logo

Select Sidearea

Populate the sidearea with useful widgets. It’s simple to add images, categories, latest post, social media icon links, tag clouds, and more.
side-area-image-1
side-area-image-2
side-area-image-3
side-area-image-4
side-area-image-5
side-area-image-6
hello@youremail.com
+1234567890
mobile-logo

Privacy Policy

Política de Privacidade

Esta política estabelece diretrizes para a proteção e privacidade dos dados pessoais tratados pela Nexu Tecnologia em Captura e Processamento de Transações Ltda,
garantindo conformidade com regulamentos aplicáveis, como o Regulamento Geral de Proteção de Dados (GDPR)
e a Lei Geral de Proteção de Dados Pessoais (LGPD).

Esta política destina-se aos controladores que utilizam os serviços da Nexu, bem como a qualquer parte
interessada que deseje compreender as práticas de proteção de dados adotadas pela empresa.

Definições

Dados Pessoais: Qualquer informação relacionada a uma pessoa identificada ou identificável.

Processador: Entidade que processa dados pessoais em nome do controlador, conforme definido pelo GDPR e pela LGPD.

Controlador: Pessoa natural ou jurídica responsável pela coleta e pelas decisões referentes ao tratamento dos dados pessoais.

Escopo

Responsabilidade da Nexu

A Nexu atua exclusivamente como processadora de dados, fornecendo e mantendo uma plataforma SaaS.
A Nexu não possui autonomia para coletar, modificar, excluir ou tomar decisões sobre o tratamento dos
dados pessoais armazenados no sistema, sendo essas responsabilidades atribuídas ao controlador.

O compromisso da Nexu está em garantir que os dados permaneçam protegidos, acessíveis apenas para
finalidades de suporte operacional e em conformidade com os regulamentos de proteção de dados aplicáveis.

Controle de Acesso aos Dados

Para garantir a segurança e integridade dos dados armazenados no ambiente tecnológico, a Nexu implementa
mecanismos rigorosos de controle de acesso, tais como:

  • Princípio do privilégio mínimo: Somente profissionais estritamente necessários para suporte operacional possuem acesso ao sistema.
  • Autenticação Multifator (MFA): Todo acesso ao ambiente requer autenticação reforçada para mitigar riscos de acessos não autorizados.
  • Registros de auditoria (logs): Todas as atividades relacionadas ao acesso e à interação com os dados são registradas e monitoradas, garantindo rastreabilidade e possibilitando auditorias periódicas.
  • Revisão de acessos: As permissões de acesso são revisadas regularmente para evitar acessos desnecessários ou indevidos.

Manipulação e Tratamento de Dados

Os profissionais da Nexu não estão autorizados a modificar, extrair, copiar ou excluir qualquer dado pessoal
armazenado em seus sistemas, a menos que haja uma solicitação formal e documentada do controlador.

Caso seja necessário realizar suporte operacional que envolva o acesso aos dados, a Nexu seguirá os seguintes passos:

  • Solicitação formal do controlador, devidamente documentada.
  • Registro da ação, garantindo rastreabilidade sobre o motivo e os responsáveis pelo acesso.
  • Execução das atividades estritamente necessárias, respeitando as diretrizes do controlador.
  • Encerramento e auditoria, assegurando que nenhuma modificação indevida foi realizada.

Confidencialidade e Segurança

A Nexu adota medidas rigorosas para garantir que as informações permaneçam protegidas contra acessos indevidos e vazamentos:

  • Obrigações de confidencialidade: Todos os profissionais com acesso ao ambiente estão sujeitos a obrigações formais de confidencialidade, estabelecidas contratualmente ou por meio de instrumento específico.
  • Criptografia: Os dados armazenados e transmitidos são protegidos por criptografia, garantindo que apenas partes autorizadas possam acessá-los.
  • Monitoramento contínuo: A Nexu utiliza ferramentas de monitoramento para detectar acessos não autorizados e atividades suspeitas.

Gestão de Incidentes de Privacidade

Caso ocorra incidente de segurança que comprometa dados pessoais, a Nexu notificará o controlador em até
24 horas após a confirmação do incidente. O controlador será responsável por comunicar as
autoridades competentes nos prazos regulatórios aplicáveis, incluindo:

  • ANPD: prazo orientado de 2 dias úteis para incidentes graves, conforme a LGPD.
  • Autoridade supervisora europeia: até 72 horas, conforme o Art. 33 do GDPR, quando aplicável.

O plano de resposta a incidentes da Nexu contempla as seguintes etapas:

  • Identificação e contenção do incidente, evitando propagação ou agravamento dos danos.
  • Notificação ao controlador dentro do prazo estabelecido.
  • Investigação detalhada para compreender a origem e o impacto do incidente.
  • Adoção de medidas corretivas para evitar recorrências.

Conscientização e Treinamento

A Nexu promove ações regulares de conscientização para garantir que os profissionais compreendam os riscos
e as responsabilidades associadas ao acesso aos dados. Entre as iniciativas estão:

  • Divulgação periódica de materiais sobre segurança da informação e boas práticas no manuseio de dados.
  • Treinamentos formais, realizados ao menos anualmente.
  • Revisão das políticas e procedimentos operacionais para garantir a aplicação contínua das melhores práticas.

Retenção e Exclusão de Dados

Os dados pessoais armazenados serão mantidos pelo período estritamente necessário à prestação dos serviços.
Ao término da relação contratual ou mediante solicitação formal do controlador, a Nexu adotará os seguintes procedimentos:

  • Devolução dos dados: Os dados poderão ser exportados em formato estruturado e legível, dentro do prazo estabelecido contratualmente.
  • Exclusão segura: Após confirmação do controlador ou decorrido o prazo contratual, os dados serão excluídos de forma segura e irreversível, incluindo cópias de backup.
  • Certificado de exclusão: Mediante solicitação, a Nexu emitirá documento formal atestando a exclusão dos dados.

Registros operacionais, como logs de auditoria, poderão ser retidos pelo período mínimo exigido pela legislação aplicável.

Subprocessadores

A Nexu não utiliza subprocessadores para o tratamento dos dados pessoais armazenados na plataforma.
Todo o processamento é realizado internamente, por profissionais autorizados e sujeitos às obrigações descritas nesta política.

Transferência Internacional de Dados

Caso os dados pessoais sejam armazenados ou processados fora do Brasil ou da União Europeia, a Nexu adotará
salvaguardas adequadas para garantir nível de proteção equivalente ao exigido pela LGPD e pelo GDPR, incluindo:

  • Utilização de fornecedores que adotem Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia ou mecanismo equivalente.
  • Verificação de adequação do país de destino, conforme avaliação da ANPD ou da Comissão Europeia, quando aplicável.
  • Documentação das transferências realizadas, disponível para verificação mediante solicitação.

Apoio ao Exercício dos Direitos dos Titulares

A Nexu, na qualidade de processadora, não mantém relacionamento direto com os titulares dos dados.
No entanto, compromete-se a apoiar o controlador no atendimento das requisições dos titulares, incluindo:

  • Acesso: Fornecimento das informações técnicas necessárias para localização e apresentação dos dados ao titular.
  • Correção: Suporte técnico para ajustes nos dados, mediante solicitação formal documentada do controlador.
  • Exclusão: Execução da exclusão dos dados indicados pelo controlador, seguindo o procedimento descrito na seção Manipulação e Tratamento de Dados.
  • Portabilidade: Exportação dos dados em formato estruturado e interoperável, conforme solicitação do controlador.
  • Oposição e restrição: Aplicação de bloqueios ou restrições de acesso aos dados conforme orientação formal do controlador.

O atendimento às requisições será realizado dentro dos prazos contratualmente estabelecidos, observando os
limites de 15 dias úteis previstos na LGPD e de 30 dias previstos no GDPR.

Encarregado de Dados (DPO)

A Nexu designou um Encarregado de Dados (Data Protection Officer – DPO), responsável por atuar como
canal de comunicação entre a empresa, os controladores e as autoridades de proteção de dados, bem como por
orientar internamente o cumprimento das normas de privacidade aplicáveis.

Para dúvidas, solicitações ou comunicações relacionadas à proteção de dados pessoais, o DPO pode ser contactado pelo seguinte canal:

E-mail: dpo@nexu.ca

light logo

340 King Street East, 2nd Floor - Toronto/Canada

Email: contactus@nexu.ca

Phone: +1 (403) 463-1188

Copyright © 2017 - Nexu Transaction Technologies Ltd.