Segurança e Tratamento de Dados

SPHIOR Ops Console for Monday

Esta página descreve como a SPHIOR ("nós") protege o SPHIOR Ops Console for Monday (o "Aplicativo") e trata os seus dados. Para saber como tratamos os dados de forma mais ampla, consulte nossa Política de Privacidade em https://ops-console.sphior.com/privacy.

1. Arquitetura e tratamento de dados

· Hospedado no monday code. O Aplicativo é executado na infraestrutura gerenciada da monday.com (monday code). Não operamos banco de dados externo separado, encaminhador de logs nem pipeline de análise. · Nenhum armazenamento de longo prazo dos dados de negócios do cliente. O conteúdo de quadros e itens é processado de forma transitória — em memória ou em armazenamento temporário de curta duração — e excluído imediatamente após a conclusão da operação ou após a entrega à nuvem de sua escolha. · Entrega à sua própria nuvem. As exportações são entregues ao seu próprio Google Drive conforme sua instrução; não guardamos nenhuma cópia. · Criptografia em trânsito: TLS em cada chamada de API, imposta pelas plataformas monday.com e Google. · Criptografia em repouso: a configuração e os tokens são mantidos no monday Storage / monday SecureStorage, criptografados pela monday.com. Os snapshots de Undo são armazenados criptografados.

2. Snapshots de Undo e retenção

Antes de qualquer ação destrutiva (mesclagem de duplicatas, arquivamento em massa ou localizar e substituir), o Aplicativo captura um snapshot de Undo para que você possa recuperar os dados. Os snapshots são criptografados, têm um tempo de vida (TTL) de 30 dias e são excluídos automaticamente quando o TTL expira. Eles constituem o único conteúdo do cliente que o Aplicativo retém além da duração de uma operação.

3. Escopos de privilégio mínimo

O Aplicativo solicita apenas os escopos mínimos da monday.com necessários para sua funcionalidade: me:read, account:read, boards:read, boards:write e notifications:write. O acesso ao Google Drive é limitado ao escopo drive.file, que concede acesso apenas aos arquivos que o próprio Aplicativo cria ou que você seleciona explicitamente — nunca a todo o seu Drive. O Aplicativo não solicita senhas de usuário final nem tokens de acesso pessoal; os tokens de plataforma são gerenciados pela monday.com e pelo Google.

4. Locais de armazenamento

· Configuração, agendamentos e configurações de tarefas → monday Storage. · Tokens OAuth (monday e, se conectado, Google) → monday SecureStorage. · Cargas úteis dos snapshots de Undo → armazenamento de objetos criptografado (BLOB) com um TTL de 30 dias. · Contagens de uso anônimas → apenas métricas agregadas, sem conter dados pessoais nem conteúdo de quadros. Não há banco de dados externo de dados de clientes operado pela SPHIOR.

5. Gestão de vulnerabilidades e desenvolvimento seguro

· Varredura de segurança automatizada. Como a auditoria autenticada de segurança web é o negócio principal da SPHIOR, executamos análise estática (SAST), varredura de dependências / código aberto (SCA) e testes dinâmicos autenticados (DAST) contra as superfícies acessíveis do Aplicativo de forma regular e antes de lançamentos significativos. · As dependências são fixadas por meio de arquivos de bloqueio (lockfiles); uma lista de materiais de software (SBOM) é mantida e revisada a cada lançamento. · As constatações são triadas e corrigidas dentro de prazos definidos e alinhados aos requisitos de segurança do marketplace da monday.com. · O modo estrito do TypeScript, o ESLint e a revisão por pares são executados antes da mesclagem no branch principal. Nenhum segredo é submetido ao controle de versão.

6. Resposta a incidentes de segurança

No caso de um incidente de segurança confirmado que afete o Aplicativo: 1. A triagem começa em até 24 horas após a confirmação. 2. A notificação ao cliente é enviada às instalações afetadas em até 72 horas após a confirmação de impacto material, em conformidade com as expectativas do Article 33 do GDPR. 3. Em seguida, realizam-se a análise de causa raiz e um plano de correção; as correções que impactam os clientes são publicadas por meio do pipeline de atualização do marketplace da monday.com. 4. Um resumo pós-incidente é compartilhado com os clientes afetados e, quando apropriado, resumido publicamente. Eventos de segurança suspeitos podem ser relatados a security@sphior.com a qualquer momento; confirmamos o recebimento em até 1 dia útil.

7. Controles de acesso (internos)

· Privilégio mínimo. O acesso aos repositórios de código-fonte, ao console de desenvolvedor da monday.com e à implantação em produção é restrito aos mantenedores do Aplicativo com base na necessidade de conhecimento. Não são usadas contas compartilhadas nem credenciais de produção compartilhadas. · O branch principal é protegido com verificações de status obrigatórias (verificação de tipos, lint e testes devem passar antes da mesclagem). · A autenticação multifator (MFA) é obrigatória em todas as contas com acesso ao código-fonte, ao console de desenvolvedor e às ferramentas de implantação. · A lista de acesso é revisada pelo menos trimestralmente e revogada prontamente quando deixa de ser necessária.

8. Inteligência artificial

A funcionalidade principal do Aplicativo — desduplicação, localizar e substituir, arquivamento em massa, exportação e itens recorrentes — é totalmente determinística. Nenhum dado de quadros do cliente é enviado a qualquer serviço de AI ou de aprendizado de máquina, e não usamos seus dados para treinar modelos.

9. Divulgação responsável

Damos as boas-vindas à pesquisa de segurança sobre o Aplicativo. Por favor, relate as constatações de forma privada para security@sphior.com com uma descrição, as etapas de reprodução, uma avaliação de impacto e quaisquer mitigações sugeridas. Comprometemo-nos a confirmar o recebimento do seu relato em até 1 dia útil, a fornecer uma decisão inicial de triagem em até 5 dias úteis e a não mover ações legais contra pesquisadores de boa-fé que sigam esta política.

10. Contato

Eventos de segurança: security@sphior.com Contato geral: support@sphior.com Consultas sobre privacidade: consulte a Política de Privacidade em https://ops-console.sphior.com/privacy

Última atualização: 2026-07-11