados;
  • Regras para o cadastro de senhas do sistema. Exigimos que todos os usuários do sistema criem senhas com requisitos mínimos de segurança
  • Nossos colaboradores têm acesso restrito, via VPN, às nossas ferramentas administrativas;
  • Uso de aplicativos de antivírus e criptografia física nos HDs usados ​​nas nossas estações de trabalho;
  • Treinamentos periódicos para disseminação de boas práticas e políticas de segurança para todos os nossos colaboradores;
  • Instruções e sugestões de boas práticas de segurança para todos os nossos clientes; 


Certificados de testes de penetração, invasão e vulnerabilidades (TBD) 
Certificados de empresas de auditoria de software (TBD) 

Caso tenha qualquer dúvida ou se sentir que suas preocupações não foram abordadas neste documento, entre em contato conosco através do endereço de email legal@ouvidordigital.com.br