Para clientes da Superhuman Labs LLC que concordaram com o DPA antes de 29 de outubro de 2025, consulte o DPA aqui, salvo se substituído de outra forma.
Adendo de Privacidade de Dados Superhuman
Esta tradução foi gerada com IA e pode conter erros. Ela é fornecida exclusivamente para sua conveniência. A versão em inglês é a versão oficial e prevalecente em caso de qualquer discrepância.
Este Adendo de Privacidade de Dados ("Adendo") é incorporado e sujeito aos termos e condições da versão atual de quaisquer acordos ("Contrato") entre você ("Cliente") e a Superhuman Platform Inc. ("Superhuman") (cada uma uma "Parte" e coletivamente as "Partes") que regem o uso dos Serviços pelo Cliente.
Todos os termos em maiúsculas não definidos neste Adendo terão os significados estabelecidos no Acordo. Este Adendo reflete o acordo das Partes com relação aos termos que regem o processamento pela Superhuman de dados pessoais contidos nos Dados do Cliente ("Dados Pessoais do Cliente") e protegidos pelas Leis de Privacidade de Dados Aplicáveis.
Em caso de conflito ou inconsistência entre os termos do Contrato principal e este Adendo, os termos deste Adendo terão precedência sobre o Contrato e qualquer outro documento contratual associado entre as Partes, na medida desse conflito. As Partes acordam no seguinte:
1. Definições.
a. "Leis de privacidade de dados aplicáveis" significa lei ou regulamento nacional, federal, estadual, provincial ou outro sobre privacidade, segurança de dados, proteção de dados aplicável ao Processamento de Dados Pessoais do Cliente, incluindo, sem limitação e conforme aplicável: (i) Leis de privacidade de dados dos Estados Unidos e (ii) Leis de privacidade de dados europeias, em cada caso, conforme alterado ou substituído periodicamente.
b. "Quadro de Privacidade de Dados" significa a UE-EUA. Data Privacy Framework, Suíça-EUA Estrutura de Privacidade de Dados e Extensão do Reino Unido para a UE-EUA Programas de autocertificação da Estrutura de Privacidade de Dados (conforme aplicável) operados pelo Departamento de Comércio dos EUA; conforme alterados, anulados ou substituídos. "Princípios da Estrutura de Privacidade de Dados" significa os Princípios e Princípios Suplementares contidos na Estrutura de Privacidade de Dados relevante.
c. "Leis Europeias de Privacidade de Dados" significa, conforme aplicável ao Processamento de Dados Pessoais do Cliente: (i) Regulamento Geral de Proteção de Dados (UE) 2016/679 ("GDPR"); (ii) o GDPR conforme incorporado à legislação do Reino Unido em virtude da seção 3 da Lei Europeia (Retirada) de 2018 do Reino Unido ("Leis de Privacidade de Dados do Reino Unido"); e (iii) no que diz respeito à Suíça, a Lei Federal de Proteção de Dados de 19 de junho de 1992 e suas Portarias (a "DPA Suíça").
d. "Europa" significa, para os fins desta adenda, a União Europeia, Islândia, Liechtenstein, Noruega, Suíça e Reino Unido.
e. "CSCs da UE" significa cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do RGPD entre (i) controladores e processadores ou (conforme as circunstâncias exigirem) (ii) processadores e processadores, em cada caso, conforme aprovado pela Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, e não incluindo quaisquer cláusulas marcadas como opcionais.
f. "Incidente de Segurança de Dados" significa uma violação da segurança da Superhuman que leva à aquisição, destruição, perda, alteração ou divulgação não autorizada ou acesso aos Dados Pessoais do Cliente transmitidos, armazenados ou processados de outra forma pela Superhuman em conexão com a prestação do Serviço. "Incidente de Segurança de Dados" não inclui tentativas malsucedidas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas de login malsucedidas, pings, verificações de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas em rede.
g. "Cláusulas Contratuais Padrão" significa, conforme aplicável, as Cláusulas Contratuais Padrão da UE ou as Cláusulas Contratuais Padrão do Reino Unido.
h. "Subprocessador" significa um processador contratado pela Superhuman ou suas afiliadas para auxiliar na prestação do(s) Serviço(s) de acordo com o Contrato ou este Adendo. Os subprocessadores podem incluir terceiros ou afiliados da Superhuman, mas excluirão qualquer funcionário, contratado ou consultor da Superhuman.
i. "Leis de Privacidade de Dados dos Estados Unidos" significa a Lei de Privacidade do Consumidor da Califórnia, a Lei de Privacidade do Colorado, a Lei de Privacidade do Consumidor de Connecticut sobre Privacidade de Dados Pessoais e Monitoramento Online, a Lei de Privacidade do Consumidor de Utah e a Lei de Proteção de Dados do Consumidor da Virgínia, e quaisquer outras leis de privacidade promulgadas por um estado dos EUA, em cada caso conforme alterado e juntamente com os regulamentos de implementação aplicáveis, que fornecem proteção geral à privacidade dos consumidores e distinguem entre controladores e processadores.
j. "UK SCCs" significa os SCCs da UE juntamente com a Adenda de Transferência Internacional de Dados (versão B1.0) aprovada pelo Comissário de Informação do Reino Unido.
k. Os termos "controlador", "titular dos dados", "dados pessoais", "processo", "processamento" e "processador" terão os significados atribuídos nas Leis de Privacidade de Dados Aplicáveis e incluem os termos "empresa", "consumidor", "informações pessoais" e "provedor de serviços". Os termos "objetivo de negócios", "objetivo comercial", "vender" e "compartilhar" terão os significados que atribuídos nas Leis de Privacidade de Dados dos EUA.
2. Escopo e objetivos do Processamento.
b. As Partes reconhecem e concordam que o Cliente é um controlador ou processador em relação ao Tratamento de Dados Pessoais do Cliente, e a Superhuman processará os Dados Pessoais do Cliente apenas como processador em nome do Cliente, conforme descrito no Anexo A (Descrição do Processador de Dados) deste Adendo. Se o Cliente estiver agindo como processador, o Cliente (i) cumprirá as obrigações da Superhuman para com os controladores do Cliente sob este Adendo, incluindo, conforme aplicável, as Cláusulas Contratuais Padrão, e (ii) garantirá que qualquer processamento de dados realizado de acordo com este Adendo reflita as instruções documentadas emitidas pelo controlador final de tais dados.
c. O Cliente instrui a Superhuman a Processar os Dados Pessoais do Cliente de acordo com o Contrato (incluindo este Adendo) e somente para os seguintes fins:
(i) fornecer, proteger e monitorar o(s) Serviço(s) de acordo com o Contrato;
(ii) para executar atividades de Processamento iniciadas pelo Cliente no seu uso do Serviço (incluindo, por exemplo, através de um console administrativo); e
(iii) cumprir outras instruções razoáveis fornecidas pelo Cliente que sejam consistentes com os termos do Contrato e deste Adendo.
Consequentemente, o tratamento pela Superhuman é realizado para objetivos de negócios, inclusive a execução de serviços em nome do Cliente, ajudando a garantir a segurança e a integridade, a depuração e a reparação de falhas.
d. Sem prejuízo da Seção 3 (Responsabilidades do Cliente), a Superhuman notificará imediatamente o Cliente por escrito, a menos que proibido de fazê-lo pela lei aplicável, se tomar conhecimento ou acreditar que quaisquer instruções de Processamento do Cliente violam as Leis de Privacidade de Dados Europeias e as Leis de Privacidade de Dados do Reino Unido.
3. Responsabilidades do cliente.
b. O Cliente declara e garante que cumprirá com suas obrigações relacionadas ao processamento de Dados Pessoais do Cliente sob as Leis de Privacidade de Dados Aplicáveis, incluindo que: (i) forneceu, e continuará a fornecer, todas as notificações e obteve, e continuará a obter, todos os consentimentos, permissões e direitos necessários nos termos das leis aplicáveis, incluindo as Leis de Privacidade de Dados Aplicáveis, para que a Superhuman Processe legalmente os Dados Pessoais do Cliente para os fins contemplados no Contrato (incluindo este Adendo); (ii) cumpriu todas as leis aplicáveis, incluindo as Leis de Privacidade de Dados Aplicáveis na coleta e fornecimento à Superhuman desses Dados Pessoais do Cliente; e (iii) garantirá que suas instruções de Processamento estejam em conformidade com as leis aplicáveis (incluindo as Leis de Privacidade de Dados Aplicáveis) e que o processamento de Dados Pessoais do Cliente pela Superhuman de acordo com as instruções do Cliente não fará com que a Superhuman viole as Leis de Privacidade de Dados Aplicáveis.
c. Se o Cliente acreditar razoavelmente que a Superhuman está envolvida no Processamento não autorizado de Dados Pessoais do Cliente, o Cliente notificará imediatamente a Superhuman dessa crença e as Partes trabalharão juntas de boa fé para remediar as atividades de Processamento supostamente violadoras, se necessário.
4. Responsabilidade da Superhuman.
i. Não vender nem partilhar dados pessoais do cliente.
ii. Não processar dados pessoais do cliente para qualquer finalidade que não seja para as finalidades específicas estabelecidas neste documento. Para evitar dúvidas, a Superhuman não processará os Dados Pessoais do Cliente fora da relação comercial direta entre o Cliente e a Superhuman.
iii. Não combinar Dados Pessoais do Cliente com informações recebidas de ou em nome de outra fonte ou coletadas das próprias interações do Processador com um Titular dos Dados, exceto na medida em que tal combinação seja permitida pelas Leis de Privacidade de Dados Aplicáveis.
iv. Com relação ao Processamento de Dados Pessoais do Cliente, a Superhuman cumpre as Leis de Privacidade de Dados Aplicáveis e, quando exigido dos processadores sob a Lei de Privacidade de Dados Aplicável, fornece o mesmo nível de proteção de privacidade exigido do Cliente sob a Lei de Privacidade de Dados Aplicável.
v. Notificará o Cliente se, na opinião da Superhuman, esta não puder cumprir suas obrigações nos termos das Leis de Privacidade de Dados Aplicáveis.
5. Direitos do titular dos dados e cooperação.
b. A Superhuman fornecerá assistência e cooperação razoáveis e legalmente exigidas para permitir que o Cliente cumpra suas obrigações sob as Leis de Privacidade de Dados Aplicáveis. Mediante solicitação por escrito do Cliente, isso inclui, na medida em que o Cliente não puder responder à Comunicação usando a funcionalidade dos Serviços, cooperação razoável para ajudar o Cliente a responder às Comunicações, levando em conta a natureza do Processamento.
c. Na medida exigida pelas Leis de Privacidade de Dados Aplicáveis, e levando em conta a natureza do Processamento e as informações disponíveis para a Superhuman, a Superhuman fornecerá assistência razoável ao Cliente para realizar uma avaliação de impacto de proteção de dados ou consulta prévia às autoridades supervisoras, conforme exigido pelas Leis de Privacidade de Dados Aplicáveis. A Superhuman cumprirá o acima exposto: (i) cumprindo a Seção 10 (Auditorias); (ii) fornecendo as informações contidas no Contrato, incluindo este Adendo; e (iii) se as subseções (i) e (ii) acima forem insuficientes para que o Cliente cumpra tais obrigações, mediante solicitação, fornecendo assistência adicional razoável (às custas do Cliente).
6. Segurança de dados.
b. O Cliente é responsável por analisar as informações disponibilizadas pela Superhuman relacionadas à segurança de dados e por determinar de forma independente se as Medidas de Segurança aplicáveis ao Serviço atendem aos requisitos do Cliente e às obrigações legais sob as Leis de Privacidade de Dados Aplicáveis. O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso técnico e desenvolvimento e que a Superhuman pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral do Serviço fornecido ao Cliente.
c. Não obstante o acima exposto, o Cliente concorda que, exceto conforme previsto neste Adendo, o Cliente é responsável pelo uso seguro do Serviço, incluindo a proteção das credenciais de autenticação da conta, a proteção da segurança dos Dados do Cliente quando em trânsito de e para o Serviço e a adoção de todas as medidas apropriadas para criptografar ou fazer backup de forma segura de quaisquer Dados do Cliente carregados para o Serviço.
7. Incidente de segurança de dados.
b. A notificação ou resposta da Superhuman a um Incidente de Segurança de Dados nos termos desta Seção 7 não deve ser interpretada como um reconhecimento por parte da Superhuman de qualquer culpa ou responsabilidade com relação ao Incidente de Segurança de Dados. A Superhuman não tem obrigação de avaliar os Dados do Cliente para identificar informações que possam estar sujeitas a requisitos legais específicos.
c. O Cliente reconhece que (i) os Incidentes de Segurança de Dados e os compromissos da Superhuman neste Adendo não se estendem a quaisquer integrações ou serviços de terceiros que o Cliente ou seus Usuários Finais adquiram por meio do mercado da Superhuman e (ii) o Cliente é o único responsável por revisar a documentação e os contratos de segurança e privacidade fornecidos por tais terceiros.
8. Sub-processadores.
b. A Superhuman deverá: (i) celebrar um acordo por escrito com cada Subprocessador contendo obrigações de proteção de dados que forneçam pelo menos o mesmo nível de proteção aos Dados Pessoais do Cliente que os estabelecidos neste Adendo, na medida aplicável à natureza do serviço prestado por tal Subprocessador; e (ii) permanecerá responsável pela conformidade desse Subprocessador com as obrigações deste Adendo e por quaisquer atos ou omissões desse Subprocessador que façam com que a Superhuman esteja em violação de qualquer uma de suas obrigações nos termos deste Adendo.
c. A Superhuman notificará o Cliente se adicionar Subprocessadores pelo menos 30 dias antes de tais alterações, se o Cliente optar por receber tais notificações usando o formulário dedicado mencionado na Página do Subprocessador. O Cliente pode opor-se por escrito à nomeação de qualquer novo Subprocessador pela Superhuman antes da nomeação por motivos razoáveis relacionados à proteção de dados (por exemplo, se disponibilizar Dados Pessoais do Cliente ao Subprocessador violar as Leis de Privacidade de Dados Aplicáveis ou enfraquecer as proteções para tais Dados Pessoais do Cliente) e, nesse caso, as Partes devem discutir tais preocupações de boa fé, com vista a alcançar uma resolução comercialmente razoável. Se essa resolução não for alcançada, a Superhuman, a seu critério exclusivo, não nomeará o Subprocessador ou permitirá que o Cliente rescindirá ou suspenda o Serviço afetado de acordo com as disposições de rescisão do Contrato, sem responsabilidade perante qualquer uma das Partes (mas sem prejuízo das taxas incorridas pelo Cliente antes da suspensão ou rescisão).
9. Transferências de dados.
b. A Superhuman participa e certifica a conformidade com a Estrutura de Privacidade de Dados, conforme descrito na Certificação da Estrutura de Privacidade de Dados da Superhuman, Inc. Onde e na medida em que a Estrutura de Privacidade de Dados for aplicável, ela será usada para receber legalmente Dados Pessoais do Cliente nos Estados Unidos, e a Superhuman garantirá que fornece pelo menos o mesmo nível de proteção a esses dados exigido pelos Princípios da Estrutura de Privacidade de Dados. A Superhuman notificará o Cliente caso determine que não pode mais cumprir suas obrigações sob a Estrutura de Privacidade de Dados.
c. Se as Leis Europeias de Privacidade de Dados exigirem que sejam implementadas salvaguardas adequadas (por exemplo, se a Estrutura de Privacidade de Dados não cobrir a transferência ou for invalidada), as Cláusulas Contratuais Padrão aplicáveis serão incorporadas na íntegra por referência e farão parte integrante deste Adendo da seguinte forma (com os Anexos e/ou Apêndices às Cláusulas Contratuais Padrão aplicáveis conforme estabelecido no Anexo A deste Adendo):
i. Na medida em que a Superhuman processa Dados Pessoais do Cliente protegidos pelas Leis Europeias de Privacidade de Dados, a Superhuman concorda em estar em conformidade e Processar tais Dados Pessoais do Cliente em conformidade com as Cláusulas Contratuais Padrão da UE (SCCs). Para efeitos das descrições nos Contratos de Cláusulas Padrão da UE (SCCs), a Superhuman concorda que é um "importador de dados" e o Cliente é o "exportador de dados" (apesar de o Cliente poder ser uma entidade localizada num país terceiro). Para efeitos da Cláusula 9, os Contratos de Cláusulas Padrão da UE (SCCs) permitirão autorização geral para a contratação de subprocessadores de acordo com a Seção 8.c deste Adendo. Para efeitos da cláusula 17 dos Contratos de Cláusulas Padrão da UE (SCCs), a legislação aplicável é a legislação da Irlanda e, para efeitos da cláusula 18, os tribunais da Irlanda têm jurisdição.
ii. Na medida em que a Superhuman processa Dados Pessoais do Cliente protegidos pela Lei de Privacidade de Dados do Reino Unido, os Contratos de Cláusulas Padrão do Reino Unido (UK SCCs) serão aplicados.
iii. Na medida em que a Superhuman processa Dados Pessoais do Cliente protegidos pela Swiss DPA, os Contratos de Cláusulas Padrão da UE (SCCs) serão aplicados, com as seguintes modificações:
A. As referências nos CCS da UE à «Diretiva 95/46/CE» ou ao «Regulamento (UE) 2016/679» devem ser interpretadas como referências ao Swiss DPA;
B. As referências a «UE», «União», «Estado Membro» e «direito dos Estados Membros» devem ser interpretadas como referências à Suíça e à legislação da Suíça, conforme o caso; e
C. As referências à "autoridade supervisora competente" e "tribunais competentes" devem ser interpretadas como referências à FDIPC e aos tribunais competentes na Suíça.
iv. Em caso de conflito entre as SCCs da UE ou as SCCs do Reino Unido e este Adendo, prevalecerão as SCCs da UE ou as SCCs do Reino Unido (conforme aplicável).
10. Auditorias.
b. Mediante solicitação por escrito, a Superhuman fornecerá (de forma confidencial) ao Cliente uma cópia resumida de seu(s) relatório(s) de auditoria mais atual(is) ("Relatório de Auditoria") preparado por profissionais de segurança terceirizados à escolha e às custas da Superhuman.
11. Devolução ou destruição de dados pessoais do cliente.
12. Dados não identificados de residentes dos Estados Unidos.
b. Exceto quando permitido de outra forma pelas Leis de Privacidade de Dados Aplicáveis, a Superhuman poderá anonimizar Dados Pessoais do Cliente e Processar Dados Anonimizados somente se:
i. Toma medidas razoáveis para garantir que os Dados Anonimizados não possam ser associados a um indivíduo;
ii. Compromete-se publicamente a manter e usar os Dados Anonimizados apenas de forma anonimizada e a não tentar re-identificar os Dados Anonimizados; e
iii. Obriga contratualmente qualquer destinatário dos Dados Anonimizados a cumprir requisitos substancialmente semelhantes aos estabelecidos nesta Seção 12 (Dados Anonimizados) do Adendo.
13. Limitação de Responsabilidade.
14. Prazo.
15. Subsistência.
Anexo A: Descrição do processamento de dados
Exportador(es) de dados:
Nome: A entidade identificada como "Cliente" no Adendo.
Endereço: o endereço do Cliente especificado no Adendo ou no Contrato.
Dados de contato: Os dados de contato associados à conta do Cliente, ou conforme especificado de outra forma no Adendo ou no Contrato.
Atividades relevantes para os dados transferidos: consulte a seção 2 abaixo.
Função: quando o Cliente atua como controlador, Controlador. Quando o Cliente atua como processador, Processador.
Importador(es) de dados:
Nome: "Superhuman", conforme identificado no Adendo.
Endereço: O endereço da Superhuman, conforme especificado no Contrato.
Dados de contato: Os dados de contato da Superhuman, conforme especificado no Adendo ou no Contrato.
Atividades relevantes para os dados transferidos: consulte a seção 2 abaixo.
Função: Processador
2. Descrição do processamento
a. Assunto, natureza e finalidade do Processamento: A Superhuman processará os Dados Pessoais do Cliente exclusivamente para os fins estabelecidos na Seção 2(c) deste Adendo.
b. Duração prevista do Processamento: Durante o prazo do Contrato mais o período entre a expiração ou rescisão do Contrato até a exclusão de todos os Dados Pessoais do Cliente pela Superhuman de acordo com o Contrato.
c. Categorias típicas de Titulares dos Dados: Os titulares dos dados incluem os indivíduos cujos dados são fornecidos à Superhuman por meio do Serviço pelo Cliente ou seus Usuários (ou sob a direção deste).
d. Categorias de Dados Pessoais do Cliente normalmente sujeitas a Processamento nos termos do Contrato: As categorias de Dados Pessoais do Cliente são determinadas pelo Cliente a seu exclusivo critério e incluem dados relativos a indivíduos fornecidos à Superhuman por meio do Serviço, pelo (ou sob a direção do) Cliente ou seus Usuários.
e. Categorias especiais de Dados Pessoais: A Superhuman não coleta nem processa intencionalmente categorias especiais de Dados Pessoais.
Anexo B: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados
Medidas de segurança aplicáveis às ofertas da Grammarly:
A Grammarly executa procedimentos administrativos, contratuais e técnicos rigorosos para proteger as informações transferidas para, fora e armazenadas em seus servidores para a prestação de seus serviços.
Toda a infraestrutura do servidor Grammarly está hospedada na Amazon Web Services (AWS) nos Estados Unidos. Os servidores e a rede da Grammarly minimizam a superfície de ataque, colocando todos os sistemas em nossa rede privada dentro de nossa plataforma segura de nuvem e expondo serviços externos apenas por meio de balanceadores de carga e um firewall de aplicações web. A Grammarly está registrada no AWS Enterprise Support, o nível mais alto possível de suporte da AWS.
A Grammarly criptografa todas as transferências de dados entre ela e os exportadores de dados por meio de protocolos de criptografia atualizados, inclusive no mínimo TLS 1.2. Os dados do cliente são criptografados em repouso usando AES-256. A Grammarly utiliza o AWS Key Management Services para criptografia de banco de dados e gerenciamento de chaves. O acesso às chaves criptográficas é restrito ao pessoal autorizado. Os serviços internos da Grammarly estão disponíveis por meio de sua rede privada virtual, com exceção dos serviços que devem ter acesso à Internet pública para o provisionamento de produtos da Grammarly aos clientes.
O acesso ao armazenamento de Dados Pessoais é realizado usando o princípio do menor privilégio; é necessária autenticação multifator. A segurança monitora continuamente o acesso a todas as informações e fornece limites claros de segurança entre produção, preparação, desenvolvimento, etc.
As equipes de conformidade da Grammarly definem e controlam a coleta, o processamento e o armazenamento dos Dados Pessoais dos clientes. Para isso, o Grammarly usa mapas de fluxo de dados, inventário de serviços, listas de verificação de lançamento de novos serviços e outros processos para rastrear todas as transferências de dados internas e externas. A Grammarly verifica todas as alterações de código por meio de revisões, verificações automatizadas e executa testes anuais de penetração de segurança com uma empresa externa. Todos os notebooks, servidores e contêineres são configurados para atualizar para as versões mais recentes quando disponíveis.
Informações detalhadas sobre as medidas técnicas e organizacionais da Grammarly para garantir a segurança dos dados estão especificadas nas páginas de atestado de nível empresarial e conformidade regulamentar em https://www.grammarly.com/security e https://www.grammarly.com/trust.
Medidas de segurança aplicáveis às ofertas de Superhuman Mail:
O programa de segurança de informações Superhuman Mail inclui salvaguardas administrativas, técnicas e físicas projetadas para proteger as informações pessoais que tratamos contra ameaças ou perigos antecipados à sua segurança, confidencialidade ou integridade (como acesso, coleta, uso, cópia, modificação, eliminação ou divulgação não autorizados, ilegais ou acidentais, destruição, aquisição, danos ou qualquer outra forma não autorizada de processamento).
O programa de segurança da Superhuman baseia-se nos seguintes princípios fundamentais de segurança:
- Princípio do menor privilégio: serviços e usuários recebem o conjunto mínimo de permissões necessárias para executar seu trabalho.
- Criptografia em repouso e em trânsito: todos os dados são criptografados em repouso e em trânsito, com dados particularmente sensíveis criptografados adicionalmente no nível do aplicativo.
- Superfície de ataque minimizada: não expomos servidores internos à Internet, usamos contêineres sem sistema operacional e executamos totalmente em infraestrutura gerenciada pela Google.
- Atualizações automáticas: laptops, servidores e contêineres são configurados para atualizar automaticamente para as versões mais recentes logo que elas se tornam disponíveis.
- Limites claros de segurança: produção, homologação, desenvolvimento, etc. são todos separados, e navegar por um limite de segurança requer autenticação usando o Gerenciamento de Identidades e Acesso (IAM) da Google. Toda autenticação requer dois fatores.
- Verificar suposições: todo o código adicionado à Superhuman é revisado do ponto de vista da segurança, e realizamos auditorias anuais de segurança com uma empresa externa para identificar falhas.
Abaixo estão alguns exemplos ilustrativos de medidas de segurança em vigor:
1. Medidas para a encriptação dos dados pessoais
- Superhuman está hospedado totalmente no Google Cloud. Fazemos uso da segurança da infraestrutura existente para criptografar dados em repouso e, quando apropriado, adicionamos uma camada adicional de criptografia no nível de aplicativo para reduzir o risco de exposição dos dados.
- O Superhuman criptografa todo o tráfego de rede na Internet pública usando pelo menos TLS 1.2 e usa o Google Cloud ATLS para proteger o tráfego em nosso ambiente.
2. Medidas para proteger a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento
- A Superhuman mantém todos os seus sistemas e serviços atualizados, usando mecanismos automatizados sempre que possível ou respondendo a alertas proativos. Dependemos fortemente de infraestruturas imutáveis que são regularmente recriadas em um bom estado conhecido.
- As permissões são atribuídas usando o princípio do menor privilégio: cada funcionário tem acesso apenas às partes necessárias da infraestrutura para desempenhar sua função.
- A Superhuman prevê proativamente como nossos padrões de uso mudarão e investe pesadamente para assegurar que nossos sistemas sejam resilientes à carga antecipada. Todas as alterações nos sistemas são aprovadas por um engenheiro independente e testadas antes de serem alteradas na produção.
3. Medidas para restaurar a disponibilidade e o acesso às Informações Pessoais em tempo hábil em caso de incidente físico ou técnico
- A Superhuman monitora continuamente a disponibilidade de seus sistemas e tem cobertura 24 horas por dia, 7 dias por semana, em caso de incidentes que afetem a disponibilidade do serviço.
- Os serviços principais da Superhuman são distribuídos em múltiplas zonas para reduzir a probabilidade de um evento catastrófico afetar nossa disponibilidade.
- A Superhuman faz backup de todos os dados, e esses backups são distribuídos em várias regiões, de modo que, se nosso ambiente de produção ao vivo estiver completamente indisponível, ainda assim poderemos restaurar o acesso aos dados.
4. Processos para testar, avaliar e verificar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento
- A Superhuman realiza auditorias anuais de segurança usando uma empresa terceirizada para ajudar a identificar áreas de risco cibernético.
- A Superhuman realiza um processo anual de auditoria SOC 2 para ajudar a avaliar a eficácia de nossos controles.
- A Superhuman realiza simulações trimestrais de interrupções de serviço, incluindo a restauração de backups de produção.
- Toda a identificação do usuário é delegada ao seu provedor de e-mail (Google ou Microsoft), e confiamos fortemente no Oauth2 para autorização.
- Funcionários sobre-humanos são obrigados a usar autenticação multifator.
- Todos os eventos de início de sessão são registrados em um sistema independente de registro.
6. Medidas para a segurança física dos locais onde as Informações Pessoais são processadas
- A Superhuman processa informações pessoais na Google Cloud, que fornece segurança física, conforme descrito na documentação da Google: https://cloud.google.com/security
- A Superhuman usa o Google Cloud Kubernetes Engine para aplicar uma configuração consistente em todas as máquinas de produção.
- O Superhuman usa o Google Cloud Security Scanner para identificar alterações inseguras na configuração dos recursos do Google Cloud.
- A Superhuman usa MDM para impor uma configuração segura do sistema para todos os notebooks da empresa.
8. Medidas de governança e gestão internas das TI e da segurança das TI
- A infraestrutura da Superhuman é coberta pela certificação ISO 27001 e pelas certificações Service Organization Control 2 (SOC 2) da Google, pois está totalmente hospedada na Google Cloud
- A Superhuman possui uma Política de Segurança da Informação escrita, incluindo documentação de apoio.
- Outras políticas de segurança escritas que a Superhuman tem em vigor incluem o seguinte:
- Níveis de acesso aos dados
- Recuperação de desastres e continuidade de negócios
- Política de gestão da infraestrutura
- Registos das atividades de tratamento
- Política de gestão de riscos
- Política de retenção de dados
- Níveis de acesso aos dados
9. Medidas para assegurar a responsabilização
- A Superhuman exige que todos os funcionários relatem quaisquer possíveis violações de políticas e as encaminhem a um gerente ou ao nosso formulário de reclamações anônimas.
Medidas de segurança aplicáveis às ofertas da Coda:
Consulte as informações disponíveis neste site (que estão sujeitas a atualizações de tempos em tempos): https://coda.io/trust/securityannex