POLÍTICA DE SEGURANÇA RETAIL HUB
A Retail Hub Consultoria e Tecnologia Ltda. (“Retail Hub”), em observância ao seu compromisso de agir com boa-fé e de adotar medidas de segurança aptas a proteger os dados pessoais (“Dados Pessoais”) dos usuários (“Usuários”) das Plataformas de Marketplace Digitais (“Marketplace”) desenvolvidas e administradas para seus clientes (“Clientes”), estabelece a presente Política de Segurança (“Política de Segurança”), que tem por finalidade informar, de forma objetiva e clara, as medidas preventivas adotadas para manter os Dados Pessoais protegidos de eventuais incidentes de segurança da informação, bem como as principais providências a serem tomadas em caso de incidentes de segurança e privacidade que ponham em risco a integridade ou confidencialidade dos Dados Pessoais dos Usuários tratados pela Retail Hub.
Compreendem-se como incidente de segurança da informação e privacidade as situações acidentais ou ilícitas de perda, apropriação e uso indevido, acesso não autorizado, divulgação, alteração, destruição ou qualquer outra forma de tratamento inadequado ou ilícito dos Dados Pessoais.
Esta Política tem o objetivo de dar ciência aos titulares dos Dados Pessoais, ou seja, aos Usuários, assim como se destina aos funcionários, colaboradores e subcontratados da Retail Hub, para instruí-los a respeito de como prevenir, detectar, reduzir vulnerabilidade e responder aos incidentes de segurança da informação e privacidade, no âmbito da coleta e tratamento dos Dados Pessoais.
Princípios que norteiam a Política de Segurança da Retail Hub
As práticas estabelecidas nesta Política de Segurança estão em consonância com as disposições da Lei Geral de Proteção de Dados – LGPD (Lei Federal nº 13.709, de 14 de agosto de 2018) e demais leis aplicáveis. Assim, a Retail Hub demonstra o seu compromisso em se manter atualizada e adequada aos princípios estabelecidos na LGPD e aos padrões de boas práticas e de governança.
Entre os princípios observados pela Retail Hub no tratamento dos Dados Pessoais está o princípio da segurança da informação. Previsto no art. 6º, inciso VII, da LGPD, esse princípio diz respeito às medidas técnicas e administrativas que deverão ser tomadas por uma organização para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
A segurança da informação compreende 4 (quatro) outros princípios, a seguir denominados:
(i) Princípio da Confidencialidade: é a garantia de que os dados estarão acessíveis somente para pessoas devidamente autorizadas, sendo, portanto, adotadas medidas de controle interno, com o objetivo de restringir os acessos;
(ii) Princípio da Integridade: as condições iniciais dos dados devem ser mantidas até o seu uso e somente pessoas autorizadas poderão acessá-los e modificá-los;
(iii) Princípio da Disponibilidade: os dados devem estar seguros e disponíveis para serem acessados a qualquer momento pelas pessoas devidamente autorizadas; e
(iv) Princípio da Autenticidade: garante a identificação e registro de qualquer pessoa que está enviando ou modificando determinado dado. Dessa forma, ao manipulá-los, a autenticidade realizará a documentação desse ato.
Além do princípio da segurança da informação, a Retail Hub se compromete, ainda, no tratamento dos Dados Pessoais, a observar o princípio da prevenção. Segundo tal princípio, previsto no artigo 6º, inciso VIII, da LGPD, é necessário que haja, por parte dos agentes de tratamento, uma busca por antecipar eventuais incidentes, com a adoção de medidas para prevenir a ocorrência de danos em razão do tratamento de dados pessoais.
I. Medidas de prevenção adotadas pela Retail Hub A Retail Hub tem acesso aos Dados Pessoais dos Usuários quando da utilização dos Marketplaces desenvolvidos e administrados para os seus Clientes, assim como do acesso e/ou utilização do site próprio da Retail Hub (https://www.retailhub.com.br/ - “Site”).
No tocante aos Marketplaces, após a realização do cadastro, os dados dos Usuários são coletados pelos Clientes da Retail Hub e permanecem registrados e armazenados no módulo “Masterdata” integrado à plataforma do Marketplace, fornecida e administrada pela VTEX Brasil Tecnologia Para E-Commerce Ltda. (“Plataforma VTEX”), dentro da qual o Marketplace está inserido.
A Retail Hub utiliza as medidas administrativas, técnicas e físicas projetadas para a proteção dos Dados Pessoais a que tenha acesso, tendo em vista a gestão tecnológica dos Marketplaces de seus Clientes, por meio dos controles utilizados pela Plataforma VTEX, a saber:
I.1. Controle de Acesso Físico
Os serviços da Plataforma VTEX estão hospedados em um data center que mantém várias certificações que garantem que sua infraestrutura atende às normas de segurança aplicáveis para garantir controles de acesso físico, incluindo a certificação ISO/IEC 27001 (Gestão da Segurança da Informação), cuja finalidade é prever um padrão para o sistema de gestão da segurança da informação (SGSI), autorização FedRAMP, certificação PCI e relatórios SOC.
Essas certificações confirmam que o data center possui os controles de acesso físico necessários para garantir a segurança e qualidade dos Dados Pessoais, bem como que o data center está de acordo com padrões internacionais de gestão da segurança, de forma que assegure a confidencialidade, integridade e disponibilidade dos Dados Pessoais dos Usuários.
I.2. Controle de Admissão
A segurança do controle de admissão, que se dá por meio de registro de acesso, é garantida tanto no nível da infraestrutura do data center, que compreende o hardware, software, rede e recursos que executam os serviços Amazon Web Services - AWS (https://aws.amazon.com/pt), como nos serviços disponíveis nessa infraestrutura, que é o caso da Plataforma VTEX.
As senhas de acesso a ambientes possuem uma complexidade mínima imposta, além de autenticação de dois fatores para realizar tarefas de cunho administrativo. Todas as senhas são armazenadas criptografadas, assim como quaisquer dados confidenciais.
I.3. Controle de Acesso Virtual
Os Dados Pessoais dos Usuários são acessados somente por pessoas autorizadas, e na medida em que existe essa autorização, sendo que a autorização concedida decorre exclusivamente da função ocupada na organização por cada pessoa. Sendo assim, a Plataforma VTEX garante que cada pessoa autorizada tenha acesso somente aos dados necessários para exercer a sua função.
A Plataforma VTEX possui uma funcionalidade que permite que a Retail Hub tenha a capacidade de criar suas próprias funções e delegá-las a seus colaboradores administrativos, por meio de seus perfis de usuário, permitindo, assim, estabelecer quem tem acesso a quais Dados Pessoais.
I.4. Controle de Transmissão
A Plataforma VTEX adota também protocolos e mecanismos de segurança padrão no momento da transmissão dos dados entre o Usuário e o servidor, mediante a utilização de certificado Secure Socket Layer (SSL) que garante a criptografia das informações confidenciais contra adulteração, espionagem e falsificação dos dados.
Assim, quando transmitidos, todos os dados gerenciados e processados pela Plataforma VTEX são criptografados. As páginas da Web, incluindo seus formulários, são servidos apenas por meio de canais HTTPS, assim como a API (Application Programming Interface). Esses canais são protegidos pelos protocolos mais atualizados de segurança, bem como são verificados por terceiros durante as avaliações de certificação. O acesso à infraestrutura, quando eventualmente necessário para fins operacionais, só é possível usando uma VPN (Virtual Private Network).
I.5. Controle de Entrada
O acesso aos Dados Pessoais é controlado de acordo com as funções e permissões de acesso atribuídas a cada pessoa autorizada, conforme esclarecido no item I.3 desta Política, e quaisquer ações de modificação nos Dados Pessoais são registradas. Dessa forma, todos esses registros podem ser usados para auditoria.
I.6. Controle de Atribuição
Os funcionários, colaboradores e subcontratados da Retail Hub, bem como os da Plataforma VTEX, no âmbito da Plataforma VTEX, são cuidadosamente selecionados e estão cientes de que todos os Dados Pessoais dos Usuários e dos Clientes são de propriedade de seus titulares e são considerados confidenciais, devendo assinar o Termo de Anuência e Adesão, que incorpora a Política de Privacidade e a Política de Segurança da Retail Hub, quando de sua contratação.
I.7. Controle de Disponibilidade
Além de aproveitar todos os recursos de disponibilidade física fornecidos pela Amazon Web Services - AWS como parte dos seus serviços, a Plataforma VTEX também implementa todas as melhores práticas sugeridas por eles para garantir que sua solução esteja o mais disponível possível. Todos os serviços da Plataforma VTEX são implantados em um ambiente multi-AZ, além de possuir um plano de recuperação de desastres que inclui a existência de uma região AWS à prova de falhas.
A Plataforma VTEX também faz parte do programa AWS Well Architected, pelo qual verifica constantemente sua arquitetura e práticas no uso dos recursos da AWS, em conjunto com um especialista da AWS, para garantir que sua solução esteja nas melhores condições de disponibilidade e escalabilidade.
I.8. Controle de Separação
A Plataforma VTEX compreende mais de 70 serviços, cada um deles com sua própria infraestrutura e ciclo de vida. Cada aplicativo tem seus próprios servidores de aplicativos; e os bancos de dados possuem uma infraestrutura separada também.
Além disso, os dados e seu processamento são segregados no nível da conta de cada cliente da Plataforma VTEX, ou seja, a conta da Retail Hub é o contêiner de todos os dados pertencentes apenas e exclusivamente à Retail Hub. Pelo desenho da Plataforma VTEX, não há maneira de acessar dados pessoais sem consultar a conta que os contém.
A Plataforma VTEX garante a separação não apenas no nível da conta, mas também no tipo de ambiente: a versão estável roda em servidores diferentes daqueles que servem as versões beta, onde estão os candidatos que estão sendo validados pelos Clientes. Os ambientes de desenvolvimento da VTEX também são separados dos ambientes de produção e beta.
II. Medidas a serem tomadas em caso de incidentes
Os incidentes de segurança da informação e privacidade, conforme anteriormente definidos nesta Política de Segurança, devem ser registrados, avaliados (quanto a causa e impacto) e tratados para contenção e redução de impactos diversos.
Na hipótese de ocorrência de um incidente que possa acarretar risco ou dano relevante aos Usuários, a Retail Hub imediatamente notificará a Plataforma VTEX, assim como notificará seus Clientes para que tomem as providencias necessárias para a comunicação do incidente aos Usuários e à autoridade nacional, se for o caso, determinando o escopo da violação e promovendo a investigação e restauração, ainda que por meio dos terceiros especializados que auxiliam a promover, fornecer ou apoiar os serviços da Retail Hub, bem como o desenvolvimento e funcionamento do Marketplace de seus Clientes (“Prestadores de Serviços”).
A Retail Hub exige e celebra um acordo com cada um desses Prestadores de Serviços, para que eles tratem os Dados Pessoais de maneira consistente com a sua Política de Privacidade e Política de Segurança.
A referida comunicação será feita nos termos do previsto no artigo 48 da LGPD e deverá mencionar, no mínimo:
“I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.”
III. Atualização desta Política
A presente versão da Política de Segurança foi atualizada pela última vez em: 10/09/2021.