Este Aviso de Privacidade aplica-se ao processamento de informações pessoais pela Gnomi App Corp (GNOMI), incluindo em nosso aplicativo móvel, nosso site em gnomi.com e nossas outras ofertas online ou offline (coletivamente, os Serviços).

1. Atualizações deste Aviso de Privacidade

Podemos atualizar este Aviso de Privacidade periodicamente. Se o fizermos, informaremos você publicando o Aviso de Privacidade atualizado em nosso site e/ou também poderemos enviar outras comunicações.

2. Informações Pessoais que Coletamos

Coletamos informações pessoais que você nos fornece, informações pessoais que coletamos automaticamente quando você usa os Serviços e informações pessoais de fontes terceiras.

A. Informações Pessoais que Você Fornece Diretamente

• Informações da Conta: Nome de usuário, endereço de e-mail, senha, país de localização e outras informações que você armazena com sua conta
• Informações de Perfil: Nome, cargo, biografia, contas de mídia social vinculadas, gênero e data de nascimento (privado)
• Recursos Interativos: Conteúdo que você envia por meio de mensagens, comentários e recursos de mídia social
• Compras: Informações de pagamento para assinaturas GNOMI Premium
• Comunicações: Informações que você nos envia por e-mail ou ferramenta de chat
• Pesquisas: Informações de pesquisas das quais você participa
• Concursos: Informações de sorteios ou concursos
• Eventos: Informações de conferências e feiras comerciais
• Candidaturas a Emprego: Informações de contato e CV se você se candidatar a empregos

B. Informações Pessoais Coletadas Automaticamente

• Informações do Dispositivo: Endereço IP, configurações do usuário, identificadores de cookies, informações do navegador, informações de localização
• Informações de Uso: Páginas visitadas, termos de pesquisa, interações com conteúdo, frequência e duração da atividade
• Cookies e Tecnologias: Cookies, pixel tags e web beacons para coletar informações sobre seu uso dos Serviços

C. Informações Pessoais Coletadas de Terceiros

Podemos coletar informações pessoais de serviços de terceiros quando você conecta o GNOMI com contas de mídia social (Reddit, LinkedIn, Meta, X) ou usa serviços de login de terceiros.

3. Como Usamos Informações Pessoais

A. Fornecer os Serviços

• Gerenciar suas informações e fornecer acesso a recursos
• Suporte ao cliente e comunicações
• Processamento de pagamentos
• Processamento de candidaturas de emprego

B. Melhorar os Serviços e Desenvolver Novos Produtos

• Treinamento de tecnologias de IA e aprendizado de máquina
• Aprimoramento e melhoria dos Serviços

C. Finalidades Administrativas

• Segurança e prevenção de fraudes
• Análises e medição de engajamento
• Controle de qualidade e segurança
• Conformidade legal

D. Marketing

Podemos usar suas informações pessoais para fornecer mensagens de marketing e ofertas por meio de campanhas de e-mail, conforme permitido pela legislação aplicável.

F. Tomada de Decisão Automatizada

Podemos realizar tomada de decisão automatizada, incluindo criação de perfis, para entregar conteúdo personalizado com base em suas interações com os Serviços.

4. Como Divulgamos Informações Pessoais

A. Divulgações para Fornecer os Serviços

• Prestadores de Serviços: Serviços de IA/ML, hospedagem, atendimento ao cliente, análises, marketing, suporte de TI
• Outros Usuários: Informações que você escolhe compartilhar com outros usuários do GNOMI
• Serviços de Terceiros: Serviços com os quais você se conecta ou interage
• Parceiros Comerciais: Parceiros com os quais trabalhamos para fornecer serviços
• Afiliadas: Nossas afiliadas corporativas
• Parceiros de Publicidade: Para usuários gratuitos, podemos compartilhar informações com parceiros de publicidade para publicidade direcionada

B. Divulgações para Nos Proteger ou a Outros

Podemos divulgar informações para cumprir solicitações legais, proteger direitos e segurança, fazer cumprir políticas ou auxiliar em investigações.

C. Transações Comerciais

Suas informações podem ser divulgadas em conexão com fusões, aquisições ou outras transações corporativas.

5. Suas Escolhas e Direitos de Privacidade

Suas Escolhas de Privacidade

• Comunicações por Email: Cancele a inscrição usando links nos emails
• Mensagens de Texto: Responda "STOP" para cancelar
• Dispositivos Móveis: Ajustar configurações de notificações push e localização
• Cookies: Ajustar preferências do navegador (nota: pode afetar a funcionalidade)
• Não Rastrear: Não respondemos a sinais DNT

Seus Direitos de Privacidade

Você pode ter o direito de:

• Confirmar se estamos processando suas informações pessoais
• Solicitar acesso ou portabilidade de suas informações pessoais
• Solicitar correção de suas informações pessoais
• Solicitar exclusão de suas informações pessoais
• Solicitar restrição ou se opor ao processamento
• Optar por não receber publicidade direcionada, vendas ou criação de perfil
• Retirar consentimento

6. Transferências Internacionais de Informações Pessoais

Informações pessoais podem ser transferidas, processadas e armazenadas em qualquer lugar do mundo, incluindo países com leis de proteção de dados diferentes. Para transferências da UE/Reino Unido, podemos usar as Cláusulas Contratuais Padrão da UE como salvaguardas.

7. Retenção de Informações Pessoais

Armazenamos informações pessoais enquanto você utilizar os Serviços, ou conforme necessário para cumprir finalidades, fornecer Serviços, resolver disputas e cumprir obrigações legais.

8. Aviso Suplementar para GDPR da UE/Reino Unido

Esta seção aplica-se a informações pessoais sujeitas ao GDPR da UE ou do Reino Unido. Em alguns casos, o fornecimento de informações pessoais pode ser exigido por lei ou contrato. Informaremos você sobre as consequências caso opte por não fornecer as informações necessárias.

9. Informações Pessoais de Crianças

Os Serviços não são direcionados a crianças menores de 16 anos, e não coletamos intencionalmente informações pessoais de crianças. Se você acredita que seu filho carregou informações em violação da lei aplicável, entre em contato conosco.

10. Aviso de Privacidade de Promoções

GNOMI App Corp. ("Patrocinador") coleta e processa informações pessoais enviadas pelos participantes, incluindo nome, endereço de e-mail, país ou estado de residência e informações necessárias para verificar a elegibilidade e entregar prêmios. Essas informações são usadas exclusivamente para administrar a promoção, prevenir fraudes, verificar elegibilidade e entregar prêmios.

Para participantes localizados no Espaço Econômico Europeu ou Reino Unido, o Patrocinador processa dados pessoais com base na execução de um contrato (administração da promoção) e nos interesses legítimos do Patrocinador em operar e garantir a segurança da promoção. Se os participantes optarem por receber comunicações de marketing, o processamento será baseado no consentimento. A participação na promoção não está condicionada ao fornecimento de consentimento para marketing.

O Patrocinador pode utilizar prestadores de serviços para auxiliar na administração da promoção, comunicações, análises e entrega de prêmios. Os dados pessoais podem ser transferidos e processados nos Estados Unidos ou em outros países onde o Patrocinador ou seus prestadores de serviços operam, sujeitos a salvaguardas legais apropriadas quando exigido.

Os dados pessoais são retidos por até doze (12) meses após o término da promoção e depois excluídos ou anonimizados, a menos que seja necessária uma retenção mais longa para fins legais ou regulatórios. A promoção está aberta apenas para indivíduos que tenham pelo menos 18 anos ou a maioridade em sua jurisdição.

Dependendo da lei aplicável, os participantes podem ter o direito de solicitar acesso, correção ou exclusão de seus dados pessoais, restringir ou se opor ao processamento, ou solicitar a portabilidade de dados. Participantes no EEE ou Reino Unido também podem apresentar uma reclamação junto à autoridade local de proteção de dados. Residentes dos EUA podem ter direitos de privacidade adicionais sob as leis estaduais aplicáveis.

Solicitações relacionadas a dados pessoais podem ser enviadas para: privacy@gnomi.com

11. Política de Retenção e Eliminação de Dados

Documentação de Conformidade com o RGPD e Legislação de Privacidade Aplicável

2. Declaração de Conformidade com o RGPD e Legislação de Privacidade Aplicável

A GNOMI mantém esta Política de Retenção e Eliminação de Dados definida e aplicada para apoiar a conformidade com as leis de privacidade e proteção de dados aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD) quando o RGPD se aplica às atividades de tratamento da GNOMI. Esta política foi concebida para operacionalizar os princípios de retenção e eliminação alinhados com o RGPD, incluindo limitação de armazenamento, minimização de dados, limitação de finalidade, integridade e confidencialidade, responsabilização e tratamento lícito de pedidos de eliminação e restrição de titulares de dados.

Os controlos de retenção e eliminação da GNOMI destinam-se a garantir que os Dados Pessoais não sejam retidos por mais tempo do que o necessário para as finalidades para as quais são recolhidos ou de outra forma tratados licitamente, a menos que a retenção continuada seja exigida por motivos legais, regulamentares, contratuais, de segurança, de prevenção de fraude, contabilísticos, de auditoria, de resolução de litígios ou de fins comerciais legítimos.

Quando a GNOMI trata informações de contas financeiras ou de carteira autorizadas pelo utilizador através da Plaid ou fornecedores semelhantes, a GNOMI aplica controlos de retenção e eliminação concebidos para limitar a retenção de dados de integração financeira ao período necessário para fornecer funcionalidades autorizadas, manter a segurança, satisfazer obrigações contratuais, prevenir fraudes e cumprir a legislação aplicável.

3. Âmbito

Esta política aplica-se a todos os dados recolhidos, tratados, armazenados, transmitidos ou mantidos pela GNOMI ou por prestadores de serviços terceiros que atuem em nome da GNOMI. Isto inclui sistemas de produção, serviços na nuvem, bases de dados de aplicações, sistemas de contas de utilizadores, sistemas de integração financeira, sistemas de análise de carteiras, sistemas de inteligência financeira gerada por IA, sistemas de análise financeira, integrações Plaid, integrações de contas de corretagem, integrações bancárias, registos de segurança, ambientes de análise, ferramentas de apoio ao cliente, plataformas de fornecedores, registos corporativos, cópias de segurança e sistemas de recuperação de desastres.

Esta política aplica-se a funcionários, contratados, consultores, prestadores de serviços e outro pessoal autorizado da GNOMI que crie, aceda, gira, armazene, trate, transmita, retenha, elimine ou descarte dados em nome da GNOMI.

4. Declaração de Política

A GNOMI retém dados apenas pelo tempo necessário para fornecer e melhorar os seus serviços, apoiar funcionalidades autorizadas pelo utilizador, manter a segurança, satisfazer obrigações contratuais e legais, conduzir operações comerciais e proteger a GNOMI, os seus parceiros e os seus utilizadores. Quando os dados já não são necessários, a GNOMI elimina, anonimiza, agrega ou descarta-os de forma segura utilizando controlos administrativos, técnicos e processuais apropriados.

Os períodos de retenção baseiam-se no tipo de dados, finalidade do tratamento, relação com o utilizador, base legal, necessidade comercial, obrigações contratuais, requisitos regulamentares e requisitos de segurança. A GNOMI revê periodicamente as práticas de retenção e eliminação para confirmar que permanecem apropriadas para o seu negócio, produtos, sistemas, fornecedores e obrigações de privacidade aplicáveis.

A GNOMI retém dados de integração financeira autorizados pelo utilizador apenas pelo tempo necessário para fornecer a funcionalidade de inteligência financeira autorizada solicitada pelo utilizador, incluindo análise de carteira, análise de diversificação, geração de sentimento de carteira, insights financeiros gerados por IA, prevenção de fraudes e suporte de integração.

5. Princípios de Retenção Alinhados com o RGPD

• Limitação de armazenamento: A GNOMI retém Dados Pessoais apenas pelo período necessário para a finalidade de tratamento relevante, a menos que uma retenção mais longa seja justificada por lei, contrato, segurança, resolução de litígios, auditoria, contabilidade ou requisitos de conformidade.
• Minimização de dados: A GNOMI limita os dados retidos ao que é razoavelmente necessário para a finalidade comercial, de produto, de segurança, legal ou de conformidade relevante.
• Limitação de finalidade: A GNOMI avalia a retenção com base na finalidade para a qual os dados foram recolhidos ou de outra forma tratados licitamente.
• Integridade e confidencialidade: A GNOMI protege os dados retidos com controlos de acesso apropriados, permissões de privilégio mínimo, monitorização e práticas de tratamento seguro.
• Responsabilização: A GNOMI mantém responsabilidades de titularidade, revisão e aplicação para decisões de retenção e eliminação.
• Direitos dos titulares de dados: A GNOMI trata pedidos aplicáveis de eliminação, correção, restrição e oposição de acordo com a legislação de privacidade aplicável e quaisquer exceções lícitas.
• Limitação de autorização do utilizador: Os dados de integração financeira são retidos e tratados apenas pela duração e finalidades autorizadas pelo utilizador e apoiadas por fundamentos de tratamento lícitos aplicáveis.

6. Classificação de Dados

A GNOMI classifica os dados com base na sensibilidade, finalidade de tratamento, obrigações aplicáveis e utilização operacional. Os controlos de retenção e eliminação são aplicados de acordo com a natureza dos dados e os sistemas onde residem.

• Dados de clientes e usuários: informações relacionadas à conta, informações de perfil do usuário, preferências, dados de uso do produto, comunicações de suporte e registros relacionados ao serviço.
• Dados de conexão financeira: dados de contas de corretagem autorizados pelo usuário, dados de relacionamento bancário, participações em carteira, metadados de transações, metadados de contas de investimento, saldos, identificadores de instituições financeiras, credenciais ou tokens de integração financeira, insights financeiros gerados por IA, resultados de análises de carteira e informações relacionadas processadas através da Plaid ou provedores similares de integração financeira.
• Dados de inteligência financeira gerados por IA: análise de sentimento de carteira, análise de diversificação, resumos financeiros, resultados de IA em nível de conta e inteligência financeira específica do usuário relacionada gerada a partir de integrações financeiras autorizadas.
• Logs de segurança e operacionais: registros de autenticação, logs de acesso, logs de auditoria, dados de monitoramento, logs de atividade do sistema e registros de resposta a incidentes.
• Dados empresariais e administrativos: contratos, registros de fornecedores, registros de faturamento, registros corporativos, registros legais, registros fiscais e documentação operacional interna.
• Dados agregados, anonimizados ou desidentificados: análises, dados de melhoria de produto e dados de relatórios que não estão razoavelmente vinculados a um indivíduo identificável.

7. Cronograma de Retenção

A GNOMI aplica períodos de retenção de acordo com as categorias abaixo. Períodos específicos podem ser ajustados quando exigido por lei, contrato, necessidade de segurança, requisitos técnicos do sistema ou necessidade empresarial aprovada. Quando um período de retenção específico não é legalmente exigido, a GNOMI retém dados apenas pelo tempo necessário para a finalidade aplicável e então os exclui, anonimiza ou descarta de forma segura.

Categoria de Dados	Finalidade Principal	Padrão de Retenção	Método de Descarte
Dados de conta e perfil de usuário	Operação de conta, autenticação, suporte ao usuário, prestação de serviços	Retidos enquanto a conta estiver ativa e por um período limitado após o encerramento, conforme necessário para fins de segurança, prevenção de fraude, legais, de auditoria ou de suporte.	Exclusão, anonimização ou eliminação segura dos sistemas ativos.
Dados de integração financeira autorizados pelo usuário	Fornecimento de funcionalidades de inteligência financeira autorizadas, funcionalidade solicitada pelo usuário, suporte à integração e segurança	Retidos apenas enquanto o usuário mantiver a conexão financeira autorizada ou enquanto necessário para fornecer funcionalidade de inteligência financeira autorizada, manter a segurança, prevenir fraude, apoiar operações comerciais legítimas, cumprir obrigações contratuais ou satisfazer requisitos legais e regulatórios. Integrações revogadas, desconectadas, expiradas ou inativas são excluídas, desativadas, anonimizadas ou com tokens revogados de acordo com requisitos operacionais e legais.	Exclusão dos sistemas ativos, revogação segura de tokens, anonimização, retenção arquivística restrita quando legalmente exigido, ou descarte seguro.
Insights financeiros gerados por IA e análises de portfólio	Inteligência de portfólio, análise de diversificação, análise de sentimento, funcionalidade de chat com IA, análises solicitadas pelo usuário	Retidos enquanto as contas de usuário associadas permanecerem ativas e a funcionalidade permanecer habilitada, sujeitos a solicitações de exclusão, requisitos de segurança, obrigações legais e necessidade operacional	Exclusão, anonimização, agregação ou descarte seguro
Registros de suporte e comunicações	Suporte ao cliente, resolução de problemas, garantia de qualidade e conformidade	Retidos conforme necessário para resolver solicitações, manter registros de serviço e apoiar requisitos comerciais ou legais.	Exclusão ou descarte seguro de arquivo após expiração.
Logs de segurança, acesso e auditoria	Monitoramento de segurança, prevenção de fraude, detecção de incidentes, revisão de acesso, auditoria e integridade do sistema	Retidos por um período apropriado à finalidade de segurança, requisitos do sistema e obrigações legais ou contratuais.	Expiração programada, eliminação segura ou descarte de arquivo restrito.
Registros de faturamento, fiscais, corporativos e legais	Contabilidade, impostos, governança corporativa, auditoria, administração de contratos e conformidade legal	Retidos pelo período exigido pela lei aplicável, padrões de auditoria, contrato ou requisitos de governança corporativa.	Descarte seguro após expiração da necessidade legal ou comercial.
Dados agregados, anonimizados ou desidentificados	Análises, melhoria de produto, pesquisa, relatórios e inteligência de negócios	Podem ser retidos por períodos mais longos quando os dados não forem razoavelmente identificáveis e estiverem fora do escopo de dados pessoais sob a lei aplicável.	Uso contínuo, agregação adicional ou descarte quando não mais necessário.
Dados de backups e recuperação de desastres	Continuidade de negócios, recuperação de segurança e restauração de sistema	Retidos de acordo com cronogramas de ciclo de vida de backup e sobrescritos ou eliminados através de rotação normal de backup, a menos que sujeitos a retenção legal.	Sobrescrita programada, expiração ou destruição segura.

8. Procedimentos de Eliminação de Dados e Descarte Seguro

A GNOMI aplica a eliminação e o descarte de dados através de controlos administrativos, técnicos e processuais. Os métodos de descarte são selecionados com base no tipo de dados, sistema, sensibilidade, requisito de retenção e viabilidade técnica.

• Eliminação ou purga dos sistemas de produção ativos quando os dados já não são necessários.
• Anonimização ou agregação quando a GNOMI necessita de preservar análises ou informações sobre produtos sem reter dados pessoais razoavelmente identificáveis.
• Restrição ou desativação de dados quando a eliminação é temporariamente limitada por retenção legal, segurança, auditoria, contabilidade, resolução de litígios ou restrições técnicas.
• Descarte seguro de registos e exportações utilizando processos aprovados de eliminação, destruição ou revogação de acesso.
• Revisão de sistemas e fornecedores para confirmar que as obrigações de retenção e descarte são operacionalizadas onde os dados são processados em nome da GNOMI.
• Revogação e eliminação de tokens de acesso Plaid, credenciais OAuth, credenciais API e segredos de integração associados quando as integrações são desconectadas, expiram ou já não são necessárias.
• Eliminação ou anonimização de informações financeiras geradas por IA quando as integrações financeiras subjacentes associadas são revogadas ou eliminadas, salvo se a retenção for de outra forma exigida.

9. Pedidos de Titulares de Dados RGPD e Encerramento de Conta

Quando se aplica o RGPD ou outra lei de privacidade aplicável, a GNOMI processa pedidos de titulares de dados relativos a acesso, correção, eliminação, restrição, oposição e portabilidade de acordo com os requisitos legais aplicáveis e exceções legítimas. A GNOMI avalia os pedidos com base na identidade do requerente, na natureza dos dados, na base legal aplicável, nos requisitos do sistema e em qualquer obrigação legítima de reter dados.

Após encerramento de conta verificado ou pedido de eliminação verificado, a GNOMI elimina, anonimiza ou restringe os Dados Pessoais aplicáveis dos sistemas ativos, salvo se a retenção for exigida ou permitida para fins legais, regulamentares, contratuais, de segurança, prevenção de fraude, contabilidade, auditoria, resolução de litígios ou fins comerciais legítimos. Quando os dados não podem ser imediatamente eliminados das cópias de segurança, são protegidos contra uso ordinário e removidos através do ciclo de vida de cópia de segurança aplicável.

Quando tecnicamente viável e legalmente permitido, a GNOMI processa pedidos verificados para desconectar integrações financeiras, revogar tokens de acesso financeiro, eliminar dados de análise de carteira associados e remover informações financeiras geradas por IA associadas a integrações financeiras autorizadas pelo utilizador.

10. Retenções Legais e Exceções de Retenção

A GNOMI pode suspender os calendários normais de retenção ou eliminação quando os dados estão sujeitos a uma retenção legal, litígio, investigação, pedido regulamentar, requisito de auditoria, incidente de segurança, obrigação contratual, obrigação contabilística ou outro requisito comercial legítimo. Os dados sujeitos a uma retenção legal ou exceção aprovada são retidos apenas pelo tempo em que a exceção se aplica e são depois devolvidos ao processo de retenção e descarte aplicável. As obrigações de segurança, prevenção de fraude, anti-abuso, resolução de litígios, auditoria, revisão regulamentar ou outras obrigações de conformidade legítimas podem exigir a retenção contínua limitada de registos de integração financeira ou metadados financeiros relacionados com segurança.

11. Fornecedores, Subcontratantes e Sistemas de Terceiros

Quando a GNOMI utiliza prestadores de serviços terceiros para armazenar ou processar dados, a GNOMI exige tratamento apropriado de retenção e descarte através de revisão de fornecedores, obrigações contratuais quando aplicável e controlos operacionais. Para prestadores que atuam como subcontratantes ou prestadores de serviços, a GNOMI espera que as obrigações de retenção, eliminação, confidencialidade, segurança e assistência sejam abordadas em acordos aplicáveis, termos de processamento de dados ou controlos de fornecedores.

A GNOMI revê as práticas de tratamento de dados dos fornecedores conforme apropriado à natureza do serviço, à sensibilidade dos dados e aos requisitos de privacidade e segurança aplicáveis. Quando a GNOMI recebe um pedido de eliminação verificado que se aplica a dados detidos por um fornecedor ou subcontratante, a GNOMI toma medidas razoáveis para comunicar ou executar o pedido de eliminação, restrição ou anonimização através do fluxo de trabalho do fornecedor aplicável, sujeito a exceções legítimas.

A GNOMI avalia a Plaid e outros fornecedores de integração financeira quanto a controlos contratuais, de privacidade, segurança, retenção, eliminação, confidencialidade e conformidade regulamentar apropriados.

Quando exigido, a GNOMI implementa salvaguardas de transferência de dados em conformidade com o RGPD apropriadas para processamento transfronteiriço envolvendo dados de integração financeira.

12. Cópias de Segurança e Recuperação de Desastres

Os dados contidos em cópias de segurança ou sistemas de recuperação de desastres podem persistir por um período limitado após a eliminação dos sistemas de produção ativos. Os dados de cópia de segurança são protegidos contra acesso não autorizado e estão sujeitos a controlos de ciclo de vida, calendários de retenção e sobrescrita ou eliminação programada. A GNOMI não utiliza dados de cópia de segurança para processamento comercial ordinário após um pedido de eliminação aplicável, exceto quando a restauração é necessária por segurança, recuperação de desastres, necessidade legal ou operacional. Os dados de integração financeira e as informações financeiras geradas por IA retidos dentro dos sistemas de cópia de segurança permanecem sujeitos a restrições de acesso, controlos de encriptação, gestão de ciclo de vida e procedimentos de sobrescrita segura.

13. Aplicação e Responsabilidades

A gestão, segurança, engenharia, produto, operações e pessoal de conformidade da GNOMI são responsáveis por aplicar esta política dentro das suas áreas de responsabilidade. Os funcionários e contratados devem seguir os procedimentos aprovados de retenção, eliminação, controlo de acesso e descarte. A retenção, exportação, cópia ou descarte não autorizados de dados fora dos processos aprovados é proibida.

14. Revisão Periódica

Esta política é revista pelo menos anualmente e após alterações materiais aos produtos, sistemas, fornecedores, atividades de processamento de dados, requisitos legais, obrigações contratuais ou postura de segurança da GNOMI. As revisões destinam-se a confirmar que os padrões de retenção, procedimentos de descarte, práticas alinhadas com o RGPD, controlos de fornecedores e aplicação operacional permanecem apropriados e eficazes. As revisões devem considerar novas funcionalidades de integração financeira, funcionalidade de análise financeira por IA, sistemas de análise de carteira, alterações às integrações Plaid e obrigações de privacidade ou dados financeiros em evolução.

15. Confirmação de Conformidade

A GNOMI mantém esta política como documentação ativa da empresa para retenção, eliminação e descarte de dados. Esta política foi concebida para apoiar a conformidade com as leis de privacidade de dados aplicáveis, incluindo o RGPD quando aplicável, e para fornecer um quadro definido e executável sobre como a GNOMI retém, elimina, anonimiza e descarta dados.

16. Aprovação

Aprovada pela gestão da GNOMI como uma política ativa da empresa para Retenção e Descarte de Dados, incluindo práticas de retenção e eliminação alinhadas com o RGPD.

12. Política de Segurança da Informação

Incluindo Controles do RGPD e da Lei de Privacidade Aplicável

2. Âmbito

Esta política se aplica a todos os funcionários, fundadores, diretores, contratados, consultores, prestadores de serviços, fornecedores, sistemas, aplicações, ambientes de nuvem, bancos de dados, repositórios de código-fonte, ativos de produção, dispositivos corporativos, dados de usuários, dados de parceiros e quaisquer outros ativos de informação utilizados para fornecer produtos e serviços da GNOMI.

Esta política se aplica a dados da empresa, de clientes, de usuários, financeiros, técnicos, operacionais, de autenticação, de API e gerenciados por fornecedores, incluindo dados de contas de corretagem autorizadas pelo usuário, dados de relacionamento bancário, participações em portfólio, metadados de transações, tokens de integração financeira, análise de portfólio gerada por IA e resultados de inteligência financeira, incluindo Dados Pessoais, Dados Sensíveis e dados regulamentados processados pela ou em nome da GNOMI.

3. Conformidade Legal, Regulatória e de Privacidade

A GNOMI projeta e opera seu programa de segurança para apoiar a conformidade com todas as leis, regras, regulamentos e requisitos contratuais aplicáveis de segurança da informação e privacidade relevantes para suas operações, incluindo, quando aplicável:

• Regulamento Geral de Proteção de Dados (RGPD) e requisitos aplicáveis de proteção de dados da UE/EEE;
• Requisitos do RGPD do Reino Unido e do Data Protection Act, quando aplicável;
• Leis estaduais de privacidade e segurança dos EUA, incluindo CCPA/CPRA e o New York SHIELD Act, quando aplicável;
• Requisitos do GLBA e da FTC Safeguards Rule na medida em que a GNOMI processa dados sujeitos a essas obrigações;
• Obrigações contratuais de segurança de parceiros, incluindo proteção de dados, confidencialidade, controle de acesso, notificação de incidentes e requisitos de segurança de fornecedores;
• Requisitos aplicáveis de notificação de violação, minimização de dados, retenção, exclusão e direitos do usuário;
• Obrigações contratuais de segurança e tratamento de dados da Plaid aplicáveis a ambientes de integração financeira;
• Obrigações aplicáveis de privacidade de dados financeiros, salvaguarda e proteção ao consumidor relacionadas a integrações financeiras autorizadas pelo usuário.

Quando leis, contratos ou requisitos de parceiros impõem obrigações mais rigorosas do que esta política, o padrão mais rigoroso se aplica. A GNOMI revisa periodicamente esta política para garantir que permaneça alinhada com os requisitos legais, regulatórios, de parceiros e de segurança aplicáveis.

4. Requisitos do RGPD e Privacidade desde a Concepção

A GNOMI aplica os princípios de privacidade desde a concepção e segurança desde a concepção a sistemas e processos que envolvem Dados Pessoais. Quando o RGPD se aplica, os controles de segurança e privacidade da GNOMI são projetados para apoiar os seguintes princípios:

• Legalidade, equidade e transparência nas atividades de processamento de dados;
• Limitação de finalidade e uso de dados apenas para fins comerciais, de produto, legais, de segurança ou autorizados pelo usuário legítimos;
• Minimização de dados e coleta apenas de dados razoavelmente necessários para a finalidade declarada;
• Exatidão e processos apropriados de correção ou exclusão;
• Limitação de armazenamento através de padrões definidos de retenção e exclusão;
• Integridade e confidencialidade através de medidas técnicas e organizacionais apropriadas;
• Responsabilização através de documentação, titularidade, revisão e aplicação de controles de privacidade e segurança.
• O processamento de dados financeiros autorizados pelo usuário deve ser limitado ao âmbito do consentimento, necessidade contratual ou outra base legal aplicável à funcionalidade solicitada.
• As funcionalidades de inteligência financeira e análise de portfólio gerada por IA devem incorporar minimização de dados, acesso de privilégio mínimo, processamento seguro e controles apropriados de transparência para o usuário.

A GNOMI apoia processos de direitos dos Titulares de Dados, incluindo acesso, correção, exclusão, restrição, portabilidade e objeção quando aplicável. As solicitações são avaliadas de acordo com a lei aplicável e os requisitos internos de privacidade, segurança, retenção e retenção legal da GNOMI.

5. Governança de Segurança e Responsabilidade

• A gestão executiva é responsável por garantir que a GNOMI mantenha um programa de segurança da informação apropriado ao tamanho da empresa, perfil de risco, produtos, dados e obrigações com parceiros.
• As responsabilidades de segurança são atribuídas entre as partes interessadas de engenharia, produto, operações, jurídico e executivo, conforme apropriado.
• Os requisitos de segurança são incorporados ao desenvolvimento de produtos, seleção de fornecedores, gestão de acesso, resposta a incidentes, tratamento de dados e tomada de decisões operacionais.
• A GNOMI mantém procedimentos internos e controles de suporte para implementar esta política, incluindo controles de acesso, retenção de dados, resposta a incidentes, gestão de fornecedores e práticas de desenvolvimento seguro.

6. Gestão de Riscos

A GNOMI identifica, avalia, mitiga e monitora riscos de segurança da informação que possam afetar confidencialidade, integridade, disponibilidade, privacidade ou conformidade legal. A revisão de riscos pode incluir arquitetura de sistemas, fluxos de dados, dependências de fornecedores, controles de autenticação, privilégios de acesso, ambientes de produção, novos recursos de produtos, integrações de terceiros e histórico de incidentes.

Riscos materiais são escalados para a gestão apropriada para remediação, aceitação, transferência ou controles adicionais. As decisões de tratamento de riscos devem considerar requisitos legais, obrigações com parceiros, impacto ao usuário, impacto de segurança e continuidade de negócios.

As avaliações de risco devem considerar integrações financeiras, dependências do Plaid, funcionalidade de análise financeira gerada por IA, sistemas de análise de portfólio, controles de acesso a dados financeiros, saídas de modelos e fluxos de dados financeiros de terceiros.

7. Classificação e Tratamento de Dados

A GNOMI classifica e protege dados de acordo com sensibilidade, valor comercial, obrigações legais e risco. As categorias de dados podem incluir dados públicos, internos, confidenciais, sensíveis, pessoais, financeiros, de autenticação, código-fonte, segurança e dados de parceiros.

• Dados Sensíveis e Pessoais devem ser acessados apenas por pessoal autorizado com uma necessidade comercial legítima.
• Os dados devem ser armazenados, transmitidos e processados usando sistemas aprovados e salvaguardas apropriadas.
• Segredos, credenciais, tokens, chaves de API, chaves privadas e certificados não devem ser armazenados em repositórios de texto simples, documentos não seguros, mensagens de chat ou sistemas não autorizados.
• Dados de produção não podem ser copiados para ambientes de não produção, a menos que aprovados e apropriadamente protegidos, minimizados, anonimizados ou pseudonimizados quando viável.
• O tratamento de dados deve estar alinhado com os requisitos de retenção, exclusão, descarte e privacidade da GNOMI.
• Dados de contas de corretagem autorizados pelo usuário, informações bancárias, participações em portfólio, metadados de transações, insights financeiros gerados por IA e saídas de sentimento de portfólio devem ser classificados como Dados Sensíveis.
• Dados de integração financeira só podem ser processados através de sistemas aprovados e fluxos de trabalho autorizados.
• Dados de integração financeira de produção não podem ser copiados em ambientes de desenvolvimento ou teste, a menos que minimizados, anonimizados, pseudonimizados ou de outra forma apropriadamente protegidos.

8. Gestão de Identidade e Acesso

A GNOMI aplica controles de acesso projetados para limitar o acesso a ativos de produção, recursos de nuvem, ferramentas administrativas, sistemas, repositórios de código-fonte e Dados Sensíveis. O acesso é concedido com base em função, necessidade comercial, privilégio mínimo e requisitos de aprovação.

• O controle de acesso baseado em função (RBAC) é usado onde suportado por sistemas e aplicações.
• O acesso privilegiado e administrativo é limitado a pessoal autorizado e revisado periodicamente.
• Soluções centralizadas de gestão de identidade e acesso são usadas quando apropriado para gerenciar autenticação e autorização de usuários.
• A autenticação multifator é exigida para contas privilegiadas e sistemas críticos onde suportado.
• Revisões e auditorias de acesso são realizadas periodicamente para validar que o acesso permanece apropriado.
• O acesso é modificado ou revogado quando o pessoal muda de função, transfere responsabilidades ou encerra seu relacionamento com a GNOMI.
• A autenticação não humana, incluindo contas de serviço, tokens OAuth, credenciais de API e certificados TLS, deve ser aprovada, armazenada com segurança, limitada aos privilégios mínimos necessários e rotacionada ou revogada quando não for mais necessária.
• O acesso a sistemas de integração financeira, ambientes administrativos do Plaid, sistemas de inteligência financeira de IA e conjuntos de dados financeiros de usuários deve ser restrito a pessoal autorizado com uma necessidade operacional, de segurança, conformidade ou suporte legítima.
• O acesso administrativo a sistemas capazes de recuperar ou analisar dados de contas financeiras autorizados pelo usuário requer autenticação multifator onde suportado.

9. Segurança de Ativos de Produção

• Os ambientes de produção devem ser protegidos por meio de controles de acesso, registro, monitoramento, configuração segura e práticas de gestão de mudanças.
• O acesso à produção é restrito ao pessoal com necessidade operacional ou de engenharia aprovada.
• As mudanças nos sistemas de produção devem seguir práticas apropriadas de revisão, teste, aprovação e implantação com base no risco e urgência.
• Dados sensíveis de produção não devem ser exportados, baixados ou transferidos, a menos que autorizados para um propósito comercial, legal, de segurança ou operacional legítimo.
• O acesso de emergência à produção deve ser limitado, registrado e revisado após o uso.
• Os sistemas que processam dados de integração financeira autorizados pelo usuário devem implementar controles apropriados de registro, monitoramento, criptografia, restrição de acesso e configuração segura.
• O acesso a insights financeiros gerados por IA e resultados de análises de portfólio deve ser restrito de forma consistente com a sensibilidade dos dados financeiros do usuário associados.

10. Criptografia, Segredos e Gestão de Chaves

A GNOMI utiliza salvaguardas técnicas apropriadas para proteger dados sensíveis, credenciais e comunicações. A criptografia deve ser usada para dados sensíveis em trânsito e aplicada a dados sensíveis em repouso quando suportado e apropriado. Segredos, tokens, certificados, chaves e credenciais devem ser armazenados em sistemas seguros aprovados e protegidos contra uso ou divulgação não autorizados.

Chaves e credenciais devem ser rotacionadas, desabilitadas ou revogadas quando comprometidas, não mais necessárias ou quando o acesso de pessoal ou fornecedor mudar. As credenciais não devem ser compartilhadas entre usuários, exceto quando controles de conta de serviço aprovados forem utilizados.

Credenciais da API Plaid, tokens de integração financeira, credenciais OAuth, segredos de webhook, tokens de atualização e segredos relacionados à integração financeira devem ser criptografados, armazenados de forma segura e protegidos contra acesso não autorizado.

11. Registro, Monitoramento e Revisão de Segurança

A GNOMI mantém práticas de registro e monitoramento apropriadas aos seus sistemas e perfil de risco. Os registros podem incluir eventos de autenticação, atividade administrativa, eventos de aplicação, atividade do sistema, mudanças de produção, mudanças de acesso e erros ou alertas relevantes para segurança.

• Os registros são revisados conforme necessário para investigar eventos de segurança, problemas operacionais, anomalias de acesso e incidentes.
• Eventos relevantes para segurança são escalados ao pessoal responsável para investigação e remediação.
• Os controles de monitoramento e alerta são atualizados à medida que os sistemas, fornecedores e riscos comerciais evoluem.
• Os registros que contêm Dados Pessoais ou Informações Sensíveis devem ser protegidos e retidos de forma consistente com as obrigações de retenção e privacidade da GNOMI.
• O monitoramento de segurança deve incluir atividade de integração financeira, eventos de integração Plaid, eventos de gestão de tokens, acesso privilegiado a conjuntos de dados financeiros e padrões de acesso anômalos envolvendo Informações Financeiras do usuário.

12. Desenvolvimento Seguro e Gestão de Mudanças

A GNOMI incorpora segurança no desenvolvimento de software e entrega de produtos. Os requisitos de segurança são considerados durante o design, desenvolvimento, teste, implantação e manutenção dos sistemas da GNOMI.

• As mudanças de código devem ser revisadas antes da implantação em produção quando apropriado.
• Mudanças com impacto na segurança devem ser avaliadas quanto ao risco, incluindo mudanças envolvendo autenticação, autorização, fluxos de dados, APIs, integrações, infraestrutura de produção ou dados sensíveis.
• Dependências, bibliotecas e componentes de terceiros devem ser revisados e atualizados conforme apropriado para reduzir vulnerabilidades conhecidas.
• Vulnerabilidades identificadas por meio de revisão interna, relatórios de terceiros, monitoramento ou notificações de fornecedores devem ser triadas e remediadas com base na gravidade e impacto comercial.
• Mudanças com impacto na segurança envolvendo integrações financeiras, APIs Plaid, análises de portfólio geradas por IA, funcionalidade de análise financeira ou fluxos de dados financeiros do usuário devem passar por revisão apropriada de segurança e privacidade antes da implantação.

13. Segurança de Fornecedores e Terceiros

A GNOMI avalia fornecedores terceiros, processadores, subprocessadores e parceiros de integração com base no tipo de dados processados, serviços fornecidos, dependência operacional, postura de segurança, obrigações legais e requisitos contratuais.

• Os Fornecedores que processam dados sensíveis, pessoais, financeiros ou de usuários devem ser revisados quanto a salvaguardas apropriadas de segurança e privacidade.
• Os Contratos devem incluir obrigações de confidencialidade, proteção de dados, segurança, controle de acesso, notificação de incidentes, retenção, exclusão e subprocessadores, quando apropriado.
• O acesso de Fornecedores aos sistemas ou dados da GNOMI deve ser limitado ao uso autorizado e revogado quando não for mais necessário.
• A GNOMI monitora riscos materiais de fornecedores e pode solicitar documentação de segurança, atestados ou evidências de conformidade de fornecedores quando apropriado.
• Os provedores de integração financeira, incluindo Plaid e subprocessadores relacionados, devem ser avaliados quanto à postura de segurança, controles de proteção de dados, alinhamento de conformidade regulatória e obrigações contratuais de privacidade.
• As transferências transfronteiriças envolvendo dados de integração financeira da UE ou do Reino Unido devem utilizar mecanismos de transferência lícitos apropriados quando exigido.

14. Resposta a Incidentes e Notificação de Violação

A GNOMI mantém procedimentos de resposta a incidentes para identificar, investigar, conter, remediar, documentar e comunicar incidentes de segurança. Os incidentes de segurança podem incluir acesso não autorizado, exposição de dados, comprometimento de credenciais, comprometimento de sistema, perda de dados, malware, interrupção de serviço ou suspeita de violação de confidencialidade, integridade ou disponibilidade.

• Os Incidentes devem ser escalados prontamente às partes interessadas internas apropriadas.
• A GNOMI avaliará a natureza, escopo, sistemas afetados, dados afetados, impacto ao usuário, impacto ao parceiro, obrigações legais e medidas de remediação.
• A Notificação a usuários, reguladores, parceiros, fornecedores ou outras partes será feita quando exigida pela lei aplicável, contrato ou determinação de resposta a incidentes da GNOMI.
• As lições aprendidas com Incidentes podem ser usadas para melhorar controles, procedimentos, treinamento, monitoramento e supervisão de fornecedores.
• Os Incidentes envolvendo sistemas de integração financeira, credenciais Plaid, informações de corretagem ou bancárias, sistemas de análise de portfólio ou saídas de inteligência financeira geradas por IA devem ser priorizados para investigação e contenção.

15. Retenção de Dados, Descarte e Retenção Legal

A GNOMI retém informações apenas pelo tempo razoavelmente necessário para o propósito para o qual foram coletadas ou processadas, incluindo entrega de produto, gerenciamento de conta de usuário, segurança, prevenção de fraude, análises, conformidade legal, registros financeiros, obrigações contratuais, resolução de disputas e operações comerciais legítimas.

• Os Dados Pessoais devem ser excluídos, anonimizados ou descartados de forma segura quando não forem mais necessários, sujeitos a necessidades legais, regulatórias, contratuais, de segurança ou de retenção comercial legítima.
• As solicitações de exclusão de usuário e encerramento de conta são tratadas de acordo com as leis de privacidade aplicáveis e os requisitos de retenção da GNOMI.
• Os Backups e logs são retidos e descartados de acordo com práticas de ciclo de vida definidas e podem estar sujeitos a exclusão atrasada devido a requisitos técnicos, de segurança ou legais.
• As Retenções Legais podem suspender a exclusão ou descarte quando necessário para preservar informações para fins legais, regulatórios, de auditoria, investigação ou disputa.
• Os dados de integração financeira e insights financeiros gerados por IA devem ser excluídos, anonimizados, restritos ou ter o token revogado quando não forem mais necessários para funcionalidade autorizada, sujeitos a requisitos de retenção lícitos.

16. Segurança de Pessoal e Treinamento

O pessoal e contratados da GNOMI com acesso a sistemas da empresa, ativos de produção ou dados sensíveis devem seguir esta política e os procedimentos de segurança aplicáveis. Espera-se que o Pessoal proteja credenciais, use sistemas aprovados, relate incidentes de segurança suspeitos e manipule dados de acordo com os requisitos de classificação e necessidade de conhecimento.

A conscientização sobre segurança e privacidade pode ser fornecida por meio de integração, orientação específica por função, comunicações internas e atualizações contínuas à medida que os produtos, riscos e obrigações de conformidade da GNOMI evoluem.

O Pessoal com acesso a sistemas de integração financeira ou dados financeiros autorizados pelo usuário pode receber orientação adicional sobre manipulação de dados financeiros, obrigações de privacidade, processamento seguro, prevenção de phishing, segurança de token e procedimentos de escalação de incidentes.

17. Continuidade de Negócios e Disponibilidade

A GNOMI mantém medidas razoáveis para apoiar a continuidade e disponibilidade de serviços críticos. Os Controles podem incluir resiliência em nuvem, backups, monitoramento, escalação de incidentes, revisão de dependência de fornecedores, planejamento de recuperação de desastres e procedimentos de resposta operacional baseados na criticidade e risco do sistema. O planejamento de continuidade de negócios deve considerar dependências de Plaid e outros provedores de integração financeira, incluindo riscos de disponibilidade, interrupções de fornecedores, falhas de token e interrupções de serviço de integração financeira.

18. Exceções

Qualquer exceção a esta política deve ser aprovada pela gestão apropriada da GNOMI com base na necessidade comercial, risco, controles compensatórios, duração e requisitos legais ou contratuais. As Exceções devem ser documentadas quando apropriado e revisadas periodicamente até serem remediadas ou formalmente aceitas.

19. Aplicação

A falha em cumprir esta política pode resultar em revogação de acesso, requisitos de remediação, ação de fornecedor, ação disciplinar, rescisão de contrato ou outras medidas apropriadas à natureza e gravidade da violação. A GNOMI pode investigar suspeitas de violações e tomar ações corretivas para proteger sistemas da empresa, usuários, parceiros e dados.