Política de segurança

A Retail Hub protege seus dados com medidas de segurança que evitam acessos indevidos e incidentes.

Esta política resume os controles adotados para garantir a integridade e privacidade das informações.

A Retail Hub Consultoria e Tecnologia Ltda. (“Retail Hub”), em observância ao seu compromisso de agir com boa-fé e de adotar medidas de segurança aptas a proteger os dados pessoais (“Dados Pessoais”) dos usuários (“Usuários”) das Plataformas de Marketplace Digitais (“Marketplace”) desenvolvidas e administradas para seus clientes (“Clientes”), estabelece a presente Política de Segurança (“Política de Segurança”), que tem por finalidade informar, de forma objetiva e clara, as medidas preventivas adotadas para manter os Dados Pessoais protegidos de eventuais incidentes de segurança da informação, bem como as principais providências a serem tomadas em caso de incidentes de segurança e privacidade que ponham em risco a integridade ou confidencialidade dos Dados Pessoais dos Usuários tratados pela Retail Hub.

Compreendem-se como incidente de segurança da informação e privacidade as situações acidentais ou ilícitas de perda, apropriação e uso indevido, acesso não autorizado, divulgação, alteração, destruição ou qualquer outra forma de tratamento inadequado ou ilícito dos Dados Pessoais.

Esta Política tem o objetivo de dar ciência aos titulares dos Dados Pessoais, ou seja, aos Usuários, assim como se destina aos funcionários, colaboradores e subcontratados da Retail Hub, para instruí-los a respeito de como prevenir, detectar, reduzir vulnerabilidade e responder aos incidentes de segurança da informação e privacidade, no âmbito da coleta e tratamento dos Dados Pessoais.

No tocante ao Marketplace, após realização do cadastro, os dados de seus usuários ("Usuários'') serão coletados pelos Clientes da Retail Hub e permanecerão registrados e armazenados no módulo "Masterdata" integrado à plataforma do Marketplace, fornecida e administrada pela VTEX Brasil Tecnologia Para E-Commerce Ltda. ("Plataforma VTEX"), dentro da qual o Marketplace está inserido.

Em razão da gestão tecnológica do Marketplace, a Retail Hub tem acesso aos dados pessoais dos Usuários, sendo que, no entanto, não gerencia esses dados, atividade que cabe exclusivamente aos seus Clientes. Ou seja, a Retail Hub não inclui, exclui, modifica ou realiza qualquer alteração nos dados pessoais coletados dos Usuários.

A Retail Hub compromete-se a responder às solicitações dos Usuários, na qualidade de titulares dos dados, quando, eventualmente, lhe forem direcionadas, no prazo de até 15 (quinze) dias corridos, contados da solicitação, hipótese na qual notificará previamente os seus Clientes sobre a ação a ser realizada em decorrência da solicitação do titular dos dados. Compromete-se, ainda, a responder às solicitações dos seus Clientes com relação aos dados pessoais coletados por meio de seus Marketplaces, sendo que, em ambos os casos, poderá ter de solicitar diretamente à Plataforma VTEX colaboração para responder as solicitações, sempre em cumprimento ao disposto nesta Política de Privacidade e na regulamentação aplicável.

No tocante ao Site, os dados de usuários serão coletados quando voluntariamente fornecidos através da aba "contato", ou por meio de link aos canais de Whatsapp ( +55 11 99830-8828), Linkedin (https://www.linkedin.com/company/retail-hub/?viewAsMember=true) e Instagram, (https://www.instagram.com/retail hub br/) que também poderão ser canais de coleta direta de dados pessoais dos usuários. A Retail Hub declara que somente serão armazenados os dados relevantes e/ou necessários à divulgação e/ou desenvolvimento dos seus produtos/serviços e que atendam aos princípios da regulamentação aplicável, de outra forma serão automaticamente e independentemente de solicitação descartados. O tratamento, conforme definição legal, dos dados pessoais pela Retail Hub, estará sujeito às práticas estabelecidas nesta Política de Privacidade, nas disposições da Lei nº 12.965, de 23 de abril de 2014 "(Marco Civil da Internet"), da Lei n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais ou "LGPD") e demais leis aplicáveis.

Quando a coleta e o uso de Dados Pessoais forem necessários para a prestação do serviço e/ou oferta de produto da Retail Hub, esta tomará todas as providências necessárias para obter o consentimento do titular dos dados ou, conforme o caso, recomendar aos seus Clientes que procedam da mesma forma com relação aos dados pessoais por eles coletados e com a Retail Hub compartilhados. Assim, a Retail Hub incentiva a leitura desta Política de Privacidade na íntegra e, em caso de dúvidas, deverá ser contactada para prestar esclarecimentos a respeito de quaisquer outras informações referentes ao assunto.

Ao disponibilizar, compartilhar ou concordar com a coleta, pela Retail Hub, de dados pessoais, os seus Clientes, usuários do Site e outros canais de comunicação indicados nesta Política de Privacidade, confirmam total compreensão e aceitação dos termos e condições aqui estabelecidos.

Vale ressaltar que os colaboradores e prestadores de serviço da Retail Hub, os quais atuam diretamente no tratamento de dados aqui descrito, estão sujeitos aos termos e condições que incorporam esta Política de Privacidade.

Os serviços da Plataforma VTEX estão hospedados em um data center que mantém várias certificações que garantem que sua infraestrutura atende às normas de segurança aplicáveis para garantir controles de acesso físico, incluindo a certificação ISO/IEC 27001 (Gestão da Segurança da Informação), cuja finalidade é prever um padrão para o sistema de gestão da segurança da informação (SGSI), autorização FedRAMP, certificação PCI e relatórios SOC.

Essas certificações confirmam que o data center possui os controles de acesso físico necessários para garantir a segurança e qualidade dos Dados Pessoais, bem como que o data center está de acordo com padrões internacionais de gestão da segurança, de forma que assegure a confidencialidade, integridade e disponibilidade dos Dados Pessoais dos Usuários.

A segurança do controle de admissão, que se dá por meio de registro de acesso, é garantida tanto no nível da infraestrutura do data center, que compreende o hardware, software, rede e recursos que executam os serviços Amazon Web Services - AWS (https://aws.amazon.com/pt), como nos serviços disponíveis nessa infraestrutura, que é o caso da Plataforma VTEX.

As senhas de acesso a ambientes possuem uma complexidade mínima imposta, além de autenticação de dois fatores para realizar tarefas de cunho administrativo. Todas as senhas são armazenadas criptografadas, assim como quaisquer dados confidenciais.

Os Dados Pessoais dos Usuários são acessados somente por pessoas autorizadas, e na medida em que existe essa autorização, sendo que a autorização concedida decorre exclusivamente da função ocupada na organização por cada pessoa. Sendo assim, a Plataforma VTEX garante que cada pessoa autorizada tenha acesso somente aos dados necessários para exercer a sua função.

A Plataforma VTEX possui uma funcionalidade que permite que a Retail Hub tenha a capacidade de criar suas próprias funções e delegá-las a seus colaboradores administrativos, por meio de seus perfis de usuário, permitindo, assim, estabelecer quem tem acesso a quais Dados Pessoais.

A Plataforma VTEX adota também protocolos e mecanismos de segurança padrão no momento da transmissão dos dados entre o Usuário e o servidor, mediante a utilização de certificado Secure Socket Layer (SSL) que garante a criptografia das informações confidenciais contra adulteração, espionagem e falsificação dos dados.

Assim, quando transmitidos, todos os dados gerenciados e processados pela Plataforma VTEX são criptografados. As páginas da Web, incluindo seus formulários, são servidos apenas por meio de canais HTTPS, assim como a API (Application Programming Interface). Esses canais são protegidos pelos protocolos mais atualizados de segurança, bem como são verificados por terceiros durante as avaliações de certificação. O acesso à infraestrutura, quando eventualmente necessário para fins operacionais, só é possível usando uma VPN (Virtual Private Network).

O acesso aos Dados Pessoais é controlado de acordo com as funções e permissões de acesso atribuídas a cada pessoa autorizada, conforme esclarecido no item I.3 desta Política, e quaisquer ações de modificação nos Dados Pessoais são registradas. Dessa forma, todos esses registros podem ser usados para auditoria.

Os funcionários, colaboradores e subcontratados da Retail Hub, bem como os da Plataforma VTEX, no âmbito da Plataforma VTEX, são cuidadosamente selecionados e estão cientes de que todos os Dados Pessoais dos Usuários e dos Clientes são de propriedade de seus titulares e são considerados confidenciais, devendo assinar o Termo de Anuência e Adesão, que incorpora a Política de Privacidade e a Política de Segurança da Retail Hub, quando de sua contratação.

Além de aproveitar todos os recursos de disponibilidade física fornecidos pela Amazon Web Services - AWS como parte dos seus serviços, a Plataforma VTEX também implementa todas as melhores práticas sugeridas por eles para garantir que sua solução esteja o mais disponível possível. Todos os serviços da Plataforma VTEX são implantados em um ambiente multi-AZ, além de possuir um plano de recuperação de desastres que inclui a existência de uma região AWS à prova de falhas.

A Plataforma VTEX também faz parte do programa AWS Well Architected, pelo qual verifica constantemente sua arquitetura e práticas no uso dos recursos da AWS, em conjunto com um especialista da AWS, para garantir que sua solução esteja nas melhores condições de disponibilidade e escalabilidade.

A Plataforma VTEX compreende mais de 70 serviços, cada um deles com sua própria infraestrutura e ciclo de vida. Cada aplicativo tem seus próprios servidores de aplicativos; e os bancos de dados possuem uma infraestrutura separada também.

Além disso, os dados e seu processamento são segregados no nível da conta de cada cliente da Plataforma VTEX, ou seja, a conta da Retail Hub é o contêiner de todos os dados pertencentes apenas e exclusivamente à Retail Hub. Pelo desenho da Plataforma VTEX, não há maneira de acessar dados pessoais sem consultar a conta que os contém.

A Plataforma VTEX garante a separação não apenas no nível da conta, mas também no tipo de ambiente: a versão estável roda em servidores diferentes daqueles que servem as versões beta, onde estão os candidatos que estão sendo validados pelos Clientes. Os ambientes de desenvolvimento da VTEX também são separados dos ambientes de produção e beta.

Os incidentes de segurança da informação e privacidade, conforme anteriormente definidos nesta Política de Segurança, devem ser registrados, avaliados (quanto a causa e impacto) e tratados para contenção e redução de impactos diversos.

Na hipótese de ocorrência de um incidente que possa acarretar risco ou dano relevante aos Usuários, a Retail Hub imediatamente notificará a Plataforma VTEX, assim como notificará seus Clientes para que tomem as providencias necessárias para a comunicação do incidente aos Usuários e à autoridade nacional, se for o caso, determinando o escopo da violação e promovendo a investigação e restauração, ainda que por meio dos terceiros especializados que auxiliam a promover, fornecer ou apoiar os serviços da Retail Hub, bem como o desenvolvimento e funcionamento do Marketplace de seus Clientes (“Prestadores de Serviços”).

A Retail Hub exige e celebra um acordo com cada um desses Prestadores de Serviços, para que eles tratem os Dados Pessoais de maneira consistente com a sua Política de Privacidade e Política de Segurança.

A referida comunicação será feita nos termos do previsto no artigo 48 da LGPD e deverá mencionar, no mínimo:

“I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.”

A presente versão da Política de Segurança foi atualizada pela última vez em: 10/09/2021.