Você pode encontrar o DPA da Zscaler em zscaler.com/privacy/dpa. Caso tenha qualquer dúvida sobre o DPA, converse com seu contato na Zscaler ou envie um e-mail para [email protected].

2. Por que a Zscaler coleta e usa minhas informações pessoais?

Nossos produtos permitem que nossos clientes concedam a seus usuários autorizados um acesso direto e seguro à internet ou a aplicativos específicos, de qualquer lugar e a partir de qualquer dispositivo. Portanto, nossos produtos usam informações pessoais, como identidade contextual, para garantir que nossos clientes possam se proteger contra intrusos e autenticar as solicitações de acesso de seus usuários autorizados.

3. Quais dados pessoais a Zscaler coleta sobre mim?

A Zscaler armazena uma quantidade limitada de dados pessoais (por exemplo, endereços IP, URLs, IDs de usuários, grupos de usuários e departamentos do organograma corporativo) e não processa nem armazena nenhuma categoria especial ou sensível de dados pessoais (por exemplo, informações de cartão de crédito ou de saúde que são protegidas por lei).

Para obter mais informações, consulte o Anexo A do nosso DPA, que pode ser encontrado aqui.

4. A Zscaler usa cookies?

Sim, os cookies nos permitem lembrar de você, melhorar sua experiência em nosso site e oferecer produtos e serviços relevantes. Usamos cookies para facilitar a navegação no site, monitorar respostas aos nossos anúncios e melhorar continuamente o design e a funcionalidade do nosso site para titulares de contas e visitantes.

Com o Zscaler Internet Access (ZIA), são usados cookies em nível de usuário para o isolamento do navegador remoto.

Para saber mais, consulte a Política de Cookies da Zscaler.

5. Como a Zscaler cumpre, de forma contratual, nossas responsabilidades como processador de dados sob a LGPD?

Ao atuar como processador de dados, a Zscaler tratará apenas dados pessoais em nome do controlador dos dados e mediante sua autorização por escrito (isto é, através de um contrato ou ordem, com o DPA fornecendo detalhes de tais instruções).

Além disso, firmamos acordos por escrito com nossos processadores terceirizados e somos responsáveis por seus atos e omissões. Nossos esforços de devida diligência também incluem a garantia de que todos os nossos processadores terceirizados mantenham a conformidade com as leis de proteção de dados.

6. A Zscaler utiliza processadores terceirizados para prestar seus serviços?

Sim. Como todos os fornecedores de nuvem, a Zscaler emprega processadores terceirizados para prestar seus serviços. Porém, nenhum dos dados compartilhados com os processadores terceirizados é usado para fins secundários, como publicidade de terceiros. A Zscaler realiza a devida diligência nas práticas de segurança e privacidade de seus processadores terceirizados para garantir que eles forneçam um nível de segurança e privacidade adequado ao acesso aos dados de clientes (que podem incluir dados pessoais) e ao escopo dos serviços que fornecem. A Zscaler exige que processadores terceirizados firmem compromissos contratuais para fornecer a proteção de dados e a confidencialidade adequadas, conforme as políticas de privacidade da Zscaler.

A lista atual de nossos processadores terceirizados pode ser encontrada aqui.

7. A Zscaler armazena dados pessoais de clientes?

Para a maioria dos serviços e produtos da Zscaler, o conteúdo de transações HTTP, HTTPS e não-HTTP (que inclui qualquer parte substantiva da solicitação, como mensagens, arquivos etc.) nunca é armazenado nem gravado em disco pela Zscaler. Toda inspeção é feita em memória.

Para os clientes que pedem o Zscaler Cloud Sandbox, a Zscaler grava o conteúdo malicioso em um disco de armazenamento. No entanto, os clientes podem decidir quais arquivos serão enviados para a sandbox da Zscaler (com base no tipo de arquivo, categoria de URL, usuário/grupo etc.).

Com o Zscaler Client Connector, os clientes podem habilitar ou desabilitar a captura de pacotes de forma global por meio de políticas acordadas com a Zscaler, e excluir os logs de captura de pacotes do laptop, desktop ou dispositivo móvel pessoal aplicável.

Os Logs de Transação do Cliente (logs do cliente) nunca são armazenados em texto não criptografado e são indexados, compactados e tokenizados no ponto de geração — o que significa que o token é usado como identificador no log, não o nome de usuário, e os únicos identificadores restantes no log são entradas mais inócuas, como grupo do Active Directory , endereço IP ou local do escritório. Isso garante que cada log do cliente não faça sentido sem uma sequência completa do histórico de logs do cliente e sem o acesso aos índices armazenados na Autoridade Central da Zscaler (CA). Quando um usuário privilegiado (como o administrador de um cliente) deseja desofuscar os logs, nosso sistema substitui novamente o nome de usuário pelo token antes de exibir ou fornecer os logs para download. Assim, mesmo com acesso aos dados armazenados, nenhum dado pessoal pode ser obtido sem que a interface de usuário da Zscaler reúna as informações dos logs do cliente e as informações da CA.

8. Onde meus dados são processados?

A Zscaler tratará dados de usuários tokenizados e criptografados em um de seus mais de 150 data centers globais localizados o mais próximo possível dos usuários do cliente. Isso significa que o cliente tem controle sobre quais data centers usar ou não, dependendo de onde tenha usuários (por exemplo, data centers da UE para usuários da UE, data centers dos EUA para usuários dos EUA). Se um usuário da UE viajar para os EUA, a Zscaler tratará seus dados pessoais a partir do data center mais próximo, que seria nos EUA. Observe que os data centers não são processadores terceirizados, mas instalações em espaços compartilhados (ou seja, espaços em racks alugados) onde a Zscaler controla o tratamento o tempo todo.

Mesmo que um cliente só tenha usuários na UE, a Zscaler fornece serviços de suporte em escala global, não só na UE mas também nos EUA, Índia e Costa Rica (somente para algumas empresas sediadas nos EUA) para garantir uma cobertura 24/7/365. Essa é uma prática comum entre a maioria dos fornecedores de serviços de nuvem.

9. O que são logs de clientes?

Logs de clientes são os registros dos metadados de tráfego da rede coletados e armazenados em cada transação. Os administradores podem acessar e rever logs de clientes através do Portal de administradores para autenticar as solicitações web dos usuários dos clientes. Logs de clientes têm vários campos que podem conter dados pessoais, como proprietário do dispositivo, usuário, nome do host etc.

A Zscaler oferece aos clientes a opção de armazenar seus logs de clientes somente nos EUA e na Suíça, não importando onde o processamento de dados global possa ocorrer. Nossos clientes podem estipular isso com a Zscaler durante o processo de implantação.

10. A Zscaler se compromete a notificar os usuários no caso de mudanças na política?

Os clientes serão notificados sobre alterações materiais à nossa Política de Privacidade por e-mail e/ou por meio de um aviso publicado no site da Zscaler antes que as alterações entrem em vigor. Observe que seu uso do Site, do Conteúdo ou dos Produtos após a publicação destas alterações constitui seu consentimento com elas.

11. A Zscaler notifica os usuários sobre violações de dados?

Se a Zscaler tomar conhecimento de uma violação de dados, ela notificará os clientes afetados sem atraso injustificado após confirmar o incidente. A Zscaler tomará medidas razoáveis para (a) identificar a causa do Incidente de Segurança e (b) tomar quaisquer ações necessárias e razoáveis para corrigir a causa de tal Incidente de Segurança na medida em que tal correção esteja dentro do controle razoável da Zscaler.

12. Em qual estrutura legal aprovada a Zscaler se baseia para transferir dados pessoais para fora da UE?

Para prestar seus serviços, a Zscaler processa dados pessoais no mundo todo por meio de sua rede de mais de 150 data centers. O RGPD exige que as transferências de dados pessoais para fora da UE sejam cobertas por uma estrutura legal aprovada, tal como as Cláusulas Contratuais Padrão da UE. Portanto, a Zscaler segue as Cláusulas Contratuais Padrão da UE e adendos apropriados para transferências de dados pessoais para fora da UE, Suíça ou Reino Unido.

Citamos abaixo algumas das formas pelas quais asseguramos a proteção de dados conforme os requisitos das Cláusulas Contratuais Padrão da UE:

• Os dados pessoais são processados exclusivamente em nome de nossos clientes e de acordo com suas instruções.

• Implementamos medidas de segurança técnicas e organizacionais conforme especificadas no DPA antes de processar dados pessoais. Por exemplo, aplicamos a tokenização como um dos métodos para proteger os logs do cliente.

• Notificamos nossos clientes sobre qualquer pedido legalmente vinculante de divulgação de dados pessoais feito por uma autoridade legalmente constituída, salvo disposição em contrário.

• Fornecemos armazenamento de logs exclusivamente na UE (Alemanha, Países Baixos) e Suíça para nossos clientes quando implementamos nossos produtos pela primeira vez.

• Asseguramos que nossos clientes forneçam seu consentimento para o uso de processadores de dados terceirizados, e que esses terceiros forneçam proteção equivalente aos dados que tratam em nosso nome.

• Mediante aviso prévio por escrito, e sujeito a certas exigências e controles colocados em prática pela Zscaler, permitimos que nossos clientes e parceiros realizem auditorias anuais e inspeções automatizadas de nossa nuvem.

• Assumimos o compromisso de assegurar nossa conformidade contínua com as Cláusulas Contratuais Padrão da UE e implementaremos quaisquer medidas adicionais legalmente exigidas dentro de um prazo razoável.

• Nós nos comprometemos com medidas de confidencialidade e as implementamos para garantir a proteção de dados pessoais.

Para obter mais detalhes, consulte nosso Contrato de Tratamento de Dados (DPA).

Embora tenhamos como base as Cláusulas Contratuais Padrão em nosso DPA padrão, a Zscaler optou por se autocertificar com as Estruturas de Proteção de Privacidade da UE-EUA e Suíça-EUA administradas pelo Departamento de Comércio dos EUA (“Proteção de Privacidade”). A Zscaler cumpre com os Princípios de Proteção de Privacidade de Aviso, Escolha, Responsabilidade pela Transferência em Curso, Segurança, Integridade de Dados e Limitação de Propósito, Acesso e Recurso, Aplicação e Responsabilidade.

13. Como a Zscaler protege meus dados pessoais?

A Zscaler adere a rigorosos padrões de segurança, disponibilidade, confidencialidade e privacidade para que os clientes possam adotar nossos serviços com confiança.

Nossa equipe de conformidade trabalha para garantir que todos os produtos Zscaler estejam alinhados e certificados segundo as estruturas de normas governamentais e comerciais reconhecidas internacionalmente, a fim de aumentar a confiança dos clientes, fornecendo soluções pertinentes.

A Zscaler é certificada sob as normas ISO 27001 e Tipo II dos Controles de Sistema e Organização (SOC) 2 e é auditada anualmente por terceiros para garantir conformidade contínua com essas certificações. A Zscaler testa, avalia e analisa regularmente a eficácia de suas medidas de segurança. Mediante solicitação por escrito e sujeito às proteções de confidencialidade apropriadas, a Zscaler pode fornecer ao cliente uma cópia de seu mais recente certificado ISO 27001 e/ou relatório SOC 2, Tipo II.

Clique aqui para saber mais sobre nossas várias certificações de privacidade e segurança.

14. Como a ativação da inspeção de TLS/SSL se enquadra nos requisitos de segurança e de conformidade com a legislação de privacidade?

A ativação da inspeção de TLS/SSL não altera a quantidade limitada de dados que a Zscaler processa ou armazena. Ao contrário, ela ajuda nossos clientes a cumprir suas obrigações nos termos do artigo 32 do RGPD ao fornecer o nível apropriado de segurança para o processamento de dados pessoais. Embora existam implicações comerciais, de privacidade e segurança relativas ao uso da inspeção de TLS/SSL que nossos clientes devam considerar, isso precisa ser contrabalançado com a obrigação de garantir que os direitos de cada funcionário do cliente sejam protegidos contra ameaças e ataques. Como tal, em vez de uma ameaça à privacidade, a inspeção de TLS/SSL deve ser vista como uma ferramenta de apoio à conformidade da empresa com as normas de privacidade.

A Zscaler oferece recursos abrangentes de inspeção de TLS/SSL para proteger o tráfego de dados dos clientes contra ameaças ocultas no tráfego criptografado. Uma vez concluída a inspeção dos dados, sua transmissão continua desimpedida, sem que haja retenção de nenhum registro dos dados de origem além do registro da própria transação.

15. Como exercito meu direito ao acesso, correção e exclusão dos meus dados pessoais?

A Zscaler tem um processo interno para responder às solicitações de titulares de dados. No entanto, é importante lembrar que, como controlador de seus dados, nosso cliente é responsável por analisar e validar o pedido e enviar uma solicitação de suporte à Zscaler. O pedido de direitos de dados só deve ser feito se o titular dos dados (geralmente um funcionário ou usuário do cliente) fizer essa solicitação ao nosso cliente. Se a Zscaler receber uma solicitação de direitos de dados diretamente, encaminharemos a pessoa para nosso cliente para fins de validação e resposta.

Os clientes que precisarem de suporte adicional poderão entrar em contato em [email protected].

16. Por quanto tempo a Zscaler reterá meus dados?

Tratamos e armazenamos dados pessoais somente pelo período necessário para atingir o objetivo do armazenamento ou conforme permitido por lei. Os critérios utilizados para determinar o período de armazenamento das informações é o respectivo período de retenção legal. Vencido esse período, as informações correspondentes serão rotineiramente eliminadas, desde que não sejam mais necessárias para o cumprimento de um contrato.

17. A Zscaler tem um órgão executivo responsável pelos riscos de privacidade e segurança de dados?

Sim, o Conselho de Administração da Zscaler tem responsabilidades de supervisão de todos os riscos empresariais, incluindo a privacidade. O Conselho delega parte dessa responsabilidade aos comitês permanentes, que se reportam a todo o Conselho. O Comitê de Auditoria e o Comitê de Indicações e Governança Corporativa estão encarregados de supervisionar os riscos de privacidade e as ameaças à segurança cibernética.

18. A Zscaler tem um agente de conformidade e proteção/privacidade de dados?

Sim, nossa Equipe de Privacidade tem a tarefa de garantir que a Zscaler cumpra as leis de proteção de dados e evite os riscos que as empresas enfrentam ao tratar dados pessoais. Os membros da Equipe de Privacidade são especialistas na empresa, formando o elo entre o público e a Zscaler em relação ao tratamento de informações pessoais. A Equipe de Privacidade atua como o órgão para o qual as consultas de proteção de dados são direcionadas. Os membros da Equipe de Privacidade são Profissionais Certificados em Privacidade da Informação (CIPP). Em nível elevado, o vice-presidente de operações na nuvem é responsável por monitorar o cumprimento das políticas.

19. Os funcionários e prestadores de serviço são treinados em segurança de dados e/ou riscos e procedimentos relacionados à privacidade?

A privacidade é fundamental em toda a Zscaler. Exigimos que nossos funcionários e prestadores de serviço concluam o treinamento de privacidade e segurança durante a integração e atualizem o treinamento anualmente.

20. Como a Zscaler cumpre a legislação de privacidade em todo o mundo?

A Zscaler tem o compromisso de manter sua conformidade e monitora atentamente o andamento da legislação e dos regulamentos de privacidade em vários países. Para obter mais informações sobre como a Zscaler mantém a conformidade com diversas leis de privacidade, acesse zscaler.com/privacy/global-privacy-laws.

Para obter mais informações sobre transferências de dados internacionais, acesse zscaler.com/privacy/international-data-transfer-policy.

21. A Zscaler armazena meu número de telefone?

A Zscaler pode usar uma plataforma de autenticação unificada, o que implica no armazenamento do seu número de telefone para fins de autenticação de dois fatores.

Como a Zscaler pode usar seu número de telefone?

1. A Zscaler não usa os números de telefone para enviar mensagens promocionais
2. A Zscaler não usa os números de telefone para fazer chamadas de marketing
3. A Zscaler usa os números de telefone apenas para enviar senhas seguras de uso único (OTP) quando o usuário final se autentica em nossos sistemas

22. Com quem devo entrar em contato se houver mais dúvidas?

Você pode enviar um e-mail para [email protected].

Consulte nossa Visão Geral de Privacidade