Política de Privacidade: Solução Incognia (Web e Mobile)


Última atualização: 05 de abril de 2024

A Incognia é um Software as a Service (SaaS) que oferece soluções para autenticar  usuários e reduzir ou mesmo evitar a incidência de fraudes em aplicativos e websites  que utilizam nossos serviços.

Nós buscamos preservar a experiência dos usuários durante o uso de aplicativos e websites de clientes e, ao mesmo tempo, proteger seus dados, enquanto usuário. Acreditamos que ninguém precisa abrir mão da privacidade para ter segurança e conveniência.

Essa Política de Privacidade tem o intuito de reforçar nosso compromisso com a sua privacidade de acordo com as legislações aplicáveis, principalmente a Lei Geral de Proteção de Dados Pessoais - “LGPD”, bem como explicar, de forma clara e transparente, como realizamos o tratamento de seus dados pessoais.

Caso você  esteja sujeito às leis de proteção de dados pessoais fora do território brasileiro, consulte nossa Política de Privacidade internacional através deste link.

Glossário

Para fins desta Política de Privacidade, devem ser consideradas as seguintes definições:

  • Aplicativos: programas desenvolvidos para dispositivos móveis, como smartphones e tablets, que possuem a Solução Incognia embarcada, ou seja, o SDK da Incognia integrado.

  • Clientes: empresas digitais e de serviços que são Desenvolvedoras de Aplicativos ou empresas que disponibilizam seus produtos e serviços em Websites, e contrataram a nossa Solução.

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais. Ao decidir pelo uso do nosso SDK, nossos Clientes atuam como Controladores.

  • Criptografia: técnica de segurança que converte dados de um formato legível para um formato codificado. Dados criptografados apenas podem retornar ao formato original se descriptografados mediante uso de chaves de criptografia.

  • Dados Pessoais: também referidos nesta Política como ”Dados”, são quaisquer informações relacionadas à pessoa física identificada ou identificável. Dados Pessoais de identificação direta são aqueles que, por si só, permitem sua identificação. Já os dados pessoais de identificação indireta dependem de complementação ou combinação com outras informações para atingir esse objetivo, como é o caso dos dados de localização que tratamos.

  • DDoS: do inglês “distributed denial of service”, significa ataque de negação de serviço. Trata-se de um tipo de ataque cibernético que tenta indisponibilizar o aplicativo ou recurso de rede através do envio insistente de tráfego mal-intencionado.

  • Dispositivo: computador ou dispositivo móvel em que o Aplicativo está instalado ou em que o Website é acessado.

  • Hash: sequência de números e letras aleatórios (bits gerados por algoritmos de dispersão) gerados para identificar unicamente um arquivo ou informação.

  • LGPD: Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018. É a lei que regula o tema de proteção de Dados Pessoais no Brasil.

  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

  • Plataformas: refere-se ao Aplicativo e/ou Website.

  • SDK: Software Development Kit ou Módulo de Desenvolvimento de Software. É o módulo instalado nos Aplicativos e Websites de nossos Clientes para coleta de Dados.

  • Solução: serviço Incognia prestado ao Cliente através da integração do nosso SDK ao Aplicativo (Solução Mobile) ou Website (Solução Web).

  • Titular: refere-se a pessoa física cujos Dados Pessoais são objeto do Tratamento.  Refere-se a você, Usuário do Aplicativo ou Website.

  • Tratamento: toda operação realizada com seus Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  • Usuário: pessoa física que baixa e instala o Aplicativo do nosso Cliente ou navega no Website. Refere-se a você, usuário do Aplicativo ou Website, Titular dos Dados Pessoais.

Essas definições serão mencionadas ao longo desta Política com a inicial maiúscula e devem ser interpretadas em conjunto com as disposições da LGPD. Palavras e termos não definidos neste Glossário devem ter seu significado de acordo com o disposto na LGPD.

1. Como funciona a Solução Incognia?

A Incognia disponibiliza aos seus Clientes um módulo de software da solução Incognia, que é integrado aos Aplicativos e Websites que estes  clientes desenvolvem. Esse módulo é chamado Software Development Kit (SDK). Uma vez que o aplicativo é instalado ou o Website é acessado, o SDK da Incognia passa a coletar seus Dados Pessoais, através dos quais são feitas análises para identificação de riscos de fraude. Essas análises auxiliam nossos Clientes em processos de verificação de identidade e validação de eventos específicos das Plataformas.

2. Como os Dados Pessoais são coletados?

Após sermos contratados por nosso Cliente, integramos nosso Software Development Kit  (“SDK”) ao Aplicativo ou Website do Cliente para possibilitar a coleta de seus Dados. Uma vez que você baixa e instala o Aplicativo ou acessa o Website que possui nosso SDK embarcado e fornece as devidas permissões de acesso (quando necessárias) seus Dados passam a ser coletados e tratados por nós para trazer maior segurança durante o uso do Aplicativo e navegação no Website, reduzindo a incidência de fraudes e, ao mesmo tempo, melhorando sua experiência mediante a redução de fricção durante o onboarding, login, transações e outros eventos do Aplicativo ou Website.

A integração de nosso SDK, bem como a coleta e tratamento de seus Dados via Aplicativo ou Website para os fins descritos nesta Política ocorre por uma decisão única e exclusiva dos Clientes que nos contratam.

Caso queira saber mais detalhadamente através de quais Aplicativos ou Websites seus Dados Pessoais são coletados pela tecnologia da Incognia, você pode consultar as Políticas de Privacidade dos aplicativos instalados em seu Dispositivo ou dos Websites que visita e solicitar aos desenvolvedores de Aplicativos e responsáveis pelos Websites informações sobre o compartilhamento de Dados com terceiros. Por sermos um terceiro na relação entre essas Plataformas e os Usuários, não podemos expor nossos Clientes devido a questões de confidencialidade previstas em contratos e exigidas por essas empresas.

Desta forma, recomendamos que você sempre leia as Políticas de Privacidade dos Aplicativos que deseja realizar o download, antes de instalá-los em seus Dispositivos, assim como as Políticas de Privacidade dos Websites que você acessa, para que assim você possa ter acesso a informações detalhadas sobre o tratamento e compartilhamento de seus Dados.

3. Quais Dados Pessoais são coletados?

Nós apenas coletamos e tratamos Dados Pessoais em linha com os contratos estabelecidos com nossos Clientes e no limite do  necessário para atingir as finalidades de tratamento por eles definidas, relacionadas à segurança no uso dos Aplicativos e Websites para autenticação de Usuários, redução da incidência de fraudes e melhora da sua experiência enquanto Usuário.

Confira abaixo as categorias de dados pessoais que coletamos através do nosso SDK integrado às Plataformas:

Solução Mobile (Aplicativo)

Localização

Informações de localização como GPS, sinais de wi-fi e sinais de bluetooth, todos mediante permissão de localização.

Identificadores

Informações que visam identificar seu Dispositivo de forma única. Refere-se aos IDs.     

Dispositivo

Informações relacionadas ao seu aparelho telefônico, dados do sistema operacional, aplicações suspeitas instaladas, versão do sistema operacional, modelo e demais informações que visam identificar unicamente o Dispositivo e seus níveis de integridade.  

Aplicativo

Informações relacionadas ao uso do aplicativo, tais como sessão do app, dados sobre a instalação e informações que permitem avaliar fatores de integridade.

 

Solução Web (Website)

Localização

Informação de localização com base em GPS, mediante permissão de localização.

Identificadores

Informações de ID, tais como account ID e session ID.

Dispositivo

Informações relacionadas ao Dispositivo utilizado na navegação, tais como dados do sistema operacional, conectividade, hardware e níveis de integridade.

Navegador e rede

Informações relacionadas a rede e ao navegador em que o site está aberto, tais como configurações do navegador, permissões, plugins, informações de conectividade e idioma.

 

4. Quem são os donos dos Dados Pessoais coletados pela Incognia?

Os donos ou Titulares dos Dados Pessoais são os Usuários que baixam e instalam Aplicativos ou acessam áreas restritas de Websites que possuem a nossa tecnologia embarcada (SDK integrado), concedendo as devidas permissões para compartilhamento de seus Dados, se e quando aplicável.

5. A Incognia trata Dados Pessoais de crianças ou adolescentes?

Nós não realizamos a integração da tecnologia da Incognia com Plataformas direcionados especificamente a crianças/adolescentes, nem oferecemos serviços para empresas que tenham crianças/adolescentes como público-alvo. Portanto, não coletamos intencionalmente quaisquer Dados Pessoais de crianças ou adolescentes.

6. Qual o papel desempenhado pela Incognia enquanto agente de tratamento?

Nós somos contratados pelos desenvolvedores dos Aplicativos ou Websites, nossos Clientes, para em seu nome e sob as determinações deles, realizar o tratamento de seus Dados, enquanto Usuário, para fins de segurança e prevenção à fraude. Assim, nossos Clientes são os Controladores dos Dados e nós atuamos nessas situações como Operadora dos Dados, segundo definições da LGPD.

A definição do papel de agentes de tratamento, no entanto, não é estática. Assim, podemos eventualmente atuar como Controladores quando o tratamento de seus Dados tiver por objetivo atingir nossas próprias finalidades como, por exemplo, para atender a alguma obrigação legal ou alguma outra situação permitida pela LGPD ou previstas nos contratos que celebramos com nossos Clientes.

7. Quais as finalidades de tratamento dos Dados Pessoais?

O tratamento de seus Dados Pessoais ocorre para atingir as finalidades determinadas por nossos Clientes relacionadas com o fornecimento de maior segurança e redução da incidência de fraudes bem como da fricção durante sua experiência no uso de Aplicativos ou navegação em Websites de Clientes.  Não utilizamos os Dados coletados através da integração do nosso SDK com as Plataformas de Clientes para nenhuma finalidade que não aquelas relacionadas aos nossos serviços. Ressaltamos que se identificarmos que alguma orientação de tratamento de Dados proveniente do nosso Cliente é ilegal, adotaremos as medidas legais cabíveis.

Abaixo listamos mais detalhadamente as finalidades gerais a serem alcançadas com o tratamento de seus Dados:

  • verificação da integridade do Dispositivo: através dos Dados coletados nós verificamos se há alguma falha na integridade do Dispositivo, como anomalia técnica ou tentativa de forjar a localização do seu dispositivo móvel; 

  • verificação de endereços: verificamos se o endereço preenchido no momento de cadastro na Plataforma encontra correspondência com as localizações frequentes do Dispositivo; 

  • verificação de locais confiáveis: verificamos se o Usuário que está acessando a Plataforma está em um local confiável em momentos chave como login ou outros eventos definidos pelo Cliente; e

  • validação de transações: analisamos automaticamente o seu perfil comportamental de localização para validar transações com mais segurança. 

Os Dados coletados também são utilizados para fins de efeito de rede e para gerar inteligência e dados derivados visando o aprimoramento da Solução e maior precisão das análises antifraude. Ainda, os Dados podem ser tratados, em muitos casos em formato anônimo, para fins de depuração e monitoramento do SDK com intuito de melhorá-lo visando o consumo de menos recursos (memória, rede, bateria etc.).

8. Qual é a base legal que justifica o tratamento de dados pessoais?

De acordo com as disposições das leis de privacidade, cabe ao Controlador, nosso Cliente, definir a base legal mais apropriada para justificar o processamento de dados pessoais.

No entanto, se em alguma situação atuarmos como Controlador de Dados, trataremos os dados pessoais de acordo com as bases legais previstas em lei.

9. Como e onde os Dados Pessoais são armazenados?

Armazenamos seus Dados Pessoais em servidores da Amazon Web Service (AWS Cloud) localizados nos Estados Unidos da América. Nós utilizamos protocolos seguros e com criptografia para proteger a transferência de Dados para os nossos servidores. Vale ressaltar que os Dados são hospedados em ambientes tecnológicos gerenciados única e exclusivamente pela Incognia por meio do uso de uma plataforma de nuvem pública fornecida pela AWS. O armazenamento em nuvem (cloud computing) é o padrão da indústria, pois simplifica a operação da tecnologia e aumenta o nível de segurança de todos os serviços que o utilizam. Além disso, nós temos controle restrito e granular sobre os Dados que armazenamos na nuvem da AWS.

Utilizamos mecanismos de segurança tanto no transporte como no armazenamento dos Dados, além de atualizarmos constantemente nossos sistemas de proteção. Todas as requisições são feitas com versão segura de HTTPS, que é um protocolo seguro e padrão na indústria.  Além disso, a nuvem da AWS fornece diversos recursos e serviços de segurança para aumentar a privacidade e controlar o acesso à rede, dentre eles: firewalls, criptografia (tanto para Dados armazenados como em trânsito), defesa e resposta automática a ataques de DDoS, rastreamentos de segurança, backup, bem como monitoramento constante, registro de log das atividades e controle de acesso.

Para conhecer mais detalhes sobre as medidas administrativas e técnicas adotadas pela Amazon para proteção de seus Dados, bem como para cumprimento das disposições da LGPD, consulte aqui.

10. Por quanto tempo os Dados Pessoais são armazenados?

Armazenamos seus Dados obtidos via SDK pelo período máximo de 6 (seis) meses, que é o tempo necessário para atingirmos as finalidades de tratamento determinadas pelos nossos Clientes. Após esse período, esses Dados são eliminados de forma segura e definitiva.

Quando se mostrar necessária a retenção dos Dados Pessoais após atingida a finalidade para a qual foram coletados, os critérios para delimitação do período de retenção serão os seguintes:

  • temos uma obrigação legal, regulatória, contratual ou imposta por autoridade competente para  reter esses Dados; 

  • os Dados são essenciais para manter nossos registros históricos, comerciais e financeiros, nos limites do necessário; ou

  • os Dados são necessários para fins de auditoria ou para exercermos regularmente direitos em processos judiciais ou administrativos.

11. Com quem a Incognia compartilha os Dados Pessoais coletados?

Seus Dados Pessoais coletados pelo nosso SDK são compartilhados com a Amazon Web Service (AWS Cloud), para serem processados e armazenados, conforme descrito no item 8.

Esclarecemos que seus Dados coletados diretamente via SDK, incluindo dados de localização, são criptografados e tratados diretamente pela Incognia para atingir as finalidades de tratamento previamente determinadas pelos Clientes, não sendo compartilhados com Clientes, parceiros ou quaisquer terceiros não autorizados.

Apenas os resultados das análises de risco e das verificações eletrônicas realizadas com base em seus Dados Pessoais, bem como as respectivas evidências das análises serão compartilhadas com os Clientes, para fins de tomada de decisões relacionadas à segurança. Quaisquer decisões que possam te impactar e que sejam decorrentes das análises de risco efetuadas por nossa Solução serão adotadas única e exclusivamente pelos nossos Cliente sob sua única e exclusiva responsabilidade.

Ademais, nossos produtos são criados a partir de técnicas de prova-zero (zero-knowledge), por meio da qual uma parte (nós, Incognia) confirma à outra (nosso Cliente) que uma informação é verdadeira, sem revelar a informação em si.

12. Os Dados Pessoais são transferidos para locais fora do Brasil?

Seus Dados Pessoais são armazenados pelo tempo necessário conforme indicado no item 9 desta Política, em servidores da Amazon Web Service (AWS Cloud) localizados nos Estados Unidos da América.  Nós utilizamos protocolo seguro para proteger a transferência de Dados para os nossos servidores de forma criptografada. A transferência internacional dos Dados será realizada de acordo com os mecanismos de transferência previstos na LGPD e/ou de acordo com orientações/regulamentações da Autoridade Nacional de Proteção de Dados, quando existentes. Para mais detalhes, consulte nossa resposta no item 8.

13. Como a Incognia protege a privacidade do Usuário e seus Dados Pessoais?

Nós adotamos todas as medidas técnicas, administrativas e organizacionais possíveis para tornar sua identidade o mais próxima possível de uma identidade anônima. Nós não queremos e não precisamos saber sua identidade para prestar os nossos serviços e atingir as finalidades de segurança e antifraude determinadas pelos nossos Clientes.

Por isso, nós não coletamos nenhum Dado Pessoal de identificação direta, tais como nome, CPF, RG e e-mail. Ademais, todos os Dados que coletamos (descritos no item 3) são criptografados e o acesso às chaves criptográficas é extremamente restrito.

Além do mais,  seguimos os 7 princípios fundamentais de Privacy by Design, como a base para criar e desenvolver nossas soluções, implementando a proteção da privacidade desde a concepção até a utilização final dos nossos produtos e soluções. Para saber mais sobre como implementamos Privacy by Design na nossa Solução, consulte nosso E-book: Descomplicando o Privacy by Design.

Cabe mencionar, ainda, que só coletamos seus dados de localização mediante a concessão da sua permissão de localização que pode ser gerenciada através das configurações do Aplicativo, Dispositivo ou Website. As coletas desses dados são pontuais e ocorrem em momentos definidos de acordo com análises estatísticas e de inteligência da nossa Solução.

Todos nossos funcionários assinam acordos de confidencialidade, passam por treinamentos recorrentes e seguem procedimentos internos para garantir a proteção de seus Dados. O acesso aos Dados é extremamente restrito e possuímos controles robustos de gerenciamento de acesso. 

Ademais, avaliamos nossos fornecedores e terceiros antes de contratá-los, a fim de nos certificarmos que adotam ao menos o mesmo padrão de privacidade e proteção de dados que nós.

Outros procedimentos de garantia de privacidade e proteção de seus Dados são detalhados ao longo desta Política de Privacidade e você sempre pode contatar nossa Encarregada de Proteção de Dados/DPO (DPO Email) para saber mais detalhes sobre como protegemos a sua privacidade e seus Dados Pessoais.

14. Quais medidas de segurança são adotadas para proteger os Dados Pessoais?

Somos auditados anualmente para atestar nossa conformidade com os padrões da SOC 2 tipo II, a qual garante a segurança por parte da nossa tecnologia e um padrão internacional sobre sistemas de gerenciamento de riscos de cibersegurança. A SOC 2 é um relatório baseado nos Critérios de Serviços de Confiança (TSC) existentes do Conselho de Normas de Auditoria do Instituto Americano de Contadores Públicos Certificados (AICPA). O objetivo deste relatório é avaliar os sistemas de informação de uma organização relevantes para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. A conformidade com a SOC 2 demonstra que possuímos medidas de segurança como monitoramento de risco, sistemas e de aplicação dos controles; gestão de ambiente e de acesso lógico e físico; canais de comunicação; mecanismos de mitigação e avaliação de riscos, gerenciamento de mudanças, entre outros.

Listamos abaixo algumas medidas específicas que aplicamos para proteger seus Dados:

  • realizamos transporte e armazenamento seguro de Dados utilizando criptografia que atende aos padrões da indústria;

  • aplicamos técnicas avançadas de criptografia , bem como técnicas de assinatura criptográfica, que permitem a detecção de quaisquer alterações realizadas nos Dados recebidos via SDK;

  • aplicamos hash com segredo em todos os Dados de ID coletados via SDK e não armazenamos o dado original da base, mantendo apenas sua versão hasheada.   Os identificadores mantidos (hashed ID) são suficientes para todos os nossos serviços e não permitem a identificação direta dos Titulares. A eliminação do dado original reduz a possibilidade da sua identificação em caso de confronto da nossa base de dados com uma base de dados terceira que contenha esse ID ligado a outros Dados Pessoais, tais como email, CPF etc; e

  • realizamos periodicamente pentests via empresas terceirizadas;

15. Quais são seus direitos quanto aos seus Dados Pessoais?

Você tem uma série de direitos com relação aos seus Dados Pessoais. Esses direitos são disponibilizados pelos nossos Clientes, os quais atuam como Controladores e possuem informações que permitem lhe identificar diretamente. Nós, a Incognia, apenas atuamos com informações que não permitem sua identificação direta. Todavia, temos compromissos legais e contratuais nos quais nos comprometemos a auxiliar nossos Cliente na realização de atos que se mostrem necessários para o atendimento de solicitações de direitos de Usuários, observados os limites técnicos, jurídicos e contratuais aplicáveis.

Sem prejuízo, elencamos abaixo quais são seus direitos como Titulares de Dados Pessoais, para que possam ser exercidos conforme previsto no art. 18 da LGPD, diretamente perante nossos Clientes, a saber, o Desenvolvedor do Website ou do Aplicativo do qual você é Usuário.

  • Confirmação da existência do tratamento de Dados Pessoais.

  • Acesso aos Dados Pessoais.

  • Correção de Dados Pessoais incompletos, inexatos ou desatualizados.

  • Anonimização, bloqueio, eliminação ou restrição de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a lei. 

  • Portabilidade de Dados Pessoais.

  • Informação das entidades públicas e privadas com as quais houve uso compartilhado de Dados Pessoais. 

  • Revisão de decisões automatizadas e de não se submeter ao tratamento exclusivamente automatizado. 

  • Eliminação dos Dados Pessoais tratados com base no consentimento.

  • Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa.

Caberá ao Controlador analisar cada pedido submetido por você, seja quanto à viabilidade de exercício de determinado direito ou de cumprimento das providências solicitadas, considerando todo o contexto em que seus Dados Pessoais são tratados e o nível de regulamentação existente ao tempo do seu pedido.

É possível que seu pedido não possa ser atendido no momento da sua solicitação ou não seja atendido em sua integralidade por questões relacionadas a segredos de negócio ou outras justificativas legalmente permitidas. Caso isso ocorra,  essa decisão deverá ser devidamente justificada pelo Controlador.

Para exercer seus direitos enquanto Titular de Dados Pessoais, acesse a Política de Privacidade do Aplicativo ou Website e envie sua solicitação diretamente nos canais disponibilizados pelo Controlador.

De todo modo, você sempre pode contatar nossa Encarregada/DPO para tratar desse e de outros temas relacionados a sua privacidade e seus Dados (DPO Email).

16. Como contatar o DPO da Incognia?

Se tiver alguma dúvida, solicitação, comentário ou sugestão, você pode entrar diretamente em contato com a nossa Encarregada pelo Tratamento de Dados Pessoais/DPO, enviando um e-mail para DPO Email.

17. Alterações desta Política

Podemos atualizar e alterar os termos desta Política de Privacidade de tempos em tempos. Em nosso site, você sempre encontrará a versão mais recente e, caso queira, poderá acessar a versão anterior aqui, ou  registrar uma solicitação através de envio de e-mail para DPO Email para acessar versões mais antigas.

INCOGNIA TECNOLOGIA DA INFORMAÇÃO LTDA.
CNPJ/MF sob o nº 17.399.938/0001-29
Endereço: Rua Cais do Apolo, n° 455, Galpão 000, Caixa Postal 006, bairro do Recife, Recife/PE, CEP 50.030-260.
Encarregada/DPO: Dayana Caroline Costa (DPO Email)