Política de SLA e Resposta a Incidentes Críticos da Emanda
Esta Política de SLA e Resposta a Incidentes Críticos estabelece os critérios adotados pela Emanda para classificação, atendimento, comunicação e acompanhamento de incidentes críticos relacionados à disponibilidade da plataforma e à segurança das informações.
Esta política integra os Termos de Uso e a Política de Privacidade da Emanda.
1. Objetivo
O objetivo desta política é definir prazos e procedimentos mínimos para resposta a incidentes críticos que possam afetar a disponibilidade da plataforma Emanda ou a segurança das informações tratadas em nossos serviços.
2. Escopo
Esta política se aplica aos serviços prestados pela Emanda por meio de sua plataforma, incluindo funcionalidades de automação de campanhas, integrações, processamento de dados, envios de comunicação e demais recursos disponibilizados aos clientes.
3. Definição de Incidente Crítico
São considerados incidentes críticos:
3.1. Indisponibilidade total da plataforma
Situação em que a plataforma Emanda fique totalmente indisponível para a maioria dos clientes, impedindo acesso ao sistema e/ou execução de funcionalidades essenciais.
3.2. Incidente de segurança da informação
Situação confirmada ou sob investigação que possa envolver acesso não autorizado, perda, alteração, destruição, exposição indevida ou vazamento de informações tratadas pela Emanda.
3.3. Falha crítica em integrações essenciais
Situação em que uma integração essencial para funcionamento do serviço fique indisponível por falha sob responsabilidade direta da Emanda, causando impacto relevante para os clientes afetados.
4. Classificação de Severidade
A Emanda classifica os incidentes da seguinte forma:
Severidade Crítica
Incidentes que causam indisponibilidade total da plataforma, comprometimento relevante de dados, vazamento de informações ou impacto amplo sobre a operação dos clientes.
Severidade Alta
Incidentes que impactam funcionalidades relevantes da plataforma, mas sem indisponibilidade total do sistema ou evidência confirmada de vazamento de informações.
Severidade Média ou Baixa
Incidentes com impacto limitado, instabilidade parcial ou falhas que não comprometem a operação principal da plataforma.
5. SLA para Incidentes Críticos
Para incidentes classificados como críticos, a Emanda adotará os seguintes prazos de resposta:
| Etapa | Prazo alvo |
|---|---|
| Identificação ou confirmação inicial do incidente | Até 1 hora após detecção ou comunicação válida |
| Início da atuação técnica | Até 1 hora após classificação como incidente crítico |
| Primeira comunicação aos clientes afetados, quando aplicável | Até 4 horas após confirmação do impacto |
| Atualizações durante o incidente | A cada 4 horas ou sempre que houver mudança relevante |
| Ação inicial de contenção ou mitigação | Até 8 horas, quando tecnicamente possível |
| Restauração do serviço em caso de indisponibilidade total | Até 24 horas, quando a causa estiver sob controle direto da Emanda |
| Relatório ou resumo pós-incidente, quando aplicável | Até 5 dias úteis após normalização |
Os prazos acima representam compromissos operacionais de resposta, comunicação e mitigação. A resolução definitiva poderá depender da natureza do incidente, de fornecedores externos, provedores de infraestrutura, plataformas terceiras, serviços de telecomunicação, APIs de terceiros ou outros fatores fora do controle direto da Emanda.
6. Comunicação sobre Indisponibilidade Total
Em caso de indisponibilidade total da plataforma, a Emanda adotará medidas para:
- Identificar a causa raiz ou causa provável do problema;
- Acionar os responsáveis técnicos internos;
- Aplicar medidas de contenção ou restauração;
- Comunicar os clientes impactados, quando aplicável;
- Atualizar os clientes sobre a evolução do incidente;
- Registrar o ocorrido internamente para análise posterior.
A comunicação poderá ser feita por e-mail, painel da plataforma, WhatsApp, página de status ou outro canal utilizado habitualmente pela Emanda.
7. Comunicação sobre Incidentes de Segurança e Vazamento de Informações
Em caso de incidente de segurança confirmado ou sob investigação que possa envolver dados pessoais, dados comerciais ou informações sensíveis dos clientes, a Emanda adotará medidas para:
- Investigar a natureza e a extensão do incidente;
- Conter ou mitigar o risco identificado;
- Preservar evidências técnicas relevantes;
- Avaliar os dados, clientes e titulares potencialmente afetados;
- Comunicar os clientes afetados, quando aplicável;
- Apoiar os clientes com informações necessárias para cumprimento de suas obrigações legais.
Quando a Emanda atuar como operadora de dados pessoais em nome de seus clientes, comunicará o cliente controlador sem demora injustificada após a confirmação de incidente relevante envolvendo dados sob sua responsabilidade.
Quando a Emanda atuar como controladora de dados pessoais e o incidente puder causar risco ou dano relevante aos titulares, a comunicação à Autoridade Nacional de Proteção de Dados, quando aplicável, e aos titulares afetados será realizada conforme os prazos e requisitos previstos na legislação vigente.
8. Canal para Comunicação de Incidentes
Clientes, parceiros ou terceiros que identifiquem falhas críticas, indisponibilidade total ou suspeitas de incidente de segurança podem entrar em contato pelo canal:
E-mail: [email protected]
As comunicações devem conter, sempre que possível:
- Descrição do problema;
- Data e horário aproximado da ocorrência;
- Conta, loja ou ambiente afetado;
- Evidências disponíveis, como prints, logs ou mensagens de erro;
- Dados de contato do responsável pelo reporte.
9. Exclusões
Esta política não se aplica a indisponibilidades, falhas ou incidentes causados por:
- Mau uso da plataforma pelo cliente;
- Problemas de conexão, rede, dispositivo ou infraestrutura do cliente;
- Falhas em plataformas de terceiros, como provedores de e-mail, SMS, WhatsApp, APIs externas, gateways, hospedagens ou serviços de nuvem;
- Suspensão de contas por inadimplência, violação de políticas antispam, uso indevido ou descumprimento dos Termos de Uso;
- Manutenções programadas previamente comunicadas;
- Eventos de força maior, ataques massivos, indisponibilidade de fornecedores externos ou situações fora do controle razoável da Emanda.
10. Pós-Incidente
Após a resolução de um incidente crítico, a Emanda poderá elaborar um registro interno ou relatório resumido contendo:
- Descrição do incidente;
- Período de impacto;
- Clientes ou serviços afetados;
- Causa identificada ou provável;
- Medidas adotadas;
- Ações preventivas ou melhorias planejadas.
Quando necessário, a Emanda poderá compartilhar um resumo do incidente com clientes, parceiros ou autoridades competentes.
11. Atualizações desta Política
A Emanda poderá atualizar esta política periodicamente para refletir melhorias operacionais, mudanças técnicas, exigências legais ou ajustes em seus processos internos.
Alterações relevantes poderão ser comunicadas aos clientes pelos canais habituais da Emanda.