Enquanto empresa SaaS sediada na UE, a segurança dos seus dados é uma prioridade máxima para nós. Abaixo, respondemos às perguntas mais frequentes sobre as nossas medidas de proteção. Temos todo o gosto em responder a outras perguntas mais aprofundadas em qualquer altura.
Para todas as questões relacionadas com a proteção de dados, trabalhamos em conjunto com os especialistas da Dataguard - um dos principais fornecedores na área da conformidade com a DSGVO.
O nosso responsável pela proteção de dados é o seguinte:
DataCo GmbH
Dachauer Straße 65
80335 Munique
Alemanha
+49 89 7400 45840
www.dataguard.de
A formação em proteção de dados faz parte do processo de integração obrigatório da Zavvy.
Todos os funcionários da Zavvy são obrigados a manter a confidencialidade ou a respeitar a proteção de dados e são informados das consequências em caso de violação.
Além disso, a empresa realiza regularmente acções de formação e sensibilização sobre o tratamento de dados pessoais, o RGPD e as inovações jurídicas.
Sim, tanto os nossos clientes, enquanto responsáveis pelo tratamento, como nós, enquanto subcontratantes, somos obrigados a celebrar um contrato correspondente, de acordo com o Art. 28 EU-DSGVO.
A celebração do contrato por ambas as partes é um pré-requisito obrigatório para a utilização do nosso software. Teremos todo o gosto em enviar-lhe o nosso modelo, mediante pedido.
No caso de uma violação inesperada dos dados em que os dados pessoais recolhidos dos clientes do sítio Web sejam comprometidos e em que a violação seja suscetível de pôr em causa os direitos e liberdades dos empregados do cliente, a Zavvy seguirá um procedimento estabelecido pelo responsável pela proteção de dados, Dataguard.
Isto implica notificar prontamente o Cliente das obrigações contratuais para que o Cliente possa cumprir as suas obrigações legais de notificar as autoridades de controlo e as pessoas em causa.
Como empresa europeia, a proteção de dados e a conformidade com o RGPD são componentes centrais da nossa estratégia de produto.
É por isso que já prestamos atenção a princípios como a economia de dados e a utilização de medidas de ponta para garantir um nível de proteção adequado ao desenvolver as nossas funcionalidades.
Além disso, oferecemos aos nossos clientes a opção de criar formatos de relatório personalizados para satisfazer as suas necessidades individuais em termos de anonimização de componentes individuais.
Para garantir isto de forma permanente, também definimos um processo que incorpora continuamente os requisitos legais no processo de desenvolvimento do produto e revê a aplicação em intervalos regulares.
A Zavvy cumpre os requisitos do Regulamento Geral de Proteção de Dados da UE e está em conformidade com a proteção de dados como organização e software de acordo com o EU-DSGVO.
Para este fim, verificámos o nosso produto desde o início para os requisitos legais essenciais, tais como a proteção de dados através da conceção tecnológica e através de definições padrão favoráveis à proteção de dados (Art. 25 EU-DSGVO) ou também o apoio do cliente na salvaguarda dos direitos dos titulares dos dados, tais como o direito de apagar ou o direito à informação ou o direito à portabilidade dos dados (Capítulo 3 EU-DSGVO). 25 EU-DSGVO) ou também o apoio do cliente na salvaguarda dos direitos da pessoa em causa, tais como o direito ao apagamento, o direito à informação ou o direito à portabilidade dos dados (Capítulo 3 EU-DSGVO) e efectuámos os ajustes adequados.
Sim - Para todas as comunicações entre os utilizadores e os nossos servidores, o HTTPS é aplicado com certificados SSL que são renovados a cada 3 meses.
SSL (Secure Sockets Layer) é a tecnologia de segurança padrão para estabelecer uma ligação encriptada entre um servidor Web e um browser.
Esta ligação garante que todos os dados transferidos entre o servidor Web e o browser permanecem confidenciais e inalteráveis. O SSL é uma norma da indústria e é utilizado por milhões de sítios Web para proteger as transacções em linha dos seus clientes.
A Zavvy conta com os serviços da Amazon Web Services (AWS) em Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/) para alojar o software.
Os centros de dados utilizados são certificados pela ISO/IEC 27001 e, por conseguinte, cumprem os nossos elevados requisitos de segurança física dos dados dos nossos clientes.
Ao selecionar fornecedores de serviços externos que são necessários para o funcionamento do software (por exemplo, envio de correio), o alojamento dos dados na UE é um critério básico obrigatório.
A atribuição de direitos de acesso é registada e baseada no princípio da "necessidade de conhecer".
Do lado da Zavvy, apenas a nossa equipa de engenharia (lado do servidor), bem como os nossos gestores de produto e os funcionários da Equipa de Sucesso do Cliente ou da Equipa de Experiência de Aprendizagem (lado do sistema do cliente) têm acesso numa base ad hoc.
Isto é necessário para apoiar a configuração inicial da conta e o processamento dos pedidos de serviço.
O acesso é feito exclusivamente através de contas de utilizador personalizadas que são atribuídas exclusivamente a uma pessoa. O login é feito com um nome de utilizador e uma palavra-passe, que devem ser definidos no login inicial de acordo com a política de palavra-passe segura implementada na aplicação.
Os requisitos mínimos da palavra-passe são:
- Pelo menos 8 caracteres
- Pelo menos 1 número ou carácter especial
- Pelo menos 1 letra minúscula
- Pelo menos 1 letra maiúscula
Em princípio, os direitos de acesso são concebidos de forma a cumprir os requisitos do Art. 24 EU-DSGVO para definições por defeito favoráveis à proteção de dados.
Isto significa que os funcionários recém-criados "por defeito" não têm direitos para além da edição do seu próprio perfil.
No entanto, enquanto cliente, pode atribuir direitos individualmente com base no seu próprio conceito de autorização.
O cliente é o "dono dos dados" tanto na relação contratual como no sentido da lei de proteção de dados. Ele é a única parte autorizada no que diz respeito ao poder de eliminação de todos os dados por ele utilizados (dados introduzidos, dados processados, dados armazenados, saída de dados).
Isto também significa, em particular, que o Cliente é responsável pela salvaguarda dos direitos das pessoas em causa (Capítulo 3 EU-DSGVO).Zavvy é um processador e, portanto, processa os seus dados exclusivamente sob as suas instruções e para os fins regulamentados no contrato de processamento encomendado.
Isto significa especificamente que Zavvy não venderá ou partilhará dados com terceiros em nenhuma circunstância, o que exclui a transferência de dados para subcontratantes, que é regulada no contrato de processamento de encomendas com os nossos clientes. Além disso, Zavvy reserva-se o direito de utilizar dados completamente anónimos, por exemplo, para efeitos de teste ou desenvolvimento posterior do produto.
Tal anonimização é realizada exclusivamente no âmbito das disposições legais e tem em conta o estado da arte, bem como as recomendações do Grupo de Trabalho do Artigo 29 e do Conselho Europeu de Proteção de Dados. Dados anónimos significam que não podem ser tiradas conclusões sobre Zavvy ou empresas.
Isto significa que não há risco para os nossos clientes. Zavvy atribui particular importância à proteção da privacidade do cliente.
Juntamente com o nosso responsável pela proteção de dados Dataguard, implementámos medidas técnicas e organizacionais para garantir a segurança do processamento, que estamos continuamente a desenvolver. A Zavvy cumpre todos os requisitos do Regulamento Geral de Proteção de Dados da UE e está em conformidade com a proteção de dados como organização, bem como com o software de acordo com o EU-DSGVO.
Após o término da relação comercial, as pessoas autorizadas do Cliente podem solicitar a liberação dos dados, após o que os dados serão irremediavelmente apagados após o término do período definido contratualmente.
Em princípio, no caso improvável de Zavvy cessar as operações comerciais, não há desvio disto, uma vez que o Cliente é "mestre dos dados" e Zavvy é meramente um processador e, portanto, não pode/não irá dispor dos dados pessoais.
Criamos cópias de segurança diárias da nossa base de dados e armazenamo-las de forma segura na nossa infraestrutura de nuvem AWS. Se for necessário um restauro a partir de uma cópia de segurança, os nossos engenheiros principais podem aceder-lhe.
Realizamos auditorias regulares à nossa organização e ao nosso produto com base nos requisitos legais para a proteção de dados. Utilizamos os resultados destas auditorias como uma oportunidade para tomar medidas para desenvolver a nossa documentação, processos, estruturas ou funcionalidades, bem como medidas técnicas e organizacionais.
.png)
