Declaração de Medidas Técnicas e Organizacionais

Consulte as versões anteriores desta e de outras políticas nos nossos Arquivos de políticas(abre num novo separador ou janela).

Esta Declaração de Medidas Técnicas e Organizacionais está incorporada por referência à nossa Adenda de Processamento de Dados. Esta descreve os padrões mínimos de segurança que o Canva aplica aos Serviços do Canva de acordo com o Acordo de Serviço de Subscrição(abre num novo separador ou janela). Os termos utilizados com inicial maiúscula, mas não definidos nesta Declaração de Medidas Técnicas e Organizacionais, estão explicados na Adenda de Processamento de Dados(abre num novo separador ou janela), inclusivamente “Dados” (que, para evitar dúvidas, se limita aos dados de clientes corporativos, salvo especificação em contrário no seu acordo assinado connosco).

1. Medidas de pseudonimização e criptografia de dados pessoais

O Canva criptografa os Dados transmitidos entre clientes e a aplicação do Canva através de redes públicas utilizando o protocolo TLS 1.2 ou superior. Os Dados dos Clientes armazenados nos servidores do Canva são criptografados seguindo a especificação AES 256 ou superior.


2. Medidas para garantir a continuidade da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento

O Canva conta com colaboradores responsáveis pela supervisão da segurança e privacidade. Foram nomeados Chefes de Segurança, Privacidade e Dados, assim como um Comité de Segurança da Informação, que realizam reuniões trimestrais para discutir os riscos à privacidade e à segurança geridos nos seus registos de riscos.


3. Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso a dados pessoais de maneira oportuna em caso de incidente físico ou técnico

Para garantir a disponibilidade do serviço, o Canva utiliza o Amazon Web Services (AWS) Auto Scaling, as zonas de disponibilidade da AWS, uma monitorização da aplicação e da infraestrutura, e registos de suporte 24h da aplicação.

O Canva mantém backups dos dados armazenados, inclusivamente dos Dados dos Clientes, que viabilizam as funcionalidades básicas da aplicação do Canva. Os backups são armazenados numa localização geográfica diferente do local primário de armazenamento de dados.

O Canva mantém uma capacidade de resposta a incidentes de segurança que inclui um Plano de Resposta a Incidentes com Dados Pessoais devidamente documentado para incidentes de segurança que envolvem Dados. Isto define a nossa forma de mitigar, avaliar, comunicar e responder a incidentes, assim como as funções e responsabilidades dos colaboradores do Canva e uma exigência de condução de revisões posteriores aos incidentes.


4. Processos para testar e avaliar regularmente a efetividade das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

O Canva contrata um especialista em testes de segurança de terceiros para conduzir um teste anual de penetração da sua aplicação e da sua infraestrutura. O Canva também contrata um serviço de terceiros de varredura de vulnerabilidades de aplicações e mantém um programa público de recompensas pela identificação de bugs.


5. Medidas para identificação e autorização de utilizadores

Quando a conta de um Cliente contém uma palavra-passe para autenticação, o Canva submete a palavra-passe a processos de salting e hashing e a armazena-a utilizando uma função de hashing de palavras-passe padrão no sector. O Canva permite a integração com um fornecedor de identidade do cliente para ativar o início único de sessão (SSO) utilizando a Linguagem de Marcação para Autorização de Segurança (SAML).


6. Medidas para proteção dos dados durante a transmissão

Conforme descrito no item 1, o Canva criptografa os Dados transmitidos entre clientes e a aplicação do Canva utilizando o protocolo TLS 1.2 ou superior.


7. Medidas para proteção dos dados durante o armazenamento

Conforme descrito no item 1, os Dados dos Clientes armazenados nos servidores do Canva são criptografados seguindo a especificação AES 256 ou superior.


8. Medidas para garantir a segurança física dos locais de processamento de dados pessoais

O serviço é hospedado e os Dados são armazenados em centros de dados disponibilizados pela Amazon Web Services (AWS). Sendo assim, o Canva depende dos controlos físicos, ambientais e infraestruturais da AWS. O Canva revê periodicamente as certificações e comprovações de terceiros fornecidas pela AWS no que se refere à efetividade dos controlos aplicados aos seus centros de dados.


9. Medidas para garantir o registo de eventos

O Canva mantém registros de auditoria de segurança da aplicação e da infraestrutura. Os registos de auditoria são analisados para detetar atividade anómala.


10. Medidas para garantir a configuração do sistema, inclusivamente a configuração padrão

O Canva submete a infraestrutura dos seus servidores a um processo de hardening utilizando um padrão de hardening baseado num padrão comum no sector. O Canva aplica patches de segurança aos seus servidores de acordo com o seu Procedimento de Gestão de Vulnerabilidades.


11. Medidas para a governação e gestão internas de TI e da segurança de TI

O acesso dos colaboradores do Canva aos Dados dos Clientes é dependente da função de cada colaborador e segue o princípio do menor privilégio. Os colaboradores recebem apenas o acesso suficiente aos Dados dos Clientes para conseguir executar as suas responsabilidades de forma efetiva. O acesso aos sistemas do Canva a partir de uma rede remota exige uma comunicação criptografada por meio de protocolos seguros e a utilização de autenticação multifator. O Canva estabeleceu e manterá procedimentos de gestão de palavras-passe para os seus colaboradores, desenvolvidos para garantir que as palavras-passe sejam específicas a cada indivíduo e inacessíveis por parte de pessoas não autorizadas. Estes procedimentos incluem, como requisito mínimo:

- a proteção criptográfica das palavras-passe durante o seu armazenamento em sistemas informáticos ou a sua transmissão pela rede;

- a alteração de palavras-passe padrão de fornecedores;

- a educação sobre práticas recomendadas relativas a palavras-passe.

O acesso dos colaboradores à infraestrutura de produção exige a autenticação multifator (MFA).

Os colaboradores do Canva estão sujeitos a obrigações de confidencialidade e a uma Política de Tratamento de Dados Pessoais. O Canva exige que os seus colaboradores participem na formação para a sensibilização sobre a segurança da informação, tanto no início do seu contrato como anualmente a partir desse momento. O Canva também exige que os seus colaboradores participem na formação sobre legislação de privacidade anualmente (inclusivamente para fins de conformidade com a COPPA e a FERPA no que se refere a dados de alunos).

O Canva implementa medidas de privacidade por padrão, inclusivamente avaliações de impacto na privacidade, entre outras.


12. Medidas para certificação/garantia de processos e produtos

O Canva manterá uma certificação ISO 27001 e submeter-se-á a verificações externas periódicas e auditorias de recertificação a fim de garantir que o seu Sistema de Gestão de Segurança da Informação (SGSI) cumpre os requisitos deste padrão.

O Canva manterá uma política de segurança da informação que cumpra os requisitos do padrão ISO 27001, um programa de auditoria interna que avalie o SGSI e os controlos de segurança da informação do Canva, e um comité de gestão responsável pela supervisão do SGSI do Canva.


13. Medidas para garantir a minimização dos dados

O Canva permite que os visitantes utilizem certas funcionalidades da sua plataforma de forma anónima e minimiza os Dados requeridos dos Clientes, exigindo apenas aqueles que forem necessários para a prestação do serviço solicitado.


14. Medidas para garantir a qualidade dos dados

O Canva garante a qualidade de seus dados por meio da verificação dos e-mails utilizados para criar uma conta na plataforma canva.com. O Canva também permite que os usuários atualizem as informações em sua conta por si sós ou por meio de solicitações ao serviço de atendimento ao cliente, a Equipe de Satisfação do Cliente.


15. Medidas para garantir a retenção limitada dos dados

O Canva mantém uma Política de Retenção de Dados que estabelece os períodos de retenção para diversos tipos de dados com base em exigências legais, nos interesses justificados do Canva e nas finalidades da recolha de dados.


16. Medidas para garantir a responsabilização

O Canva designou representantes locais na Europa e no Reino Unido. O representante local do Canva no Espaço Económico Europeu é o European Data Protection Office (EDPO), cujo endereço é Avenue Huart Hamoir 71, 1030, Bruxelas, Bélgica. No Reino Unido, o nosso representante local é o European Data Protection Office UK (EDPO UK), cujo endereço é 8 Northumberland Avenue, Londres WC2N 5BY, Reino Unido. São conduzidas avaliações de Impacto sobre a Proteção de Dados para atividades de processamento de alto risco, e o Canva mantém registo das suas atividades de processamento.


17. Medidas para permitir a portabilidade de dados e garantir a sua eliminação

O Canva conta com um processo automatizado de eliminação dos Dados dos Clientes mediante solicitação dentro de um prazo de 28 dias e possibilita o download dos Dados dos Clientes para fornecimento a outros fornecedores de serviços.


Outras políticas