Qualidade, Segurança, Privacidade e Conformidade | EcoVadis Skip to content

Qualidade, Segurança, Privacidade e Conformidade

Main content

O objetivo da EcoVadis é "Guiar todas as empresas em direção a um mundo sustentável", e suas quatro finalidades são:

  1. Fornecer classificações de sustentabilidade independentes, confiáveis e viáveis, além de insights, por meio de uma metodologia de excelência.
  2. Possibilitar que o maior número de empresas melhore continuamente suas práticas comerciais e contribua para a criação de uma economia regenerativa e equitativa.
  3. Cultivar um ambiente de aprendizado inclusivo para o nosso pessoal, proporcionando um trabalho com significado e capacitando as futuras gerações de profissionais de sustentabilidade.
  4. Incentivar a ação coletiva em nosso ecossistema a fim de acelerar a transição para um mundo sustentável.

A EcoVadis desenvolveu um sistema de gestão da qualidade (QMS) certificado ISO 9001. Buscamos ativamente a melhoria contínua da qualidade por meio de um sistema de gerenciamento de processos que permite que cada funcionário faça seu trabalho corretamente na primeira vez, sempre em um ambiente de trabalho seguro e estimulante. É suportado em nossa plataforma de TI personalizada e autodesenvolvida, que orienta os funcionários durante todo o processo. Nós constantemente nos empenhamos na melhoria contínua dos processos, sendo assessorados por órgãos especializados como nosso comitê de metodologia.

  • Programas de treinamento de funcionários
    • Programas de treinamento de Q&SI para todos os recém-chegados durante o período de integração com avaliações e notas mínimas de aprovação para verificar a eficácia, além de treinamento de atualização anual obrigatório para todos os funcionários, seguido de avaliação.
  • Ações corretivas e preventivas
    • Melhoria contínua com a identificação de áreas de melhoria para eliminar não conformidades ou prevenir a reincidência. Um exemplo é o uso da ferramenta Quality para identificação de não conformidades e o fornecimento de feedback por meio do processo de avaliação.
  • Processo de gestão de incidentes
    • As reclamações de clientes e fornecedores, bem como as questões internas, são comunicadas, registadas e gerenciadas através de uma Plataforma de Gestão de Incidentes. Todos os incidentes são revistos regularmente pelas partes envolvidas e resolvidos dentro de um determinado prazo.
  • Auditoria interna
    • O Programa de Auditoria Interna está definido por um período de 3 anos onde as auditorias de Segurança da Informação são realizadas duas vezes por ano e todos os processos internos passam por uma auditoria de Qualidade pelo menos uma vez por ano. Os resultados da auditoria são revistos e discutidos durante a nossa Reunião de Análise Crítica bianual.

A EcoVadis presta um serviço holístico de classificação de sustentabilidade de empresas, por meio de uma plataforma SaaS global baseada em nuvem e hospedada no Microsoft Azure – um dos provedores de hospedagem em nuvem mais confiáveis.

Estamos comprometidos em oferecer o mais alto nível de segurança da informação e melhorar continuamente para proteger os dados de todas as partes interessadas em um cenário em evolução de ameaças à segurança da informação. Por esse motivo, a EcoVadis implementou um sistema de gestão de segurança da informação (ISMS) que é submetido a auditorias regulares por terceiros independentes para verificar a conformidade com a norma ISO/IEC 27001 (consulte o certificado e a declaração de aplicabilidade).

Nosso ISMS nos permite operar e manter sistematicamente a segurança da informação nos nossos processos e serviços comerciais, além de determinar e aplicar as medidas de segurança necessárias com base na nossa avaliação de risco.

Nossas políticas de segurança da informação são revistas e atualizadas regularmente para garantir que o conteúdo permaneça oportuno e exato e ainda se correlacione com os requisitos de conformidade e as melhores práticas do setor aplicáveis a nós.

Contamos com uma equipe interna dedicada, responsável por desenvolver, manter e monitorar a segurança da informação. As prioridades são estabelecidas em escala mundial na nossa organização para proporcionar uma visão única e coerente da proteção dos nossos ativos.

Na EcoVadis sabemos que a conscientização quanto às ameaças à segurança da informação é um processo contínuo. Nossos funcionários são treinados regularmente para as melhores práticas de TI e segurança da informação e o alinhamento com as normas de segurança de TI da EcoVadis, bem como a maneira de operar sistemas de TI de forma segura.

Mantemos um inventário preciso e atualizado dos ativos associados ao serviço prestado e classificamos as informações em termos de requisitos legais, valor, seriedade e sensibilidade a divulgação ou alteração não autorizada.

O Azure é um serviço para vários locatários, existindo uma separação lógica que isola os dados entre os clientes.

Os direitos e privilégios de acesso aos sistemas de informação e domínios de rede da EcoVadis devem ser atribuídos tendo em vista o controle de acesso baseado em funções (RBAC). Além disso, seguimos os princípios need-to-know e do menor privilégio.

Nossos clientes gerenciam seu acesso de forma independente: o administrador da plataforma do cliente pode criar e desativar usuários conforme necessário. A plataforma pode ser acessada com o nome de usuário e a senha. Também fornecemos um recurso de autenticação Single sign-on (SSO) para empresas solicitantes e você pode falar com o seu contato comercial para obter mais informações.

Os dados são criptografados (em repouso e em trânsito) por meio de algoritmos e métodos de criptografia aprovados pelo setor. Seguimos as melhores práticas do setor para armazenar e gerenciar informações sigilosas com segurança em nosso ambiente.

 

Nossas plataformas são hospedadas em datacenters do Microsoft Azure localizados na União Europeia. De acordo com um modelo de responsabilidade compartilhada na nuvem, os controles de segurança física são de obrigação da Microsoft. Encontre mais informações sobre os controles aqui.

Garantimos o controle das mudanças na organização, dos processos corporativos, das instalações e dos sistemas de processamento de dados que afetam a segurança da informação. Implementamos tecnologia e processos de monitoramento e detecção para identificar, prevenir e gerenciar vulnerabilidades a malware ou outros eventos relevantes para a segurança em nossa infraestrutura. As melhores práticas de fortalecimento da segurança são aplicadas, como o CIS (Center for Internet Security) para sistemas operacionais e os guias de endurecimento do Microsoft Azure para serviços em nuvem.

O acesso à rede de serviços e servidores internos é restrito e seguro. Temos um Web Application Firewall implementado (veja os detalhes aqui) e usamos o Azure Front Door: um serviço moderno de rede de distribuição de conteúdo na nuvem (CDN) que oferece alto desempenho, escalabilidade e experiências seguras para o usuário.

Nós nos apoiamos nas normas do setor para gerar segurança em nosso ciclo de vida de desenvolvimento de sistemas/software (SDLC). Garantimos que os novos desenvolvimentos passam por processos adequados de teste e validação antes de entrar em operação. Os ambientes de desenvolvimento, teste e operação são separados.

Estabelecemos requisitos de segurança da informação para fornecedores que podem acessar, processar, armazenar, comunicar ou fornecer componentes de infraestrutura de TI para as informações da organização. Também realizamos avaliações de risco de segurança cibernética e segurança de dados de fornecedores que acessam a nossa rede, dados ou outras informações confidenciais.

Trabalhamos continuamente para fornecer serviços altamente seguros aos nossos clientes, mas os incidentes são uma realidade inevitável que precisa ser tratada com cautela. Na EcoVadis medidas cabíveis são implementadas para garantir uma abordagem consistente e eficaz à gestão de incidentes de segurança da informação. Nosso processo de gestão de incidentes de segurança abrange, mas não se limita a: notificação ao cliente, procedimentos por escrito a serem seguidos em caso de incidente de segurança e empenho máximo para atenuar suas consequências.

Temos o compromisso de garantir que as instalações de processamento de informações sejam implementadas com redundância suficiente para atender aos requisitos de disponibilidade (consulte o relatório de tempo de atividade da nossa plataforma, no qual o desempenho do serviço, a disponibilidade e a experiência real do usuário são constantemente monitorados).

Backups são realizados e testados regularmente de acordo com a política de backup definida.

Para nos dar uma visão mais completa da nossa conformidade com a segurança da informação, procedemos a vários tipos de auditoria e análises técnicas:

– Análises de infraestrutura

– Análises de código (SAST: Static Application Security Testing, SCA: Software Composition Analysis)

– Teste de penetração de aplicativos da web (realizado pelo menos uma vez ao ano por uma empresa externa e também por recursos internos periodicamente)

– Gestão de postura externa

– Avaliações de risco internas

– Auditorias de certificação ISO 27001

 

Preenchemos vários questionários padrão. O resultado pode ser compartilhado sob demanda

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

As certificações do Microsoft Azure estão disponíveis no Service Trust Portal.

Bibliotecas ou componentes de código aberto relacionados a qualquer um dos serviços aplicáveis. A solução da EcoVadis às vezes inclui ou depende de bibliotecas de código aberto. Para cumprir os requisitos de licença das bibliotecas de código aberto e o direito moral de atribuição do licenciado, segue abaixo uma lista de softwares de código aberto usados para criar nossos produtos. Fique ciente de que todas as informações são fornecidas aqui "no estado em que se encontram" e podem estar sujeitas a alterações pelo licenciado:

 

Nome do componente/projeto Licença
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

*O aplicativo é vinculado dinamicamente à licença LGPL e, por conseguinte, o código proprietário pode ser mantido como tal.

A EcoVadis acredita que o GDPR é uma etapa importante para reforçar e harmonizar a proteção dos dados pessoais dos cidadãos da UE. Como processadora de dados para os serviços de classificação prestados, a Ecovadis se compromete a cumprir o GDPR e, na medida em que forem aplicáveis, os regulamentos internacionais de proteção de dados, e a implementar as melhores práticas.

A EcoVadis utiliza a norma ISO 27001, para a qual estamos certificados, como estrutura e integração de aspectos de proteção de dados pessoais no seu sistema de gestão. Usamos a estrutura complementar da norma ISO 27701 para atender aos requisitos do GDPR. Nossas práticas de proteção de dados e conformidade são confirmadas pela auditoria de uma empresa terceirizada.

Para o processamento de dados realizado fora da UE, temos em vigor Cláusulas Contratuais Padrão (SCCs) com as nossas filiais.

Sempre selecionamos cuidadosamente nossos fornecedores (processadores) e exigimos a conclusão de Acordos de Proteção de Dados com processadores e Cláusulas Contratuais Padrão (SCCs) ou Regras Corporativas Vinculantes (BCR) em caso de processamento fora da região do EEE para que possam trabalhar conosco. Nós sempre buscamos escolher assinaturas com provedores para ter dados hospedados em servidores baseados na Europa. Trabalhamos com os processadores abaixo para prestar nosso serviço:

 

Entidade legal Endereço Objetivo Processamento e transferência de dados Informação adicional de segurança
ZenDesk 1019 Market Street,
São Francisco, CA 94103 EUA
Centro de Ajuda https://www.zendesk.com/… https://www.zendesk.com/…
SFDC SAS SFDC France
3 Avenue Octave Gréard, 75007 Paris
França
CRM e Suporte ao Cliente https://www.salesforce.com/… https://trust.salesforce.com/
Microsoft France SAS Microsoft France SAS

37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux,

FRANÇA

Hospedagem da plataforma de avaliação da sustentabilidade https://www.microsoft.com/… https://azure.microsoft.com/…/
Google Cloud France Google Cloud France

8 Rue de Londres, 75009 Paris,

França

Comunicação com o cliente https://cloud.google.com/… https://cloud.google.com/…/
Selligent France SA 20 Place des Vins de France,75012 Paris FRANÇA Comunicação com o cliente https://www.selligent.com/… https://www.selligent.com/…
Docebo S.p.A. Limited Limited
6th floor, 48
Gracechurch
Street, Londres –
Reino Unido
Plataforma de cursos online https://www.docebo.com/… https://www.docebo.com/…
Pendo.io Inc. 150 Fayetteville St
#140027601
Raleigh NC, EUA
Análise de plataforma e avaliação do cliente https://www.pendo.io/… https://www.pendo.io/…
Productboard Inc. 612 Howard
street CA 94105
São Francisco CA,
EUA
Gerenciamento de produto e avaliação do cliente https://www.productboard.com/… https://www.productboard.com/…
Surveymonkey Inc 910 Park Pl, Suite 300, San Mateo, CA 94403, EUA Avaliação do cliente https://www.surveymonkey.com/… https://www.surveymonkey.com/…
Aircall SAS 11 Rue Saint
Georges, 75009
Paris, França
Gravação de chamadas https://aircall.io/… https://aircall.io/…

 

Nós confiamos nas recomendações sobre medidas adicionais emitidas pela autoridade francesa de proteção de dados CNIL e pelo Conselho Europeu de Proteção de Dados sobre as possibilidades de transferência de dados para os Estados Unidos com base em SCCs (ou BCR).

Saiba mais na nossa declaração de privacidade de dados

A EcoVadis está empenhada em cumprir todas as leis e regulamentos aplicáveis a um operador de serviços on-line de uso geral, incluindo, sem limitação, as leis da França e dos Estados Unidos, em termos de seus locais de operação para os serviços.

Restrições de Destino

Levando em consideração os riscos comerciais globais, os produtos e serviços da Ecovadis não estão disponíveis para exportação, reexportação, transferência e/ou utilização nos seguintes países/regiões (sujeitos a alterações sem aviso prévio):

  • as regiões da Crimeia, Donetsk e Luhansk
  • Cuba
  • Irã
  • Coréia do Norte
  • Síria

Além disso, as transações com ou relacionadas a certos destinos que representam um elevado controle de exportação ou risco de sanções estão sujeitas a exigências aprimoradas de diligência prévia.

Restrições ao usuário final

Os produtos e serviços da EcoVadis não estão disponíveis para entidades e indivíduos com quem as transações são proibidas de acordo com as leis aplicáveis de controle e sanções de exportação, incluindo aquelas que constam em quaisquer listas de partes sancionadas aplicáveis (por exemplo, listas de sanções da União Europeia, de Cidadãos Especialmente Designados(SDN) dos EUA, OFAC, de sanções do Conselho de Segurança das Nações Unidas e listas locais onde a EcoVadis está presente).

Restrições ao usuário final

Os Serviços da EcoVadis não devem ser utilizados para fins proibidos pelas Leis de Exportação Aplicáveis, incluindo, sem limitação, para o desenvolvimento, projetos, fabricação ou produção de armas nucleares, químicas ou biológicas de destruição em massa.

Esta página da web é apenas para fins informativos em geral e não constitui aconselhamento jurídico.

Dúvidas? Entre em contato conosco!

Se tiver alguma dúvida relacionada à segurança da informação na EcoVadis, fale com seu representante de vendas ou consulte nosso Centro de Ajuda: support.ecovadis.com.

Novo: A 8ª edição do Índice de desempenho de sustentabilidade empresarial 
Veja agora 
As estratégias mais recentes para a descarbonização da cadeia de abastecimento: Obter o relatório de 2024
Veja agora