Declaração de Medidas Técnicas e Organizacionais

Consulte as versões anteriores do presente Acordo e de outras políticas em nosso Arquivo de políticas(abre em uma nova aba ou janela).

Esta Declaração de Medidas Técnicas e Organizacionais está incorporada por referência ao nosso Adendo de Processamento de Dados. Ela descreve os padrões mínimos de segurança que o Canva aplica aos Serviços do Canva de acordo com o Acordo de Serviço de Assinatura(abre em uma nova aba ou janela). Os termos usados com inicial maiúscula, mas não definidos nesta Declaração de Medidas Técnicas e Organizacionais, estão explicados no Adendo de Processamento de Dados(abre em uma nova aba ou janela), inclusive “Dados” (que, para evitar dúvidas, limita-se aos dados de clientes corporativos, salvo especificação em contrário no seu acordo firmado conosco). Esta tradução para o português é oferecida para meros fins de conveniência. A versão em língua inglesa regerá o disposto no documento.

1. Medidas de pseudonimização e criptografia de dados pessoais

O Canva criptografa os Dados transmitidos entre clientes e o aplicativo do Canva por meio de redes públicas usando o protocolo TLS 1.2 ou superior. Os Dados dos Clientes armazenados nos servidores do Canva são criptografados seguindo a especificação AES 256 ou superior.


2. Medidas para garantir a continuidade da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento

O Canva conta com funcionários responsáveis pela supervisão da segurança e privacidade. Foram nomeados Chefes de Segurança, Privacidade e Dados, assim como um Comitê de Segurança da Informação, que realizam reuniões trimestrais para discutir os riscos à privacidade e à segurança gerenciados em seus registros de riscos.


3. Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso a dados pessoais de maneira oportuna em caso de incidente físico ou técnico

Para garantir a disponibilidade do serviço, o Canva utiliza o Amazon Web Services (AWS) Auto Scaling, as zonas de disponibilidade da AWS, um monitoramento do aplicativo e da infraestrutura, e registros de suporte 24h do aplicativo.

O Canva mantém backups dos dados armazenados, inclusive dos Dados dos Clientes, que viabilizam as funcionalidades básicas do aplicativo do Canva. Os backups são armazenados em uma localização geográfica diferente do local primário de armazenamento de dados.

O Canva mantém uma capacidade de resposta a incidentes de segurança que inclui um Plano de Resposta a Incidentes com Dados Pessoais devidamente documentado para incidentes de segurança envolvendo Dados. Isso define nossa maneira de mitigar, avaliar, comunicar e responder a incidentes, assim como as funções e responsabilidades dos funcionários do Canva e uma exigência de condução de revisões posteriores aos incidentes.


4. Processos para testar e avaliar regularmente a efetividade das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

O Canva contrata um especialista em testes de segurança terceirizado para conduzir um teste anual de penetração de seu aplicativo e sua infraestrutura. O Canva também contrata um serviço terceirizado de varredura de vulnerabilidades de aplicativos e mantém um programa público de recompensas pela identificação de bugs.


5. Medidas para identificação e autorização de usuários

Quando a conta de um Cliente contém uma senha para autenticação, o Canva submete a senha a processos de salting e hashing e a armazena usando uma função de hashing de senhas padrão no setor. O Canva permite a integração com um provedor de identidade do cliente para habilitar o início único de sessão (SSO) usando a Linguagem de Marcação para Autorização de Segurança (SAML).


6. Medidas para proteção dos dados durante a transmissão

Conforme descrito no item 1, o Canva criptografa os Dados transmitidos entre clientes e o aplicativo do Canva usando o protocolo TLS 1.2 ou superior.


7. Medidas para proteção dos dados durante o armazenamento

Conforme descrito no item 1, os Dados dos Clientes armazenados nos servidores do Canva são criptografados seguindo a especificação AES 256 ou superior.


8. Medidas para garantir a segurança física dos locais de processamento de dados pessoais

O serviço é hospedado e os Dados são armazenados em centros de dados disponibilizados pela Amazon Web Services (AWS). Sendo assim, o Canva depende dos controles físicos, ambientais e infraestruturais da AWS. O Canva revisa periodicamente as certificações e comprovações de terceiros fornecidas pela AWS no que se refere à efetividade dos controles aplicados a seus centros de dados.


9. Medidas para garantir o registro de eventos

O Canva mantém registros de auditoria de segurança do aplicativo e da infraestrutura. Os registros de auditoria são analisados para detectar atividade anômala.


10. Medidas para garantir a configuração do sistema, inclusive a configuração padrão

O Canva submete a infraestrutura de seus servidores a um processo de hardening usando um padrão de hardening baseado em um padrão comum no setor. O Canva aplica patches de segurança a seus servidores de acordo com seu Procedimento de Gestão de Vulnerabilidades.


11. Medidas para a governança e gestão internas de TI e da segurança de TI

O acesso dos funcionários do Canva aos Dados dos Clientes é dependente da função de cada funcionário e segue o princípio do menor privilégio. Os funcionários recebem apenas o acesso suficiente aos Dados dos Clientes para conseguir executar suas responsabilidades de forma efetiva. O acesso aos sistemas do Canva a partir de uma rede remota exige uma comunicação criptografada por meio de protocolos seguros e o uso de autenticação multifator. O Canva estabeleceu e manterá procedimentos de gerenciamento de senhas para seus funcionários, desenvolvidos para garantir que as senhas sejam específicas a cada indivíduo e inacessíveis por parte de pessoas não autorizadas. Esses procedimentos incluem, no mínimo:

- a proteção criptográfica das senhas durante seu armazenamento em sistemas informáticos ou sua transmissão pela rede;

- a alteração de senhas padrão de fornecedores;

- a educação sobre práticas recomendadas relativas a senhas.

O acesso dos funcionários à infraestrutura de produção exige a autenticação multifator (MFA).

Os funcionários do Canva estão sujeitos a obrigações de confidencialidade e a uma Política de Tratamento de Dados Pessoais. O Canva exige que seus funcionários participem de capacitação para conscientização sobre a segurança da informação, tanto no início do vínculo empregatício quanto anualmente a partir desse momento. O Canva também exige que seus funcionários participem de capacitação sobre legislação de privacidade anualmente (inclusive para fins de conformidade com a COPPA e a FERPA no que se refere a dados de alunos).

O Canva implementa medidas de privacidade por padrão, inclusive avaliações de impacto na privacidade, entre outras.


12. Medidas para certificação/garantia de processos e produtos

O Canva manterá uma certificação ISO 27001 e se submeterá a verificações externas periódicas e auditorias de recertificação a fim de garantir que seu Sistema de Gestão de Segurança da Informação (SGSI) cumpra os requisitos desse padrão.

O Canva manterá uma política de segurança da informação que cumpra os requisitos do padrão ISO 27001, um programa de auditoria interna que avalie o SGSI e os controles de segurança da informação do Canva, e um comitê de gestão responsável pela supervisão do SGSI do Canva.


13. Medidas para garantir a minimização dos dados

O Canva permite que visitantes usem certas funcionalidades de sua plataforma de forma anônima e minimiza os Dados requeridos dos Clientes, exigindo apenas aqueles que forem necessários para a prestação do serviço solicitado.


14. Medidas para garantir a qualidade dos dados

O Canva garante a qualidade de seus dados por meio da verificação dos e-mails utilizados para criar uma conta na plataforma canva.com. O Canva também permite que os usuários atualizem as informações em sua conta por si sós ou por meio de solicitações ao serviço de atendimento ao cliente, a Equipe de Satisfação do Cliente.


15. Medidas para garantir a retenção limitada dos dados

O Canva mantém uma Política de Retenção de Dados que estabelece os períodos de retenção para diversos tipos de dados com base em exigências legais, nos interesses justificados do Canva e nas finalidades da coleta de dados.


16. Medidas para garantir a responsabilização

O Canva designou representantes locais na Europa e no Reino Unido. O representante local do Canva no Espaço Econômico Europeu é o European Data Protection Office (EDPO), cujo endereço é Avenue Huart Hamoir 71, 1030, Bruxelas, Bélgica. No Reino Unido, nosso representante local é o European Data Protection Office UK (EDPO UK), cujo endereço é 8 Northumberland Avenue, Londres WC2N 5BY, Reino Unido. Avaliações de Impacto sobre a Proteção de Dados são conduzidas para atividades de processamento de alto risco, e o Canva mantém registros de suas atividades de processamento.


17. Medidas para permitir a portabilidade de dados e garantir sua exclusão

O Canva conta com um processo automatizado de exclusão dos Dados dos Clientes mediante solicitação dentro de um prazo de 28 dias e habilita o download dos Dados dos Clientes para fornecimento a outros prestadores de serviços.


Outras políticas