Legal — Toqen

Segurança e divulgação responsável

Implementamos medidas técnicas e organizativas adequadas para proteger dados pessoais e manter a segurança do serviço, e agradecemos relatórios responsáveis de vulnerabilidades.

TL;DR

  • Transporte seguro e encriptação quando apropriado.
  • Controlos de acesso rigorosos, separação de ambientes e monitorização.
  • Divulgação responsável com compromisso de safe harbor para investigação de boa-fé.

Medidas de segurança

Mantemos um programa de segurança concebido para proteger a confidencialidade, integridade e disponibilidade do serviço Toqen e de quaisquer dados pessoais tratados em ligação com o mesmo. As nossas medidas são selecionadas e mantidas através de uma abordagem baseada no risco, tendo em conta o estado da arte, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos para as pessoas.

  • Encriptação em trânsito utilizando normas TLS atuais; encriptação em repouso quando apropriado e suportado pela infraestrutura relevante.
  • Controlos de acesso com base no princípio do menor privilégio, incluindo acesso administrativo restrito e, quando apropriado, segregação de funções.
  • Separação lógica entre ambientes de desenvolvimento, pré-produção e produção, com controlos para reduzir o risco de acesso não autorizado e exposição de dados.
  • Medidas técnicas e organizativas para detetar e mitigar abuso e ataques, como limitação de taxa, mitigação de bots e proteção contra replay quando aplicável.
  • Monitorização, registos e alertas para apoiar operações de segurança, deteção de incidentes e diagnóstico, com acesso a registos limitado a pessoal e processos de serviço autorizados.
  • Práticas de desenvolvimento seguro de software, incluindo revisão de código e testes automatizados destinados a identificar problemas de segurança e fiabilidade.
  • Proteção de dados de participação de Launch Partner e de dados administrativos relacionados em sistemas protegidos com acesso limitado a pessoal e processos de serviço autorizados.

Revemos periodicamente e, quando apropriado, atualizamos as nossas medidas técnicas e organizativas de acordo com a evolução dos riscos e alterações ao serviço.

Por razões de segurança, não divulgamos publicamente detalhes sensíveis de controlos, configurações ou mecanismos de deteção específicos.

RGPD e princípios de proteção de dados na UE

O nosso serviço é concebido tendo em conta os princípios de proteção de dados da UE, incluindo minimização de dados, limitação da finalidade, integridade, confidencialidade e limitação da conservação.

Quando tecnicamente viável e apropriado para a funcionalidade selecionada, o serviço é concebido para reduzir a conservação de longo prazo desnecessária de dados pessoais e para evitar depender, por defeito, de perfis centrados na identidade.

Mais informações sobre o tratamento de dados pessoais, incluindo conservação, transferências e direitos dos titulares dos dados, encontram-se na nossa Política de Privacidade. Quando a Toqen trata dados pessoais em nome de um parceiro, a relação é regida pelo Data Processing Addendum (DPA) e por acordos de proteção de dados aplicáveis.

São implementadas medidas técnicas e organizativas adequadas para apoiar a segurança do tratamento nos termos do artigo 32.º do RGPD.

Divulgação responsável

Se acreditar que descobriu uma vulnerabilidade de segurança que afeta a Toqen, reporte-a para hi@toqen.app e inclua detalhes suficientes para que possamos reproduzir e investigar o problema.

Analisamos relatórios submetidos de boa-fé ao abrigo de uma abordagem de divulgação responsável e procuramos acusar receção de relatórios válidos dentro de um prazo razoável. Podemos solicitar informação adicional ou coordenação para reduzir o risco para utilizadores e parceiros.

Safe harbor: Não iniciaremos ações legais contra pessoas que realizem investigação de segurança de boa-fé, desde que (i) cumpram a legislação aplicável, (ii) evitem violações de privacidade, destruição de dados e interrupção do serviço, (iii) não acedam, recolham, conservem, utilizem ou divulguem dados para além do necessário para demonstrar a vulnerabilidade, (iv) nos informem da vulnerabilidade sem demora e nos deem uma oportunidade razoável para a corrigir e (v) não divulguem publicamente a vulnerabilidade nem detalhes do exploit antes da correção ou antes de acordarmos um calendário de divulgação coordenada.

Fornecedores de infraestrutura e serviços

Utilizamos fornecedores de infraestrutura e serviços estabelecidos para operar e proteger o serviço. Quando tais fornecedores tratam dados pessoais, atuam como subcontratantes do tratamento ou sub-subcontratantes ao abrigo de termos contratuais adequados, incluindo compromissos de proteção de dados e segurança, conforme exigido pela legislação aplicável.

Os controlos de segurança são implementados através de medidas técnicas e organizativas em camadas. Embora não divulguemos detalhes sensíveis de implementação, procuramos comunicar práticas de segurança de forma clara, exata e não enganosa.