REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
Com a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), a gestão e proteção de dados pessoais passará a ser uma prioridade para todas as empresas que atuem na União Europeia.
A João Manuel Mourão da Costa , adiante designada soos, é uma empresa de web hosting e desenvolvimento de software. Além dos serviços que fornece,– cujo serviço é fornecido online.
No que ao RGPD diz respeito, e pela tipologia de serviços por nós prestados, importa salientar os papéis e responsabilidades associados à SOOS no que se refere à proteção de dados pessoais:
• Controlador (Data controller) enquanto responsável pelo controlo de todos os dados que recolhe dos seus clientes, para prestação dos serviços contratados e respetivo suporte;
• Processador (Data processor) enquanto provedor de alojamento web, prestador de serviço online, registo de domínios ou venda de certificados SSL.
Aqui encontrará as principais medidas e procedimentos associados à implementação do regulamento por parte da SOOS, no que se refere à proteção de dados pessoais dos seus clientes.
Além das informações aqui constantes, deve também ter em conta a nossa Política de Privacidade e Proteção de Dados, assim como os Termos e Condições de Serviço.
1. DADOS PESSOAIS
1.1. Recolha, fim de tratamento e consentimento
A SOOS garante que o consentimento da recolha de dados, no ato do preenchimento da ficha de cliente ou de formulários de contacto, é obtido de forma ativa e consciente.
Fora o consentimento, o tratamento, por ser indispensável à prestação de um serviço ou venda de um produto, pode afigurar-se como necessário e a esta necessidade será intrínseca a necessidade de tratamento de dados e execução de um contrato, acordo, proposta ou outro documento oficial ou com força legal.
Todos os dados recolhidos e tratados pela SOOS encontram o seu fundamento na subscrição dos serviços por cláusulas contratuais gerais, e assim, na necessidade intrínseca à sua prestação.
Fora estas a SOOS não recolhe ou trata quaisquer outros dados, e todos os que lhe possam ser facultados pelo titular de forma voluntária e discricionária serão ignorados e excluídos de tratamento.
O consentimento de tratamento de dados pessoais para fins alheios às cláusulas contratuais dos termos e condições de serviço é expressa e separadamente solicitado aquando da recolha do preenchimento da ficha de cliente e/ou outros meios de recolha de dados.
Enquanto provedor de alojamento web, todos os dados armazenados nos nossos servidores foram recebidos com base na contratação do referido serviço e assim prevalecem enquanto o serviço/contrato prevalecer. Fora este tempo fica a obrigação residual, também advinda do próprio contrato, de manter, durante os tempos definidos os backups dos conteúdos anteriormente alojados. O mesmo se aplica ao serviço de faturação online UEBBILL.
1.2. Direito de acesso
A SOOS permite o acesso aos dados pessoais por parte do seu titular através da sua área de cliente reservada, onde pode também alterá-los garantindo a correção dos mesmos.
Exclui-se o acesso de dados ou alteração dos mesmos quando:
• Acesso e/ou alteração de dados solicitada por outras vias que não a área de cliente;
• Quando não haja acesso ao email autorizado, ou outro indicado com as mesmas permissões. Pode criar outros emails autorizados com as mesmas permissões na sua área de cliente.
Caso o cliente não tenha acesso, por nenhuma forma, ao email autorizado ou outro com as mesmas permissões, poderá solicitar alteração de email autorizado através de preenchimento de formulário com dados de identificação que terão que ser atestados por meio legal. Mediante a aceitação deste formulário a SOOS fará a alteração dos dados em conformidade com o solicitado.
Neste caso, embora sejamos forçados a manter o formulário como evidência do pedido de alteração, este será armazenado e com acesso restrito e justificado.
1.3. Direito à portabilidade
O titular dos dados poderá solicitar à SOOS uma cópia dos seus dados em formato de uso comum. Este pedido deverá ser solicitado por email autorizado para rgpd@ soos.info No caso de não ter acesso ao email autorizado prevalecem as regras mencionadas no ponto 1.2.
Enquanto provedor de alojamento web e não conhecendo os dados pessoais que processa, a SOOS limita-se a permitir o acesso aos seus clientes para que possam migrar os conteúdos alojados nos seus servidores para qualquer outro provedor de serviços ou, para um dispositivo de armazenamento a ser disponibilizado por este.
1.4. Direito ao esquecimento
O titular dos dados pessoais terá o direito de ver os seus dados eliminados e interrompido o seu tratamento quando:
• O propósito para o qual os dados foram recolhidos deixe de existir, e os dados em si deixem de ser necessários para nenhum fim que lhe seja conhecido ou transmitido;
• Quando não existe consentimento do titular independentemente do fim;
• Quando não exista sustentação legal para tal;
• Em qualquer caso em que os dados sejam tratados em violação do RGPD.
A SOOS poderá negar-se à eliminação ou alteração dos dados, quando estes correspondam a obrigações contratuais e em defesa dos seus interesses legítimos, bem como o cumprimento da lei, nomeadamente a lei fiscal. No entanto, a SOOS restringirá o acesso e tratamento desses mesmos dados como forma de preservá-los como evidência. Estes dados serão armazenados, não tratados, e apenas com acesso restrito e justificado.
Além dos titulares dos dados que exerçam o seu direito ao esquecimento, também todos aqueles que apresentam mais de 1 ano de inatividade passarão automaticamente a ser armazenados em conformidade.
Enquanto provedor de alojamento web e apesar de não ser responsabilidade direta da SOOS garantir ao titular dos dados que o seu direito ao esquecimento é levado a cabo, no que concerne aos dados alojados nos seus servidores, a lícita limitação ao esquecimento está intrinsecamente ligada ao tempo obrigatório de retenção de backups.
Não poderá ainda a SOOS apagar qualquer dado quando não haja ordem expressa do controlador ou da autoridade judiciária com poderes para o ato.
1.5. Pseudonimização e anonimização
A SOOS utiliza pseudonimização e anonimização não sendo autorizado ao normal operador o acesso a dados pessoais, exceto e-mail autorizado para identificação do cliente.
A We Provide, como fornecedora de softwares de gestão e faturação, encontra-se neste momento e implementar sistema de anonimização, permitindo a restrição de acesso a dados pessoais a utilizadores não autorizados.
1.6. Criação de perfil
Na SOOS não há tratamento automatizado, incluindo a definição de perfis que produzam decisões com efeitos jurídicos.
1.7. Privacy by design, privacy by default e Data Minimization
É obrigação no âmbito do RGPD garantir a privacidade e proteção dos dados pessoais desde a conceção (de produto ou serviço) e durante todo o tempo em que se processe ou controle dados pessoais, levando à minimização da exposição de risco.
A SOOS cumpre com os requisitos inerentes ao que se entende por privacy by design e by default, usando os meios de segurança adaptados, com certificados de segurança e pseudonimização desde a subscrição de serviço, encriptação de dados, firewall, antivírus & Antimalware, acessos autenticados por VPN controlados e restritos assim como uma ferramenta de Data Control.
1.8. Segurança de Dados de Pagamento
Alguns dos modos de pagamento disponibilizados pela SOOS são processados por terceiros.
Quando o Cliente seleciona pagamento por Paypal, a SOOS passa a solicitação para o website da Paypal onde a transação ocorre. Portanto, os dados de pagamento não são armazenados nos nossos sistemas.
A Paypal efetua transações financeiras online em milhares de empresas em todo o mundo e está em conformidade com os padrões PCI-DSS para armazenamento e tratamento de informações de pagamento.
2. REGISTO DE DOMÍNIOS – POLÍTICA DE WHOIS
A propriedade de um domínio é identificada publicamente pelo WHOIS, com dados pessoais como nome, morada, contacto telefónico e email.
Para todos os domínios registados em nome individual ativaremos por defeito o WHOIS privado. Os seus dados pessoais apenas serão disponibilizados no WHOIS caso seja do seu interesse e mediante consentimento expresso através de um documento disponível para download na nossa área de cliente. A solicitação de WHOIS público deverá ser efetuada através do contacto rgpd@ soos.info
Relembramos que mesmo com WHOIS privado a titularidade do domínio estará salvaguardada, no entanto, os seus dados pessoais não são disponibilizados publicamente nos motores de pesquisa de WHOIS, ou serão substituídos por dados fictícios.
Os dados pessoais recolhidos para efeitos de registo de domínios são cedidos à entidade registrar competente. Em todos os casos, serão solicitadas informações relacionadas com o cumprimento com o RGPD, para que possamos garantir que os dados dos nossos clientes estão devidamente protegidos.
3. MEDIDAS DE SEGURANÇA
3.1. Rede empresarial interna
Todos os nossos serviços são geridos através da nossa rede empresarial interna que dispõe de medidas de segurança apropriadas para garantir a proteção de dados dos nossos clientes, assim como a segurança de gestão da nossa infraestrutura:
• Software antivírus em todos os equipamentos internos, que disponibiliza proteção contra malware;
• Rede wi-fi empresarial protegida por password não cedida a visitantes;
• Backups diários de bases de dados de clientes;
• Encriptação de equipamentos internos;
• SIEMFeeder em todos equipamentos (Security information and event management)
3.2. Websites
As comunicações efetuadas através dos websites geridos pela SOOS são efetuadas por TLS/SSL (HTTPS), garantindo a encriptação da comunicação entre o seu browser e os nossos servidores.
3.3. Infraestrutura e rede de servidores
3.3.1. Segurança Física
O nosso Datacenter localiza-se num dos maiores e mais conceituados provedores de Datacenter em Portugal. Todos os recursos do provedor são aproveitados para proteger a nossa infraestrutura contra ameaças ou impactos físicos. O datacenter possui controlo de acessos e vigilância local e remota 24×7 para proteger contra entrada não autorizada. Os controlos de segurança fornecidos pelas nossas instalações de datacenter incluem, mas não estão limitados:
• Serviço de segurança física 24×7;
• Sistema de controlo de acessos a pessoas autorizadas;
• Controlo de acessos por cartão e autenticação biométrica;
• Sistema de vídeo vigilância;
• Estrutura antissísmica;
• Infraestrutura automática de deteção e combate a incêndios;
• Sistema AVAC (controlo de temperatura e humidade);
• Portas blindadas e anti-fogo;
• Energia elétrica protegida por UPS e geradores;
O Datacenter é ainda certificado pela ISO9001 e ISO27001.
3.3.2. Segurança de Infraestrutura
O acesso à gestão de infraestrutura é efetuado por sistemas de autenticação multi-factor (2FA).
O acesso aos nossos equipamentos é baseado em políticas de grupo sendo que é atribuído apenas o acesso estritamente necessário para a intervenção do equipamento.
Consideramos qualquer sistema que armazene os dados dos nossos clientes como sistemas altamente sensíveis. Como tal, o acesso a estes sistemas é extremamente limitado e monitorizado.
Os discos rígidos e infraestrutura são apagados com segurança antes de serem desativados ou reutilizados para garantir a completa segurança dos seus dados.
3.3.3. Registo de Logs
Os nossos sistemas de segurança e monitorização efetuam o registo de logs para permitir a monitorização de desempenho e segurança. O registo inclui ações do sistema, bem como os logins e comandos emitidos pelos nossos administradores de sistemas.
3.3.4. Monitorização de Segurança
Toda a infraestrutura da SOOS é controlada 24x7x365 por uma equipa técnica certificada e altamente especializada. A nossa infraestrutura encontra-se integrada num sistema de monitorização e alarmística permanente que controla todo o equipamento físico, sistemas, plataformas e serviços.
A nossa equipa técnica recorre a processos de monitorização e análise para identificar atividades potencialmente maliciosas na nossa infraestrutura. Os comportamentos do utilizador e dos sistemas são monitorizados no sentido de identificar atividades suspeitas, e as investigações são realizadas seguindo os procedimentos de resposta a incidentes.
Não obstante as medidas de segurança implementadas, ressalvamos o facto de a SOOS não se responsabilizar pela perda de dados de acesso a serviços de alojamento ou e-mails, que possam ter como consequência o acesso a dados e ou informação por pessoas não autorizadas. A garantia de proteção dos dados de acesso aos serviços são da responsabilidade do cliente de acordo com termos e condições contratuais. É, no entanto, prática da SOOS a monitorização e comunicação ao Cliente de possíveis contas de email ou websites que possam ter sido comprometidos ou apresentem atividade suspeita.
3.3.5. Backups e Snapshots.
A We Provide faz backups diários em servidores remotos de forma a evitar catástrofes. Estes backups, assim como toda a rede de gestão de infraestrutura são geridos por redes internas e isoladas, não passando este tráfego pela internet. Estes backups são alojados em servidores isolados e totalmente encriptados.
4. FUGAS DE INFORMAÇÃO E FALHAS DE SEGURANÇA – DATA BREACHES
A violação de dados pessoais é definida no RGPD como “uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados, ou processados de outra forma”.
Violações de dados pessoais podem ser divididos em três tipos, sendo que uma só violação de dados pode envolver, uma, duas ou até as três categorias, a saber:
• Violação de confidencialidade, quando haja divulgação ou acesso não autorizado ou acidental a dados pessoais;
• Violação de disponibilidade, quando houve uma perda de acesso ou destruição de dados pessoais;
• Violação de integridade, quando haja alteração não autorizada ou acidental de dados pessoais.
Com o RGPD mais que responsabilidade por evitar que as violações de segurança aconteçam, passa ainda a existir a obrigação legal de verificar a gravidade da violação e notificar a autoridade supervisora. A comunicação à entidade supervisora e envio de relatório deverá ser efetuada no máximo de 72 horas após tomada de conhecimento da violação de dados.
São excluídos da necessidade de comunicação as violações dos dados pessoais que não sejam suscetíveis de resultar num risco para os direitos e liberdades dos indivíduos tendo um efeito prejudicial significativo sobre os indivíduos afetados.
Também o titular deve ser notificado em linguagem clara e simples com explicação concreta da ocorrência. Exclui-se da obrigação de notificação do titular quando as medidas de proteção técnicas e organizacionais aplicadas tornem os dados pessoais inteligíveis a qualquer pessoa não autorizada a aceder-lhes, como a pseudonimização ou anonimização, ou caso tome medidas subsequentes que afastem o risco de afetação os direitos e liberdades dos titulares dos dados.
A SOOS preocupa-se com os dados pessoais dos seus clientes e tenta ao máximo implementar medidas técnicas e organizacionais que evitem a fuga de informação e violação de dados pessoais.
Em todo o caso, estão a ser adotados procedimentos de comunicação para garantir uma eficaz comunicação à entidade supervisora e notificação ao titular dos dados, assim como a implementação de medidas preventivas para evitar esta necessidade.
Antes de qualquer tipo de comunicação e notificação, a SOOS efetuará uma análise de risco minuciosa do incidente, agindo em conformidade. A SOOS agirá com transparência em possíveis incidentes, mas sem despoletar alarmes ou insegurança que não são reflexo do risco real.
5. DIVULGAÇÃO RESPONSÁVEL DE VULNERABILIDADE
O nosso objetivo é manter a nossa infraestrutura e sistemas seguros para todos. Trabalhamos diariamente na identificação de novas soluções e implementação de melhorias na nossa infraestrutura. Se detetou alguma vulnerabilidade de segurança agradecemos a sua ajuda e a divulgação da mesma de forma responsável. Divulgar publicamente uma vulnerabilidade pode colocar toda a nossa infraestrutura em risco.
Se detetou alguma vulnerabilidade agradecemos que contacte a nossa equipa técnica e envie os detalhes da mesma através de ticket de suporte.
Trabalharemos ativamente consigo para avaliar e entender o âmbito do problema e identificar as soluções e medidas necessárias à sua correção.
As vulnerabilidades submetidas serão analisadas, triadas e em seguida avaliadas em detalhe para determinar o nível de risco. As vulnerabilidades de segurança são tratadas com a máxima importância para garantir a segurança dos seus dados pessoais e a segurança do nosso serviço.
6. OUTRAS QUESTÕES
Se tem qualquer outra questão ou dúvida relacionada com segurança dos seus dados pessoais ou dos dados que aloja na nossa infraestrutrua, encontramo-nos ao inteiro dispor para esclarecimento. Poderá abrir ticket aqui (departamento RGPD) ou enviar-nos um email para rgpd@clientes.soos.pt.
7. Atualizações
A SOOS, na perspetiva de melhoria contínua, reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações às medidas e procedimentos de segurança e proteção de dados pessoais aqui constantes.
Entidade responsável pelo tratamento de dados
João Manuel Mourão da Costa
Lugar do Açude n 31 Vila Verde da Raia
5400-805 Chaves – Portugal
rgpd@ soos.info