Garantindo Votação segura e em conformidade com o GDPR

NemoVote é desenvolvido com foco na segurança. Estamos cientes de nossa responsabilidade e a levamos a sério. Cada cédula com NemoVote é segura e incontestável.

Nossos princípios de segurança

Privacidade

Protegemos os dados de acesso não autorizado e uso indevido.

Integridade

Protegemos os dados contra modificações não autorizadas durante todo o seu ciclo de vida.

Disponibilidade

O nosso serviço está disponível em tempo real, mesmo para votações ao vivo com um grande número de eleitores.

Arquitetura e Infraestrutura

  • Toda a nossa infraestrutura é hospedada com provedores de nuvem certificados (incluindo ISO/IEC 27001, 27017 e 27018) Hetzner, Heroku e Amazon AWS. Para mais informações sobre a segurança do Hetzner, Heroku e Amazon AWS, por favor visite suas respectivas visões gerais.

  • Asseguramos que os nossos dados sejam processados e armazenados apenas na UE de maneira compatível com a GDPR.

  • Cada cliente recebe sua própria instância logicamente fechada do NemoVote de nós. Isso significa que os dados de outras instâncias não serão armazenados junto com os seus dados.

  • Nossos servidores web encriptam os dados durante a transmissão de e para o NemoVote usando HTTPS.

  • Todos os dados persistentes são criptografados por nós em repouso usando o padrão de criptografia AES-256.

Registro e monitoramento

  • Todas as atividades (incluindo acesso administrativo) em nossos sistemas são registradas e monitoradas centralmente.

  • Os nossos arquivos de log são armazenados em forma criptografada e são acessíveis apenas para administradores.

  • Nossos arquivos de log são armazenados por um período máximo de 7 dias.

  • Senhas de nossos clientes, bem como dados pessoais, não são registrados por nós em nenhum momento.

  • Através do nosso sistema ativo de monitoramento e alerta, os incidentes são relatados diretamente ao administrador responsável.

Gerenciamento de Vulnerabilidades

  • NemoVote mantém procedimentos para mitigar vulnerabilidades de segurança identificadas e relatadas dentro de um prazo definido.

  • Garantimos que nossos clientes e as autoridades relevantes sejam informados em caso de um incidente de segurança dentro do prazo de 72h.

Gerenciamento de Mudanças

  • A NemoVote possui uma gestão formal de mudanças para gerenciar alterações no software, implantadas no ambiente de produção. Para informações mais detalhadas sobre as mudanças no NemoVote, consulte o Registro de Alterações do NemoVote.

  • Mantemos um processo de reversão detalhado para retornar a versões anteriores do sistema, em caso de emergência.

  • Quaisquer alterações são revisadas e testadas antes de serem liberadas para os sistemas de produção.

Backup e Restauração

  • O NemoVote faz backups em intervalos regulares em caso de perda de dados.

  • Os backups são testados por nós regularmente e armazenados com segurança em nosso provedor de nuvem (padrão mínimo de criptografia AES-256).

  • A NemoVote possui os seguintes objetivos de recuperação de desastres para nossos sistemas:

    • Objetivo de Tempo de Recuperação (RTO): 60 minutos

    • Objetivo de Ponto de Recuperação (RPO): 15 minutos

Medidas de segurança

  • Para clientes:

    • Diretrizes específicas de senha se aplicam a todos os nossos clientes através do uso de sistemas de gerenciamento de usuários comprovados.

    • O ID do Eleitor e o voto registrado são armazenados de forma independente e não podem ser subsequentemente vinculados no banco de dados, garantindo a anonimidade do eleitor.

    • Antes que o voto de um eleitor seja contado, o voto deve ser confirmado em um segundo passo. Isso impede que o voto seja registrado acidentalmente. Para evitar que votos sejam lançados sem autorização, o voto é verificado quanto à sua autorização e correção antes de ser contado.

    • O servidor de eleição NemoVote também garante que um eleitor só possa lançar tantas cédulas quanto lhe tenham sido atribuídas através das listas de eleitores. Os resultados são acessíveis e rastreáveis imediatamente após cada votação para todos os usuários NemoVote autenticados e autorizados no aplicativo. Isso também torna verificável adicionalmente para o eleitor se o respectivo voto foi registrado.

  • Para funcionários e administradores:

    • Todos os acessos dos desenvolvedores do NemoVote aos nossos sistemas são protegidos por medidas avançadas de autenticação.

    • Seguimos o princípio do menor privilégio. Isso significa que nossos funcionários têm acesso somente aos sistemas que são absolutamente necessários para eles.

    • Todos os nossos funcionários comprometem-se a manter a confidencialidade de acordo com o Artigo 5 (1) f) do Regulamento Geral sobre a Proteção de Dados.

    • Todos os acessos atribuídos a funcionários e administradores são regularmente verificados quanto à necessidade ainda existente. Quando um funcionário sai, seguimos um protocolo designado para encerrar todos os acessos atribuídos.

Equipe de segurança e proteção de dados

  • Nossos funcionários, assim como parceiros externos por nós contratados, podem demonstrar experiência relevante e certificações padrão da indústria, como "Certified Information Systems Security Professional", "Certified Cloud Security Professional" do (ISC)², "Data Protection Officer (IHK)" e "Information Security Officer – ISO (TÜV)".

Dados do cliente

  • Usamos o Stripe para processar pagamentos em nossa loja online. Nesse processo, não armazenamos nenhum dado de pagamento, mas o transmitimos diretamente para o Stripe.

  • Os dados pessoais e os dados dos votos serão apagados de todos os nossos sistemas (incluindo backups e arquivos) após a rescisão do plano correspondente do NemoVote, em conformidade com os períodos legais de retenção. Para evitar a eliminação dos seus dados após a rescisão do plano do NemoVote, de modo a garantir o acesso contínuo aos seus votos, pode utilizar os nossos pacotes de reutilização de dados.

Logo do Sedevo

Os recursos e processos de segurança do NemoVote foram projetados e implementados em cooperação com Sedevo e são regularmente verificados pela equipe da Sedevo.