Informações gerais sobre segurança
Esta seção tem o objetivo de ajudá-lo a avaliar todos os aspectos da segurança de dados e, em particular, a avaliar qualquer conformidade necessária para atender aos requisitos de proteção de dados do seu país. Para nossos clientes da UE, temos um guia adicional sobre a proteção de dados da UE disponível aqui.
Como o Capsule garante o armazenamento seguro dos dados que possuo?
Nossa página de Segurança técnica explica nossa abordagem para garantir a segurança dos seus dados, incluindo detalhes sobre segurança do data center, criptografia de dados, localização, atualizações de segurança e análises de terceiros.
Quem pode acessar meus dados?
Você escolhe quem convidar para sua conta do Capsule e suas permissões. Você também pode optar por conceder acesso a outros aplicativos que se integram ao Capsule. Você deve aplicar a mesma avaliação de segurança a qualquer aplicativo ou terceiro ao qual conceda acesso.
Quando você convida um usuário para o Capsule, ele escolhe um nome de usuário e uma senha que usará para fazer login no Capsule. Atualmente, quando um usuário define uma senha, o Capsule segue as diretrizes do NIST, o que significa que o usuário deve escolher uma senha segura de pelo menos 8 caracteres e que não seja uma senha comumente usada (como senha
ou 12345678)
. Poderemos futuramente revisar as regras de senha de acordo com o NIST ou outras diretrizes de práticas recomendadas.
Os usuários também devem ativar a Autenticação de dois fatores (2FA), que ajuda a proteger a conta de um usuário, mesmo que alguém tenha obtido ou adivinhado sua senha.
Na lista Usuários das configurações da sua conta do Capsule, você pode ver quais usuários ativaram a autenticação de dois fatores.
Seus usuários são apresentados a esses requisitos no guia de Introdução do usuário
Quais são os níveis de serviço do Capsule e posso acessar meus dados onde e quando quiser?
Nosso objetivo é tornar o Capsule disponível 24 horas por dia, 7 dias por semana, e você pode fazer login com segurança para acessar seus dados em um horário e local convenientes por meio de computador, Mac ou telefone celular.
O Capsule se beneficia do Acordo de Nível de Serviço do Amazon EC2, que foi projetado para oferecer 99,95% de tempo de atividade. Normalmente, conseguimos mais do que isso e nosso relatório de tempo de atividade publicado demonstra nosso histórico.
O Capsule opera com capacidade de reserva para atender às demandas de todos os clientes e, como o Capsule é hospedado em uma plataforma de nuvem, podemos aumentar a capacidade em pouco tempo. As limitações de taxa para uso justo e outras proteções também são aplicadas a todos os clientes do Capsule para impedir que um cliente cause um impacto na qualidade do serviço.
A equipe do Capsule e a segurança de seus dados
Seus dados são seus e nunca tocamos neles sem sua permissão explícita.
Para fornecer o serviço, temos uma equipe de operações autorizada com acesso à infraestrutura subjacente e, portanto, aos dados subjacentes em formato bruto. No entanto, nunca acessamos dados específicos de clientes, a menos que estejamos trabalhando com o cliente para investigar um problema e tenhamos sua permissão explícita para executar uma consulta específica nos dados para nos ajudar a reduzir o problema.
Segurança da nossa equipe:
- Cada pessoa de nossa equipe é contratada com o mais alto nível de confidencialidade
- A equipe do Capsule (ou terceiros que contratamos) não tem acesso a senhas nem podem fazer login na sua conta. Você pode optar por nos convidar como um usuário temporário para nos ajudar a resolver alguma dúvida.
- Nunca temos acesso às informações completas do cartão de pagamento, que são armazenadas fora de nossos servidores
Meus dados serão compartilhados com terceiros?
Nunca divulgaremos suas informações pessoais a ninguém, exceto quando formos obrigados a isso de acordo com nossa Política de privacidade, em especial na seção denominada “Divulgação de suas informações”
Quais informações estão disponíveis para monitorar quem acessa meus dados?
Seu(s) Superadministrador(es) pode(m) monitorar a atividade de login na conta em:
- Vá para as Configurações da contaUsuários e equipes
- Vá para a guia Logins recentes.
Certificação do Capsule
Cumprimos os requisitos gerais de proteção de dados da UE (GDPR). Os Gabinetes da Comissão de dados na UE não exigem nem oferecem um certificado. As exigências são de que cumpramos a legislação, o que já fazemos.
This article é particularmente útil para explicar. Nenhum órgão foi autorizado pelos Gabinetes da Comissão da UE a auditar e certificar a conformidade com o GDPR. Dito isso, podemos garantir que o Capsule oferece a segurança necessária para que você esteja em conformidade, por exemplo, criptografia e acordos legais, e o Capsule tem a funcionalidade para garantir que você possa agir de forma responsável com os dados dos seus clientes.
Fomos questionados sobre as certificações ISO e SOC. Elas não estão diretamente vinculadas ou relacionadas ao GDPR. Essas são certificações que confirmam os níveis de segurança: ISO, principalmente na UE, e SOC, principalmente nos EUA. Obtivemos nosso credenciamento SOC 2 Tipo 2, sobre o qual você pode ler mais neste artigo.
Como meus dados são criptografados?
Os dados que são transferidos entre você e o Capsule são criptografados em trânsito usando Transport Layer Security (TLS). Trabalhamos arduamente para oferecer suporte aos mais altos padrões criptográficos possíveis para criptografia de dados em trânsito e desativamos o suporte a padrões mais antigos que não são mais considerados fortes. Todos os dados dos clientes são criptografados em repouso.
O que acontece quando cancelo minha conta?
Conforme descrito na seção Encerramento e cancelamento dos Termos do Capsule:
“Quando uma conta é encerrada ou cancelada, a conta e qualquer conteúdo deixado nela se tornam inacessíveis. Por um período de 14 dias após o cancelamento de qualquer conta, você poderá solicitar a restauração da sua conta. Após esse período, sua conta e todos os Dados do Cliente contidos nela serão permanentemente excluídos e o contrato entre nós, conforme estabelecido nestes Termos do Cliente, será automaticamente rescindido. Esteja ciente de que dados parciais podem residir em nossos sistemas de backup e/ou arquivo por um período de até 50 dias.”
Como faço backup dos meus dados?
O Capsule oferece uma função para exportar seus dados para um arquivo ZIP. O arquivo ZIP, por sua vez, contém um arquivo CSV separado para seus Contatos, Projetos e Oportunidades com todos os detalhes, inclusive notas e histórico de e-mail. Os arquivos CSV podem ser abertos em vários aplicativos de planilha. Um Administrador pode exportar um backup da seguinte forma:
- Navegue até a seção Configurações da contae selecione Exportar dados.
- Clique no botão para Exportar para arquivo ZIP.
- Um e-mail será enviado ao primeiro endereço de e-mail do seu registro de usuário contendo o arquivo ZIP com os dados.
Você pode ler mais sobre como exportar sua conta para backup em nosso artigo sobre exportação.
Como meus dados são protegidos contra destruição acidental?
Nossos sistemas replicam automaticamente seus dados em vários locais em tempo real para maximizar a disponibilidade. Também é feito backup constante dos dados para garantir que possamos restaurar o acesso aos seus dados e ao serviço no caso improvável de as réplicas de dados em todos os locais falharem ao mesmo tempo.
Caso um dos seus usuários exclua acidentalmente um registro, o Superadministrador tem 30 dias para restaurá-lo. Leia mais sobre como restaurar registros
Além disso, você pode e é incentivado a fazer download e manter seu próprio backup
Em caso de violação de dados, qual é o processo de notificação e alerta do Capsule?
A Amazon é responsável por garantir que seus data centers e os serviços que fornece sejam seguros e por nos notificar sobre uma violação. A Amazon leva a segurança física e da rede a sério, garantindo que seus dados estejam seguros: http://aws.amazon.com/security/. Oferecemos segurança acima desses serviços fornecidos pela infraestrutura.
No caso de violações, nossa abordagem de preferência é limitar a possibilidade de que elas ocorram. Temos processos internos robustos para garantir a instalação imediata de atualizações de segurança, proteção de nossos ativos (incluindo a autenticação de dois fatores para sistemas confidenciais) e também para limitar o acesso aos dados ao pessoal-chave, somente quando necessário. Além disso, ninguém em nossa empresa tem o direito de acessar seus dados sem sua permissão. Também contratamos uma organização terceirizada de testes de invasão para validar nossa segurança e revisar o código do nosso aplicativo.
Caso seja detectada uma violação de segurança, faremos uma investigação para entender o escopo da violação e se algum dado foi afetado. Dependendo da natureza da violação, faremos o possível para entender o que aconteceu o mais rápido possível. Nosso objetivo é informá-lo o quanto antes e em no máximo 72 horas se você foi afetado pela violação.
Embora possamos proteger nossos servidores, você, como controlador de dados da sua conta, é responsável por garantir que sua equipe também siga as boas práticas de segurança. Por exemplo, garantir ela use uma senha forte e exclusiva para cada serviço e considere a possibilidade de ativar a autenticação de dois fatores.
Proteção de dados e o GDPR da UE
O Capsule usou o Regulamento Geral de Proteção de Dados (GDPR) da UE para definir o padrão de proteção de dados. Ele se aplica a qualquer pessoa que armazene dados pessoais de qualquer residente da UE. Incentivamos todos os clientes a avaliar sua conformidade com a proteção de dados, seja na UE ou em qualquer outro lugar do mundo, com base em como atendemos a esses padrões. Além deste artigo, preparamos algumas Perguntas frequentes sobre o GDPR para ajudá-lo a concluir uma análise de risco para você ou sua organização.
Localização dos dados
Todos os dados do Capsule são armazenados na Amazon Web Services (AWS), nos Estados Unidos. Todos os dados armazenados fora da UE devem estar em um país seguro ou com uma empresa que esteja em conformidade com as proteções exigidas pelo GDPR.
Estipulamos um Adendo de processamento de dados com a AWS que a obriga a cumprir as Cláusulas Contratuais Padrão, definidas pela Comissão Europeia. Isso garante a transferência segura de dados para a AWS de acordo com as leis de proteção de dados da UE.
Mais informações sobre as Cláusulas Contratuais Padrão podem ser encontradas no guia do Gabinete do Comissário de Informação (ICO) do Reino Unido
Obrigações e requisitos contratuais de sua parte como Controlador de dados
A responsabilidade pelo cumprimento dos Regulamentos é do Controlador de dados. Como você é o Controlador de dados em relação aos dados pessoais que armazena no Capsule, é sua responsabilidade garantir a conformidade com essa lei se estiver armazenando dados de clientes da UE.
Para avaliar se o Capsule permite que você atenda aos requisitos, recomendamos que você faça uma análise de risco simples. As respostas a essas perguntas comuns sobre o GDPR o ajudarão a concluir uma análise de risco para você ou sua organização. Fazemos isso com a firme convicção de que o Capsule está bem posicionado para proteger os dados pessoais que você nos confia.
Obrigação e relação contratual como seu processador de dados
O Capsule tem a obrigação legal de proteger as Informações pessoais identificáveis de seus clientes. Leia o Contrato de Processamento de Dados para entender nossos compromissos e nossa abordagem para a proteção dos dados que você armazena em sua conta.
Obrigações e relações contratuais com nossos subprocessadores
O Capsule tem vários subprocessadores, por exemplo, a AWS. Temos acordos com todos esses subprocessadores em vigor para garantir que os dados de seus clientes sejam protegidos como se estivéssemos cuidando deles diretamente na UE. Uma lista de nossos subprocessadores é mantida aqui.
Recursos do Capsule que atendem aos seus requisitos de conformidade
Registro de consentimento
O GDPR exige que todos os dados de clientes da UE tenham uma base legal para processamento. O consentimento é uma das maneiras de garantir o processamento legal. Outras incluem seu direito de processar os dados de um cliente devido a um interesse legítimo. O Gabinete do Comissário de Informação (ICO, sigla para Information Commissioner's Office) do Reino Unido publicou notas de orientação preliminares sobre a base legal para o processamento, que serão úteis para saber mais sobre o que isso implica e caso você precise buscar consentimento proativo. Clique aqui para obter essa orientação.
Se precisar registrar o consentimento proativo de um cliente, você poderá usar o recurso Campos personalizados do Capsule e adicionar um campo de caixa de seleção para registrar que o consentimento foi dado. Isso pode ser combinado com um campo de data para registrar quando o consentimento foi dado.
Também é possível destacar os clientes que consentiram o processamento de dados por meio de uma DataTag. As Etiquetas de dados permitem que você capture informações adicionais com uma etiqueta. Por exemplo, talvez você queira criar uma etiqueta “Consentimento” e registrar a data em que o consentimento foi dado ao lado da etiqueta.
Direito de ser esquecido
De acordo com o GDPR, há uma ênfase no direito de ser esquecido, permitindo que um indivíduo solicite a exclusão de seus dados. Se um de seus clientes pedir que você exclua as informações dele, é possível fazer isso com a função “Lixeira” do Capsule.
Um contato excluído permanece na lixeira por 30 dias; após esse tempo os dados são permanentemente removidos do nosso banco de dados ativo. Há também uma opção que permite que os Superadministradores eliminem registros de contatos individuais da conta imediatamente, anulando os 30 dias na lixeira.
O Capsule mantém backups. Conforme explicado em nossos Termos do Cliente, garantimos que todos os dados residuais sejam apagados em até 50 dias após sua remoção dos sistemas ativos. Você pode ler sobre a política atual de exclusão e retenção que está em vigor aqui.
Solicitação de Acesso do Titular
As Solicitações de Acesso do Titular (SAR, sigla para Subject Access Request) são uma exigência da legislação anterior, mas ganharam mais destaque com a introdução do GDPR. Com isso, um indivíduo pode solicitar acesso a todos os dados que você armazenou sobre ele no Capsule.
Quando solicitado, uma SAR pode ser preparada por um usuário Administrator do Capsule com direitos de exportação usando o recurso “Imprimir resumo”. Isso conterá os detalhes do cliente, com todo o histórico e as notas. Para fazer isso:
- Abra o Contato que solicitou seus dados
- Ao lado do nome do Contato, use a seta para baixo para abrir um menu de ações
- Selecione Imprimir resumo
- Imprima a página
- Agora você pode usar a função de impressão em seu navegador para imprimir as informações ou gerar um PDF, por exemplo
Como o Capsule processa seus dados
Somente processaremos seus dados pessoais de acordo com suas instruções como Controlador de dados, de acordo com nossos Termos e nossa Política de Privacidade.