Medidas Técnicas e Organizacionais (TOMs) PhotoRobot
Este documento define as Medidas Técnicas e Organizacionais (TOMs) da PhotoRobot conforme o Artigo 32 GDPR: Versão 1.0 – Edição PhotoRobot, uni-Robot Ltd., República Tcheca. O documento foi atualizado pela última vez em 31 de dezembro de 2025 e apoia o cumprimento das obrigações contratuais da PhotoRobot sob a DPA e SLA.
1. Introdução - PhotoRobot TOMs
Este documento descreve as Medidas Técnicas e Organizacionais (TOMs) implementadas pela uni-Robot Ltd. (PhotoRobot) para garantir um nível adequado de segurança para o tratamento de dados pessoais, de acordo com o Artigo 32 do Regulamento Geral de Proteção de Dados (GDPR).
Essas medidas se aplicam à operação dos serviços PhotoRobot, incluindo, mas não se limitando a:
- PhotoRobot Controla a Nuvem
- PhotoRobot Cloud 2.0
- PhotoRobot Controla Local (quando conectado a serviços em nuvem)
- APIs e serviços online relacionados
- Infraestrutura de suporte e sistemas internos
Este documento serve como a descrição autoritativa dos TOMs da PhotoRobot e pode ser referenciado em Acordos de Processamento de Dados (DPAs), auditorias e revisões de segurança corporativa.
2. Escopo e aplicabilidade
Os TOMs descritos aqui aplicam-se a:
- Dados pessoais processados em nome dos clientes como parte dos serviços da PhotoRobot
- Dados operacionais internos necessários para fornecer, manter e proteger os serviços
As medidas são elaboradas levando em consideração:
- O Estado da Arte
- Custos de implementação
- A natureza, escopo, contexto e finalidades do processamento
- Os riscos aos direitos e liberdades das pessoas físicas
3. Medidas de Segurança Organizacional
3.1. Governança da Segurança da Informação
A PhotoRobot mantém políticas e procedimentos internos que regem a segurança da informação, proteção de dados e uso aceitável dos sistemas.
As responsabilidades de segurança e proteção de dados são claramente definidas dentro da organização, incluindo contatos designados para questões de privacidade e legais.
3.2. Confidencialidade e Conscientização dos Empregados
- Funcionários e contratados estão vinculados a obrigações de confidencialidade
- O acesso aos sistemas é concedido com base na necessidade de saber
- A conscientização sobre segurança e proteção de dados é promovida como parte da integração e das operações contínuas
4. Controle de Acesso e Autorização
4.1. Controle de Acesso Baseado em Funções (RBAC)
O acesso aos sistemas e aos dados dos clientes é controlado por princípios de controle de acesso baseado em papéis (RBAC ).
- Os usuários recebem os privilégios mínimos necessários para realizar suas tarefas
- O acesso administrativo é restrito a pessoal autorizado
4.2. Autenticação
- Mecanismos fortes de autenticação são usados para sistemas internos e externos
- Políticas de senhas e credenciais de acesso são gerenciadas de forma segura
- Credenciais de acesso não devem ser compartilhadas
5. Segurança de Infraestrutura e Rede
5.1. Hospedagem e infraestrutura em nuvem
Os serviços PhotoRobot são hospedados em provedores profissionais de infraestrutura em nuvem (por exemplo, Google Cloud Platform), que implementam controles de segurança física e ambiental padrão da indústria.
5.2. Proteção de Rede
- O tráfego de rede é protegido por meio de firewalls e controles de acesso
- Os serviços voltados ao público são isolados dos sistemas internos
- Os componentes de infraestrutura são monitorados quanto à disponibilidade e eventos de segurança
6. Criptografia e Proteção de Dados
6.1. Dados em Trânsito
- Os dados transmitidos entre clientes e serviços PhotoRobot são criptografados usando TLS/HTTPS
- Canais de comunicação seguros são aplicados para APIs e interfaces em nuvem
6.2. Dados em Repouso
- Os dados armazenados na infraestrutura em nuvem são protegidos por mecanismos de criptografia fornecidos pelo provedor de hospedagem
- O acesso aos dados armazenados é restrito a sistemas e pessoal autorizados
7. Registro, Monitoramento e Detecção de Incidentes
7.1. Registro
- Logs do sistema são gerados para eventos operacionais e relevantes à segurança
- Os logs são usados para solução de problemas, monitoramento e análise de incidentes
7.2. Monitoramento
- Os serviços são monitorados quanto à disponibilidade, desempenho e anomalias
- Alertas são acionados em caso de comportamento anormal ou interrupção do serviço
8. Resposta a Incidentes e Gestão de Violações
A PhotoRobot mantém procedimentos para lidar com incidentes de segurança, incluindo violações de dados pessoais.
Esses procedimentos incluem:
- Identificação e avaliação de incidentes
- Medidas de mitigação e contenção
- Escalada interna
- comunicação com os clientes quando necessário
- cumprimento das obrigações de notificação de violações do GDPR (Artigos 33 e 34 GDPR)
9. Backup, Disponibilidade e Continuidade do Negócio
9.1. Backups
- Backups de dados são realizados como parte das operações padrão na nuvem
- Backups são usados para fins de recuperação de desastres e continuidade de serviço
9.2. Disponibilidade
- Esforços razoáveis são feitos para manter alta disponibilidade de serviços
- Atividades de manutenção planejada podem causar interrupções temporárias no serviço
Detalhes sobre metas de disponibilidade e tempos de resposta são descritos separadamente nos Acordos de Nível de Serviço (SLAs) aplicáveis.
10. Desenvolvimento Seguro e Gestão de Mudanças
10.1. Práticas de Desenvolvimento Seguras
PhotoRobot segue processos estruturados de desenvolvimento e implantação, incluindo:
- separação dos ambientes de desenvolvimento, teste e produção quando apropriado
- Procedimentos de Implantação Controlada
- Controle de versões e rastreamento de alterações
10.2. Atualizações e Correções
- Componentes de software são atualizados para tratar vulnerabilidades de segurança
- Atualizações críticas são priorizadas com base na avaliação de risco
11. Subprocessadores e Terceiros
PhotoRobot pode envolver subprocessadores para apoiar a entrega de serviços (por exemplo, hospedagem, serviços de e-mail).
- Os subprocessadores são selecionados com base em suas práticas de segurança e proteção de dados
- Uma lista atual de subprocessadores é mantida separadamente e disponibilizada publicamente
12. Segurança Física
O acesso físico a servidores e data centers é gerenciado pelo provedor de infraestrutura em nuvem e inclui:
- Controles de acesso
- Vigilância e monitoramento
- Proteções ambientais
A PhotoRobot não opera seus próprios data centers.
13. Minimização e Retenção de Dados
- Apenas os dados necessários para a prestação de serviços são processados
- Os dados pessoais são mantidos apenas pelo tempo necessário para fins contratuais, legais ou operacionais
- Os períodos de exclusão e retenção de dados são definidos em políticas e acordos relevantes
14. Análise e Atualizações
Essas Medidas Técnicas e Organizacionais são revisadas periodicamente e atualizadas conforme necessário para refletir:
- Mudanças na tecnologia
- Mudanças nos serviços
- Requisitos de segurança e regulamentação em evolução
Mudanças materiais podem ser comunicadas aos clientes conforme apropriado.
15. Informações de contato
Para perguntas sobre estas Medidas Técnicas e Organizacionais:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
República Tcheca
E-mail: legal@photorobot.com
Nota Final
Esses TOMs descrevem as medidas técnicas e organizacionais atuais da PhotoRobot e têm como objetivo fornecer transparência e garantia aos clientes. Eles não constituem uma garantia de serviço ininterrupto ou segurança absoluta, mas refletem uma abordagem baseada em riscos e proporcional para proteção de dados e segurança da informação.