Skip to content

Qualidade, Segurança, Privacidade e Conformidade

Conteúdo principal

O objetivo da EcoVadis é "Guiar todas as empresas em direção a um mundo sustentável", e suas quatro finalidades são:

  1. Fornecer classificações de sustentabilidade independentes, confiáveis e viáveis, além de insights, por meio de uma metodologia de excelência.
  2. Possibilitar que o maior número de empresas melhore continuamente suas práticas comerciais e contribua para a criação de uma economia regenerativa e equitativa.
  3. Cultivar um ambiente de aprendizado inclusivo para o nosso pessoal, proporcionando um trabalho com significado e capacitando as futuras gerações de profissionais de sustentabilidade.
  4. Incentivar a ação coletiva em nosso ecossistema a fim de acelerar a transição para um mundo sustentável.

A EcoVadis desenvolveu um sistema de gestão da qualidade (QMS) com certificação ISO 9001. Buscamos ativamente a melhoria contínua da qualidade por meio de um sistema de gerenciamento de processos que permite que cada funcionário faça seu trabalho corretamente na primeira vez, sempre em um ambiente de trabalho seguro e estimulante. É suportado em nossa plataforma de TI personalizada e autodesenvolvida, que orienta os funcionários durante todo o processo. Nós constantemente nos empenhamos na melhoria contínua dos processos, sendo assessorados por órgãos especializados como nosso comitê de metodologia.

  • Programas de treinamento de funcionários
    • Programas de treinamento de Qualidade de Segurança da Informação para todos os recém-chegados durante o período de integração com avaliações e notas mínimas de aprovação para verificar a eficácia, além de treinamento de atualização anual obrigatório para todos os funcionários, seguido de avaliação.
  • Ações corretivas e preventivas
    • Melhoria contínua com a identificação de áreas de melhoria para eliminar não conformidades ou prevenir a reincidência. Um exemplo é o uso da ferramenta Quality para identificação de não conformidades e o fornecimento de feedback por meio do processo de avaliação.
  • Processo de gestão de incidentes
    • As reclamações de clientes e fornecedores, bem como as questões internas, são comunicadas, registadas e gerenciadas através de uma Plataforma de Gestão de Incidentes. Todos os incidentes são revistos regularmente pelas partes envolvidas e resolvidos dentro de um determinado prazo.
  • Auditoria interna
    • O Programa de Auditoria Interna está definido por um período de 3 anos onde as auditorias de Segurança da Informação são realizadas duas vezes por ano e todos os processos internos passam por uma auditoria de Qualidade pelo menos uma vez por ano. Os resultados da auditoria são revistos e discutidos durante a nossas reuniões de análise crítica.

A EcoVadis presta um serviço holístico de classificação de sustentabilidade de empresas, por meio de uma plataforma SaaS global baseada em nuvem e hospedada no Microsoft Azure – um dos provedores de hospedagem em nuvem mais confiáveis.

Estamos comprometidos em oferecer o mais alto nível de segurança da informação e melhorar continuamente para proteger os dados de todas as partes interessadas em um cenário em evolução de ameaças à segurança da informação. Por esse motivo, a EcoVadis implementou um sistema de gestão de segurança da informação (ISMS) que é submetido a auditorias regulares por terceiros independentes para verificar a conformidade com a norma ISO/IEC 27001 (consulte o certificado e a declaração de aplicabilidade).

Nosso ISMS nos permite operar e manter sistematicamente a segurança da informação nos nossos processos e serviços comerciais, além de determinar e aplicar as medidas de segurança necessárias com base na nossa avaliação de risco.

Nossas políticas de segurança da informação são revistas e atualizadas regularmente para garantir que o conteúdo permaneça oportuno e exato e ainda se correlacione com os requisitos de conformidade e as melhores práticas do setor aplicáveis a nós.

Contamos com uma equipe interna dedicada, responsável por desenvolver, manter e monitorar a segurança da informação. As prioridades são estabelecidas em escala mundial na nossa organização para proporcionar uma visão única e coerente da proteção dos nossos ativos.

Na EcoVadis sabemos que a conscientização quanto às ameaças à segurança da informação é um processo contínuo. Nossos funcionários são treinados regularmente para as melhores práticas de TI e segurança da informação e o alinhamento com as normas de segurança de TI da EcoVadis, bem como a maneira de operar sistemas de TI de forma segura.

Mantemos um inventário preciso e atualizado dos ativos associados ao serviço prestado e classificamos as informações em termos de requisitos legais, valor, seriedade e sensibilidade a divulgação ou alteração não autorizada.

O Azure é um serviço para vários locatários, existindo uma separação lógica que isola os dados entre os clientes.

Os direitos e privilégios de acesso aos sistemas de informação e domínios de rede da EcoVadis devem ser atribuídos tendo em vista o controle de acesso baseado em funções (RBAC). Além disso, seguimos os princípios need-to-know e do menor privilégio.

Nossos clientes gerenciam seu acesso de forma independente: o administrador da plataforma do cliente pode criar e desativar usuários conforme necessário. A plataforma pode ser acessada com o nome de usuário e a senha. Também fornecemos um recurso de autenticação Single sign-on (SSO) para empresas solicitantes e você pode falar com o seu contato comercial para obter mais informações.

Os dados são criptografados (em repouso e em trânsito) por meio de algoritmos e métodos de criptografia aprovados pelo setor. Seguimos as melhores práticas do setor para armazenar e gerenciar informações sigilosas com segurança em nosso ambiente.

 

Nossas plataformas são hospedadas em datacenters do Microsoft Azure localizados na União Europeia. De acordo com um modelo de responsabilidade compartilhada na nuvem, os controles de segurança física são de obrigação da Microsoft. Encontre mais informações sobre os controles aqui.

Garantimos o controle das mudanças na organização, dos processos corporativos, das instalações e dos sistemas de processamento de dados que afetam a segurança da informação. Implementamos tecnologia e processos de monitoramento e detecção para identificar, prevenir e gerenciar vulnerabilidades a malware ou outros eventos relevantes para a segurança em nossa infraestrutura. As melhores práticas de fortalecimento da segurança são aplicadas, como o CIS (Center for Internet Security) para sistemas operacionais e os guias de endurecimento do Microsoft Azure para serviços em nuvem.

O acesso à rede de serviços e servidores internos é restrito e seguro. Temos um Web Application Firewall implementado (veja os detalhes aqui) e usamos o Azure Front Door: um serviço moderno de rede de distribuição de conteúdo na nuvem (CDN) que oferece alto desempenho, escalabilidade e experiências seguras para o usuário.

Nós nos apoiamos nas normas do setor para gerar segurança em nosso ciclo de vida de desenvolvimento de sistemas/software (SDLC). Garantimos que os novos desenvolvimentos passam por processos adequados de teste e validação antes de entrar em operação. Os ambientes de desenvolvimento, teste e operação são separados.

Estabelecemos requisitos de segurança da informação para fornecedores que podem acessar, processar, armazenar, comunicar ou fornecer componentes de infraestrutura de TI para as informações da organização. Também realizamos avaliações de risco de segurança cibernética e segurança de dados de fornecedores que acessam a nossa rede, dados ou outras informações confidenciais.

Trabalhamos continuamente para fornecer serviços altamente seguros aos nossos clientes, mas os incidentes são uma realidade inevitável que precisa ser tratada com cautela. Na EcoVadis medidas cabíveis são implementadas para garantir uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação. Nosso processo de gestão de incidentes de segurança abrange, mas não se limita a: notificação ao cliente, procedimentos por escrito a serem seguidos em caso de incidente de segurança e empenho máximo para atenuar suas consequências.

Além disso, nós temos um Centro de operações de segurança (SOC) disponível 24 horas por dia e 7 dias por semana, garantindo monitoramento e proteção contínuos dos nossos sistemas e dados.

Temos o compromisso de garantir que as instalações de processamento de informações sejam implementadas com redundância suficiente para atender aos requisitos de disponibilidade (consulte o relatório de tempo de atividade da nossa plataforma, no qual o desempenho do serviço, a disponibilidade e a experiência real do usuário são constantemente monitorados).

Backups são realizados e testados regularmente de acordo com a política de backup definida.

Para nos dar uma visão mais completa da nossa conformidade com a segurança da informação, procedemos a vários tipos de auditoria e análises técnicas:

– Análises de infraestrutura

– Análises de código (SAST: Static Application Security Testing, SCA: Software Composition Analysis)

– Teste de penetração de aplicativos da web (realizado pelo menos uma vez ao ano por uma empresa externa e também por recursos internos periodicamente)

– Gestão de postura externa

– Avaliações de risco internas

– Auditorias de certificação ISO 27001

 

Preenchemos vários questionários padrão. O resultado pode ser compartilhado sob demanda

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

As certificações do Microsoft Azure estão disponíveis no Service Trust Portal.

Bibliotecas ou componentes de código aberto relacionados a qualquer um dos serviços aplicáveis. A solução da EcoVadis às vezes inclui ou depende de bibliotecas de código aberto. Para cumprir os requisitos de licença das bibliotecas de código aberto e o direito moral de atribuição do licenciado, segue abaixo uma lista de softwares de código aberto usados para criar nossos produtos. Fique ciente de que todas as informações são fornecidas aqui "no estado em que se encontram" e podem estar sujeitas a alterações pelo licenciado:

Licença
AFL-2.1
Apache-2.0
BSD-2-Clause
BSD-3-Clause
CC-BY-4.0
ISC
JSON
LGPL-2.1*
LGPL-3.0*
Licença da Biblioteca Microsoft .NET
MIT
MPL-2.0
MS-PL
PostgreSQL
WTFPL
Zlib

*O aplicativo é vinculado dinamicamente à licença LGPL e, por conseguinte, o código proprietário pode ser mantido como tal.

A EcoVadis projeta, implementa e mobiliza soluções de IA de forma responsável, prestando atenção na explicabilidade do modelo, monitoramento e adesão aos princípios-chave de IA confiável. Com o crescimento da IA gerativa, investimos em segurança e governança de IA e garantimos que as soluções de IA gerativas tenham proteções apropriadas.

A EcoVadis acredita que o GDPR é uma etapa importante para reforçar e harmonizar a proteção dos dados pessoais dos cidadãos da UE. Como processadora de dados para os serviços de classificação prestados, a Ecovadis se compromete a cumprir o GDPR e, na medida em que forem aplicáveis, os regulamentos internacionais de proteção de dados, e a implementar as melhores práticas.

A EcoVadis utiliza a norma ISO 27001, para a qual estamos certificados, como estrutura e integração de aspectos de proteção de dados pessoais no seu sistema de gestão. Usamos a estrutura complementar da norma ISO 27701 para atender aos requisitos do GDPR. Nossas práticas de proteção de dados e conformidade são confirmadas pela auditoria de uma empresa terceirizada.

Para o processamento de dados realizado fora da UE, temos em vigor Cláusulas Contratuais Padrão (SCCs) com as nossas filiais.

Sempre selecionamos cuidadosamente nossos fornecedores (processadores) e exigimos a conclusão de Acordos de Proteção de Dados com processadores e Cláusulas Contratuais Padrão (SCCs) ou Regras Corporativas Vinculantes (BCR) em caso de processamento fora da região do EEE para que possam trabalhar conosco. Nós sempre buscamos escolher assinaturas com provedores para ter dados hospedados em servidores baseados na Europa. Trabalhamos com os processadores abaixo para prestar nosso serviço:

 

Entidade legalEndereçoObjetivoProcessamento e transferência de dadosInformação adicional de segurança
ZenDesk Inc1019 Market Street,
São Francisco, CA 94103 EUA
Centro de Ajudahttps://www.zendesk.com/…https://www.zendesk.com/…
SFDC SASSFDC France
3 Avenue Octave Gréard, 75007 Paris
França
CRM e Suporte ao Clientehttps://www.salesforce.com/…https://trust.salesforce.com/
Microsoft France SASMicrosoft France SAS

37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux,

FRANÇA

Hospedagem da plataforma de avaliação da sustentabilidadehttps://www.microsoft.com/…https://azure.microsoft.com/…/
Google Cloud FranceGoogle Cloud France

8 Rue de Londres, 75009 Paris,

França

Comunicação com o clientehttps://cloud.google.com/…https://cloud.google.com/…/
Selligent France SA20 Place des Vins de France,75012 Paris FRANÇAComunicação com o clientehttps://www.selligent.com/…https://www.selligent.com/…
Docebo S.p.A. LimitedLimited
6th floor, 48
Gracechurch
Street, Londres –
Reino Unido
Plataforma de cursos onlinehttps://www.docebo.com/…https://www.docebo.com/…
Pendo.io Inc.150 Fayetteville St
#140027601
Raleigh NC, EUA
Análise de plataforma e avaliação do clientehttps://www.pendo.io/…https://www.pendo.io/…
Productboard Inc.612 Howard
street CA 94105
São Francisco CA,
EUA
Gerenciamento de produto e avaliação do clientehttps://www.productboard.com/…https://www.productboard.com/…
Surveymonkey Inc910 Park Pl, Suite 300, San Mateo, CA 94403, EUAAvaliação do clientehttps://www.surveymonkey.com/…https://www.surveymonkey.com/…
Aircall SAS11 Rue Saint
Georges, 75009
Paris, França
Gravação de chamadashttps://aircall.io/…https://aircall.io/…

 

Nós confiamos nas recomendações sobre medidas adicionais emitidas pela autoridade francesa de proteção de dados CNIL e pelo Conselho Europeu de Proteção de Dados sobre as possibilidades de transferência de dados para os Estados Unidos com base em SCCs (ou BCR).

Saiba mais na nossa declaração de privacidade de dados

A EcoVadis está empenhada em cumprir todas as leis e regulamentos aplicáveis a um operador de serviços on-line de uso geral, incluindo, sem limitação, as leis da França e dos Estados Unidos, em termos de seus locais de operação para os serviços.

Restrições de Destino

Levando em consideração os riscos comerciais globais, os produtos e serviços da Ecovadis não estão disponíveis para exportação, reexportação, transferência e/ou utilização nos seguintes países/regiões (sujeitos a alterações sem aviso prévio):

  • as regiões da Crimeia, Donetsk e Luhansk
  • Cuba
  • Irã
  • Coréia do Norte
  • Síria

Além disso, as transações com ou relacionadas a certos destinos que representam um elevado controle de exportação ou risco de sanções estão sujeitas a exigências aprimoradas de diligência prévia.

Restrições ao usuário final

Os produtos e serviços da EcoVadis não estão disponíveis para entidades e indivíduos com quem as transações são proibidas de acordo com as leis aplicáveis de controle e sanções de exportação, incluindo aquelas que constam em quaisquer listas de partes sancionadas aplicáveis (por exemplo, listas de sanções da União Europeia, de Cidadãos Especialmente Designados(SDN) dos EUA, OFAC, de sanções do Conselho de Segurança das Nações Unidas e listas locais onde a EcoVadis está presente).

Restrições ao usuário final

Os Serviços da EcoVadis não devem ser utilizados para fins proibidos pelas Leis de Exportação Aplicáveis, incluindo, sem limitação, para o desenvolvimento, projetos, fabricação ou produção de armas nucleares, químicas ou biológicas de destruição em massa.

Na EcoVadis, nós acreditamos que a ética e a integridade fazem diferença quando se trata da continuidade, reputação e sucesso das empresas. Nós adotamos o código de ética e outras políticas e procedimentos. Adotamos os mais altos padrões com o mesmo critério usado no nosso processo de classificação e temos certeza de cumprir com as leis e regulamentos aplicáveis.

Código de ética da EcoVadis

Nossa empresa foi fundada com a crença de que as empresas podem ter um grande impacto positivo na melhoria global das práticas ambientais e sociais por meio das suas cadeias de abastecimento. Estamos convencidos de que as empresas são medidas e recompensadas não só pelo seu desempenho financeiro mas também por sua sustentabilidade. O código de ética da EcoVadis é um conjunto de princípios orientadores para nos ajudar a tomar decisões de forma justa e honesta. Ele apresenta o comportamento profissional a ser promovido e seguido no cumprimento dos nossos deveres em nosso ambiente de trabalho.

Leia nosso Código de ética

O código de conduta para fornecedores da EcoVadis

O código de conduta para fornecedores da EcoVadis delineia nosso compromisso com as práticas de negócios éticas, sustentáveis e responsáveis em toda nossa cadeia de abastecimento. Ela define expectativas claras para nossos fornecedores, concentrando-se em áreas como práticas trabalhistas e direitos humanos, proteção ambiental, integridade nos negócios e compras sustentáveis. Ao se alinhar com esses princípios, os fornecedores têm uma função vital na promoção da transparência e responsabilidade enquanto contribuem para um futuro mais sustentável. Esse código reflete a dedicação da EcoVadis em promover impactos positivos por meio de parcerias colaborativas e éticas.

Leia nosso código de conduta para fornecedores

Declaração de escravidão moderna da EcoVadis

A declaração define os passos que tomamos, e continuamos tomando, para garantir que a escravidão moderna e o tráfico de pessoas não esteja presente em nossa organização ou em nossas operações de negócios, incluindo dentro das nossas cadeias de abastecimento.

Leia nossa declaração de 2021

Leia nossa declaração de 2022

Leia nossa declaração de 2023

A EcoVadis gostaria de reconhecer a valiosa contribuição dos seguintes indivíduos, que ajudaram a tornar o sistema EcoVadis mais seguro.

Esta página da web é apenas para fins informativos em geral e não constitui aconselhamento jurídico.

Dúvidas? Entre em contato conosco!

Se tiver alguma dúvida relacionada à segurança da informação na EcoVadis, fale com seu representante de vendas ou consulte nosso Centro de Ajuda: support.ecovadis.com.

Novo: Cinco elementos que impulsionam programas líderes em compras sustentáveis
Veja agora 
Novo: Um plano de quatro etapas para uma cadeia de abastecimento mais resiliente
Veja agora