1. Nossa postura e cultura de segurança
A Colaço Consultoria trata a segurança da informação como pilar inegociável da relação de confiança com clientes, parceiros e sociedade. A proteção de dados pessoais e financeiros integra a rotina de tomada de decisão: desde a escolha de fornecedores e contratos, passando pelo treinamento de equipe, até a resposta a incidentes (resposta a incidentes é detalhada na seção 7). Não divulgamos credenciais, senhas ou informações sensíveis em canais de mensagem pública, e nunca pedimos a senha de acesso ao banco por WhatsApp, telefone ou e-mail — práticas que o cliente pode usar como referência para identificar phishing e golpes.
2. Confidencialidade, integridade e disponibilidade (triade CID)
Adotamos processos técnicos e organizacionais que visam preservar: (a) a confidencialidade da informação, restringindo o acesso ao estritamente necessário; (b) a integridade, de modo a detectar e mitigar alterações indevidas em dados; e (c) a disponibilidade razoável dos canais, reconhecendo que a internet envolve fornecedores múltiplos e, portanto, continuidade absoluta 24/7/365 sem qualquer indisponibilidade não constitui promessa explícita, mas meta operacional a que nos orientamos com redundância e monitoramento.
3. Criptografia, transporte e autenticação
As comunicações com nosso site e com serviços em nuvem, quando ofertados, utilizam, em regra, protocolo HTTPS/TLS (certificados de servidor válidos), reduzindo o risco de interceptação em trânsito. Sistemas internos que armazenam documentos pessoalmente identificáveis são protegidos por controles de autenticação, perfis de acesso (princípio do menor privilégio) e, quando apropriado, armazenamento cifrado ou segregação lógica em camadas, conforme a sensibilidade do ativo e o padrão do fornecedor certificado.
Recomendamos que o titular de dados ative, sempre que a instituição parceira permitir, a autenticação em dois fatores (2FA) e utilize senha forte, exclusiva para serviços financeiros, sem reuso em redes sociais ou comércio eletrônico de baixa criticidade.
4. Parceiros, correspondência bancária e cadeia de fornecedores
Operamos interligados a instituições financeiras e a prestadores de tecnologia (hospedagem, telefonia, plataformas de mensageria, etc.). Todos passam por critério mínimo de due diligence e por cláusulas de confidencialidade, limitação de finalidade, notificação de violações e, quando aplicável, acordo de processamento (DPA) alinhado à LGPD, nos termos do art. 41.
Quando a operação de crédito for formalizada, parte dos dados será tratada diretamente pela instituição responsável pelo produto: nesse contexto, coexistem regras e avisos de privacidade do banco, que deverão ser observados em paralelo, sem prejuízo do arcabouço geral descrito em nossos documentos legais.
5. Acesso, segregação e registro (logs)
Contas e perfis de colaboradores são vinculados a função e alçada; revogamos acessos em desligamentos e revisamos permissões periódica ou quando há mudança de risco. Eventos de autenticação, alterações de cadastros e exportações de maior sensibilidade podem ser registrados em logs de auditoria, com prazo de retenção alinhado às obrigações legais, às políticas de parceiros e à necessidade de apuração de fraude e contestações.
6. Ambiente, backup e resiliência
Recursos de infraestrutura são, na medida do viável, implantados com provedores de reputação, planos de continuidade e backup (verificação e restauração testada em frequência administrada), reduzindo o impacto de falhas, desastres e ataques. Não publicamos, por prudência, detalhes técnicos internos (topologia, fabricantes) que pudessem facilitar vetores de ataque, mas o quadro geral de compromisso permanece o aqui estampado e pode ser aprofundado em diligências e fiscalizações competentes, sob sigilo, quando a lei o permitir.
7. Resposta a incidentes e notificação
Em eventual incidente de segurança com potencial de risco ou dano relevante a titulares, procederemos com análise, contenção, erradicação e recuperação em ciclos conhecidos da gestão de crise, mantendo a comunicação interna mínima necessária e, fora o sigilo justificado, notificaremos a ANPD e os afetados quando as hipóteses legais e a avaliação de severidade o exigirem, alinhando a forma e o prazo à regulamentação aplicável, inclusive a Resolução ANPD nº 11/2024 e o Guia de Boas Práticas correlato em sua vigência.
8. Boa prática para o titular: evite cair em golpes
- Desconfie de promessas de crédito fácil com pagamento de taxa antecipada para liberação — é esquema recorrente de fraude.
- Valide o número e o perfil oficial de contato: utilize apenas os links e botões de WhatsApp exibidos no nosso site.
- Não instale APKs ou programas de acesso remoto a pedido de terceiros desconhecidos durante uma suposta análise de crédito.
- Em caso de dúvida, interrompa a interação e retome o contato por um canal que você proativamente inicie a partir do site.
9. Revisão deste documento
A evolução da ameaça cibernética, da regulação e da própria operação exige a revisão periódica deste texto. A data de atualização constará no início, quando ajustes materiais forem publicados, sem prejuízo de comunicados específicos em canais apropriados, caso necessários.