Zyx Creator: Carrosséis e Posts de alta qualidade com IA - direto no Figma.Saiba mais

Zyx

Zyx

Recursos
PreçosBlogParceiros
Contato com vendas

Política de Segurança

Última atualização: 29 de janeiro de 2025


Política de Segurança


A ZYX Creator está comprometida com a segurança e proteção de seus dados. Esta Política de Segurança detalha nossas práticas de segurança da informação, tratamento de dados e conformidade regulatória.


1. Tratamento de Dados


1.1 O Que Coletamos


Dados de Identificação:

  • Endereço de email e nome (para autenticação)
  • Informações de perfil profissional (quando fornecidas)
  • Preferências e configurações da conta

    • Dados de Uso:

  • Métricas de uso da plataforma (anonimizadas)
  • Metadados de conteúdo gerado (prompts, timestamps, créditos utilizados)
  • Logs de acesso e atividades (para segurança e auditoria)

    • Dados Técnicos:

  • Informações do navegador e dispositivo
  • Endereço IP e localização aproximada (para segurança)
  • Cache de templates e preferências locais

    • 1.2 O Que NÃO Coletamos


    Proteção de Privacidade:

  • Conteúdo de arquivos Figma: Não acessamos estrutura ou layers de seus designs
  • Assets de design: Suas imagens, vetores e elementos visuais permanecem privados
  • Dados proprietários: Informações confidenciais de clientes ou empresas
  • Informações de pagamento: Processadas exclusivamente pela Stripe (não armazenamos dados de cartão)

    • Dados de Terceiros:

  • Não coletamos informações de seus clientes finais
  • Não rastreamos usuários fora de nossa plataforma
  • Não compartilhamos dados com redes de publicidade

    • 1.3 Finalidades do Tratamento


    Prestação de Serviços:

  • Autenticação e gerenciamento de conta
  • Processamento de conteúdo via IA (OpenAI)
  • Sincronização de preferências entre dispositivos
  • Fornecimento de suporte técnico

    • Melhoria da Plataforma:

  • Análise de padrões de uso para otimização
  • Desenvolvimento de novos recursos
  • Detecção e correção de bugs
  • Performance e estabilidade do sistema

    • Segurança e Conformidade:

  • Prevenção de fraudes e abusos
  • Detecção de atividades suspeitas
  • Cumprimento de obrigações legais
  • Resposta a incidentes de segurança

    • 2. Armazenamento de Dados


    2.1 Localização dos Dados


    Armazenamento Local (Navegador):

  • Tokens de autenticação (criptografados)
  • Preferências de usuário e configurações
  • Cache de templates e recursos
  • Dados de sessão temporários

    • Backend (Servidores):

  • Perfil de usuário e configurações de conta
  • Status de assinatura e histórico de créditos
  • Histórico de uso e métricas (anonimizadas)
  • Logs de auditoria e segurança

    • Localização Geográfica:

  • Dados primários armazenados em servidores na América do Norte (Google Cloud Platform)
  • Backups distribuídos geograficamente para redundância
  • Conformidade com requisitos de residência de dados

    • 2.2 Períodos de Retenção


    Dados Ativos:

  • Dados de conta: Mantidos enquanto a conta estiver ativa
  • Histórico de uso: Retidos por até 24 meses para análises
  • Cache local: Limpo automaticamente após inatividade

    • Dados Históricos:

  • Metadados de conteúdo: 90 dias de retenção
  • Logs de sistema: 30 dias para troubleshooting
  • Logs de segurança: 12 meses para auditoria

    • Exclusão de Dados:

  • Após cancelamento da conta: 30 dias de retenção antes da exclusão permanente
  • Dados de backup: Removidos em 90 dias após exclusão da conta
  • Dados anonimizados: Podem ser mantidos indefinidamente para análises agregadas

    • 2.3 Backup e Recuperação


    Política de Backup:

  • Backups automáticos diários de dados críticos
  • Retenção de backups por 30 dias
  • Testes regulares de recuperação de desastres
  • Backups criptografados em repouso

    • Recuperação de Dados:

  • RPO (Recovery Point Objective): 24 horas
  • RTO (Recovery Time Objective): 4 horas
  • Plano de continuidade de negócios documentado
  • Procedimentos de failover automatizados

    • 3. Serviços de Terceiros


    3.1 Parceiros de Infraestrutura


    Supabase (Autenticação & Banco de Dados)

  • Certificação: SOC 2 Type II
  • Função: Gerenciamento de usuários e armazenamento de dados estruturados
  • Localização: Servidores distribuídos globalmente com replicação
  • Conformidade: GDPR, LGPD, SOC 2

    • Stripe (Processamento de Pagamentos)

  • Certificação: PCI DSS Level 1
  • Função: Processamento seguro de pagamentos e assinaturas
  • Proteção: Tokenização de dados de pagamento
  • Conformidade: PCI DSS, GDPR, SOC 1/2

    • OpenAI (Geração de Conteúdo)

  • Uso: Processamento de prompts para geração de conteúdo (opt-in)
  • Privacidade: Dados de prompts não são usados para treinamento de modelos
  • Retenção: OpenAI retém dados por 30 dias para abuso e segurança
  • Conformidade: GDPR, SOC 2 Type II

    • Google Cloud Platform (Infraestrutura)

  • Certificações: ISO 27001, ISO 27017, ISO 27018, SOC 2/3, PCI DSS
  • Função: Hospedagem, storage, CDN e serviços de computação
  • Recursos: Criptografia automática, DDoS protection, WAF
  • Conformidade: GDPR, LGPD, HIPAA, FedRAMP

    • 3.2 Acordos de Processamento de Dados


    Data Processing Agreements (DPAs):

  • Contratos estabelecidos com todos os processadores de dados
  • Cláusulas contratuais padrão para transferências internacionais
  • Auditorias regulares de conformidade de terceiros
  • Direito de inspeção e auditoria de segurança

    • 3.3 Transferências Internacionais


    Mecanismos de Proteção:

  • Cláusulas Contratuais Padrão (SCCs) da União Europeia
  • Avaliação de impacto de transferência de dados
  • Garantias suplementares quando necessário
  • Conformidade com LGPD para transferências internacionais

    • 4. Conformidade Regulatória


    4.1 GDPR (General Data Protection Regulation)


    Direitos dos Titulares:

  • Direito de acesso: Confirmar e acessar dados pessoais
  • Direito de retificação: Corrigir dados incorretos
  • Direito ao apagamento: "Direito ao esquecimento"
  • Direito à portabilidade: Receber dados em formato estruturado
  • Direito de oposição: Opor-se a tratamentos específicos

    • Bases Legais:

  • Consentimento: Para marketing e cookies não essenciais
  • Execução de contrato: Para prestação de serviços
  • Interesse legítimo: Para segurança e melhorias
  • Obrigação legal: Para cumprimento de leis

    • 4.2 LGPD (Lei Geral de Proteção de Dados)


    Princípios Aplicados:

  • Finalidade: Tratamento para propósitos legítimos e específicos
  • Adequação: Compatibilidade com finalidades informadas
  • Necessidade: Limitação ao mínimo necessário
  • Transparência: Informações claras e acessíveis
  • Segurança: Medidas técnicas e administrativas adequadas

    • Direitos dos Titulares:

  • Confirmação da existência de tratamento
  • Acesso aos dados tratados
  • Correção de dados incompletos ou desatualizados
  • Anonimização, bloqueio ou eliminação
  • Portabilidade dos dados
  • Informação sobre compartilhamento
  • Revogação do consentimento

    • 4.3 Como Exercer Seus Direitos


    Canais de Solicitação:

  • Email: privacy@zyx.social
  • Portal do usuário: Configurações de conta > Privacidade
  • Formulário web: [Link para formulário de solicitação]

    • Prazos de Resposta:

  • Confirmação de recebimento: 48 horas
  • Resposta completa: Até 15 dias úteis
  • Casos complexos: Até 30 dias com justificativa

    • Documentação Necessária:

  • Identificação para verificação de identidade
  • Descrição clara da solicitação
  • Informações adicionais se necessário para localizar dados

    • 5. Segurança da Infraestrutura


    5.1 Criptografia


    Em Trânsito (In Transit):

  • TLS 1.3: Protocolo mais recente para todas as comunicações
  • HTTPS obrigatório: Redirecionamento automático de HTTP
  • Certificate Pinning: Para conexões críticas
  • Perfect Forward Secrecy: Proteção de sessões passadas

    • Em Repouso (At Rest):

  • AES-256: Criptografia de dados em banco de dados
  • Disk encryption: Todos os volumes de armazenamento criptografados
  • Backup encryption: Backups protegidos com criptografia adicional
  • Key rotation: Rotação regular de chaves criptográficas

    • 5.2 Gerenciamento de Credenciais


    Secrets Management:

  • Google Secret Manager: Armazenamento centralizado de credenciais
  • Rotação automática: Senhas e tokens renovados regularmente
  • Acesso granular: Permissões baseadas em princípio do menor privilégio
  • Auditoria: Logs de todos os acessos a secrets

    • Autenticação:

  • Senhas hash: Bcrypt com salt único por usuário
  • 2FA/MFA: Autenticação de dois fatores disponível
  • OAuth 2.0: Integração segura com provedores externos
  • Session management: Tokens JWT com expiração curta

    • 5.3 Proteção de Rede


    Segurança Perimetral:

  • WAF (Web Application Firewall): Proteção contra ataques web comuns
  • DDoS Protection: Mitigação de ataques de negação de serviço
  • Rate Limiting: Limitação de requisições por IP/usuário
  • IP Whitelisting: Para acesso administrativo e APIs sensíveis

    • Segmentação:

  • VPC (Virtual Private Cloud): Isolamento de recursos
  • Firewalls internos: Segmentação entre camadas da aplicação
  • Bastion hosts: Acesso seguro para administração
  • Private endpoints: Comunicação interna sem exposição pública

    • 5.4 Monitoramento e Resposta


    Monitoramento Contínuo:

  • SIEM (Security Information and Event Management): Correlação de logs
  • IDS/IPS: Detecção e prevenção de intrusões
  • Alertas em tempo real: Notificação de eventos suspeitos
  • Dashboards de segurança: Visibilidade centralizada

    • Resposta a Incidentes:

  • Plano de resposta: Procedimentos documentados e testados
  • Equipe dedicada: Time de segurança disponível 24/7
  • Comunicação: Notificação de usuários afetados conforme regulações
  • Análise forense: Investigação e aprendizado pós-incidente

    • 5.5 Backups e Redundância


    Estratégia de Backup:

  • Backups automáticos: Diários para dados críticos
  • Retenção: 30 dias de histórico de backups
  • Testes regulares: Verificação mensal de recuperação
  • Geo-replicação: Backups em múltiplas regiões geográficas

    • Alta Disponibilidade:

  • Multi-zone deployment: Distribuição em zonas de disponibilidade
  • Load balancing: Distribuição de tráfego entre instâncias
  • Auto-scaling: Ajuste automático de capacidade
  • Failover automático: Recuperação sem intervenção manual

    • 6. Desenvolvimento Seguro


    6.1 Práticas de Código


    Segurança no Ciclo de Vida:

  • Code review: Revisão de código por pares obrigatória
  • Static analysis: Análise estática automatizada (SAST)
  • Dependency scanning: Verificação de vulnerabilidades em bibliotecas
  • Secret scanning: Detecção de credenciais em código

    • Testes de Segurança:

  • Penetration testing: Testes de intrusão semestrais
  • Vulnerability scanning: Varreduras semanais automatizadas
  • DAST: Testes dinâmicos em ambiente de staging
  • Bug bounty program: Programa de recompensas para pesquisadores

    • 6.2 Controle de Acesso


    Princípio do Menor Privilégio:

  • Acesso mínimo necessário para cada função
  • Revisão trimestral de permissões
  • Revogação automática de acessos inativos
  • Segregação de ambientes (dev, staging, prod)

    • Auditoria:

  • Logs detalhados de todas as operações administrativas
  • Rastreabilidade completa de mudanças em produção
  • Retenção de logs por 12 meses
  • Alertas para ações sensíveis

    • 6.3 Gestão de Vulnerabilidades


    Processo de Patch:

  • Vulnerabilidades críticas: Correção em 24 horas
  • Vulnerabilidades altas: Correção em 7 dias
  • Vulnerabilidades médias: Correção em 30 dias
  • Atualizações regulares: Patches de segurança semanais

    • Divulgação Responsável:

  • Canal para reporte de vulnerabilidades: security@zyx.social
  • Programa de divulgação coordenada
  • Reconhecimento público para pesquisadores (com permissão)
  • Política de não-retaliação para reports éticos

    • 7. Privacidade e Consentimento


    7.1 Consentimento Informado


    Transparência:

  • Informações claras sobre coleta e uso de dados
  • Opções granulares de consentimento
  • Facilidade para revogar consentimentos
  • Registro de consentimentos com timestamp

    • Opt-in para Recursos Específicos:

  • Processamento OpenAI: Consentimento explícito para uso de IA generativa
  • Analytics avançado: Opção para compartilhar métricas detalhadas
  • Comunicações de marketing: Opt-in separado de emails transacionais

    • 7.2 Minimização de Dados


    Coleta Limitada:

  • Apenas dados essenciais para funcionalidades solicitadas
  • Anonimização sempre que possível
  • Agregação de dados para análises
  • Exclusão automática de dados desnecessários

    • 7.3 Controles de Privacidade


    Configurações de Usuário:

  • Painel de privacidade centralizado
  • Controle sobre compartilhamento de dados
  • Opções de anonimização de métricas
  • Download completo de dados pessoais

    • 8. Treinamento e Cultura de Segurança


    8.1 Capacitação de Equipe


    Programas de Treinamento:

  • Onboarding de segurança para novos funcionários
  • Treinamento anual obrigatório em proteção de dados
  • Simulações de phishing e engenharia social
  • Atualizações sobre novas ameaças e regulações

    • 8.2 Políticas Internas


    Documentação:

  • Política de segurança da informação
  • Procedimentos operacionais padrão (SOPs)
  • Guias de resposta a incidentes
  • Código de conduta e ética

    • Conformidade:

  • Auditorias internas trimestrais
  • Revisão anual de políticas
  • Certificações de conformidade contínuas
  • Assessments de terceiros

    • 9. Notificação de Incidentes


    9.1 Detecção e Resposta


    Monitoramento Proativo:

  • Sistemas automatizados de detecção de anomalias
  • Alertas em tempo real para atividades suspeitas
  • Análise de comportamento de usuários (UBA)
  • Threat intelligence integrado

    • 9.2 Comunicação de Violações


    Notificação às Autoridades:

  • ANPD (Brasil): Notificação em 72 horas para violações significativas
  • Autoridades EU: Conforme requisitos GDPR
  • Relatórios detalhados: Natureza, escopo e medidas tomadas

    • Notificação aos Usuários:

  • Alto risco: Comunicação imediata e direta
  • Médio risco: Notificação em até 7 dias
  • Orientações: Passos para proteção dos afetados
  • Assistência: Suporte dedicado para questões

    • 9.3 Pós-Incidente


    Análise e Melhoria:

  • Root cause analysis detalhada
  • Implementação de controles adicionais
  • Atualização de procedimentos
  • Comunicação transparente sobre lições aprendidas

    • 10. Auditoria e Certificações


    10.1 Auditorias Externas


    Frequência:

  • Auditoria de segurança externa anual
  • Pentests semestrais por empresas especializadas
  • Revisão de conformidade trimestral
  • Assessments de fornecedores críticos

    • 10.2 Certificações Almejadas


    Roadmap de Conformidade:

  • SOC 2 Type II: Em processo de certificação (2025)
  • ISO 27001: Planejado para 2026
  • PCI DSS (se aplicável): Conforme crescimento
  • GDPR/LGPD: Conformidade contínua

    • 10.3 Transparência


    Relatórios Públicos:

  • Relatório de transparência anual
  • Estatísticas de segurança e incidentes
  • Status de certificações e auditorias
  • Changelog de política de segurança

    • 11. Contato de Segurança


    11.1 Canais Oficiais


    Para Questões de Segurança:

  • Email: security@zyx.social
  • Email de Privacidade: privacy@zyx.social
  • Suporte Geral: hey@zyx.social

    • Para Reportar Vulnerabilidades:

  • Email criptografado: security@zyx.social
  • Programa de Bug Bounty (em desenvolvimento)
  • Política de divulgação responsável disponível

    • 11.2 Encarregado de Dados (DPO)


    Responsabilidades:

  • Orientação sobre proteção de dados
  • Ponto de contato com autoridades
  • Monitoramento de conformidade
  • Treinamento e conscientização

    • Contato:

  • Email: dpo@zyx.social
  • Disponibilidade: Segunda a sexta, 9h às 18h (horário de Brasília)

    • 11.3 Prazos de Resposta


    SLAs de Segurança:

  • Vulnerabilidades críticas reportadas: Confirmação em 24 horas
  • Incidentes de segurança: Resposta inicial em 4 horas
  • Questões de privacidade: Resposta em 48 horas
  • Solicitações de dados: Até 15 dias úteis

    • 12. Atualizações da Política


    12.1 Versionamento


    Controle de Mudanças:

  • Data da última atualização sempre visível
  • Histórico de versões disponível
  • Changelog detalhado de alterações
  • Notificação de mudanças significativas

    • 12.2 Revisão


    Frequência:

  • Revisão trimestral de conteúdo
  • Atualização imediata para mudanças regulatórias
  • Feedback contínuo de usuários incorporado
  • Alinhamento com melhores práticas do setor

    • ---


    Última atualização: 2025-01-29


    Esta Política de Segurança reflete nosso compromisso inabalável com a proteção de seus dados e privacidade. Investimos continuamente em tecnologia, processos e pessoas para garantir que suas informações estejam sempre seguras. Para questões, sugestões ou preocupações sobre segurança, estamos sempre disponíveis.


    Security Policy - ZYX Creator | Zyx