LGPD Compliant
PCI-DSS Level 1
ISO 27001 Ready

LGPD e Compliance
Segurança e Conformidade Regulatória

Na Zentra, conformidade não é apenas uma obrigação legal — é um compromisso fundamental com a segurança, privacidade e confiança de todos os nossos clientes e seus hóspedes.

Ver Certificações Política de Privacidade
99.9%
Uptime garantido
24/7
Monitoramento de segurança
100%
Conformidade com LGPD
AES-256
Criptografia de dados

Conformidade com a LGPD

A Zentra está em total conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), garantindo que todos os dados pessoais sejam tratados com segurança, transparência e respeito aos direitos dos titulares.

Princípios da LGPD Implementados

Finalidade

Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular.

Necessidade

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades.

Livre Acesso

Garantia aos titulares de consulta facilitada e gratuita sobre seus dados.

Transparência

Informações claras, precisas e facilmente acessíveis sobre o tratamento de dados.

Segurança

Medidas técnicas e administrativas para proteger dados de acessos não autorizados.

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento.

Não Discriminação

Impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização

Demonstração de medidas eficazes e capazes de comprovar a conformidade.

Qualidade dos Dados

Garantia de exatidão, clareza, relevância e atualização dos dados.

Encarregado de Proteção de Dados (DPO)

Conforme exigido pela LGPD, a Zentra designou um Encarregado de Proteção de Dados (Data Protection Officer - DPO) responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

privacidade@zentrabr.com
Resposta em até 15 dias

Avaliação de Impacto (DPIA)

Realizamos regularmente Avaliações de Impacto à Proteção de Dados (Data Protection Impact Assessment - DPIA) para identificar e mitigar riscos ao tratamento de dados pessoais, especialmente em:

  • Implementação de novas funcionalidades que envolvam dados pessoais
  • Mudanças significativas em processos de tratamento existentes
  • Coleta de dados sensíveis ou de crianças e adolescentes
  • Uso de novas tecnologias de processamento de dados
  • Transferências internacionais de dados

Segurança da Informação

Implementamos um framework robusto de segurança da informação baseado nas melhores práticas internacionais e padrões da indústria.

Camadas de Segurança

1

Segurança de Rede

  • • Firewall de última geração (Next-Gen Firewall)
  • • Sistema de Detecção e Prevenção de Intrusão (IDS/IPS)
  • • DDoS protection e rate limiting
  • • Segmentação de rede e VLANs isoladas
  • • VPN criptografada para acesso administrativo
2

Segurança de Aplicação

  • • Web Application Firewall (WAF)
  • • Proteção contra OWASP Top 10
  • • Análise estática e dinâmica de código (SAST/DAST)
  • • Testes de penetração trimestrais
  • • Bug bounty program com pesquisadores de segurança
3

Criptografia

  • • TLS 1.3 para dados em trânsito (HTTPS)
  • • AES-256 para dados em repouso
  • • Tokenização de dados sensíveis de pagamento
  • • Hashing bcrypt para senhas (salted + peppering)
  • • Perfect Forward Secrecy (PFS)
4

Controle de Acesso

  • • Autenticação multifator (MFA/2FA) obrigatória
  • • Controle de acesso baseado em funções (RBAC)
  • • Princípio do menor privilégio (Least Privilege)
  • • Revisão trimestral de permissões
  • • Logs de auditoria de todos os acessos
5

Monitoramento e Resposta

  • • Security Operations Center (SOC) 24/7
  • • SIEM (Security Information and Event Management)
  • • Alertas em tempo real de atividades suspeitas
  • • Plano de resposta a incidentes documentado
  • • Exercícios regulares de simulação (tabletop exercises)
6

Backup e Disaster Recovery

  • • Backups automáticos diários criptografados
  • • Armazenamento em múltiplas regiões geográficas
  • • RPO (Recovery Point Objective): 1 hora
  • • RTO (Recovery Time Objective): 4 horas
  • • Testes regulares de restauração de backups

Gestão de Vulnerabilidades

Processo Contínuo

  • • Varreduras automáticas de vulnerabilidades semanais
  • • Análise de dependências e bibliotecas terceiras
  • • Patch management com SLA de 48h para críticas
  • • Programa de divulgação responsável

Classificação de Riscos

CRÍTICO Correção em 24h
ALTO Correção em 48h
MÉDIO Correção em 7 dias
BAIXO Correção em 30 dias

Certificações e Conformidades

Mantemos certificações e conformidade com os mais rigorosos padrões internacionais de segurança e privacidade.

PCI-DSS Level 1

Certificação de segurança para processamento de pagamentos com cartão de crédito e débito. Auditoria anual por QSA credenciado.

Certificado Ativo

LGPD Compliant

Total conformidade com a Lei Geral de Proteção de Dados brasileira. DPO designado e processos documentados.

100% Conforme

ISO 27001 Ready

Processos e controles alinhados com a norma internacional de gestão de segurança da informação. Certificação em processo.

Em Processo

SOC 2 Type II

Relatório de auditoria sobre controles relevantes para segurança, disponibilidade e confidencialidade. Auditoria planejada para 2026.

Planejado 2026

Frameworks de Compliance

OWASP Top 10 CIS Controls NIST Cybersecurity Framework CWE/SANS Top 25 GDPR (European Union) CCPA (California) Marco Civil da Internet Código de Defesa do Consumidor

Governança de Dados

Ciclo de Vida dos Dados

1. Coleta e Captura

Dados coletados apenas quando necessário, com consentimento apropriado e propósito definido. Validação de entrada e sanitização automática.

2. Armazenamento e Processamento

Dados criptografados em repouso (AES-256) e em trânsito (TLS 1.3). Armazenamento em data centers certificados com controles físicos e lógicos rigorosos.

3. Uso e Compartilhamento

Acesso restrito por controle de privilégios. Compartilhamento apenas com terceiros autorizados e mediante bases legais válidas. Logs de auditoria de todos os acessos.

4. Arquivamento

Dados inativos movidos para armazenamento de arquivo (cold storage) criptografado. Acesso restrito e auditado. Retenção conforme obrigações legais.

5. Eliminação Segura

Após período de retenção, dados são eliminados de forma segura e irreversível usando múltiplas passagens de sobrescrita ou destruição criptográfica de chaves.

Classificação de Dados

CRÍTICO Dados Sensíveis

Dados pessoais sensíveis que requerem máxima proteção.

  • • Dados de pagamento (tokenizados)
  • • Senhas e credenciais de acesso
  • • Dados biométricos (quando aplicável)
  • • Documentos de identificação

ALTO Dados Pessoais

Informações que identificam diretamente um indivíduo.

  • • Nome completo, CPF, RG
  • • E-mail, telefone, endereço
  • • Dados bancários
  • • Histórico de reservas

MÉDIO Dados Pseudonimizados

Dados processados de forma que não possam ser atribuídos sem informação adicional.

  • • IDs de usuário
  • • Tokens de sessão
  • • Dados agregados por hotel
  • • Métricas de uso anonimizadas

BAIXO Dados Públicos

Informações de domínio público ou que não identificam indivíduos.

  • • Informações do estabelecimento
  • • Fotos e descrições públicas
  • • Tarifas e disponibilidade
  • • Estatísticas agregadas anônimas

Resposta a Incidentes

Mantemos um plano documentado e testado de resposta a incidentes de segurança, garantindo ação rápida e eficaz em caso de eventos adversos.

1

Detecção

Identificação automática ou manual do incidente

2

Contenção

Isolamento imediato do problema para limitar danos

3

Análise

Investigação forense e determinação do escopo

4

Remediação

Correção da vulnerabilidade e restauração de serviços

5

Lições Aprendidas

Documentação e melhoria contínua dos processos

Comunicação de Incidentes

Em caso de incidente de segurança que possa acarretar risco aos dados pessoais:

Notificação à ANPD

  • • Prazo: Até 48 horas após conhecimento
  • • Conteúdo: Descrição, dados afetados, medidas técnicas
  • • Canal: Portal oficial da ANPD

Notificação aos Titulares

  • • Comunicação clara e tempestiva
  • • Orientações sobre medidas de proteção
  • • Canal de suporte dedicado

Treinamento e Conscientização

Investimos continuamente em capacitação da nossa equipe sobre segurança da informação, privacidade e proteção de dados.

Onboarding

Todo novo colaborador passa por treinamento obrigatório sobre:

  • • Fundamentos de LGPD
  • • Políticas de segurança
  • • Boas práticas de senha
  • • Identificação de phishing

Treinamento Contínuo

Programas regulares para manter a equipe atualizada:

  • • Workshops trimestrais
  • • Simulações de phishing
  • • Atualizações sobre novas ameaças
  • • Certificações específicas por área

Cultura de Segurança

Promovemos uma cultura organizacional focada em segurança:

  • • Comunicados regulares
  • • Canal anônimo para reportar riscos
  • • Reconhecimento de boas práticas
  • • Zero tolerância a violações

Melhoria Contínua

Compliance e segurança não são estados estáticos — são processos contínuos de evolução e aprimoramento.

Auditorias e Avaliações

  • Auditorias internas trimestrais de segurança e privacidade
  • Auditorias externas anuais por empresas especializadas
  • Revisão de compliance a cada mudança regulatória
  • Testes de penetração e varreduras de vulnerabilidades

Roadmap de Compliance

2025 Q1 Certificação ISO 27001
2025 Q3 Implementação ISO 27701 (Privacy)
2026 Q1 Auditoria SOC 2 Type II
2026 Q2 GDPR Compliance (expansão EU)
Compliance e Segurança Garantidos

Confie na plataforma mais
segura do setor hoteleiro

Junte-se a centenas de estabelecimentos que confiam na Zentra para gestão segura e em conformidade com todas as regulamentações

Agendar demonstração Política de Privacidade

Documentos e Informações

Termos de Uso Política de Privacidade Contato DPO ANPD