Proteção de dados e conformidade
Ocultar endereços de email e números de telefone
Você pode impedir que endereços de email e números de telefone de usuários apareçam no Dashboard do OneSignal ou em exportações de dados. Veja Tratamento de Dados Pessoais para instruções de configuração.Certificações SOC 2 Type II e ISO
O OneSignal mantém as seguintes certificações de segurança independentes: Essas auditorias validam que os controles internos e sistemas de gerenciamento de privacidade do OneSignal atendem aos mais altos padrões de segurança de dados e integridade operacional.HIPAA
O OneSignal está em conformidade com os requisitos HIPAA para clientes que gerenciam informações de saúde protegidas (PHI). Saiba mais em nossa documentação HIPAA.GDPR
O OneSignal está em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE e ajuda os clientes a cumprir suas responsabilidades GDPR. Nossos data centers primários estão localizados na União Europeia. Veja GDPR & Direitos Individuais para detalhes.Data Privacy Framework
O OneSignal é certificado sob o EU–U.S. Data Privacy Framework para transferências legais de dados entre a UE e os EUA.Práticas de segurança
Avaliações independentes e varreduras de vulnerabilidade
Conduzimos uma avaliação de segurança anual de terceiros e realizamos varreduras de vulnerabilidade e penetração trimestrais. Todas as descobertas críticas e de alta gravidade são remediadas prontamente.Segurança de estações de trabalho
Todas as estações de trabalho de funcionários incluem:- Firewall e proteção de endpoint
- Criptografia completa de disco
- Gerenciamento automático de patches
Resposta a incidentes
Mantemos um programa robusto de resposta a incidentes para detectar, conter e remediar rapidamente incidentes de segurança.Organização de segurança dedicada
A Equipe de Segurança do OneSignal monitora continuamente, triagem e responde a eventos relacionados à segurança.Criptografia
Todos os dados de clientes são criptografados usando algoritmos padrão da indústria, tanto em trânsito (TLS 1.2+) quanto em repouso (AES-256).Single Sign-On (SSO)
O OneSignal suporta SSO através do WorkOS, permitindo integração com os principais provedores de identidade. Veja Single Sign-On.Autenticação de dois fatores (2FA)
Administradores de organização podem impor Autenticação de 2 etapas (2FA) para todos os membros da equipe. Veja Autenticação de 2 etapas.Segurança de pessoal
Todos os funcionários passam por verificações de antecedentes e treinamento regular de conscientização de segurança.Governança e retenção de dados
O OneSignal atua como um processador de dados, enquanto os clientes permanecem o controlador de dados.- Dados de mensagens (enviados via API ou Journeys): retidos por 30 dias antes da exclusão.
- Mensagens do Dashboard: retidas até serem excluídas manualmente.
- Dados de usuário:
- Retidos indefinidamente em planos pagos até serem excluídos.
- Retidos por 18 meses de inatividade em planos gratuitos.
Exportação de dados
O OneSignal fornece ferramentas para exportar facilmente dados de usuários e mensagens. Veja Exportação de dados.FAQs
Como eu ou meus usuários podem optar por não receber notificações push?
Os usuários podem desabilitar notificações push nas configurações de Notificações do dispositivo. Para notificações push da web, veja Cancelar inscrição de notificações. Para mais detalhes, veja Assinaturas.Quais dados são coletados pelo SDK do OneSignal?
Veja Dados coletados pelo SDK do OneSignal.O OneSignal usa cookies?
O Web SDK do OneSignal não usa cookies. Ele usa Local Storage e IndexedDB para armazenar dados do cliente. Você pode ver um cookie Cloudflare chamado__cf_bm. Este cookie é:
- Definido pelo Cloudflare (não pelo OneSignal)
- Usado para proteger contra bots
- Classificado como um cookie Estritamente Necessário que não requer consentimento sob a Lei de Cookies da UE
Como devo lidar com dados de usuários no OneSignal?
Siga nossas melhores práticas em Tratamento de Dados Pessoais.O OneSignal está em conformidade com COPPA?
O OneSignal é certificado sob o Families Ads Program (a partir de 10 de janeiro de 2022). Embora a conformidade COPPA seja responsabilidade do editor, o OneSignal fornece ferramentas para ajudá-lo a coletar o consentimento do usuário antes da coleta de dados ou prompts push. Veja Obtendo consentimento do usuário e este guia COPPA.Como posso proteger minha conta OneSignal?
Siga essas melhores práticas de segurança:- Habilite Autenticação de 2 etapas e/ou Single Sign-On.
- Remova Membros da equipe desnecessários.
- Evite logins compartilhados; cada pessoa deve ter sua própria conta OneSignal.
- Rotacione ou exclua regularmente chaves de API. Veja Keys & IDs.
- Redefina sua senha conforme necessário. Veja Gerenciamento de conta.
Nunca exponha suas REST API Keys ou App Keys em repositórios públicos ou código do lado do cliente.
E se minha chave de API REST estiver comprometida?
Imediatamente exclua e rotacione sua chave de API. Veja Keys & IDs para instruções.E se meu App ID estiver exposto?
Seu App ID é público e seguro para compartilhar—ele só pode ser usado para criar novos registros de usuário. No entanto, os usuários não podem receber mensagens a menos que tenham se inscrito através de meios válidos. Para proteção adicional, habilite Identity Verification.E se um Subscription ID estiver exposto?
O própriosubscription_id de um usuário é seguro para expor a esse usuário—ele só pode modificar seus próprios dados.
No entanto, nunca compartilhe IDs de assinatura de outros usuários, pois estes podem ser usados para enviar notificações para dispositivos específicos.
Para prevenir personificação, use Identity Verification.