Divisão de responsabilidades
O controle é uma responsabilidade tanto sua quanto da Zoho.
Gerenciamento de identidade e acesso
Fornecemos infraestrutura para gerenciar contas de usuário por meio do serviço de IAM (Identity and Access Management, gerenciamento de identidade e acesso) facilitando:
- Registro de usuário, opções de cancelamento de registro e especificações de uso.
- Funcionalidade para gerenciar direitos de acesso dos seus usuários na nuvem.
- Técnicas consistentes de autenticação, como autenticação multifator e restrições de endereço IP.
Você é responsável por:
- Implementar controles consistentes de gerenciamento de acesso de usuário.
- Configurar senhas fortes com base na política da sua organização e protegê-las.
- Ativar a autenticação multifator para os usuários de sua organização.
- Administrar contas de usuário e privilégios, configurando funções de usuário de acordo com o princípio do menor privilégio.
- Definir os administradores da conta de sua organização e ter um processo adequado para transferências de propriedade. Tomar as medidas necessárias para assegurar que sua organização não perca o controle das próprias contas de administrador.
- Analisar periodicamente a lista de usuários com acesso aos dados e remover o acesso de qualquer pessoa que não deva mais ter acesso a eles.
- Analisar com frequência os dispositivos vinculados às contas de usuário da organização e remover dispositivos não utilizados ou não autorizados.
- Monitorar as contas de usuário da organização para identificar acesso ou uso mal-intencionado.
- Notificar a Zoho sobre qualquer uso não autorizado das contas de sua organização.
- Explicar aos usuários a importância de um bom gerenciamento de senhas e os riscos da reutilização de credenciais, login via redes sociais e ataques de phishing.
Gerenciamento de dados
Oferecemos uma plataforma para você gerenciar seus dados com:
- Recursos de compartilhamento de dados para controles em nível de administrador e de usuário.
- Recursos de auditoria em dados de clientes para proporcionar transparência em atividades importantes e acompanhar mudanças.
- Interoperabilidade de dados – você pode fazer um backup completo de dados e configurações para migrar todos os dados ou parte deles para outro provedor de SaaS.
- Retenção e descarte de dados – manteremos os dados em sua conta se você escolher usar o Zoho Services. Assim que você encerrar sua conta de usuário da Zoho, seus dados serão excluídos do banco de dados ativo na próxima limpeza programada, que ocorre uma vez a cada seis meses. Os dados eliminados do banco de dados ativo serão excluídos dos backups após três meses.
- Recursos de limitação de acesso para reduzir o acesso dos funcionários aos dados de clientes e garantir que isso só possa ser feito se houver um motivo específico.
Você é responsável por:
- Diligência prévia durante o processamento das informações que se enquadram em categorias especiais (por exemplo, dados pessoais/confidenciais), aplicando os controles adequados para cumprir os requisitos da legislação vigente.
- Configurar as permissões adequadas de compartilhamento e visualização.
- Analisar regularmente os relatórios de auditoria para identificar qualquer atividade suspeita.
- Manter as informações de contato atualizadas no sistema da Zoho.
- Remover seus dados do sistema assim que parar de usar nossos serviços. Caso contrário, eles estarão sujeitos a uma exclusão permanente, sem possibilidade de recuperação.
Gerenciar dados de outras partes
Trabalhamos para garantir integrações e extensões seguras para nossos aplicativos por meio de:
- Aplicativos de marketplace: realização de testes de função, segurança e privacidade assim que um aplicativo é enviado para nós. Também realizamos análise de produto e de conteúdo.
- Subprocessadores: avaliação das práticas de segurança e privacidade dos subprocessadores que desejamos contratar para verificar se atendem aos padrões de segurança e privacidade das informações da Zoho. Em seguida, executamos os contratos de proteção de dados com os subprocessadores.
- Revisamos a política de privacidade e os termos de serviço de nossos fornecedores e asseguramos que as operações deles estejam em conformidade.
Esperamos que você:
- Ative ou desative integrações de terceiros depois de considerar os dados que são compartilhados com os ambientes deles. Você deve analisar os termos e a política de privacidade dos serviços de terceiros em relação à coleta, uso ou divulgação de dados.
- Indique se você deseja compartilhar seus detalhes com os fornecedores sempre que uma extensão for instalada.
- Avalie a compatibilidade dos aplicativos do Marketplace e a adequação das permissões solicitadas antes da instalação.
- Notifique a Zoho de qualquer comportamento mal-intencionado identificado nos aplicativos do marketplace.
Direitos do titular dos dados
Somos responsáveis por:
- Fornecer recursos que permitam a nossos clientes atender e proteger os direitos dos clientes deles.
- Notificá-lo sobre solicitações de seus clientes quando eles entrarem diretamente em contato conosco para exercer os próprios direitos.
Você tem a obrigação de:
- Honrar e lidar com solicitações de clientes relacionadas a acesso, retificação, exclusão e restrições de dados no processamento de informações pessoais.
Criptografia
Protegemos seus dados usando criptografia em trânsito e em repouso das seguintes formas:
- Dados em trânsito: dados de clientes transmitidos para nossos servidores por redes públicas são protegidos pelo uso de protocolos consistentes de criptografia. Exigimos que todas as conexões com nossos servidores usem a criptografia TLS 1.2/1.3 com códigos complexos para todas as conexões incluindo acesso via Web, API, IMAP/POP/SMTP e nossos aplicativos móveis.
- Dados em repouso: os dados confidenciais em repouso de clientes são criptografados com o algoritmo AES (Advanced Encryption Standard) de 256 bits. Os dados criptografados em repouso variam de acordo com os serviços que você escolher. Possuímos e mantemos as chaves usando nosso Serviço de gerenciamento de chaves (KMS) interno.
Sugerimos que você:
- Determine suas necessidades de criptografia. Em muitos casos, ao usar nossos serviços para dados em repouso, cabe a você definir os campos que precisam ser criptografados.
- Quando os dados da nossa nuvem são baixados ou exportados para seu ambiente ou sincronizam integrações na Zoho ou qualquer outra integração de terceiros, é preciso garantir a aplicação dos respectivos controles de criptografia. Por exemplo, ative a criptografia de disco em seus dispositivos e use o recurso de exportação com proteção por senha etc.
Backups
Contamos com um sistema robusto para:
- Manter os backups no nível do sistema criptografados com o algoritmo AES de 256 bits e armazenados em segurança. Executar automaticamente verificações de integridade e validação dos backups completos.
- Permitir solicitações de restauração de dados e fornecer acesso seguro a eles dentro do período de retenção. Oferecer aos clientes um recurso para exportação e backup de dados.
Você, por sua vez, pode:
- Programar um backup dos seus dados, exportá-lo dos respectivos serviços da Zoho e armazená-lo localmente em sua infraestrutura, se necessário. Você é responsável por garantir o armazenamento seguro do backup.
Gerenciamento de incidentes
Da nossa parte, nos comprometemos a:
- Relatar todos os incidentes de violação conhecidos que se aplicam a você, além de detalhes do impacto e instruções de como proceder. No caso de incidentes específicos de um usuário ou uma organização, notificaremos a parte interessada pelo e-mail registrado em nosso sistema.
- Monitorar esses incidentes e encerrá-los.
- Implementar controles para evitar a recorrência de incidentes semelhantes.
- Caso seja solicitado, forneceremos evidências adicionais sobre o incidente que se aplica a você.
Esperamos que você:
- Tome as medidas sugeridas pela Zoho em caso de violação.
- Atenda aos requisitos de divulgação e notificação de violação de dados, por exemplo, notificando seus usuários finais e autoridades de proteção de dados, se for o caso.
- Relate incidentes de segurança e privacidade que você tenha identificado enviando um e-mail para incidents@zohocorp.com.
Conscientização e treinamento
Assumimos total responsabilidade por:
- Instruir nossos funcionários sobre consciência de segurança e adesão a um padrão seguro de desenvolvimento. Oferecer aos novos funcionários treinamento obrigatório em segurança e privacidade e promover continuamente a conscientização sobre a importância da segurança por meio de e-mails informativos, apresentações e recursos disponíveis na nossa intranet.
- Ensinar nossos funcionários a dar o tratamento adequado aos dados de clientes nos serviços de nuvem.
Você é responsável por treinar os usuários da nuvem em relação a:
- Padrões e procedimentos para o uso dos nossos serviços.
- Gerenciamento dos riscos relacionados aos nossos serviços.
- Riscos no sistema em geral e no ambiente de rede.
- Considerações legais e regulamentares aplicáveis.
Política e conformidade
Aderimos a um conjunto de diretrizes, tais como:
- Contamos com um programa de gerenciamento de riscos abrangente e implementamos os controles com eficiência.
- Nossas operações estão de acordo com a lei das várias jurisdições em que atuamos.
- Oferecemos evidências de conformidade com as legislações aplicáveis e com base em nossos requisitos contratuais.
- Ajudaremos nossos clientes nas avaliações DPIA até o limite permitido pelas leis aplicáveis.
Esperamos que você:
- Avalie as normas e as leis que se aplicam a você e analise nossa conformidade com as normas e os padrões exigidos pela sua empresa. Você pode solicitar informações adicionais que comprovem a nossa conformidade.
- Compreenda as políticas, nossos métodos de avaliação de políticas e como processamos os dados.
- Realize a DPIA conforme exigido pelas leis de proteção de dados aplicáveis à sua organização antes/durante o processamento de dados
- Avalie sua base jurídica antes de processar quaisquer dados pessoais/confidenciais. Caso sua base jurídica permita, certifique-se de obter o consentimento de seus clientes.
- Avalie a compatibilidade dos nossos serviços na nuvem com base nas informações fornecidas e assegure que sejam suficientes para atender às suas necessidades de conformidade.
- Compreenda o perfil de risco e a confidencialidade dos dados hospedados nos serviços da Zoho e aplique os controles adequados.