Confiança #
Tudo o que um revisor de aprovisionamento, um EPD ou uma equipa jurídica precisa para avaliar o EthicsPortal.
Última atualização: 2026-05-24.
Parte contratante #
- Nome do serviço: EthicsPortal
- Operador: Yaroslav Shmarov
- Morada registada: ul. Obrzeżna 1A, 02-691 Varsóvia, Polónia
- Número de identificação fiscal (NIP): 5272755790
- Signatário autorizado para acordos comerciais, DPA e questionários de segurança: Yaroslav Shmarov
- Contacto comercial: support@ethicsportal.eu
- Contacto de segurança: security@ethicsportal.eu
- Contacto de privacidade e proteção de dados: privacy@ethicsportal.eu
Os elementos de registo e os documentos contratuais assinados são fornecidos a pedido durante o aprovisionamento.
Residência dos dados e relação de subcontratação #
No modelo de subscrição padrão, o cliente é o responsável pelo tratamento e o EthicsPortal atua como subcontratante dos dados das denúncias do cliente.
Os dados essenciais das denúncias, incluindo a aplicação, a base de dados e o armazenamento de ficheiros, são alojados em Nuremberga, Alemanha, na Hetzner . O email transacional corre através da Mailjet (França). O site de marketing usa um subcontratante extra-UE identificado, a Cloudflare (CDN), listado na íntegra na página de subcontratantes . O portal de denúncia e o portal do gestor não carregam a Cloudflare.
Continuidade e pessoal #
Os dados do cliente são recuperáveis independentemente da disponibilidade do operador. A qualquer momento durante a relação e à saída do contrato, as organizações-cliente têm direito a uma exportação completa e legível por máquina dos seus dados, mais um período definido de cessação para migrar para um fornecedor alternativo. Estas disposições constam do Acordo de tratamento de dados e estão desenvolvidas no plano de continuidade do negócio , que define os fatores de ativação, RPO de 24 horas / RTO de 4 horas e o procedimento de incapacidade do operador.
Cópias de segurança. Cópias diárias cifradas do PostgreSQL para o Hetzner Object Storage (UE, conservação de 7 dias) mais instantâneos do servidor da Hetzner (conservação de 7 dias). Último ensaio de restauro: 2026-05-14.
Âmbito do pessoal. Todos os dados do cliente são tratados pelo operador identificado. Não existem outros trabalhadores nem prestadores de serviços — uma decisão de âmbito deliberada que remove do modelo de ameaças os riscos de pessoal do lado do fornecedor (falhas na verificação de antecedentes, fugas na entrada/saída de pessoal, dispersão de prestadores). Os controlos de acesso privilegiado do operador identificado estão documentados e disponíveis durante a revisão de aprovisionamento.
Estado de certificação #
O EthicsPortal não reivindica atualmente neste site uma certificação ISO 27001 acreditada. Não consta atualmente em registo um teste de intrusão externo independente. Quando qualquer um deles se alterar, o nome da certificação (ou o âmbito, a data e o resumo da correção do teste) será publicado aqui.
Em vez de uma certificação acreditada, o EthicsPortal publica uma autoavaliação estruturada face aos mesmos conjuntos de controlos que uma auditoria externa avaliaria:
- Um mapa de controlos do Anexo A da ISO/IEC 27001:2022 que abrange todos os 93 controlos, com o estado (Implementado / Autoavaliado / Não aplicável / Controlo compensatório) e indicações de evidência para cada um.
- Um mapa de alinhamento com as orientações da ISO 37002:2021 que abrange o ciclo de vida da gestão da denúncia cláusula a cláusula, com a fronteira software/operador indicada. (A ISO 37002 é uma norma de orientações — nenhuma organização pode ser certificada face a ela; o alinhamento é a única afirmação honesta que qualquer fornecedor pode fazer.)
- Documentos de política identificados em /policies/ : política de segurança da informação , plano de continuidade do negócio , registo de riscos .
- Um questionário pré-preenchido alinhado com o CAIQ para as perguntas cujas respostas já estão documentadas publicamente.
A autoavaliação é a substância que uma acreditação atestaria. O EthicsPortal publica-a diretamente para que um revisor de aprovisionamento possa avaliar a mesma evidência sem esperar por um auditor.
Ciclo de vida operacional #
| Questão | Resposta |
|---|---|
| Disponibilidade em tempo real | Publicada em secure.ethicsportal.eu/up para as superfícies cobertas. Ver o Acordo de nível de serviço para a metodologia de medição e as exclusões. |
| Ciclo de vida de sessões e acessos | As sessões expiram automaticamente após 14 dias de inatividade e são varridas todas as noites. Os utilizadores podem rever e revogar as suas próprias sessões a qualquer momento. Cada sessão regista last_seen_at para que os dispositivos obsoletos sejam identificáveis. A desativação de um membro corta o acesso na fronteira do pedido, desatribui as denúncias abertas e remove as participações, preservando o histórico de auditoria. Ver Segurança
. |
| Cópias de segurança e restauro | Cópias diárias cifradas do PostgreSQL para o Hetzner Object Storage (UE, conservação de 7 dias) mais instantâneos do servidor da Hetzner (conservação de 7 dias). RPO de 24 horas, RTO de 4 horas. Último ensaio de restauro: 2026-05-14. Ver Segurança . |
| Gestão de dependências e correções | SCA contínua em CI (Brakeman, bundler-audit, importmap audit) mais atualizações semanais do Dependabot. Sem componentes em fim de vida implementados. Ver Segurança . |
| Exportação e eliminação | A exportação de processos em PDF está disponível na aplicação para cada processo (descrição, mensagens, registo de atividades, anexos). A exportação em massa legível por máquina do conjunto completo de dados da organização está disponível a pedido à saída do contrato. Os compromissos contratuais constam do Acordo de tratamento de dados . |
| Objetivos de recuperação | Ver Acordo de nível de serviço . |
Posições contratuais #
Uma única fonte de verdade para as questões contratuais que as equipas de aprovisionamento empresarial mais frequentemente colocam. Cada linha remete para o documento que prevalece.
| Item | Posição do EthicsPortal |
|---|---|
| Limite agregado de responsabilidade | 12 meses de quantias pagas nos 12 meses anteriores ao facto que deu origem à reclamação (Termos §11 ). O Acordo de tratamento de dados, o Acordo de nível de serviço e a indemnização por propriedade intelectual integram-se todos no mesmo limite agregado. |
| Indemnização por violação de propriedade intelectual | O operador defenderá o Responsável pelo tratamento contra reclamações de terceiros relativas a direitos de autor, marca ou patente decorrentes da utilização do Serviço em conformidade com os Termos, sujeito às exclusões habituais (modificações do cliente, utilização não autorizada, combinações não autorizadas) e ao limite agregado de responsabilidade. Ver Termos §12 . |
| Prazo de notificação de violação | Sem demora injustificada e, em qualquer caso, no prazo de 72 horas após tomar conhecimento (DPA §6.6 ), em conformidade com o Art. 33 do RGPD. Não é oferecido contratualmente um prazo mais curto nos planos padrão, porque prazos mais curtos arriscam uma notificação prematura e entram em conflito com o limiar forense exigido pelo RGPD. |
| Direitos de auditoria | Nos termos do Art. 28(3)(h) do RGPD, com pelo menos 30 dias de aviso prévio e durante o horário normal de expediente (DPA §6.9 ). O Subcontratante responderá a questionários de segurança escritos em vez de auditoria no local, sempre que a revisão do Responsável pelo tratamento possa ser satisfeita dessa forma. |
| Créditos de serviço | Os planos padrão não incluem créditos de serviço monetários. As soluções para falhas de disponibilidade materiais ou repetidas regem-se pelo limite agregado de responsabilidade (SLA ). |
| Chaves de cifragem geridas pelo cliente (BYOK / KMS externo) | Não suportado. As chaves geridas pelo subcontratante são necessárias para manter a fronteira de chaves denunciante-gestor e a garantia de eliminação de ponta a ponta. Ver DPA §6.11 . |
| Caução de código-fonte | Não oferecida. A continuidade é tratada através das disposições de incapacidade do operador do plano de continuidade do negócio e dos direitos de exportação e eliminação de dados do Responsável pelo tratamento ao abrigo do DPA §6.8 . |
| Aviso de alteração de subcontratante | Pelo menos 30 dias antes de adicionar ou substituir um subcontratante; o Responsável pelo tratamento pode opor-se e cessar o contrato se não se chegar a uma resolução (DPA §6.4 ). |
| Exportação e eliminação de dados à saída | Exportação de processos em PDF em autosserviço no produto, mais exportação em massa legível por máquina a pedido à saída, mais eliminação no prazo de 30 dias após a cessação da subscrição mediante pedido escrito (DPA §6.8 ). |
| Seguro de responsabilidade cibernética | Em análise. O montante de cobertura e a seguradora serão publicados aqui quando estiverem em vigor. |
| Teste de intrusão externo independente | Nenhum atualmente em registo. O âmbito, a data e o resumo da correção serão publicados aqui quando for realizado. |
| Lei aplicável e foro | Lei da Polónia; tribunais de Varsóvia (Termos §13 ). Os consumidores da UE mantêm o direito de instaurar processos no seu país de residência. |
Estas posições estão refletidas nos Termos de serviço , no Acordo de tratamento de dados e no Acordo de nível de serviço publicados. Não são concedidos desvios materiais nos planos padrão.
Documentos públicos #
Tudo o que um revisor de aprovisionamento precisa está publicado abertamente. Agrupado pelo que o documento faz.
Contratual #
O que rege a relação entre o EthicsPortal e o cliente.
| Documento | Finalidade |
|---|---|
| Termos de serviço | Termos de subscrição, cancelamento, reembolsos, limite de responsabilidade, indemnização por PI |
| Acordo de tratamento de dados | Termos de subcontratação ao abrigo do artigo 28.º do RGPD |
| Acordo de nível de serviço | Objetivo de disponibilidade e medição |
| Política de privacidade | Como são tratados os dados pessoais |
Operacional #
Como o Serviço funciona no dia a dia e quem mais está envolvido.
| Documento | Finalidade |
|---|---|
| Segurança | Medidas técnicas e organizativas |
| Subcontratantes | Subcontratantes identificados e o seu âmbito |
| Registo de incidentes | Incidentes materiais que afetem dados pessoais |
| Acessibilidade | Estado de conformidade com o EAA / EN 301 549 |
Referência da Diretiva #
Como o EthicsPortal mapeia, e lê, a Diretiva (UE) 2019/1937.
| Documento | Finalidade |
|---|---|
| Mapa de cobertura da Diretiva 2019/1937 | Mapa funcionalidade-artigo da Diretiva 2019/1937 |
| Interpretações da Diretiva 2019/1937 | Posições interpretativas sobre disposições ambíguas da Diretiva |
| Leis de proteção de denunciantes por país | Transposições nacionais, autoridades responsáveis pela execução |
| Sanções por país | Coimas e responsabilidade penal por Estado-Membro |
Autoavaliação #
Documentos de política identificados e os mapeamentos de controlos que uma auditoria externa avaliaria.
| Documento | Finalidade |
|---|---|
| Política de segurança da informação | Declaração de intenções, âmbito, funções, compromissos de controlo |
| Plano de continuidade do negócio | Fatores de ativação, objetivos de recuperação, divulgação de incapacidade do operador |
| Registo de riscos | Principais riscos, tratamento, posição residual |
| Mapa de controlos do Anexo A da ISO/IEC 27001:2022 | Autoavaliação estruturada face a todos os 93 controlos |
| Questionário alinhado com o CAIQ | Avaliação de segurança de fornecedor pré-preenchida (estrutura de domínios do CSA CAIQ v4) |
Disponível durante a revisão de aprovisionamento #
Os materiais seguintes são partilhados em divulgação controlada, em vez de publicados abertamente:
- DPA assinado
- Extrato de registo e prova de NIP / fiscal
- Questionário de segurança preenchido
- Resumo de acesso privilegiado de produção
- Resumo de resposta a incidentes
- Respostas sobre continuidade do negócio, saída e exportação de dados do cliente
- Resumo do teste de intrusão externo (quando em registo)
Para os solicitar, envie um email para support@ethicsportal.eu . Para questões de revisão de segurança, envie um email para security@ethicsportal.eu .
Última atualização: