> ## Documentation Index > Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt > Use this file to discover all available pages before exploring further. # FAQs de coleta de dados e segurança > Aprenda como o OneSignal protege seus dados, mantém conformidade e suporta regulamentações de privacidade. O OneSignal está comprometido em proteger a privacidade e segurança de todos os dados armazenados em nossa plataforma. Mantemos controles de segurança rigorosos, aderimos a frameworks de conformidade líderes e monitoramos e melhoramos continuamente nossos sistemas para garantir que seus dados permaneçam seguros. Esta página responde perguntas comuns sobre o tratamento de dados, práticas de segurança e certificações de conformidade do OneSignal. *** ## Proteção de dados e conformidade ### Ocultar endereços de email e números de telefone Você pode impedir que endereços de email e números de telefone de usuários apareçam no Dashboard do OneSignal ou em exportações de dados. Veja [Tratamento de Dados Pessoais](./handling-personal-data#mask-personal-identifiable-information) para instruções de configuração. ### Certificações SOC 2 Type II e ISO O OneSignal mantém as seguintes certificações de segurança independentes: * [SOC 2 Type II](./soc-2-type-ii) * [ISO 27001 & ISO 27701](./iso27001) Essas auditorias validam que os controles internos e sistemas de gerenciamento de privacidade do OneSignal atendem aos mais altos padrões de segurança de dados e integridade operacional. ### HIPAA O OneSignal está em conformidade com os requisitos HIPAA para clientes que gerenciam informações de saúde protegidas (PHI). Saiba mais em nossa [documentação HIPAA](./hipaa). ### GDPR O OneSignal está em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE e ajuda os clientes a cumprir suas responsabilidades GDPR. Nossos data centers primários estão localizados na União Europeia. Veja [GDPR & Direitos Individuais](./gdpr-compliance) para detalhes. ### Data Privacy Framework O OneSignal é certificado sob o **EU–U.S. Data Privacy Framework** para transferências legais de dados entre a UE e os EUA. *** ## Práticas de segurança ### Avaliações independentes e varreduras de vulnerabilidade Conduzimos uma **avaliação de segurança anual de terceiros** e realizamos **varreduras de vulnerabilidade e penetração trimestrais**. Todas as descobertas críticas e de alta gravidade são remediadas prontamente. ### Segurança de estações de trabalho Todas as estações de trabalho de funcionários incluem: * Firewall e proteção de endpoint * Criptografia completa de disco * Gerenciamento automático de patches ### Resposta a incidentes Mantemos um **programa robusto de resposta a incidentes** para detectar, conter e remediar rapidamente incidentes de segurança. ### Organização de segurança dedicada A **Equipe de Segurança** do OneSignal monitora continuamente, triagem e responde a eventos relacionados à segurança. ### Criptografia Todos os dados de clientes são criptografados usando **algoritmos padrão da indústria**, tanto **em trânsito** (TLS 1.2+) quanto **em repouso** (AES-256). ### Single Sign-On (SSO) O OneSignal suporta **SSO** através do WorkOS, permitindo integração com os principais provedores de identidade. Veja [Single Sign-On](./sso). ### Autenticação de dois fatores (2FA) Administradores de organização podem impor **Autenticação de 2 etapas (2FA)** para todos os membros da equipe. Veja [Autenticação de 2 etapas](./2-step-authentication). ### Segurança de pessoal Todos os funcionários passam por verificações de antecedentes e **treinamento regular de conscientização de segurança**. *** ## Governança e retenção de dados O OneSignal atua como um **processador de dados**, enquanto os clientes permanecem o **controlador de dados**. * **Dados de mensagens** (enviados via API ou Journeys): retidos por 30 dias antes da exclusão. * **Mensagens do Dashboard**: retidas até serem excluídas manualmente. * **Dados de usuário**: * Retidos indefinidamente em planos pagos até serem excluídos. * Retidos por 18 meses de inatividade em planos gratuitos. ### Exportação de dados O OneSignal fornece ferramentas para exportar facilmente dados de usuários e mensagens. Veja [Exportação de dados](./exporting-data). *** ## FAQs ### Como eu ou meus usuários podem optar por não receber notificações push? Os usuários podem desabilitar notificações push nas configurações de Notificações do dispositivo. Para notificações push da web, veja [Cancelar inscrição de notificações](./browser-behavior-and-unsubscribes). Para mais detalhes, veja [Assinaturas](./subscriptions). ### Quais dados são coletados pelo SDK do OneSignal? Veja [Dados coletados pelo SDK do OneSignal](./data-collected-by-the-onesignal-sdk). ### O OneSignal usa cookies? O Web SDK do OneSignal **não** usa cookies. Ele usa **Local Storage** e **IndexedDB** para armazenar dados do cliente. Você pode ver um cookie Cloudflare chamado `__cf_bm`. Este cookie é: * Definido pelo Cloudflare (não pelo OneSignal) * Usado para proteger contra bots * Classificado como um cookie *Estritamente Necessário* que não requer consentimento sob a Lei de Cookies da UE Para mais detalhes, veja a [política de cookies do Cloudflare](https://www.cloudflare.com/en-gb/cookie-policy/) e [explicação GDPR](https://gdpr.eu/cookies/). ### Como devo lidar com dados de usuários no OneSignal? Siga nossas melhores práticas em [Tratamento de Dados Pessoais](./handling-personal-data). ### O OneSignal está em conformidade com COPPA? O OneSignal é certificado sob o **Families Ads Program** (a partir de 10 de janeiro de 2022). Embora a conformidade COPPA seja responsabilidade do editor, o OneSignal fornece ferramentas para ajudá-lo a coletar o consentimento do usuário antes da coleta de dados ou prompts push. Veja [Obtendo consentimento do usuário](./handling-personal-data#getting-user-consent) e [este guia COPPA](https://www.superawesome.com/blog/how-to-implement-coppa-compliant-push-notifications-in-kid-directed-apps/). ### Como posso proteger minha conta OneSignal? Siga essas melhores práticas de segurança: 1. Habilite [Autenticação de 2 etapas](./2-step-authentication) e/ou [Single Sign-On](./sso). 2. Remova [Membros da equipe](./manage-team-members) desnecessários. 3. Evite logins compartilhados; cada pessoa deve ter sua própria conta OneSignal. 4. Rotacione ou exclua regularmente chaves de API. Veja [Keys & IDs](./keys-and-ids). 5. Redefina sua senha conforme necessário. Veja [Gerenciamento de conta](./apps-organizations). Nunca exponha suas REST API Keys ou App Keys em repositórios públicos ou código do lado do cliente. ### Quais são as regras e políticas de senha? * As senhas precisam ter no mínimo 8 caracteres e não podem aparecer em um banco de dados de senhas expostas. * Não há políticas predefinidas de expiração ou rotação de senhas. ### E se minha chave de API REST estiver comprometida? Imediatamente **exclua e rotacione** sua chave de API. Veja [Keys & IDs](./keys-and-ids) para instruções. ### E se meu App ID estiver exposto? Seu App ID é **público** e seguro para compartilhar—ele só pode ser usado para criar novos registros de usuário. No entanto, os usuários não podem receber mensagens a menos que tenham se inscrito através de meios válidos. Para proteção adicional, habilite [Identity Verification](./identity-verification). ### E se um Subscription ID estiver exposto? O próprio `subscription_id` de um usuário é seguro para expor a esse usuário—ele só pode modificar seus próprios dados. No entanto, **nunca compartilhe IDs de assinatura de outros usuários**, pois estes podem ser usados para enviar notificações para dispositivos específicos. Para prevenir personificação, use [Identity Verification](./identity-verification). ***