ÉgideVoltar pro site
Legal

LGPD: nosso compromisso com seus dados

Última atualização: 9 de junho de 2026

Esta página resume, em linguagem direta, como a plataforma Égide aplica a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Ela complementa a Política de Privacidade e foi escrita também para times de TI e de compliance que avaliam a plataforma. Nosso princípio aqui é transparência: descrevemos o que está implementado e verificável, e declaramos abertamente o que é roadmap.

Papéis bem definidos

A empresa cliente (empregadora) é a Controladora dos dados de seus trabalhadores; a Égide é a Operadora, e trata os dados conforme as instruções da Controladora e o Acordo de Tratamento de Dados (DPA) que celebramos como anexo do contrato comercial. O DPA cobre instruções documentadas, confidencialidade, medidas de segurança, suboperadores, auxílio no atendimento a titulares, comunicação de incidentes e devolução/eliminação dos dados ao término.

Medidas técnicas implementadas (verificáveis)

  • Isolamento multi-tenant: toda consulta ao banco é vinculada ao ambiente (tenant) da empresa autenticada, com guardas adicionais que bloqueiam acesso cruzado por manipulação de identificadores;
  • Criptografia em trânsito: HTTPS/TLS em todo o acesso, com redirecionamento forçado e HSTS;
  • Senhas irrecuperáveis:armazenadas apenas como hash bcrypt; não existe "ver senha", apenas redefinição;
  • Controle de acesso em 3 camadas: papel do usuário, módulos contratados pela empresa e permissões individuais por usuário, aplicadas no servidor (acesso direto por URL a área restrita é bloqueado);
  • Arquivos privados: fotos, certificados e documentos ficam em armazenamento de objetos sem acesso público, servidos somente mediante autorização;
  • Trilha de auditoria: ações administrativas e acessos de suporte (impersonação) são registrados com autor e data/hora;
  • Proteção de login: limitação de tentativas (anti força bruta) e fluxo de redefinição de senha com token de uso único e resposta anti-enumeração;
  • Backup e recuperação: backup diário automatizado de banco e arquivos com verificação de integridade (SHA-256) e teste de restauração validado;
  • Rede: banco de dados e armazenamento inacessíveis pela internet (apenas a aplicação fala com eles), firewall de host ativo, headers de segurança (CSP, HSTS, X-Frame-Options, nosniff, Referrer-Policy, Permissions-Policy);
  • Hospedagem no Brasil: dados em datacenter em território nacional — sem transferência internacional na operação padrão;
  • Sem rastreamento: nenhum cookie de marketing ou analytics de terceiros; somente o cookie essencial de sessão.

Dados sensíveis

Registros de saúde ocupacional (aptidão em ASO, afastamentos, acidentes) são tratados sob as hipóteses do art. 11 da LGPD, vinculadas às obrigações legais de SST da Controladora. As evidências de assinatura eletrônica avançada (fotografia de validação, geolocalização, hash do documento) atendem à Lei nº 14.063/2020 e ficam restritas ao ambiente da empresa, em armazenamento privado.

Incidentes

Mantemos plano documentado de resposta a incidentes. Em caso de incidente com risco aos titulares, comunicamos a empresa Controladora em até 48 horas da ciência, com as informações necessárias para que ela cumpra os prazos de comunicação à ANPD previstos na regulamentação vigente (Resolução CD/ANPD nº 15/2024). Auxiliamos a Controladora durante todo o processo.

O que ainda é roadmap (transparência)

  • Certificações formais (ISO 27001 / SOC 2): ainda não somos certificados — somos uma empresa em estágio inicial. Os controles desta página existem e podem ser verificados, mas não há selo de auditoria externa no momento;
  • Autenticação multifator (MFA): em desenvolvimento;
  • Testes de penetração por empresa externa: planejados conforme a operação escala.

Para o Cliente (empresa contratante)

  • DPA disponível como anexo do contrato comercial;
  • Exportação dos seus dados em formato estruturado, na plataforma e mediante solicitação;
  • Trilha de auditoria disponível para apoiar fiscalizações e investigações;
  • Dossiê técnico de segurança disponível para avaliação do seu time de TI, mediante solicitação ao contato abaixo.

Encarregado (DPO)

Contato do Encarregado pelo Tratamento de Dados Pessoais (art. 41 da LGPD): contato@egidehub.com.br.

Titular de dados querendo exercer seus direitos? Acesse o Portal do Titular.