Pular para o conteúdo principal
O AppSignal sempre teve um forte foco na proteção de quaisquer dados que coletamos e processamos. Como uma empresa europeia, de propriedade e operação europeia, apreciamos a consolidação disso por meio das leis do Regulamento Geral de Proteção de Dados (GDPR) que entram em vigor em 25 de maio de 2018. Abaixo você lerá como o GDPR se aplica ao AppSignal, aos nossos clientes e às pessoas das quais nossos clientes coletam dados.

Conformidade em relação aos nossos funcionários e fornecedores

A AppSignal B.V. é a entidade que possui e opera o serviço AppSignal, uma empresa localizada na Holanda e, portanto, sujeita à lei holandesa e europeia. Essa entidade está em total conformidade com o GDPR, o que significa que só solicitamos e processamos dados com base em bases legais conforme definido no GDPR. Em cooperação com nossos advogados, fizemos uma avaliação minuciosa de todos os nossos processos e armazenamentos de dados. Onde necessário, alteramos nossas políticas e procedimentos internos para estarmos em conformidade com o GDPR e excluímos dados que não precisávamos ou queríamos. Também definimos uma nova Política de Privacidade e redigimos um Contrato de Processamento de Dados (mais sobre isso abaixo). Por fim, entramos em contato com nossos fornecedores para solicitar acordos que garantam que permaneçamos em conformidade ao usar seus serviços.

Conformidade em relação aos nossos clientes

Em relação aos nossos clientes, o AppSignal é tanto um Controlador de Dados quanto um Processador de Dados, dependendo do tipo de dados coletados.

Controlador de Dados

O AppSignal é o Controlador de Dados para as informações que coletamos sobre nossos clientes e visitantes, o que significa que determinamos os “propósitos e meios” dos dados que coletamos como Controlador. Alguns exemplos: nome, endereço de e-mail, número de cartão de crédito e quaisquer outros dados que coletamos com base nas bases legais do GDPR. Esses dados são protegidos por várias políticas e procedimentos. Ao compartilhar dados com fornecedores, garantimos que existam contratos para assegurar que eles também recebam e processem esses dados de forma legal. Você pode ler mais sobre os dados que coletamos e para qual propósito em nossa nova Política de Privacidade.

Processador de Dados

Nossos clientes são os Controladores de Dados para os dados que suas aplicações coletam e enviam ao AppSignal. O AppSignal processa esses dados em nome deles, o que nos torna o Processador de Dados. Para permitir que nossos clientes estejam em total conformidade com o GDPR ao usar o AppSignal, tomamos várias medidas. Em resumo: o AppSignal não deseja receber nenhum dado pessoal sobre seus visitantes e fornecerá as ferramentas que permitam remover essas informações antes de enviá-las ao AppSignal para processamento. Para mais detalhes, veja abaixo.

Contrato de Processamento de Dados

Criamos um Contrato de Processamento de Dados que explica, por exemplo, como somos um Processador de Dados, como limitamos o processamento ao nível necessário para podermos fornecer o serviço AppSignal, que garantiremos que nossos fornecedores também estejam em conformidade, etc (esta é uma lista incompleta apenas para fins ilustrativos; consulte o Contrato de Processamento de Dados completo para todos os detalhes). O Contrato de Processamento de Dados está acessível para todos os owners de uma organização no AppSignal. Abra o Contrato de Processamento de Dados para sua organização (há um para cada organização). Você pode assinar digitalmente o Contrato de Processamento de Dados, e uma vez assinado, exibiremos quem o assinou e quando.

Apenas cabeçalhos de requisição permitidos

Sempre nos preocupamos em remover quaisquer dados pessoais de eventos recebidos, como consultas de banco de dados, mas armazenávamos cabeçalhos de requisição como REMOTE_ADDR. Dependendo da arquitetura, isso pode expor informações úteis sobre balanceadores de carga ou endereços IP internos. Na maioria dos casos, porém, isso enviava endereços IP de visitantes ao AppSignal. Como endereços IP são dados pessoais, criamos uma lista permitida padrão de cabeçalhos que acreditamos não conter dados pessoais. Os clientes podem adicionar cabeçalhos adicionais à lista permitida (Ruby / Elixir) conforme necessário, desde que não identifiquem um indivíduo (por exemplo, se REMOTE_ADDR contiver o endereço IP de um balanceador de carga, está tudo bem). Quaisquer cabeçalhos não incluídos na lista permitida são removidos antes de serem enviados ao AppSignal.

Opções de filtragem para parâmetros e dados de sessão

Já temos opções de filtragem para parâmetros há muito tempo, mas em nossa documentação de filtragem de parâmetros agora enfatizamos a importância em relação ao GDPR. Lançamentos recentes da gem Ruby, do pacote Elixir e do pacote Node.js expandem esse recurso de filtragem para dados de sessão também. Isso permite que os clientes enviem parâmetros ao AppSignal sem expor dados pessoais, substituindo esses dados por [FILTERED]. Alternativamente, um cliente pode optar por não enviar nenhum parâmetro (Ruby) ou dado de sessão (Ruby / Elixir / Node.js)) em absoluto. Os dados são filtrados antes de serem enviados ao AppSignal.

Requisitos para Tagging

Alteramos a documentação para nossos recursos de Tagging e Metadata para deixar bem claro que nenhum dado pessoal deve ser enviado ao AppSignal em tags, e que IDs de usuário, hashes ou identificadores pseudonimizados devem ser usados.

Busca na documentação (Algolia DocSearch)

Nosso site de documentação em docs.appsignal.com usa o Algolia DocSearch para fornecer funcionalidade de busca. Quando você usa a busca, o Algolia coleta dados anônimos de uso, como consultas de pesquisa, cliques e visualizações de página, para melhorar a relevância dos resultados da busca. O Algolia gera um token anônimo e efêmero para cada visita de página — nenhum cookie é definido e nenhum rastreamento entre sessões ocorre. Esses dados não incluem nenhuma informação pessoalmente identificável (PII) e são retidos por 90 dias antes de serem automaticamente expurgados. Para mais informações, veja a política de privacidade do Algolia.

Procedimento de remoção de dados

Quaisquer detalhes sobre uma requisição são armazenados no que chamamos de “amostras”. Essas amostras têm uma retenção de 30, 45 ou 60 dias dependendo do plano. Isso sempre foi assim, mas é importante em relação ao GDPR também. Significa que, se algum dado pessoal foi coletado acidentalmente, ele ainda será expurgado após no máximo 60 dias. Depois disso, mantemos apenas dados agregados. Se um cliente perceber que dados pessoais foram enviados acidentalmente como parte de uma amostra, instauramos um procedimento que nos permite remover uma ou mais amostras quando solicitado por e-mail para support@appsignal.com.