A VTEX adota os mais altos padrões internacionais de segurança da informação e privacidade de dados. Para reforçar esse compromisso, mantemos certificações reconhecidas globalmente, que atestam a conformidade de nossos processos com normas e requisitos internacionais. Este artigo apresenta as certificações mantidas pela VTEX e como acessá-las.
ISO 27001
A ISO 27001 é uma norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
A certificação da VTEX foi emitida no Brasil, mas abrange dados e transações globais, já que todos os dados da plataforma são processados em território brasileiro. O escopo da certificação é a plataforma VTEX, com validade internacional.
O certificado está disponível no VTEX Trust Center.
PCI-DSS
A PCI-DSS (Payment Card Industry Data Security Standard) é uma certificação obrigatória para empresas que processam, armazenam ou transmitem dados de cartões de crédito e débito.
A VTEX está em conformidade com a versão mais recente da certificação, o PCI-DSS v4.0. Essa certificação é renovada anualmente, com validade de 12 meses a partir da data da auditoria.
O certificado está disponível no VTEX Trust Center.
No certificado PCI-DSS, a data de emissão está indicada como Assessment End Date. O campo Publication Date refere-se à data em que o padrão PCI foi oficialmente publicado e não à validade do certificado em si.
SOC 1 Tipo 2 e SOC 2 Tipo 2
Os relatórios SOC (System and Organization Controls) avaliam os controles internos relacionados à segurança, disponibilidade, integridade de processamento e confidencialidade.
A VTEX possui os relatórios SOC 1 Tipo 2 e SOC 2 Tipo 2, que atestam a efetividade desses controles ao longo de um período de 12 meses a partir da data da auditoria.
O certificado analisa os controles executados no ano anterior. Por exemplo, se o relatório se refere ao período de 01 de janeiro de 2024 a 31 de dezembro de 2024, ele será válido durante todo o ano de 2025.
Os certificados geralmente são emitidos no final do primeiro trimestre ou no início do segundo trimestre do ano seguinte ao ano de análise. Caso haja um intervalo entre a validade do último relatório SOC disponível e a próxima auditoria, a VTEX pode emitir uma Bridge Letter (ou Gap Letter) para cobrir o período.
Para obter acesso aos certificados SOC, solicite via VTEX Trust Center.
Data Privacy Framework (DPF)
O Data Privacy Framework é um programa aprovado pela Comissão Europeia que permite a transferência internacional de dados pessoais com segurança.
A VTEX é certificada nos três principais frameworks do DPF, que regulam as transferências de dados da União Europeia, Reino Unido e Suíça para os Estados Unidos.
A certificação da VTEX pode ser consultada diretamente no site oficial do programa. Para saber se a certificação está ativa para cada framework, pesquise por VTEX na barra de busca do site e verifique a coluna Status – ela indica Active para os frameworks em que a certificação está vigente.