Logotipo da Varify
Entrar
Teste Grátis
Get a demo
Logotipo da Varify
Entrar
Teste Grátis
Get a demo

  • Palavras-chave populares

    Artigo de suporte

    Total Resultados

    Nenhum registro encontrado

    Ver todos os resultados

    • Por que a Varify não possui a certificação ISO 27001 - e por que isso não é um problema

    Tabela de conteúdo

    Objetivo do artigo

    Este documento fornece à equipe da Varify uma linha de raciocínio clara e baseada em fatos quando os clientes ou possíveis clientes perguntam por que a Varify não possui a certificação ISO 27001 (ou equivalente). Ele explica os motivos arquitetônicos pelos quais tal certificação seria desproporcional, descreve as medidas de segurança que a Varify realmente implementa e fornece módulos de texto prontos para discussões de vendas, sucesso do cliente e compras.

    A resposta curta

    A Varify não armazena nem processa nenhum dado pessoal. A ISO 27001 foi projetada para gerenciar riscos relacionados a ativos de informações - em particular, dados sensíveis ou pessoais. Como a Varify deliberadamente se abstém de armazenar esses dados arquitetonicamente, os riscos abordados pela ISO 27001 não se aplicam à Varify. Em vez disso, a Varify conta com medidas proporcionais e em conformidade com o GDPR e com os princípios de privacidade desde a concepção que correspondem ao perfil de risco real.

    Como a arquitetura da Varify elimina os riscos dos dados

    A Varify separa a entrega do experimento da medição do resultado. Essa decisão arquitetônica central determina toda a posição de dados da Varify.

    O que a Varify faz

    • Fornece um snippet JavaScript leve (11,5 KB) que aplica alterações visuais ou baseadas em código a um site
    • Atribui variantes de experimento aos visitantes via localStorage/sessionStorage (não via cookies)
    • Envia sinais de participação no experimento para a ferramenta de análise do próprio cliente (GA4, BigQuery, PostHog, Matomo etc.)

    O que a Varify NÃO faz

    • Não coleta, armazena ou processa informações de identificação pessoal (PII)
    • Não define cookies e não usa identificadores persistentes
    • Não cria perfis de usuário e não rastreia pessoas entre sessões
    • Não opera seu próprio banco de dados de análise ou data warehouse
    • Não recebe, armazena ou tem acesso a dados de conversão, dados de vendas ou registros de clientes

    Todo o rastreamento, medição e armazenamento de dados ocorre exclusivamente no ambiente de análise do cliente. A Varify não vê, toca ou armazena esses dados em nenhum momento.

    Por que a ISO 27001 é desproporcional para a Varify

    A ISO 27001 é uma estrutura para estabelecer, implementar e manter um sistema de gerenciamento de segurança da informação (ISMS). Ela se destina a organizações que armazenam, processam ou transferem informações confidenciais, especialmente dados pessoais, dados financeiros, dados de saúde ou propriedade intelectual.

    Os controles essenciais da ISO 27001 abordam riscos como:

    • Acesso não autorizado a dados armazenados
    • Violações de dados e perda de dados
    • Pipelines de processamento de dados inseguros
    • Controles de acesso insuficientes a sistemas confidenciais
    • Resposta inadequada a incidentes relacionados a dados

     

    Esses riscos pressupõem que o provedor possui dados dignos de proteção. Se a arquitetura de um provedor for projetada de forma que nenhum dado pessoal seja armazenado ou processado, o modelo de ameaça que a ISO 27001 protege é fundamentalmente reduzido.

    Esse não é um argumento a favor de não ter nenhuma medida de segurança, mas sim de tomar medidas que sejam apropriadas ao risco real. O próprio GDPR consagra esse princípio no Artigo 32, que exige medidas de segurança que sejam „proporcionais ao risco”.

    O que a Varify realmente tem

    A Varify mantém medidas de segurança e conformidade adequadas à sua função de ferramenta de entrega no lado do cliente sem armazenamento de dados pessoais.

    Conformidade com o GDPR desde a concepção

    • Arquitetura sem cookies - não é necessário consentimento de cookies especificamente para a Varify
    • Nenhum dado pessoal armazenado pela Varify
    • Não há identificadores pessoais para os participantes do experimento
    • Privacidade por projeto e privacidade por padrão como princípios arquitetônicos

    Contrato de processamento de pedidos (AVV)

    • DPA completo de acordo com o Art. 28 do GDPR, obrigatório para todos os clientes
    • Medidas técnicas e organizacionais (TOMs) documentadas como um anexo à GCU
    • Lista de subprocessadores com notificação prévia de alterações
    • Procedimento definido para apoiar os direitos dos titulares de dados
    • Direitos de inspeção concedidos à pessoa responsável

    Segurança da infraestrutura (controles herdados)

    A infraestrutura da Varify é executada por provedores que possuem certificações abrangentes:

    Provedor Função Certificações
    AWS (Frankfurt, eu-central-1) Hospedagem, computação, armazenamento ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, C5, PCI DSS
    Cloudflare CDN, proteção contra DDoS, entrega de borda ISO 27001, SOC 2 Tipo II, PCI DSS

    Todo o processamento de dados é realizado dentro da UE (Frankfurt). Para as operações principais, nenhum dado é transferido para fora do Espaço Econômico Europeu.

    Segurança no nível do aplicativo

    • Criptografia TLS para todos os dados em trânsito (HTTPS obrigatório)
    • Controle de acesso baseado em função na plataforma Varify
    • Práticas de desenvolvimento de software seguro
    • Monitoramento regular de dependências e vulnerabilidades
    • Procedimento de resposta a incidentes documentado na GCU

    Status de conformidade

    • Em conformidade com o GDPR (processamento de dados da UE, sem armazenamento de PII, DPA com TOMs)
    • Compatível com CCPA
    • Compatível com ambientes regulamentados pela HIPAA (sem processamento de PHI)
    • Em conformidade com o revDSG suíço (hospedagem em conformidade com a UE)

    O argumento da proporcionalidade

    O princípio da proporcionalidade é fundamental tanto para o GDPR (artigo 32) quanto para a própria norma ISO 27001 (a seleção dos controles do Anexo A é baseada em riscos). Exigir a ISO 27001 de um provedor que não mantém nenhum dado pessoal cria uma incompatibilidade de conformidade:

    1. A certificação cobriria riscos que não existem. O valor da ISO 27001 está na proteção dos ativos de informação. Se não houver ativos de dados pessoais, a certificação aborda um modelo de ameaça vazio.
    2. Os dados são armazenados na ferramenta de análise do cliente. A instância GA4, BigQuery ou Matomo do cliente, e não a Varify, é o sistema que armazena os resultados do experimento e os dados do usuário. As avaliações de segurança devem se concentrar nesses sistemas.
    3. A ISO 27001 não é garantia de segurança. A certificação confirma a existência de um sistema de gerenciamento, não a ausência de vulnerabilidades. Um provedor com ISO 27001 ainda pode ser afetado por violações de dados. Um provedor sem a ISO 27001 ainda pode ter medidas de segurança sólidas e adequadas.
    4. Medidas proporcionais são mais honestas. Em vez de buscar uma certificação que consistiria em grande parte de controles „não aplicáveis”, a Varify investe em medidas que são realmente relevantes para sua arquitetura: infraestrutura de entrega segura, hospedagem na UE, contratos de processamento de pedidos em conformidade com o GDPR e gerenciamento transparente de subprocessadores.

     

    Comparação: Onde a ISO 27001 faz sentido e onde não faz

    Cenário A ISO 27001 é apropriada? Por que
    Provedor de CRM com armazenamento de dados de clientes Sim Armazena e processa PII em grande escala
    Provedor de armazenamento em nuvem Sim Armazena documentos e arquivos confidenciais
    Provedor de serviços de pagamento Sim Processa dados financeiros
    Plataforma de análise com seu próprio data warehouse Sim Armazena dados comportamentais, potencialmente PII
    Ferramenta de teste A/B no lado do cliente sem armazenamento de dados Desproporcional Nenhuma PII armazenada, nenhum data warehouse, função de entrega pura

    Perguntas frequentes (FAQ)

    P: A Varify se esforçará para obter a ISO 27001 no futuro? R: Avaliamos regularmente nosso planejamento de certificação. Se nossa arquitetura evoluir para armazenar dados pessoais, a certificação se tornará uma prioridade. Para nossa arquitetura atual, nos concentramos em medidas que correspondem ao nosso perfil de risco real.

    P: Vocês podem preencher nosso questionário de segurança sem a ISO 27001? R: Sim. Respondemos regularmente às avaliações de segurança dos fornecedores e podemos fornecer informações detalhadas sobre nossa infraestrutura, processamento de dados e configuração de conformidade. Muitas das perguntas relacionadas à ISO 27001 são respondidas com „não aplicável - não há dados pessoais armazenados” ou cobertas por referência às certificações de nossos fornecedores de infraestrutura.

    P: E quanto ao SOC 2? R: Aplica-se o mesmo argumento de proporcionalidade. As auditorias SOC 2 Tipo II são projetadas para provedores de serviços que armazenam e processam dados de clientes. Nossos provedores de infraestrutura (AWS, Cloudflare) têm certificações SOC 2. Para as próprias operações da Varify - onde nenhum dado de cliente é armazenado - o SOC 2 auditaria um ambiente de dados que não existe.

    P: Nossa política interna exige a ISO 27001 de todos os provedores, sem exceção. R: Entendemos isso. Na prática, muitas organizações aplicam isenções baseadas em risco para provedores que não armazenam dados pessoais. Recomendamos discutir com a sua equipe de segurança da informação se a arquitetura da Varify (sem armazenamento de dados, hospedagem na UE, provedores de infraestrutura certificados, AVV completo com TOMs) se qualifica para essa isenção. Teremos prazer em apoiar essa discussão com documentação e um passo a passo técnico.

    Última atualização: Abril de 2026 Responsável: Varify Software GmbH

  • Documentação do usuário
    Primeiros passos