Nessa publicação você confere:
Dados da empresa (operador de dados)
- Razão social: PONTOMAIS TECNOLOGIA S/A
- CNPJ: 23.863.463/0001-82
- Endereço: Rua Pasteur, 463 – Batel, Curitiba – PR, 80250-104
Sou colaborador e preciso de dados de registro de ponto
Se você é colaborador e precisa de informações do seu ponto como espelho ponto, é preciso entrar em contato diretamente com a sua empresa. Como fornecedores, nos comprometemos com a proteção de dados e a Lei Geral de Proteção de Dados (LGPD). Dessa forma, seus dados precisam ser repassados pela própria empresa. Recomendamos que você se dirija ao departamento de recursos humanos ou setor competente da sua empresa para obter os dados necessários, garantindo assim a privacidade e segurança das suas informações pessoais.
Sobre a adequação à LGPD
Estamos trabalhando na adequação à LGPD. O processo está sendo realizado por uma equipe interna, com apoio do nosso jurídico sempre que necessário. As ações de adequação iniciaram em 2020 e o processo segue em execução.
- LGPD
- Data mapping e risk assessment.
- Estrutura organizacional: Implantação da Estrutura Organizacional de Proteção de Dados. Nomeação do Comitê de Privacidade e treinamento aos membros sobre as funções do Comitê.
- Políticas de proteção de dados (em andamento): Implantação de Políticas comportamentais relacionadas ao Sistema de Privacidade e Proteção de Dados Pessoais, em conformidade com as devidas priorizações e a necessidade da Instituição, sendo elas:
- Política de Privacidade Externa, contendo previsões de contratação de terceiros;
- Política de Privacidade Interna, contendo previsões de retenção e descarte;
- Guia de Direito dos Titulares;
- Apoio na revisão da Política de Segurança da Informação.
4. Resposta a incidentes de segurança (em adequação): Elaboração do fluxo de respostas a incidentes, do formulário inicial de resposta a incidentes, do protocolo de comunicação de incidentes à ANPD e ao titular, além da planilha de resposta a incidentes e Nota Técnica.
5. Gestão de terceiros: Revisões dos contratos firmados com terceiros, envolvendo a sugestão de Termo Aditivo de LGPD ou elaboração de cláusulas contratuais referentes ao tratamento de dados. Atividade contínua.
Perguntas frequentes
Os indivíduos responsáveis pela segurança das informações pessoais (colaboradores da Pontomais, subcontratadas / sub operadores e etc) entendem o que constitui um incidente de dados, como relatá-lo e o que precisa ser relatado imediatamente? (em adequação)
Resposta: Processo sendo revisto/implementado junto como RH e Administrativo/Jurídico.
Possuímos adequação de contrato com fornecedores / sub operadores / subcontratações para adequação a LGPD?
Resposta: Em processo de adequação.
Possuímos um DPO / Encarregado de dados?
Resposta: Sim.
Quem é o DPO da Pontomais e qual o contato dele?
Resposta: Emanuel Pires Ferreira, e-mail: dpo@pontomais.com.br.
A Pontomais possui algum termo comprovando que os processos da empresa estão conforme a Lei Geral de Proteção de Dados?
Resposta: Sim. Tivemos o cuidado de incluir informações sobre como tratamos a LGPD em nossos Termos e Condições de Uso do Sistema e criamos uma política específica para a questão de Privacidade dos Dados. Nessa política, disponibilizamos detalhes sobre o tratamento dos dados na Pontomais e mais informações sobre como trabalhamos o tema Lei Geral de Proteção de Dados.
Como o nosso foco é na transparência, mantemos esses documentos públicos para acesso.
Termos e condições de uso: https://pontomais.com.br/termos-de-uso/
Política de privacidade: https://pontomais.com.br/politica-de-privacidade/
Possuímos Acordo de Processamento de Dados Pessoais padrão (Data Processing Agreement – DPA)?
Resposta: Atualmente não, mas possuímos a Política de Privacidade.
Quem são as sub contratadas (subcontratações) / sub operadores / provedores de serviços?
- Pipefy – https://pipefy.com.br/
- Pipedrive – https://pipedrive.com.br/
- Superlogica – https://superlogica.com/
- Nexcore – https://nexcore.com.br/
- Zendesk – https://www.zendesk.com/
- Rdstation – https://www.rdstation.com/
- Announcekit – https://announcekit.app/
- Hotjar – https://www.hotjar.com/
- Calendly – https://calendly.com/
- Wootric – https://www.wootric.com/
Lista de subcontratações, CNPJ a e localização geográfica das empresas:
- Pipefy – Ferramenta Internacional – 548 Market St San Francisco, CA 94104-5401 United States
- Pipedrive – Ferramenta Internacional – Mustamäe tee 3a Tallinn, Harjumaa 10615 Estonia
- Superlógica – 04.833.541/0001-51 – RUA JOAQUIM VILLAC, Nº 501 – BAIRRO – VILA TEIXEIRA CAMPINAS – SP CEP: 13032-385
- Nexcore – 13.964.830/0001-80 – Rua Hermes Fontes, 316 – Bairro – Batel Curitiba – PR CEP: 80.440-070
- Zendesk – Ferramenta Internacional – 989 Market St San Francisco, CA
- Rdstation – 13.021.784/0001-86 – ROD VIRGILIO VÁRZEA, 587, FLORIPA SHOPPING MONTE VERDE FLORIANÓPOLIS – SC CEP: 88.032-001
- Announcekit – Ferramenta Internacional – 651 N. BROAD ST. SUITE 206 MIDDLETOWN DE 19709 United States
- Hotjar – Ferramenta Internacional – Dragonara Business Centre 5th Floor, Dragonara Road,Paceville St Julian’s STJ 3141 MALTA (EU)
Calendly – 271 17th St NW, 10th Floor, Atlanta, Georgia 30363, US - Wootric – Ferramenta Internacional. Endereço: 10355 South Jordan Gateway / Suite 600 / South Jordan, UT 84095.
Existem termos de confidencialidade em vigor para proteção dos dados tratados pelos subcontratados / sub operadores / prestadores de serviços? (Em processo de adequação).
Quais são os dados pessoais tratados pela Pontomais?
Para cadastro do colaborador:
- Primeiro nome;
- Sobrenome;
- Se CLT sim: PIS;
- Se registra ponto por reconhecimento facial: foto;
- Se optar por registro simples por Whatsapp: número do telefone;
- Cargo;
- Data de admissão;
- Data de início do uso do Pontomais (quando o uso da ferramenta iniciou para o colaborador);
- Turno (informações de jornada de trabalho);
- Equipe;
- Configuração de controle de ponto.
Alguns dados acima não são obrigatórios em todos os cenários. As informações estão sinalizadas de acordo com a circunstância em que serão obrigatórias, como, por exemplo: Se optar por registro por Whatsapp, precisará cadastrar o número do celular, caso contrário não haverá necessidade.
Outros dados que poderão ser tratados:
- Endereço de IP;
- Endereço;
- Valor da hora de trabalho;
- Localização de registro do ponto;
- Documentos (carteira de trabalho, carteira de habilitação, registro de inscrição civil, registro nacional de estrangeiro, rg e órgão de classe);
- Dados de nacionalidade;
- Se PCD e qual o tipo de deficiência;
- Dados de dependentes (nome, data de nascimento, cpf e relação com o titular);
- E-mail;
- UUID;
- Número da matrícula do colaborador;
- Informações para acesso remoto;
- Atestados / declarações médicas;
- Data de férias;
- Informações de afastamento pelo INSS;
- Dados pessoais: se é aposentado, gênero, estado civil, nome da mãe, nome do pai, raça, escolaridade, data de nascimento, nacionalidade e naturalidade.
- Demais dados que possam ser fornecidos pelos clientes ao longo do suporte realizado via chat e email pela equipe da Pontomais.
Qual é a finalidade do tratamento de cada dado em nossas atividades?
- Cláusula 4 da nossa política de privacidade:
4. A CONTRATANTE autoriza e concorda que todas as informações coletadas automaticamente pela Plataforma (dados de identificação digital), tais como características do computador/dispositivo de acesso, do navegador (tipo e versão), IP (com data e hora), origem do IP e sistema operacional, bem como aquelas voluntariamente inseridas, enviada ou transmitidas pela CONTRATANTE e demais Usuários, como dados cadastrais, poderão ser coletadas, analisadas e utilizadas pela CONTRATADA exclusivamente para os fins específicos de: (i) análise do uso dos Serviços PONTOMAIS; (ii) manter e melhorar a Plataforma, garantindo uma experiência satisfatória aos Usuário que a acessarem, mediante o constante aprimoramento dos Serviços ofertados; (iii) garantir a segurança dos Usuários e identificá-los; (iv) comunicação com os Usuários, bem como responder solicitações, consultas ou perguntas feitas por estes através do site, aplicativo e/ou e-mail disponibilizado; (v) permitir o acesso automático à Plataforma após o primeiro acesso, bem como o acesso de cada Usuário a certas áreas restritas do site/aplicativo, como, por exemplo, os acessos específicos de Administrador e Gestor; (vi) manutenção de backup de base de dados; (vii) compilar estatísticas agregadas sobre o uso da Plataforma; (viii) para fins de informar sobre novidades, funcionalidades, conteúdos, notícias, oferta de novos produtos e/ou serviços, marketing e exibição de anúncios dirigidos aos Usuários; e (ix)cumprir obrigações legais e regulatórias, sendo a base legal para o tratamento dos dados pela CONTRATADA o consentimento claro, de cada titular, bem como o legítimo interesse da Controladora e o cumprimento de obrigações legais.
Data center / nuvem, controles / monitoria e localização:
- Utilizamos 100% da estrutura na AWS. Os servidores estão localizados na Virginia (Estados Unidos) com replicação dos backup para Ohio (Estados Unidos) e São Paulo. Monitoramento por parceiro (Cloudster), 24 horas, 7 dias da semana, além de utilizarmos CloudWatch da própria AWS com alertas.
- Controles do data center: https://aws.amazon.com/pt/compliance/data-center/controls/
- Compliance / Programas de conformidade da AWS: https://aws.amazon.com/pt/compliance/programs/
- Contrato da AWS com a Pontomais: https://aws.amazon.com/pt/agreement/
A aplicação e o banco de dados estão na mesma localidade?
Resposta: Sim.
Há transferência internacional de dados/Artigo 33 da LGPD?
Resposta:Sim. Os terceiros localizados no Brasil, na Europa e na Califórnia estão submetidos à legislação própria de proteção de dados.
Como as transferências seguras de dados são realizadas?
Resposta: Os dados que passam pelo Sistema Pontomais são criptografados, tanto dados em trânsito quanto armazenados. Todos os acessos do navegador com a plataforma da Pontomais são criptografados em trânsito, por meio de criptografia TLS SHA-256 com RSA.
Nós possuímos controles para separar os dados de diferentes clientes em nosso ambiente?
Resposta: Nosso banco de dados possui a mesma instância para todos os clientes (single tenant), ou seja, não é possível que o cliente tenha acesso direto ao banco de dados. Se houver interesse, também oferecemos o private cloud para contratação.
Em caso de manutenção programada, o serviço fica indisponível? Há aviso prévio?
Resposta: É possível acompanhar a indisponibilidade pelo canal https://status.pontomais.com.br/.
A Pontomais possui mecanismos para descarte seguro dos dados? (Em processo de adequação)
Como funciona o descarte dos dados quando solicitado pelo titular de dados?
Resposta: Item 7.2 da Política de Privacidade: Em algumas circunstâncias, o Usuário possui o direito de pedir a exclusão de seus dados pessoais, sem demora injustificada, ficando estabelecido por meio desta Política que os pedidos de exclusão serão processados no prazo máximo de 30 (trinta) dias a contar da data da solicitação. Essas circunstâncias incluem: (i) os dados pessoais não são mais necessários em relação aos fins para os quais foram coletados; (ii) o Usuário retirar seu consentimento para o tratamento baseado no consentimento do titular; (iii) o tratamento é para fins de marketing; (iv) o Usuário se opõe ao tratamento; e (v) os dados pessoais foram tratados ilegalmente. Contudo, há hipóteses de exclusão deste direito de oposição ao tratamento dos dados, tais como quando necessários ao exercício do direito à liberdade de expressão e informação, para o cumprimento de obrigações legais e/ou regulatórias, para o exercício de direitos em processos ou mesmo para o legítimo interesse da Controladora.
Link para leitura da Política de Privacidade de forma integral: https://pontomais.com.br/politica-de-privacidade/.
- Certificações/ISO:
Como Pontomais não temos certificações, porém, a nossa infraestrutura é hospedada e gerenciada nas centrais de dados seguras da Amazon. O Sistema Pontomais utiliza os recursos internos de segurança, privacidade e redundância da plataforma. A AWS monitora constantemente a possibilidade de riscos em suas centrais de dados e submete-se a avaliações, para assegurar a conformidade com os padrões do setor. As operações da central de dados da Amazon foram certificadas por: ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (antigo SAS 70 Type II), PCI Level 1, FISMA Moderate and Sarbanes-Oxley (SOX).
Há um setor específico de Segurança da Informação?
Resposta: Atualmente não. Demandas relacionadas a Segurança da Informação são tocadas pela equipe de Produto e de Infraestrutura, com uma consultoria juridica especializada.
Possuímos logs de atualizações?
Resposta: Sim, para informações de como acessar os logs no Sistema Pontomais é só conferir a publicação sobre o tema.
São realizados backups dos dados do sistema?
Resposta: Sim.
Qual é a periodicidade dos backups?
- Point time 5 minutos por 7 dias;
- Últimas 5 semanas (backups de domingos);
- Últimos 12 meses (backups do último dia do mês).
Quais cuidados são tomados para a realização de backups?
Resposta: Nós utilizamos a política de armazenamento da AWS.
Qual a versão do SSL/TLS empregado na criptografia da transmissão?
Resposta: TLS SHA-256 com RSA.
Os dados são armazenados encriptados?
Resposta: Os backups são cifrados
Qual o método empregado na criptografia do armazenamento?
Resposta: Serviço da Amazon RDS.
Qual algoritmo de criptografia é empregado no armazenamento?
Resposta: AES-256.
Em qual mídia e formato os dados pessoais estão gravados?
Resposta: Banco de dados, backup e S3.
A Pontomais possui uma lista completa com todos os dados pessoais, classificação de finalidade de tratamento, período em que será tratado, local de armazenamento e pessoas com quem compartilha? (Em processo de adequação).
Como protegemos as informações dos usuários?
Resposta: O acesso ao banco de dados é cifrado e o acesso ao ambiente da AWS (VPC) é feito apenas por IPS liberados. Temos o WAF (Web Application Firewall), pseudonimização dos dados pessoais do cliente na base do suporte e log de produto, assim como a implementação de SSO e 2FA.
Quais são as medidas internas para proteger os dados pessoais / PI (personal information)?
- Políticas de controle de acesso:
- Revisões de acesso constantes.
- Funções e responsabilidades e de privacidade.
- Privacidade como medida padrão
- Restrições do tipo “need to know bases”
- Avaliações de segurança e privacidade.
- Separação de deveres
- Política de senha forte.
- Criptografia.
- Utilização de login único.
- Política de privacidade.
Testes para medir a eficácia das medidas de proteção aos dados pessoais / personal information: (Em processo de adequação).
Em caso de mudanças significativas, são realizados testes para garantir que as mudanças do sistema não vão afetar negativamente as informações pessoais?
Resposta: Sim, aplicamos os conceitos de privacy by design.
RTO (Recovery Time Objective) e o RPO (Recovery Point Objective) dos serviços prestados são definidos?
Resposta: Cláusula 20 dos termos de uso: A CONTRATADA obriga-se a fornecer e manter o acesso da CONTRATANTE à Plataforma online, garantindo uma eficiência de 99,95% (noventa e nove vírgula noventa e cinco por cento), bem como manter todos os dados gerados durante sua utilização e vinculados à sua conta com a mesma eficiência, de forma online e/ou em arquivos manuais estruturados, tudo conforme o Plano escolhido e durante seu período de vigência, salvo ocorrência de evento de força maior não controlável pela CONTRATADA, como desastres naturais, colapso de sistemas, incêndios ou qualquer outro, e desde que a Plataforma seja utilizada pela CONTRATANTE de forma correta, com equipamento/dispositivo e sistema operacional compatíveis e adequados. Em caso de Plano Pago, o acesso aos dados e informações será garantido à CONTRATANTE nos mesmos termos, enquanto forem realizados os pagamentos mensais/anuais do Plano contratado.
Plano de continuidade de negócio:
Resposta: Existe um plano de continuidade de negócios e está descrito na cláusula 20 dos nossos Termos de Uso:
20. A CONTRATADA obriga-se a fornecer e manter o acesso da CONTRATANTE à Plataforma online, garantindo uma eficiência de 99,95% (noventa e nove vírgula noventa e cinco por cento), bem como manter todos os dados gerados durante sua utilização e vinculados à sua conta com a mesma eficiência, de forma online e/ou em arquivos manuais estruturados, tudo conforme o Plano escolhido e durante seu período de vigência, salvo ocorrência de evento de força maior não controlável pela CONTRATADA, como desastres naturais, colapso de sistemas, incêndios ou qualquer outro, e desde que a Plataforma seja utilizada pela CONTRATANTE de forma correta, com equipamento/dispositivo e sistema operacional compatíveis e adequados. Em caso de Plano Pago, o acesso aos dados e informações será garantido à CONTRATANTE nos mesmos termos, enquanto forem realizados os pagamentos mensais/anuais do Plano contratado.
Link dos Termos de Uso integralmente: https://pontomais.com.br/termos-de-uso/
Testamos o nosso plano de continuidade de negócios? (Em processo de adequação).
Existe um processo para recuperar informações críticas no caso do provedor fechar o negócio? (Em processo de adequação).
Possuímos SSO / Single Sign-On? (Em processo de adequação).
Possuímos 2FA / Verificação em dois fatores? (Em processo de adequação).
Possuímos OAUTH2? (Em processo de adequação).
Permitimos o controle de permissões por perfis de acesso obtidos do Identity Provider? (Em processo de adequação).
A Pontomais possui controle de acesso baseado em funções (RBAC/Role-based access control)?
Resposta: Sim! No menu Segurança é possível cadastrar grupos de usuários e liberar acessos conforme as necessidades de cada cargo ou usuário.
Foi elaborado o RIPD? (Em processo de adequação).
Em caso de demanda de um titular de dados ou da autoridade nacional, a Pontomais notifica o controlador dos dados?
Resposta: Sim.
Qual é o volume de dados / quantidade de registros que a Pontomais tem acesso (por exemplo: 500, 1.000, 10.000, etc)?
esposta: Não é possível quantificar essa informação, a quantidade de dados dependerá diretamente das funcionalidades que a contratante utilizará, assim como a quantidade de cadastrados de colaboradores no sistema.
Como é feita a coleta de consentimento para tratar os dados?
Resposta: Para utilizar o sistema é preciso aceitar os nossos Termos e Condições, assim como a nossa Política de Privacidade. Essa informação é detalhada no item 5 da nossa Política de Privacidade:
5. Ao utilizar as funcionalidade PONTOMAIS, o Usuário poderá ter que fazer o uso de serviços de terceiros para o processamento de alguns dados, como de geolocalização, detectada a partir do sistema utilizado por cada Usuário em seu dispositivo móvel, e, se aplicável, a coleta de dados biométricos, como o reconhecimento facial, estando ciente a CONTRATANTE e demais Usuários de que a coleta e tratamento destas informações está sujeita à política de privacidade do respectivo desenvolvedor e detentor do sistema utilizado. Dentro do site/aplicativo PONTOMAIS, os dados de geolocalização e biométricos compartilhados pelos Usuários serão coletados e tratados unicamente para os fins descritos nestes Termos, e mediante o prévio, informado e expresso consentimento do Usuário com o compartilhamento de suas informações. A CONTRATANTE, em seu papel de Controladora de dados, para a qual a Operadora PONTOMAIS presta serviços de tratamento destas informações, compromete-se a providenciar a autorização para utilização e inserção no sistema dos dados pessoais e direitos de imagem de seus Colaboradores e demais Usuários, que deverão também ler, entender e consentir com a Política de Privacidade da PONTOMAIS.
A empresa já passou por algum incidente de violações de segurança da informação nos últimos dois (2) anos?
Resposta: Não.
Qual é a estratégia de antivírus?
Resposta: Nós utilizamos a nuvem AWS com servidores Linux não precisamos de antivírus e anti malware devido ao nível elevado de segurança do ambiente
Qual é a estratégia de patches?
Resposta: Em processo de adequação.
Política de Proteção de Dados / Política de confidencialidade de dados pessoais:
Resposta: O mapeamento de processos, tecnologias e terceiros já foi iniciado, bem como a análise de risco. Em seguida, iniciaremos a adequação das políticas e demais documentações.
Quais são as medidas em vigor em caso de violações da segurança dos dados pessoais? (Em processo de adequação).
Realizamos auditorias regulares buscando a segurança dos dados da Pontomais? (Em processo de implantação).
Existe redundância de recursos?
Resposta: Os data centers são projetados para prever e tolerar falhas, mantendo os níveis de serviço. Em caso de falha, processos automatizados desviam o tráfego de dados da área afetada. Os principais aplicativos são implantados em um padrão N + 1 para que, em caso de falha no data center, haja capacidade suficiente para permitir que o tráfego seja balanceado para os locais restantes.
Para mais informações: https://aws.amazon.com/pt/compliance/data-center/controls/
Existem políticas ou procedimentos de controle de acesso lógico e físico de onde existam dados pessoais e dados pessoais sensíveis?
Resposta: O prédio em que a Pontomais está localizada possui portaria, câmeras, catracas e o andar está protegido com porta com reconhecimento facial. Os colaboradores da Pontomais só acessam o prédio ao se identificar por digital nas catracas, enquanto os visitantes precisam se identificar na portaria com apresentação de um documento oficial e caso sejam autorizados a entrar, receberão um crachá provisório.
A Pontomais promove treinamento e conscientização do time / colaboradores / funcionários quanto ao tema privacidade de dados / segurança da informação? (Em processo de adequação).
Todos os tratamentos de dados / transmissões de informações / dados armazenados são criptografados?
Resposta: Não.
Todos os colaboradores recebem treinamento técnico para exercer a sua função?
Resposta: Sim.
Existem alternativas para impedir o acesso de um colaborador da Pontomais aos dados de algum cliente específico?
Resposta: Os dados são acessados apenas por VPN ou dentro da rede de internet interna da Pontomais por meio do controle de acesso. Os dados também estão ofuscados e só podem ser visualizados pela nossa equipe com autorização do próprio cliente.
Qual é nosso mecanismo de prevenção a ataques de força bruta?
Resposta: Firewall – WAF.
Possuímos um inventário de ativos físicos (estação, notebook, servidor, roteador, firewall, switch, etc)?
Resposta: Sim.
Os dados possuem certificação do Privacy Shield?
Resposta: Os dados que passam pela Pontomais são criptografados, tanto em trânsito quanto armazenados. Todos os acessos navegados são criptografados em trânsito, por meio de criptografia TLD SHA-256 com RSA. De todo modo, a última atualização é que o Privacy Shield (acordo entre os Estados Unidos e União Europeia) foi anulado.
Todos os dados pessoais ou confidenciais transmitidos sem fio são criptografados?
Resposta: Sim.
Se precisar da assinatura da Pontomais em documentos relacionados a LGPD, o arquivo deve ser enviado para meajuda@pontomais.com.br e o documento deve estar direcionado à Pontomais, se houver lacunas em branco para identificação o arquivo será retornado para ajuste.
Esse material está em constante atualização e sua ajuda é muito importante para nós. Não achou alguma informação? Entre em contato com meajuda@pontomais.com.br .