Segurança, privacidade e compliance no Todoist


Neste artigo, queremos responder a todas as suas perguntas sobre como tratamos suas informações pessoais, as medidas de segurança que implementamos e nosso compliance com regulações globais, como o GDPR.

Dica rápida

Leia nossa Política de privacidade e Política de segurança que explicam as medidas que tomamos para proteger suas informações em maiores detalhes.

Segurança

A segurança refere-se a medidas e protocolos que implementamos para proteger seus dados do acesso não autorizado, vazamentos e outras ameaças. Ela engloba as proteções técnicas e processuais que implementamos para garantir que seus dados permaneçam confidenciais, íntegros e disponíveis.

Restringimos o acesso a dados pessoais ao menor número de funcionários que precisam de acesso por razões específicas para melhorias do Todoist e Twist.

Regularmente testamos, analisamos e avaliamos se nossos processos e tecnologias são efetivos.

Utilizamos criptografia para proteger os dados.

Quando os dados do usuário são armazenados em nossos servidores e banco de dados, a Doist usa criptografia AES 256. Quando os dados são enviados ou recebidos, são criptografados com TLS 1.1 ou posterior. Backups de dados em nossos servidores são criptografados com AES 256 e assinados por RSA com chave de 2048.

Além disso, o Todoist cria diariamente backups automáticos dentro do aplicativo para usuários Pro e Business. Tomamos as medidas necessárias para garantir que eles estejam bem protegidos ao manter um sistema de segurança contra acessos não-autorizados.

Como o GDPR tem muitos requisitos, a compliance vai depender de suas circunstâncias precisas. Se você tiver perguntas ou necessidades específicas, entre em contato conosco.

Ao usar o Todoist em um plano individual em um espaço de trabalho pessoal, a Doist é considerada o Processador de dados, o que significa que controlamos a forma como os dados de usuários são processados e somos responsáveis pelo processamento de dados de acordo com o GDPR. Ao usar nossos serviços, você concede à Doist os direitos de compartilhar seu conteúdo com outros usuários autorizados no contexto de nossos recursos e funcionalidades de colaboração.

Ao compartilhar seu conteúdo com outros usuários do Todoist (incluindo nos espaços de trabalho de equipe ou em projetos compartilhados em um espaço de trabalho pessoal), você permite que outros usuários acessem seu conteúdo através do nosso serviço e usem, reproduzam, distribuam, exibam, editem, executem e interajam com tais conteúdos. Quando você cria ou entra em um espaço de trabalho de quipe (que neste caso é considerado organizacional), você concorda com as políticas da organização e com qualquer outro acordo entre você e a organização. Isso significa que a organização é a proprietária de todo o conteúdo dos usuários no respectivo espaço de trabalho. Todo o conteúdo de usuários no espaço de trabalho da organização pode ser compartilhado com a mesma e modificado, excluído ou acessado. A organização pode encerrar o acesso ao espaço de trabalho a qualquer momento e você perderá o acesso ao seu conteúdo naquele espaço. Ao transferir qualquer conteúdo para o espaço de trabalho da organização, você concede à organização direitos amplos de uso do seu conteúdo.

Concedemos total acesso às informações através de nossa API que permite que você consulte as informações pessoais fornecidas a nós e/ou transferi-las para outro serviço. Você pode ver nossa API para o Twist e Todoist aqui:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Note que informações de pagamentos e integrações não estão disponíveis via API. Caso você queira acessar essas informações ou precise de ajuda para exportar seus dados, entre em contato conosco.

O conteúdo de usuários, como tarefas e comentários, é armazenado em nossos bancos de dados, protegidos do tráfego da internet e com política de acesso restrito em nossa empresa.

O acesso a ele é auditado, requer múltiplas camadas de autenticação e só é permitido por motivos válidos de negócios. Em outras palavras, não há como um funcionário interno acessá-lo sem que outros tenham conhecimento. A necessidade de acesso ao conteúdo de usuários é muito rara.

Sim, após um determinado período de tempo. Primeiro o sistema registra a tarefa como excluída para depois apagá-la. A exclusão soft garante que o conteúdo esteja inacessível por aplicativos de clientes. As exclusões hard ocorrem depois. O comportamento do sistema tem suporte para mecanismos de sincronização em diversos aparelhos. Registros marcados como excluídos ajudam algoritmos de sincronização a desempenhar resoluções de conflito de dados.

O conteúdo de usuários também está presente em bases de dados de backups. Eles existem para o propósito de continuidade do negócio, caso haja um cenário catastrófico de perda de dados, um longo período de indisponibilidade de dados ou corrupção desses. Todos os dados, incluindo backups, são encriptados. Até o momento, nunca tivemos a necessidade de usar os bancos de dados de backups.

Os bancos de dados de backups não permitem acesso aos dados de cada usuário. Em vez disso, podemos restaurá-los em uma base de dados na qual controles de acesso de dados regulares são aplicáveis. Os backups são alternados automaticamente e não duram mais de 94 dias.

Privacidade

A privacidade se refer a como coletamos, usamos, compartilhamos e gerenciamos seus dados pessoais. Isso envolve a garanti de que suas informações pessoais são usadas de maneira que respeite seus direitos e expectativas.

As informações que coletamos são necessárias para que possamos fornecer nossos serviços e também para melhorias no Twist e Todoist.

No ato do seu cadastro no Todois e Twist, você nos fornece voluntariamente informações como seu nome e endereço de e-mail. Você pode acessar e atualizar essas informações a qualquer momento nas Configurações de sua conta.

Além disso, ao usar nossos serviços, você nos dá consentimento para usar os seguintes dados:

  • E-mail
  • Endereço de IP
  • ID do dispositivo
  • Nome e sobrenome (opcional, não processado)
  • Trabalho (opcional, não processado)
  • Número de telefone (opcional, não processado)
  • Número de Identificação Fiscal IVA (opcional)
  • Endereço de cobrança (apenas para contas Pro e Business)

Para exportar seus dados pessoais, entre em contato conosco.

Concedemos total acesso às informações através de nossa API que permite que você consulte as informações pessoais fornecidas a nós e/ou transferi-las para outro serviço. Você pode ver nossa API para o Twist e Todoist aqui:

Note que informações de pagamentos e integrações não estão disponíveis via API. Caso você queira acessar essas informações, entre em contato conosco.

Não, nunca vendemos dados.

Após a exclusão da sua conta, todas as suas informações pessoais são removidas de nosso sistema de produção. Apenas uma cópia criptografada será mantida em nossos arquivos de backup por 90 dias. Depois desse período, todos os dados associados à conta serão excluídos permanentemente. Note que não fornecemos cópias criptografadas de nossos arquivos de backup.

Usamos cookies para coletar informações sobre suas atividades de navegação e para distinguir você de outros usuários do Todoist. Isso ajuda sua experiência ao usar nosso aplicativo e nos ajuda a melhorar a funcionalidade.

Usamos os seguintes cookies:

  • Cookies estritamente necessários: necessários para desempenhar a funcionalidade de login, autenticação de usuário e segurança;
  • Cookies funcionais: usados para reconhecer quando você retorna ao nosso site e personalizar nosso conteúdo, usar seu nome para cumprimentá-lo(a) e lembrar suas preferências;
  • Cookies analíticos e de propagandas: usados para nos ajudar a entender como nossos usuários interagem com o nosso produto. Usamos vários cookies externos: Google Analytics (analisa o tráfego do site e o comportamento de usuários), Datadog (monitora o desempenho da web e a experiência do usuário), Stripe (lida com pagamentos e a página de preços/upgrade), Zendesk (carrega imagens e oferece apoio ou a Central de ajuda), YouTube (exibe vídeos nas páginas da Central de ajuda), Cloudinary (carregar e otimizar imagens).

Usamos serviços externos em conformidade com o GDPR e parceiros de hospedagem como Stripe, AWS e Google Workspace. Nestes casos, tomamos as medidas necessárias de proteção para garantir a conformidade com o GDPR quando enviamos e recebemos dados de terceiros. Veja as políticas de segurança e privacidade do Todoist e do Twist para mais informações.

Quando necessário, usamos os seguintes prestadores de serviços externos, que estão em conformidade com a GDPR:

  • Amazon Web Services
  • ChartMogul
  • Lançamento do CloubBees
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • Google Analytics
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Microsoft Visual Studio App Center
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

Sim. Realizamos o processamento de dados no norte da Virgínia, EUA, através da Amazon Web Services (AWS). Nós coletamos o mínimo possível de dados, e todos eles são encriptados usando criptografia AES 256.

Compliance

A compliance refere-se à nossa aderência a leis, regulamentos e padrões que governam a forma como lidamos com seus dados. Ela garante que nossas práticas estejam alinhadas com requisitos legais e regulatórios para proteger seus dados como usuário. A compliance envolve a demonstração de que seguimos estas regras e somos responsáveis pela manutenção delas.

GDPR

Na Doist, estamos totalmente em conformidade com a norma desde o dia 25 de maio de 2018.. A Lei Geral da Proteção de Dados (sigla GDPR em inglês) é um regulamento feito para ajudar cidadãos e residentes da União Europeia (UE) a proteger suas informações pessoais ao especificar como tais informações podem ser coletadas, processadas e armazenadas.

No que depender de nós, sim. Mas é claro, se os seus clientes estão situados onde o regulamento GDPR é aplicável, eles deverão tomar as medidas necessárias para que suas operações comerciais estejam em conformidade com a GDPR.

Sim. Oferecemos um DPA que já está pré-assinado em nome da Doist. Ele pode ser completado com seus dados e depois assinado aqui.

SOC 2 e HIPAA

No momento, ainda não adquirimos a certificação SOC2 ou HIPAA. Dito isto, adoraríamos saber mais sobre as certificações de compliance necessárias para que você e sua equipe usem o Todoist. Conte para nós!

Entre em contato

Tem perguntas que não foram respondidas? Entre em contato. Nós – Pierre, Marco, Summer ou qualquer um dos nossos 14 colegas de equipe – estamos aqui para te ajudar!