Programa de conformidade
Onde o cenário regulatório se cruza com um SaaS de gestão de pessoas, e o que estamos fazendo a respeito. Estado real do programa: o que já está disponível, o que está em andamento e o que deliberadamente ainda não está no roadmap.
Framework de conformidade
svdy opera um programa de conformidade contínuo em vez de uma checklist pontual. Concretamente:
• Privacy by design — toda nova funcionalidade passa por uma avaliação de impacto de privacidade antes do merge se tocar PII. O log de auditoria de privacidade Wave 1-4 vive em nosso tracker interno; resultados visíveis são o fluxo de consentimento de reconhecimento facial GDPR Art. 9, o mecanismo de direito ao apagamento e a janela de exclusão de dados de cliente de 30 dias após o cancelamento da subscription.
• Controles documentados — políticas de segurança (controle de acesso, gestão de mudanças, gestão de fornecedores, resposta a incidentes) são versionadas e revisadas anualmente.
• Gestão de fornecedores — todo suboperador passa por uma revisão de admissão documentada antes de obter acesso a dados de cliente. Os 5 suboperadores atuais estão listados em /trust/sub-processors; atualizações disparam uma notificação ao cliente de 30 dias.
• Monitoramento contínuo — antes do SOC 2, isso é interno (logs de auditoria, revisões de acesso, tickets de mudança). Uma vez que Vanta esteja conectado (Q3-Q4 2026), a coleta de evidências se torna contínua e auditável externamente.
• Radar regulatório — rastreamos legislação que afeta nossa base de clientes (leis de privacidade estaduais dos EUA, NIS2 da UE, PIPL da China, LGPD do Brasil) e ajustamos nosso DPA + funcionalidades de produto à medida que o escopo se expande.
Padrões que seguimos
Nos alinhamos a estes frameworks padrão da indústria. Seguir ≠ certificado — veja /trust/soc2 para o que é formalmente auditado e quando.
• NIST Cybersecurity Framework (CSF) 2.0: Controles internos mapeados a Identify / Protect / Detect / Respond / Recover. Auto-avaliado; base para auditoria SOC 2 Type II (a partir de Q1 2027).
• OWASP Top 10 (aplicação web): Prática de engenharia cobre o OWASP Top 10 (2021): prevenção de injeção via queries parametrizadas, controle de acesso quebrado via queries escopadas por tenant, etc. Ferramentas SAST rodam pré-merge; SCA via Dependabot.
• CIS AWS Foundations Benchmark: Configuração AWS alinhada com controles CIS Foundations v2.0 — IAM privilégio mínimo, MFA no root, EBS criptografado, S3 block public access, logs de auditoria para conta centralizada. Auto-atestado hoje; auditoria SOC 2 validará Q2 2027.
• ISO/IEC 27001 — direcional, não certificado: Nosso conjunto de controles toma emprestado dos controles do Anexo A da ISO 27001. Certificação formal é uma Fase 2 (pós-SOC 2 Type II, provavelmente 2027-2028) — apenas iniciada se clientes enterprise da UE pedirem.
Regulamentações regionais
Onde dados de cliente svdy tocam jurisdições reguladas e nossa postura em cada uma:
• União Europeia e Reino Unido: GDPR (UE 2016/679), UK GDPR + Data Protection Act 2018, Diretiva ePrivacy (cookies)
Clientes UE + UK cobertos por nossas Cláusulas Contratuais Padrão (versão 2021) mais o UK Addendum, incluídos no DPA em /trust/dpa. Política de Privacidade alinhada ao Art. 13/14 do GDPR. Mecanismo de direitos do titular via legal@svdy.com, resposta em 30 dias. Residência de dados: us-east-1 hoje; disponibilidade de região UE / APAC no roadmap nível Enterprise (2027).
• Estados Unidos: CCPA / CPRA (Califórnia), VCDPA (Virgínia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah)
Respeitamos Do-Not-Sell, Right-to-Know e Right-to-Delete sob todas as leis de privacidade estaduais dos EUA aplicáveis. A Política de Privacidade inclui as divulgações de categoria mandatadas pela CCPA e janelas de retenção. Não vendemos informações pessoais conforme definido em §1798.140(t).
• Brasil e APAC: LGPD (Brasil), Singapore PDPA, Australia Privacy Act
Aderência no escopo onde existe base de clientes. Requisitos de localização de dados do PIPL da China atualmente não são atendidos (sem residência de dados em China continental); clientes com força de trabalho na China continental devem manter esses dados offshore em nossa região us-east-1 existente até o build-out de regiões LATAM / APAC (pós-2027). LGPD do Brasil: respeitamos os direitos do titular (acesso, correção, anonimização, portabilidade, eliminação) via legal@svdy.com.
Auditorias e atestados
O que é realmente auditado hoje, o que está vindo, o que deliberadamente não estamos perseguindo:
• SOC 2 Type II — EM ANDAMENTO: Início de auditoria visado Q1 2027 (6 meses de observação), relatório emitido Q3 2027. Vanta + A-LIGN selecionados. Cronologia pública em /trust/soc2.
• GDPR / LGPD — auto-avaliado: GDPR não tem certificação de conformidade formal (reguladores não emitem certificados). Mantemos uma arquitetura pronta para GDPR verificada por nossa auditoria interna de privacidade Wave 1-4. Nosso DPA está disponível mediante solicitação em /trust/dpa para clientes que precisam de um acordo escrito de operador. Mesma postura para LGPD.
• ISO 27001 — Fase 2: Ainda não engajado. Esperado pós-SOC 2 (2027-2028) se a demanda enterprise da UE justificar o custo da auditoria. Atualização em /trust/soc2 quando iniciar.
• HIPAA / PCI-DSS / FedRAMP — fora do escopo: svdy atualmente não é um HIPAA business associate, não está no escopo PCI-DSS (Stripe lida com dados de portadores de cartão em sua plataforma certificada) e não está perseguindo FedRAMP. Clientes federais / da indústria regulada devem entrar em contato com support@svdy.com para discutir se podemos atender sua necessidade específica de conformidade antes do cadastro.
Precisa de nossa documentação de conformidade, atestados regulatórios regionais ou cronologia SOC 2? Envie e-mail para legal@svdy.com — veja o progresso SOC 2 em /trust/soc2.
