LGPD não é checkbox em proposta. É como a gente opera.
Trabalhamos com dados financeiros, operacionais e pessoais de empresas que não podem se dar ao luxo de vazamento. Estes são os controles que aplicamos em todos os projetos, sem variação.
Para a política aplicada ao site emtwo.com.br, veja a Política de Privacidade.
Seis controles aplicados a todo projeto
Independente do porte do contrato, esses controles estão sempre ativos.
Contratos com cláusulas específicas de LGPD
Antes do primeiro acesso a sistemas do cliente, formalizamos NDA e adendo de tratamento de dados.
- NDA mútuo com confidencialidade pós-contrato.
- Adendo definindo papéis: cliente como controlador, EMTWO como operador.
- Compromisso explícito de não usar dados do cliente para treinar modelos ou para qualquer finalidade além da contratada.
Acesso mínimo e nominado
Cada pessoa do time EMTWO tem acesso apenas ao que precisa, com credencial nominada, nunca compartilhada.
- MFA obrigatório em qualquer acesso a sistemas do cliente.
- Lista nominal de profissionais com acesso, atualizada e disponível ao cliente.
- Revogação imediata em casos de desligamento ou rotação de equipe.
Minimização e mascaramento
Trabalhamos com o mínimo de dados pessoais possível. Sempre que viável, com dados mascarados ou sintéticos.
- POCs e ambientes de desenvolvimento operam com dados anonimizados.
- Acesso a dados de produção é restrito a operações específicas, registradas.
- Logs e prints são sanitizados antes de serem usados em documentação ou debug.
Criptografia em trânsito e em repouso
Padrão técnico aplicado em todas as integrações, sem exceção.
- TLS 1.2+ obrigatório para qualquer comunicação entre sistemas.
- Segredos armazenados em cofres (Azure Key Vault, AWS Secrets Manager ou equivalente do cliente).
- Bancos e storages com criptografia em repouso ativada por padrão.
Infraestrutura na nuvem do cliente
As automações rodam na infraestrutura escolhida pelo cliente, com governança e logs auditáveis por ele.
- Preferência por cloud do próprio cliente (Azure, AWS, GCP).
- Quando hospedamos, é em ambiente isolado por projeto, jamais compartilhado.
- Logs de execução acessíveis ao cliente em tempo real.
Resposta a incidentes
Plano de resposta definido em contrato, com comunicação ao cliente em até 24h da identificação.
- Notificação ao DPO/encarregado do cliente em até 24 horas úteis.
- Análise de causa raiz com plano de remediação compartilhado.
- Apoio na comunicação à ANPD quando aplicável ao contexto.
Ciclo de vida dos dados no projeto
Do primeiro acesso ao encerramento do contrato.
Coleta
Definimos no escopo quais dados precisam ser acessados. Tudo que não é necessário, não é coletado nem visualizado.
Uso
Cada acesso é registrado em log auditável. Operações sensíveis exigem aprovação dupla.
Retenção
Em projetos sem sustentação contínua, todos os dados temporários (caches, logs detalhados, dumps de teste) são descartados em até 30 dias após a entrega.
Eliminação
No encerramento do contrato, devolvemos ou eliminamos qualquer dado do cliente em nossa posse, com termo de comprovação assinado.
Precisa de detalhes adicionais para due diligence?
Atendemos requisições de áreas de Segurança, Compliance e Jurídico com matriz de controles detalhada, evidências e referências de projetos sob acordo.