Nosso site utiliza cookies. Eles ajudam no funcionamento e oferecem à você uma melhor experiência. Para mais informações, leia nossa política de privacidade.

PreferênciasNegarOk, entendi

A HeroSpark preocupa-se e, portanto, atua com fins de garantir a proteção dos dados pessoais tratados para a prestação dos nossos serviços e a segurança da informação com as quais temos contato. Para isso, adotamos diversas políticas, processos, boas práticas e medidas, técnicas e administrativas, para concretizar a conformidade com a legislação aplicável e os padrões de mercado.

Políticas e outras documentações


Durante o processo de adequação à LGPD da HeroSpark, foram elaborados diversos documentos e políticas, tais como:
Group 23 Created with Sketch.

Política de Privacidade - acessível no nosso site;

Group 23 Created with Sketch.

Plano de Gestão de Incidentes;

Group 23 Created with Sketch.

Política de Segurança da Informação;

Group 23 Created with Sketch.

Política de Privacidade Interna;

Group 23 Created with Sketch.

Política de Retenção e Exclusão de Dados.

Além disso, a HeroSpark conta com Termos de Uso revisados com a inclusão de cláusula tratando sobre proteção de dados, além de aditivos disponíveis que dispõem sobre esse assunto. 

Ainda, a equipe interna da HeroSpark está submetida a compromissos de confidencialidade acerca dos dados tratados em função da prestação do serviço oferecido pela HeroSpark e atenta às regras e boas práticas dispostas nas políticas já citadas e em outros materiais internos para garantir a proteção dos dados e a segurança da informação. 

Em busca da constância da adequação, continuamos implementando políticas e mudanças organizacionais para que a proteção dos dados pessoais seja cada vez mais priorizada.

Exemplos de boas práticas adotadas


A HeroSpark possui diversas políticas e materiais internos que estabelecem regras e boas práticas a serem adotadas na empresa. No que se refere à segurança da informação, é possível citar:

Group 23 Created with Sketch.

Normas para a utilização dos equipamentos de informática disponibilizados pela empresa, como computadores, notebooks e celulares;

Group 23 Created with Sketch.

Normas para a utilização de e-mail, tanto corporativo quanto pessoal;

Group 23 Created with Sketch.

Normas para o acesso e utilização de sistemas, como:

- Cuidados na extração e importação de informações;
- Procedimentos para a gestão de acesso;
- Criação de senhas fortes, com procedimentos para a sua atualização;
- Utilização de acessos individuais;
- Utilização do duplo fator de autenticação, quando disponível;

Group 23 Created with Sketch.

Normas para o cuidado com o ambiente de trabalho, como mesa e tela limpa.

Além disso, para a construção de uma cultura de proteção de dados e segurança da informação são realizados diversos treinamentos e workshops que visam a conscientização dos nossos colaboradores e foram instituídos papéis e responsabilidades para um cuidado apropriado com a proteção de dados e a segurança da informação, incluindo colaboradores, lideranças e os participantes de comitês especializados, como o Comitê de Proteção de Dados e o Comitê Gestor de Segurança da Informação. 

Medidas técnicas


Ainda, no que se refere ao desenvolvimento do nosso produto, o qual ocorre no ambiente interno da HeroSpark, buscamos constantemente e em todo o processo a atualização e a adoção das melhores práticas de mercado e especificamente de programação. Nesse sentido, pensamos nas mais diversas etapas, como teste de vulnerabilidades, controles de acesso e permissionamento, visando possuir um ambiente seguro para desenvolvimento e um sistema seguro. Nesse sentido, adotamos diversas medidas técnicas, como:
Group 23 Created with Sketch.

Acesso restrito aos servidores, principalmente no que se refere aos servidores de dados, havendo usuários e senhas individuais, com login protegido por autenticação de multifatores;

Group 23 Created with Sketch.

Acesso à base de dados apenas por meio de IPs específicos autorizados ou ainda a partir da Virtual Private Cloud (VPC), o que permite a proteção dos dados utilizados para teste e inclusive o isolamento de eventuais ataques e a restrição de danos potenciais;

Group 23 Created with Sketch.

Controle de acesso ao código-fonte de programas, possuindo acesso aos códigos da empresa apenas pessoas autorizadas;  

Group 23 Created with Sketch.

Gestão contínua do controle de acesso;

Group 23 Created with Sketch.

Utilização de tecnologias que oferecem diversas ferramentas e mecanismos de segurança próprios;

Group 23 Created with Sketch.

Implementação de controles de segurança da informação para proteção dos dados, como firewall de bancos de dados, controle de acesso, gerenciamento e correlação de logs;

Group 23 Created with Sketch.

Implementação de processo de restrição de acesso a dados pessoais e sensíveis nos Sistemas Gerenciadores de Banco de Dados (SGBDs);

Group 23 Created with Sketch.

Implementação de controles de segurança da Informação para proteção de perímetro, evitando acessos indevidos à rede de comunicação da organização, tais como Firewall de perímetro e WA;

Group 23 Created with Sketch.

Gerenciamento de cópias de segurança da informação, com uma rotina de backups automáticos;

Group 23 Created with Sketch.

Adoção de controles criptográficos, sendo os dados encriptados por padrão ("encryption of data at rest");

Group 23 Created with Sketch.

Adoção de ferramentas de monitoramento que informam ativamente sobre alterações de fluxo repentino, permitindo, por exemplo, a identificação da ocorrência de um ataque;

Group 23 Created with Sketch.

Separação dos ambientes de desenvolvimento, teste e de produção;

Group 23 Created with Sketch.

Implementação de procedimentos para controle de mudanças de sistemas;

Group 23 Created with Sketch.

Segregação de dados por controles lógicos, de forma a separar os dados ou informações de diferentes clientes;

Group 23 Created with Sketch.

Controle de sessão, não permitindo sessões simultâneas;

Group 23 Created with Sketch.

Implementação de captcha para login e para evitar criação de usuários bots;

Group 23 Created with Sketch.

Aplicações e dados armazenados na nuvem em serviços específicos de acordo com a tecnologia.

Além disso, para a construção de uma cultura de proteção de dados e segurança da informação são realizados diversos treinamentos e workshops que visam a conscientização dos nossos colaboradores e foram instituídos papéis e responsabilidades para um cuidado apropriado com a proteção de dados e a segurança da informação, incluindo colaboradores, lideranças e os participantes de comitês especializados, como o Comitê de Proteção de Dados e o Comitê Gestor de Segurança da Informação. 

Quer saber mais informações técnicas sobre o desenvolvimento, os nossos produtos e a segurança da informação?

Arquitetura de TI
Modelo de hospedagem Nuvem
Servidores Virtual
Tecnologia para balanceamento de carga Elastic Load Balancing
Redundância da solução para garantir alta disponibilidade HA Infraestrutura
Servidor web Unicorn 4.9.0; Nginx 1.16.1
Governança de Dados
Armazenamento de dados Serviço em nuvem
Arquivo de saída de dados Excel, CSV, JSON
Integração dos dados API Rest
Backup Serviço em nuvem
Segurança da Informação
Protocolo seguro de tráfego de dados HTTPS
Mecanismos de proteção WAF
Migração e recuperação de dados API
Processo de desenvolvimento Testes automatizados no CI/CD
Arquitetura de TI
Modelo de hospedagem Nuvem
Servidores Virtual
Tecnologia para balanceamento de carga Elastic Load Balancing
Redundância da solução para garantir alta disponibilidade HA Infraestrutura
Servidor web Unicorn 4.9.0; Nginx 1.16.1
Governança de Dados
Armazenamento de dados Serviço em nuvem
Arquivo de saída de dados Excel, CSV, JSON
Integração dos dados API Rest
Backup Serviço em nuvem
Segurança da Informação
Protocolo seguro de tráfego de dados HTTPS
Mecanismos de proteção WAF
Migração e recuperação de dados API
Processo de desenvolvimento Testes automatizados no CI/CD
Arquitetura de TI
Modelo de hospedagem Nuvem
Servidores Virtual
Tecnologia para balanceamento de carga Elastic Load Balancing
Redundância da solução para garantir alta disponibilidade HA Infraestrutura
Servidor web Unicorn 4.9.0; Nginx 1.16.1
Governança de Dados
Armazenamento de dados Serviço em nuvem
Arquivo de saída de dados Excel, CSV, JSON
Integração dos dados API Rest
Backup Serviço em nuvem
Segurança da Informação
Protocolo seguro de tráfego de dados HTTPS
Mecanismos de proteção WAF
Migração e recuperação de dados API
Processo de desenvolvimento Testes automatizados no CI/CD

A curiosidade ainda não acabou? Aqui você encontra outras informações importantes sobre a HeroSpark, a LGPD e a Segurança da Informação.

Servidores


As bases de dados das plataformas HeroSpark estão hospedadas nos servidores da Amazon Web Services, os quais se localizam em São Paulo, no Brasil.

A HeroSpark preza muito pela qualidade dos seus serviços e pela segurança dos seus dados e é por isso que utiliza os serviços de hospedagem da Amazon, que conta com diversas certificações no que se refere a segurança da informação, como ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3.

Atendimento de demandas de titulares


A HeroSpark quando atua como operadora não é a responsável por atender demandas advindas dos titulares de dados, no entanto, deve auxiliar o controlador, o seu cliente, a responder as solicitações dos titulares.

Nesse sentido, caso o Cliente HeroSpark receba uma solicitação de um dos seus alunos, por exemplo, a HeroSpark poderá orientá-lo ou auxiliá-lo para que atenda a demanda. Para isso, o Cliente apenas precisa abrir um ticket a partir da plataforma HeroSpark utilizada.


Tratamento de dados sensíveis e de crianças e adolescentes


A HeroSpark fornece serviços a partir da disponibilização de acesso a softwares no formato Saas (software as a service), classificando-se como operadora, vez que não decide sobre as finalidades e sobre os dados coletados através de sua plataforma.

A HeroSpark não controla funcionalidades de coleta de dados para determinar se são sensíveis, de crianças ou adolescentes e não detém controle sobre as decisões acerca da coleta de dados realizadas pelos seus clientes, efetivos controladores nessas ações. Caso algum dado sensível ou de crianças e adolescentes seja tratado pelos nossos clientes, será responsabilidade deles na qualidade de controladores providenciar as medidas necessárias para assegurar o cumprimento das normas de proteção relativas ao tipo de dado.


Compartilhamento de dados


Para executar os serviços contratados pelos seus clientes, a HeroSpark poderá contratar terceiros e por isso compartilhar alguns dados pessoais. Isso acontece, por exemplo, no caso da plataforma utilizada para gerenciar o atendimento de demandas advindas dos Clientes HeroSpark.

Os fornecedores de serviços da HeroSpark foram submetidos a análises a fim de avaliar a sua conformidade com a Lei Geral de Proteção de Dados e a adoção das melhores práticas de mercado quanto a segurança da informação.


Registro de Atividades de Tratamento


Conforme obrigação da LGPD, a HeroSpark mantém registro detalhado acerca das atividades de tratamento desempenhadas, assim como as bases legais e as finalidades relacionadas a elas, os dados, os titulares de dados e os ativos de informação envolvidos.