Política de Privacidade

1. Responsável pelo tratamento

Os dados pessoais submetidos através deste website são tratados pela CERTCRYPT.

Para quaisquer questões relacionadas com privacidade ou pedidos de proteção de dados, pode contactar:

[email protected]

A CERTCRYPT encontra-se atualmente em processo de estruturação organizacional formal. Esta Política de Privacidade pode ser atualizada para refletir alterações no estatuto jurídico ou na governação.

2. Âmbito

Esta Política de Privacidade aplica-se a certcrypt.com e a páginas públicas e subdomínios relacionados operados diretamente pela CERTCRYPT, incluindo blog.certcrypt.com, docs.certcrypt.com e outras propriedades públicas *.certcrypt.com.

Aplica-se a dados pessoais tratados através do formulário de contacto, do fluxo de submissão de casos de uso e da operação técnica do website.

Não se aplica a websites ou serviços de terceiros que possam ser referidos ou ligados a partir deste website.

3. Como esta Política de Privacidade deve ser lida

Esta Política de Privacidade destina-se a explicar como a CERTCRYPT trata dados pessoais em ligação com o website público.

É um documento público de divulgação que descreve tratamento limitado relacionado com o website. Não é um manual interno de conformidade nem um documento interno de política operacional.

Quando esta Política de Privacidade se refere a tratamento do website, refere-se ao ambiente do website público e aos canais de comunicação e receção descritos abaixo.

4. Fontes de dados pessoais

A CERTCRYPT recebe geralmente dados pessoais diretamente de si quando decide submetê-los através do website ou quando dados técnicos são gerados pelo funcionamento do website.

Dependendo da interação, os dados pessoais podem provir de:

• Informação que introduz no formulário de contacto
• Informação que introduz no fluxo de submissão de casos de uso
• Metadados técnicos de pedido e do navegador gerados durante o acesso ao website
• Sistemas de segurança e prevenção de abuso utilizados para proteger formulários do website e a infraestrutura
• Mecanismos analíticos opcionais que apenas operam quando tiver sido dado consentimento

5. Infraestrutura zero-data e limite do website

Os princípios de zero-data e proof-without-custody da CERTCRYPT aplicam-se ao modelo de infraestrutura de certificação. Não eliminam a necessidade de tratamento limitado de dados na operação de um website público.

Quando comunica com a CERTCRYPT através deste website, ou quando submete um caso de uso para revisão interna, certos dados pessoais e técnicos têm de ser tratados para que o website possa funcionar de forma segura e para que os pedidos submetidos possam ser tratados de forma responsável.

Distinguimos, por isso, entre o modelo de infraestrutura de certificação e o tratamento limitado de dados operacionais necessário para operar certcrypt.com.

6. Dados do formulário de contacto

Quando submete o formulário de contacto, podemos tratar a informação que optar por fornecer juntamente com metadados técnicos limitados necessários para entrega, prevenção de abuso e tratamento da resposta.

A CERTCRYPT não solicita dados pessoais sensíveis através do canal de contacto e pede-lhe que não submeta informação pessoal ou confidencial desnecessária em campos de texto livre.

• Nome completo
• Endereço de e-mail
• Assunto
• Conteúdo da mensagem
• Metadados de entrega da mensagem e de tratamento da resposta
• Tokens de verificação de segurança utilizados para validar submissões humanas
• Metadados básicos do pedido, como carimbo temporal, endereço IP e informação de user-agent capturada em registos do servidor

7. Dados de submissão de casos de uso

Quando utiliza o fluxo de submissão de casos de uso, a CERTCRYPT pode tratar tanto a informação que fornece ativamente como metadados limitados de revisão gerados como parte do processo de receção.

O fluxo de casos de uso suporta progressão de rascunhos e revisão antes da submissão final. Como resultado, certos dados podem ser armazenados antes de concluir a etapa final de submissão.

• Nome completo
• Endereço de e-mail
• Organização
• País ou região
• Tipo de caso de uso e campos descritivos relacionados
• Descrição do caso de uso e notas adicionais
• Setor da empresa e contexto operacional relacionado
• Volume esperado, urgência e modo de integração
• Identificadores de rascunho e estado da submissão
• Metadados internos de revisão, como estado de conclusão, sinais de priorização e campos de pontuação
• Dados de IP com hash e dados de user-agent associados à criação, atualização e segurança da submissão do rascunho

Os casos de uso submetidos são revistos internamente. A submissão não implica seleção, aceitação, onboarding ou comunicação de seguimento.

8. Dados técnicos do website e prevenção de abuso

Quando navega no website ou interage com formulários protegidos, informação técnica limitada pode ser tratada automaticamente para segurança operacional, integridade do tráfego, prevenção de abuso e desempenho técnico.

Os websites públicos da CERTCRYPT também podem ser fornecidos ou protegidos através da infraestrutura da Cloudflare, que pode tratar dados técnicos limitados de pedidos como parte de proxy de pedidos, filtragem de tráfego, caching, terminação TLS e funções de segurança relacionadas.

Parte deste tratamento existe especificamente para detetar bots, spam, fraude, automação hostil, submissões malformadas ou tráfego abusivo repetido. Formulários protegidos podem utilizar Cloudflare Turnstile para verificação de segurança e prevenção de abuso.

Se ativar cookies analíticos opcionais, também podem ser tratadas estatísticas agregadas de utilização para melhorar o desempenho técnico. Estas estatísticas são utilizadas de forma agregada e não são usadas para profiling ou publicidade comportamental.

• Dados de registos do servidor
• Endereço IP e metadados associados do pedido de rede
• Informação de user-agent e de pedido do dispositivo / navegador
• Sinais de desafio de segurança ou verificação anti-bot utilizados para prevenção de abuso
• Sinais de rate limiting, prevenção de abuso e monitorização de segurança
• Dados de cookies essenciais requeridos para operação segura
• Dados analíticos opcionais quando tiver sido dado consentimento

9. Finalidade do tratamento

Os dados pessoais são tratados apenas para finalidades legítimas e limitadas do website, tais como gestão de comunicações, revisão interna de casos de uso, prevenção de abuso e operação técnica segura.

Estas finalidades podem incluir:

• Analisar pedidos institucionais, técnicos ou estratégicos
• Responder a pedidos de contacto submetidos, quando apropriado
• Receber, armazenar, rever e priorizar internamente casos de uso submetidos
• Determinar se são necessários esclarecimentos ou comunicação de seguimento para um caso de uso submetido
• Prevenir abuso, spam ou atividade maliciosa
• Manter a segurança operacional e técnica
• Melhorar o desempenho técnico quando análises opcionais estão ativadas

10. O que a CERTCRYPT não faz

A CERTCRYPT aplica uma abordagem restritiva ao tratamento de dados do website.

A CERTCRYPT não utiliza dados pessoais obtidos através do website para:

• Profiling comportamental
• Publicidade direcionada
• Venda ou revenda de dados
• Automação de marketing sem relação com um pedido submetido
• Divulgação pública de conteúdo submetido por contacto ou casos de uso
• Recolha de documentos de utilizadores através de formulários públicos do website como parte do funcionamento normal do website

11. Base legal

O tratamento é realizado com base em comunicações iniciadas pelo utilizador, interesses legítimos na operação segura do website e na prevenção de abuso e, quando aplicável, consentimento, quando essa for a base legal adequada.

A submissão do formulário de contacto ou do formulário de caso de uso implica um pedido seu para que a CERTCRYPT reveja a informação submetida para a finalidade indicada no website.

Os cookies analíticos opcionais só são ativados quando presta consentimento através do banner de cookies.

• Responder a pedidos iniciados pelo utilizador
• Rever submissões de casos de uso iniciadas pelo utilizador
• Manter a operação segura do website
• Assegurar integridade técnica e controlos de prevenção de abuso

12. Minimização de dados

A CERTCRYPT aplica uma abordagem rigorosa de minimização.

Apenas são tratados os dados necessários para comunicação segura, tratamento de submissões iniciadas pelo utilizador, medidas de prevenção de abuso e operação essencial do website.

A CERTCRYPT não trata mais dados do que os razoavelmente necessários para a finalidade do website que invoca.

13. Retenção

Os dados pessoais são conservados apenas durante períodos razoavelmente necessários para as finalidades descritas nesta Política de Privacidade, sujeitos a requisitos operacionais, legais, de conformidade e de segurança.

A retenção pode variar consoante a categoria de dados e o contexto de tratamento.

• Pedidos de contacto podem ser conservados para gestão de comunicações, continuidade operacional, seguimento quando necessário e revisão de segurança
• Rascunhos de casos de uso podem ser conservados durante o tempo necessário para suportar progressão do rascunho, gestão do estado de revisão interna, prevenção de abuso e controlos operacionais relacionados
• Casos de uso submetidos podem ser conservados para revisão interna, priorização e seguimento operacional limitado
• Registos do servidor e metadados relacionados com segurança podem ser conservados por períodos técnicos limitados consistentes com práticas de segurança operacional
• Dados analíticos opcionais, quando ativados, podem ser conservados de acordo com a configuração técnica e de reporting limitada do serviço analítico utilizado

Os dados não devem ser conservados por mais tempo do que o razoavelmente necessário para as finalidades do website descritas nesta Política de Privacidade.

14. Subcontratantes terceiros

Certas funções técnicas podem envolver subcontratantes terceiros de confiança que prestam serviços relacionados com:

Estes subcontratantes atuam exclusivamente para fins de entrega operacional, segurança ou desempenho técnico e não utilizam dados para fins comerciais independentes.

Quando estes fornecedores operam em múltiplas jurisdições, são implementadas salvaguardas adequadas consistentes com as normas aplicáveis de proteção de dados.

• Fornecedores de entrega de e-mail
• Infraestrutura da Cloudflare utilizada para entrega do website público, proxy, caching, terminação TLS e funções de segurança relacionadas
• Fornecedores de infraestrutura de alojamento
• Fornecedores de infraestrutura de base de dados ou armazenamento
• Cloudflare Turnstile e serviços comparáveis de desafio de segurança ou verificação anti-bot utilizados para prevenção de abuso
• Fornecedores de analítica opcional (se ativada)

15. Tratamento internacional

Se os dados forem tratados fora da jurisdição a partir da qual foram submetidos, esse tratamento é realizado sob salvaguardas adequadas consistentes com os requisitos aplicáveis de proteção de dados.

Dependendo da infraestrutura, da arquitetura dos prestadores de serviços e das necessidades operacionais, os dados podem ser tratados em mais do que uma jurisdição.

16. Segurança

A CERTCRYPT implementa medidas técnicas e organizativas razoáveis destinadas a proteger os dados tratados contra acesso não autorizado, uso indevido, perda ou divulgação.

Isto inclui medidas destinadas a reduzir abuso, automação maliciosa e acesso não autorizado aos canais de submissão do website.

Nenhum sistema online pode garantir segurança absoluta. Os controlos de segurança são periodicamente revistos e melhorados.

17. Crianças

Este website destina-se a utilização profissional, organizacional e geral empresarial ou técnica, e não é direcionado a crianças.

A CERTCRYPT não solicita intencionalmente nem recolhe conscientemente dados pessoais de crianças através dos formulários públicos do website.

18. Tomada de decisão automatizada e profiling

A CERTCRYPT não utiliza dados pessoais submetidos através do website público para tomar decisões automatizadas com efeitos jurídicos significativos sobre si.

A CERTCRYPT não utiliza dados pessoais submetidos através do website para profiling comportamental ou publicidade direcionada.

19. Os seus direitos e reclamações

Pode solicitar:

Para exercer qualquer um destes pedidos, contacte:

[email protected]

Os pedidos serão analisados e tratados de acordo com os requisitos aplicáveis de proteção de dados.

Quando a legislação aplicável preveja esse direito, poderá também apresentar reclamação junto de uma autoridade competente de supervisão em matéria de proteção de dados.

• Acesso aos dados pessoais submetidos através dos canais de contacto ou de casos de uso
• Retificação de dados inexatos
• Eliminação de dados pessoais
• Restrição do tratamento quando aplicável
• Oposição ao tratamento quando aplicável

20. Cookies e rastreamento

A CERTCRYPT aplica uma abordagem mínima e orientada para a segurança na utilização de cookies.

O website utiliza cookies essenciais requeridos para uma operação segura. Cookies analíticos opcionais só podem ser ativados com o seu consentimento.

A CERTCRYPT não utiliza tecnologias de publicidade ou rastreamento comportamental.

Para mais informações, consulte a nossa Política de Cookies.

21. Alterações

Esta Política de Privacidade pode ser atualizada à medida que a operação do website, o desenho da infraestrutura, as expectativas jurídicas ou os requisitos de conformidade evoluem.

A data efetiva de revisão é apresentada no topo desta página.