Política de Privacidade: Solução Padrão Incognia (Web e Mobile)

Esta é a versão atualizada da Política de Privacidade, que entrará em vigor em 06/10/2025. Se você gostaria de acessar a versão atual, clique aqui.

Última atualização: 06 de outubro de 2025

A Incognia é uma empresa de tecnologia especializada em soluções de prevenção a fraudes para aplicativos e websites, com forte presença em setores da economia sob demanda, como aplicativos de mobilidade (carona), plataformas de delivery e serviços financeiros,  além de outros segmentos que demandam alto nível de confiança e segurança nas interações com seus usuários.

Além de investir continuamente em inovação tecnológica, acreditamos que a confiança dos nossos clientes e seus usuários é um pilar essencial para o sucesso das nossas soluções. Por isso, nosso compromisso vai além da prevenção de fraudes e da garantia de experiências digitais seguras: adotamos medidas rigorosas de conformidade no Tratamento de Dados Pessoais, respeitando a privacidade como parte fundamental  dos nossos negócios.

O intuito dessa Política (ou Aviso) de Privacidade é explicar, de forma clara e transparente, como realizamos o Tratamento de Dados Pessoais no escopo dos nossos serviços, bem como reforçar nosso compromisso com a privacidade e com o cumprimento das disposições da Lei Geral de Proteção de Dados Pessoais - “LGPD”.

Esta Política se aplica a todos Tratamentos de Dados realizados em território brasileiro, com exceção daqueles relativos aos serviços Incognia disponibilizados a aplicativos e websites de bancos e fintechs, os quais possuem política de privacidade própria, disponível neste link. Para os casos em que os serviços da Incognia forem utilizados fora do Brasil,  será aplicável a Política de Privacidade Internacional disponível neste link.

As informações apresentadas nesta Política têm caráter geral e refletem as práticas padrão adotadas pela Incognia no Tratamento de Dados Pessoais. No entanto, determinadas condições podem variar de acordo com a natureza dos serviços contratados e com os acordos específicos firmados com cada cliente.

Glossário

Para fins desta Política de Privacidade, devem ser consideradas as seguintes definições:

• Account ID: identificador único de uma conta utilizado internamente pela Plataforma. Funciona como uma “chave” do Cliente para distinguir contas de diferentes Usuários. Pode se referir, por exemplo,  a uma numeração aleatória ou a um endereço de e-mail.
• API: do inglês “Application Programming Interface” significa interface que permite a comunicação entre os servidores do Cliente e nossos servidores. Nos serviços da Incognia, a API é utilizada para que os servidores dos Clientes enviem chamadas (requisições) aos nossos servidores para solicitar uma análise de risco de um determinado evento e receber em resposta o resultado de tal análise.
• Aplicativos: programas desenvolvidos para Dispositivos móveis, como smartphones, que possuem a Solução Incognia embarcada, ou seja, o SDK da Incognia integrado.
• Clientes: empresas digitais e de serviços que são Desenvolvedoras de Aplicativos ou empresas que disponibilizam seus produtos e serviços em Websites e contrataram a nossa Solução.
• Cookies: pequenos arquivos de dados armazenados no navegador do Usuário por websites para gerenciar sessões, preferências ou autenticação. A Solução da Incognia não coleta o conteúdo bruto de cookies.
• Controlador: pessoa jurídica a quem compete as decisões referentes ao Tratamento de dados pessoais. Durante a prestação dos nossos Serviços, nossos Clientes atuam como Controladores.
• Criptografia: técnica de segurança que converte dados de um formato legível para um formato cifrado (ilegível). Dados criptografados apenas podem retornar ao formato original se descriptografados mediante uso da chave criptográfica.
• Dados Pessoais: são quaisquer informações relacionadas à pessoa física identificada ou identificável. Dados Pessoais de identificação direta são aqueles que, por si só, permitem a identificação da pessoa. Já os dados pessoais de identificação indireta dependem de complementação ou combinação com outras informações para atingir esse objetivo, como é o caso dos dados de localização que tratamos. As menções a “Dados” ou “Dados Pessoais” nesta Política se referem aos Dados Pessoais de Titulares. 
• Device ID: Identificador criado pela Incognia para reconhecer um mesmo Dispositivo ao longo do tempo. Ele é gerado a partir dos Dados coletados via SDK, e tem como propósito persistir como único para um mesmo Dispositivo mesmo se o Aplicativo for reinstalado ou a aba do navegador for fechada. 
• Dispositivo: computador ou dispositivo móvel em que o Aplicativo está instalado ou em que o Website é acessado.
• Hashing: técnica que transforma um dado em uma sequência de números e letras de forma determinística, mas aparentemente aleatória sem possibilidade de reverter essa sequência para identificar o dado original. Um dado submetido à técnica de hashing é um dado hasheado.
• LGPD: Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018. É a lei que regula o tema de proteção de dados pessoais no Brasil.
• Operador: pessoa jurídica que realiza o Tratamento de dados pessoais em nome do Controlador.
• Plataformas: refere-se ao Aplicativo e/ou Website de Clientes.
• Política de Risco: Conjunto de regras configuradas pelo Cliente que estabelece  critérios para classificar o risco dos eventos analisados pela Incognia em risco alto ou risco baixo conforme cada contexto.
• SDK: do inglês Software Development Kit ou Módulo de Desenvolvimento de Software. É o módulo instalado nos Aplicativos e Websites de nossos Clientes para coleta de Dados pela Incognia.
• Solução: serviço Incognia prestado ao Cliente através da integração do nosso SDK ao Aplicativo (Solução Mobile) ou Website (Solução Web).
• Titular: refere-se a pessoa física cujos Dados Pessoais são objeto do Tratamento.  Refere-se ao Usuário do Aplicativo ou Website.
• Tratamento: toda operação realizada com os Dados Pessoais do Usuário, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Usuário: pessoa física que baixa e instala o Aplicativo do nosso Cliente ou acessa seus serviços via Website. Refere-se ao Titular dos Dados Pessoais.

Essas definições serão mencionadas ao longo desta Política com a inicial maiúscula e devem ser interpretadas em conjunto com as disposições da LGPD. Palavras e termos não definidos neste Glossário devem ter seu significado de acordo com o disposto na LGPD.

1. Como funciona a Solução Incognia?

A Incognia oferece uma tecnologia de prevenção a fraudes que funciona integrada aos Aplicativos e Websites de seus Clientes por meio de um módulo de software chamado Software Development Kit (SDK). Esse módulo é incorporado diretamente às Plataformas para coleta dos Dados descritos no item 3 , os quais serão tratados para finalidade específica de análise de riscos de fraude.

Uma vez integrado o SDK da Incognia, nossos Clientes passam a nos encaminhar, via API, requisições de análise de risco para eventos que ocorrem na Plataforma, ou seja, em momentos decisivos da jornada do Usuário, como na criação de uma nova conta (onboarding), em tentativas de login ou em outras ações relevantes que precisam de uma análise de risco. 

Ao receber a requisição, a Incognia processa os Dados coletados pelo SDK e/ou enviados diretamente pelo Cliente via API para, com base nessas informações e nos critérios previamente definidos na Política de Risco do Cliente, retornar na própria API um resultado que indica se o risco é baixo, alto ou desconhecido (quando não há informações suficientes para a análise).   

O resultado de risco vem acompanhado das razões que justificam a classificação, como, por exemplo, a identificação de sinais que comprometem a integridade do Dispositivo, como a presença de softwares maliciosos, indícios de manipulação do sistema operacional, uso de ferramentas de emulação, entre outros fatores. Além disso, podem ser considerados elementos contextuais, como inconsistências de localização, e recorrência de tentativas de acesso fraudulentas, entre outros. A Incognia fornece a avaliação do risco, conforme instruções do Cliente e regras definidas na Política de Risco por ele configurada.  A decisão sobre quais medidas adotar a partir desse resultado cabe exclusivamente ao Cliente. Ele pode, por exemplo, incluir uma nova etapa de verificação, como biometria, seguir com a interação sem impactos ao Usuário ou aplicar qualquer outro procedimento previsto em suas políticas e termos de uso.

Esse modelo permite que a Incognia ofereça inteligência de risco em tempo real, possibilitando a prevenção a fraudes sem criar fricção desnecessária para o Usuário legítimo. 

2. Como os Dados Pessoais são coletados?

Após sermos contratados por nosso Cliente, Controlador, o Software Development Kit (“SDK”) é por ele integrado ao seu Aplicativo ou Website para possibilitar a coleta de Dados disponibilizados no Dispositivo do Usuário. Uma vez que o Usuário baixa e instala o Aplicativo ou acessa o Website e fornece as devidas permissões de acesso (quando necessárias) os Dados Pessoais passam a ser coletados e tratados por nós para trazer maior segurança durante o uso das Plataformas, prevenindo a incidência de fraudes e, ao mesmo tempo, melhorando a experiência de Usuários legítimos mediante a redução de fricção durante o onboarding, login, transações e outros eventos de Aplicativos e Websites.

A integração de nosso SDK, bem como a coleta e Tratamento de Dados via Aplicativo ou Website para os fins descritos nesta Política ocorre por uma decisão única e exclusiva dos Clientes que nos contratam, os quais são responsáveis pela coleta de eventuais consentimentos, bem como por fornecer a devida transparência a seus Usuários.

Para saber mais detalhadamente através de quais Aplicativos ou Websites a tecnologia da Incognia coleta Dados Pessoais, deve-se  consultar as Políticas de Privacidade dos Aplicativos instalados no Dispositivo ou dos Websites visitados e solicitar aos desenvolvedores das Plataformas informações sobre o compartilhamento de Dados com terceiros. Por sermos um terceiro na relação entre essas Plataformas e os Usuários, não podemos expor nossos Clientes devido a questões de confidencialidade previstas em contratos e exigidas por essas empresas.

Desta forma, recomendamos sempre a leitura das Políticas de Privacidade dos Aplicativos que se deseja realizar o download, antes de instalá-los nos Dispositivos, assim como as Políticas de Privacidade dos Websites acessados, para possibilitar o acesso a informações detalhadas sobre o Tratamento e compartilhamento de Dados.

3. Quais Dados Pessoais são tratados?

Nós apenas coletamos e tratamos Dados Pessoais em linha com os contratos estabelecidos com nossos Clientes e no limite do necessário para atingir as finalidades de Tratamento por eles definidas, relacionadas à segurança no uso dos Aplicativos e Websites, autenticação de Usuários, redução da incidência de fraudes e melhora da experiência dos Usuários.

Confira abaixo as categorias de Dados Pessoais que coletamos através do nosso SDK integrado às Plataformas:

Além dos Dados coletados via SDK, nossos Clientes também podem nos encaminhar, via API, dados de endereço para fins de validação, e eventuais outros tipos de Dados necessários para as análises de risco, sempre em linha com as políticas e contratos estabelecidos. Através da API recebemos ainda dados de Account ID, os quais são submetidos a aplicação de técnica de Hashing pela Incognia.  

4. Como a Incognia trata os Dados de geolocalização?

A coleta de Dados de geolocalização tanto em Aplicativos como Websites ocorre apenas se o Usuário conceder sua permissão de localização. Essa é uma exigência dos sistemas operacionais das Plataformas e cabe aos nossos Clientes a formulação dos textos constantes em tais avisos de permissão de localização.

Uma vez concedida a permissão, a Incognia passa a coletar Dados de geolocalização do Dispositivo, em momentos pontuais e limitados, em regra apenas quando o Aplicativo ou Website está aberto (foreground). Não há coleta constante desse tipo de dado e, portanto, não é possível monitoramento ou rastreamento de Usuários.

Os dados de geolocalização são gerados a partir da integração de Dados de GPS, Wi-Fi, Bluetooth e podem ser aprimorados com informações advindas da localização aproximada de endereços de IP, por exemplo, os quais, assim como diversos outros Dados manipulados pela Incognia, são submetidos a técnicas de Hashing.

5. Quem são os donos dos Dados Pessoais tratados pela Incognia?

Os donos ou Titulares dos Dados Pessoais são os Usuários que baixam e instalam Aplicativos ou acessam Websites que possuem a nossa tecnologia embarcada (SDK integrado), concedendo ao nosso Cliente as devidas permissões para compartilhamento de seus Dados, se e quando aplicável.

6. A Incognia trata Dados Pessoais de crianças ou adolescentes?

Nós não realizamos a integração da tecnologia da Incognia com Plataformas direcionados especificamente a crianças/adolescentes, nem oferecemos serviços para empresas que tenham esse público como alvo principal.

 Ademais, não coletamos quaisquer Dados Pessoais que nos permitam inferir a idade dos Usuários e cabe ao Cliente, na qualidade de Controlador, adotar as medidas necessárias para checar a idade dos Titulares dos dados e aplicar eventuais restrições de Tratamento de seus Dados. 

Portanto, não coletamos intencionalmente Dados Pessoais especificados como de crianças ou adolescentes.

7. Qual o papel desempenhado pela Incognia enquanto agente de tratamento?

Nós somos contratados pelos desenvolvedores dos Aplicativos ou Websites, nossos Clientes, para em seu nome e sob suas determinações e instruções, realizar o Tratamento de Dados dos Titulares, para fins de segurança e prevenção à fraude. Assim, nossos Clientes são os Controladores dos Dados e nós atuamos nessas situações como Operadora dos Dados, segundo definições da LGPD.

A definição do papel de agentes de tratamento, no entanto, não é estática. Assim, é possível a atuação da Incognia como Controladora se eventualmente o Tratamento de Dados tiver por objetivo atingir nossas próprias finalidades como, por exemplo, para atender a alguma obrigação legal ou alguma outra situação permitida pela LGPD ou previstas nos contratos que celebramos com nossos Clientes.

8. Quais as finalidades de Tratamento dos Dados Pessoais?

O Tratamento dos Dados Pessoais ocorre para atingir as finalidades determinadas por nossos Clientes relacionadas com o fornecimento de maior segurança e redução da incidência de fraudes e da fricção durante a experiência dos Usuários no uso de Aplicativos ou navegação em Websites.  Não utilizamos os Dados coletados através da integração do nosso SDK com as Plataformas de Clientes ou que nos são diretamente enviados pelos Clientes via API para nenhuma finalidade que não aquelas relacionadas aos nossos serviços. Ressaltamos que se identificarmos que alguma orientação de Tratamento de Dados proveniente do nosso Cliente Controlador é ilegal, adotaremos as medidas contratuais e legais cabíveis.

Abaixo listamos as principais finalidades gerais a serem alcançadas com o Tratamento dos Dados:

• Criação de Device ID: possibilitar a identificação única e persistente de um Dispositivo, de modo a auxiliar na detecção e prevenção de fraudes.
• Verificação da integridade do Dispositivo: verificar se há alguma falha na integridade do Dispositivo, como anomalia técnica, software malicioso ou tentativa de forjar sua localização; 
• Validação de endereços: verificar se o endereço fornecido no momento de cadastro na Plataforma encontra correspondência com as localizações frequentes do Dispositivo; 
• Análise de localização: utilizar Dados de geolocalização para avaliar, por exemplo, se o evento está ocorrendo em um local previamente associado ao uso legítimo do Dispositivo (local confiável) auxiliando na identificação de potenciais sinais de risco, como tentativas de acesso realizadas em locais incompatíveis com o histórico de uso do Usuário.
• Análise de padrões suspeitos: avaliar padrões que são contrários às políticas da Plataforma, como acesso de múltiplas contas a partir de um mesmo Dispositivo, constantes reinstalações de Aplicativo etc.

Os Dados coletados também são utilizados para fins de efeito de rede e para gerar inteligência e Dados derivados visando o aprimoramento e maior precisão das análises de risco entre as Plataformas. Ainda, os Dados podem ser tratados, no geral, em formato anônimo, para fins de depuração e monitoramento do SDK com intuito de melhorá-lo visando o consumo de menos recursos dos Dispositivos (memória, rede, bateria etc.).

9. Qual é a base legal que justifica o Tratamento dos Dados Pessoais?

De acordo com as disposições das leis de privacidade, cabe ao Controlador, nosso Cliente, definir a base legal mais apropriada para justificar o processamento de Dados Pessoais.

No entanto, se em alguma situação viermos a atuar como Controlador de Dados, apenas trataremos os Dados Pessoais se tivermos uma base legal para tanto e sempre de acordo com as disposições e regras  previstas em lei.

10. Com quem a Incognia compartilha os Dados Pessoais coletados?

Os Dados Pessoais coletados pelo nosso SDK são armazenados e tratados pela Amazon Web Service (AWS Cloud), não sendo compartilhados com quaisquer outros terceiros, a menos que haja determinação expressa nos contratos celebrados com nossos Clientes, enquanto Controladores.

Esclarecemos que os Dados coletados via SDK, ou recebidos via API, incluindo Dados de geolocalização, são criptografados e tratados pela Incognia para atingir as finalidades de Tratamento previamente determinadas pelos Clientes, não sendo, em regra, compartilhados com Clientes, parceiros ou quaisquer terceiros não autorizados.

Apenas os resultados das análises de risco realizadas com base nos Dados Pessoais coletados e orientações dos Clientes, bem como as respectivas evidências e razões dos resultados serão compartilhadas com os Clientes, para fins de tomada de decisões relacionadas à segurança e prevenção de fraudes. 

Quaisquer decisões que possam impactar o Titular e que sejam decorrentes das análises de risco efetuadas por nossa Solução serão adotadas única e exclusivamente pelos nossos Clientes sob sua única e exclusiva responsabilidade.

11. Os Dados Pessoais são transferidos para locais fora do Brasil?

Sim, os Dados coletados pela Incognia serão armazenados em servidores da Amazon Web Service (AWS Cloud) localizados em Virgínia, nos Estados Unidos da América.  Nós utilizamos protocolo seguro para proteger a transferência de Dados para os nossos servidores de forma criptografada. A transferência internacional dos Dados é realizada de acordo com os mecanismos de transferência previstos na LGPD, sendo legitimada pelas Cláusulas-Padrão de Transferência Internacional de Dados aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD), firmadas entre a Incognia e a AWS, nos termos da Resolução CD/ANPD nº 19/2024. 

12. Como e onde os Dados Pessoais são armazenados?

Os Dados Pessoais são armazenados em servidores da Amazon Web Service (AWS Cloud) com Criptografia aplicada tanto na transferência quanto no armazenamento. Os Dados são hospedados em ambientes tecnológicos gerenciados única e exclusivamente pela Incognia por meio do uso de uma plataforma de nuvem pública fornecida pela AWS. O armazenamento em nuvem (cloud computing) é o padrão da indústria, pois simplifica a operação da tecnologia e aumenta o nível de segurança de todos os serviços que o utilizam. Além disso, nós temos controle de acesso restrito e granular sobre os Dados que armazenamos na nuvem da AWS.

Adotamos mecanismos de segurança tanto no transporte como no armazenamento dos Dados, além de atualizarmos constantemente nossos sistemas de proteção. Todas as requisições são feitas  com versões seguras do HTTPS, que é um protocolo padrão da indústria.  Além disso, a nuvem da AWS fornece diversos recursos e serviços de segurança para aumentar a privacidade e controlar o acesso à rede, dentre eles: firewalls, Criptografia (tanto para Dados armazenados como em trânsito), rastreamentos de segurança, backup, bem como monitoramento constante, registro de log das atividades e controle de acesso.

Para conhecer mais detalhes sobre as medidas administrativas e técnicas adotadas pela Amazon para proteção dos Dados que tratamos, bem como para cumprimento das disposições da LGPD, consulte aqui.

13. Por quanto tempo os Dados Pessoais são armazenados?

Armazenamos os Dados obtidos via SDK pelo período definido pelo nosso Cliente, Controlador, o qual, em regra limita-se a 180 (cento e oitenta) dias, que é o tempo necessário para atingirmos as finalidades de Tratamento determinadas pelos nossos Clientes. Após esse período, esses Dados são eliminados de forma segura e definitiva.

Quando se mostrar necessária a retenção dos Dados Pessoais após atingida a finalidade para a qual foram coletados, os critérios para delimitação do período de retenção serão os seguintes:

• Obrigação legal, regulatória, contratual ou determinação de autoridade competente;
• Manutenção de registros históricos, comerciais e financeiros, nos limites do necessário;
• Fins de auditoria ou exercício regular de direitos em processos judiciais ou administrativos.

14. Quais são os direitos dos Titulares de  Dados Pessoais?

A LGPD assegura diversos direitos aos Titulares em relação ao uso de seus Dados Pessoais. O exercício desses direitos ocorre, em regra, perante os Controladores, que são os desenvolvedores das Plataformas que utilizam a tecnologia da Incognia. Por serem os responsáveis pelo relacionamento direto com os Usuários e por deterem os Dados que permitem a identificação do Titular, os Controladores estão em melhor posição para verificar e atender às solicitações de direitos.

A Incognia, como Operadora, possui compromissos legais e contratuais que preveem o suporte necessário aos Clientes no atendimento de requisições de Titulares, sempre dentro dos limites técnicos, jurídicos e contratuais aplicáveis. 

Para exercer esses direitos, recomenda-se consultar a política de privacidade do Aplicativo ou Website utilizado, onde constam os canais oficiais de contato disponibilizados pelo respectivo Controlador. 

Sem prejuízo, elencamos abaixo quais são os direitos dos titulares de dados pessoais, para que possam ser exercidos conforme previsto no art. 18 da LGPD, diretamente perante nossos Clientes, a saber, o Desenvolvedor da Plataforma.

• Confirmação da existência do tratamento de dados pessoais.
• Acesso aos dados pessoais.
• Correção de  dados pessoais incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio, eliminação ou restrição de  dados pessoais desnecessários, excessivos ou tratados em desconformidade com a lei. 
• Portabilidade de  dados pessoais.
• Informação das entidades públicas e privadas com as quais houve uso compartilhado de dados pessoais. 
• Revisão de decisões automatizadas e de não se submeter ao tratamento exclusivamente automatizado. 
• Eliminação dos  dados pessoais tratados com base no consentimento.
• Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa.

Caberá ao Controlador analisar cada pedido submetido, seja quanto à viabilidade de exercício de determinado direito ou de cumprimento das providências solicitadas, considerando todo o contexto em que os Dados Pessoais são tratados e o nível de regulamentação existente ao tempo do pedido.

É possível que um pedido não possa ser atendido no momento da solicitação ou não seja atendido em sua integralidade por questões relacionadas a segredos de negócio ou outras razões legalmente fundamentadas. Caso isso ocorra,  essa decisão deverá ser devidamente justificada pelo Controlador.

De todo modo, o Titular sempre pode contatar nossa Encarregada/DPO para tratar desse e de outros temas relacionados à privacidade e proteção de dados (dpo@incognia.com).

15. Como a Incognia incorpora a privacidade em sua Solução?

A Incognia desenvolve sua tecnologia de prevenção a fraudes com fundamento nos princípios basilares da proteção de dados, buscando reduzir ao máximo a necessidade de utilização de informações pessoais. O padrão da nossa Solução não envolve a necessidade de coleta de Dados de identificação direta, como nome, CPF, RG ou e-mail, pois conseguimos entregar valor e realizar análises de risco mesmo sem depender dessas informações. Se em algum momento futuro o Cliente entender necessário ajustarmos nossa Solução para abranger Dados de identificação direta em algum caso específico, esses Dados contarão com medidas adicionais de proteção, sendo tratados com um nível de rigor ainda mais elevado que os aplicados aos Dados de identificação indireta.

Todos os Dados tratados são protegidos por Criptografia, com acesso gerenciado e restrito  a funcionários  autorizados, os quais atuam com base em acordos de confidencialidade, passam por treinamentos recorrentes e seguem procedimentos internos para garantir a proteção dos Dados e melhores práticas do mercado. 

Ademais,  seguimos os 7 princípios fundamentais de Privacy by Design, como a base para criar e desenvolver nossas soluções, implementando a proteção da privacidade desde a concepção até a utilização final dos nossos produtos e soluções. Para saber mais sobre como implementamos Privacy by Design na nossa Solução, consulte nosso E-book: Descomplicando o Privacy by Design.

A Incognia também mantém contratos específicos de proteção de dados (Data Processing Agreements – DPAs) firmados com seus Clientes, nos quais são estabelecidas as medidas técnicas e organizacionais que devem ser aplicadas no Tratamento, assegurando que cada operação esteja em conformidade com os requisitos legais e contratuais.

Além disso, anualmente passamos por auditorias independentes para assegurar nosso compliance com as principais leis de privacidade, bem como com os mais rigorosos requisitos de segurança.

Outros procedimentos de garantia de privacidade e proteção de dados são detalhados ao longo desta Política de Privacidade e nossa Encarregada de Proteção de Dados/DPO (dpo@incognia.com) poderá sempre ser contatada para fornecer  mais detalhes sobre como lidamos com a  privacidade e proteção de dados pessoais no escopo das nossas Soluções.

16. Quais medidas técnicas são aplicadas para proteção dos Dados?

A Incognia aplica medidas técnicas que seguem padrões reconhecidos pela indústria, incluindo aqueles exigidos em auditorias independentes como o SOC 2, para garantir a confidencialidade, a integridade e a segurança dos Dados tratados em nossa Solução. Essas medidas incluem:

• Criptografia no transporte e no armazenamento dos Dados, com controle e acesso restrito de chaves, de modo a assegurar que apenas partes autorizadas possam acessá-los;
• Técnicas avançadas de assinatura criptográfica, que permitem identificar qualquer alteração não autorizada nos Dados recebidos via SDK;
• Hashing com segredo aplicado aos Dados identificadores (IDs).  Esse processo garante que os identificadores utilizados pela Incognia não permitam a identificação direta dos Titulares e reduz o risco de reidentificação caso houvesse confronto com bases externas que contenham informações pessoais, como e-mail ou CPF;
• Armazenamento segregado de Dados de maior sensibilidade, como informações bancárias, em buckets independentes, com controles adicionais de auditoria e monitoramento.;
• No contexto da Solução Web, coleta de Cookies apenas quando autorizada pelo Cliente. Nessas situações, a Incognia tem acesso exclusivamente à versão hasheada dos Cookies, nunca ao valor original, e não utiliza Cookies de terceiros para rastreamento;
• Execução periódica de testes de intrusão (pentests) conduzidos por empresas especializadas, com o objetivo de identificar e corrigir vulnerabilidades antes que possam ser exploradas.
• Monitoramento contínuo de acessos e segregação de funções entre equipes técnicas, assegurando que atividades críticas relacionadas a Dados também críticos sejam desempenhadas com rastreabilidade e dentro de princípios de menor privilégio

Essas medidas são continuamente aprimoradas e auditadas para assegurar que o Tratamento de Dados realizado pela Incognia ocorra em conformidade com as legislações aplicáveis e em alinhamento com os compromissos contratuais assumidos com nossos Clientes.

17. Quais certificações de Segurança e Privacidade a Incognia possui?

Somos auditados anualmente para atestar nossa conformidade com os padrões da SOC 2 Tipo II, um dos mais reconhecidos padrões internacionais de segurança da informação. Essa auditoria avalia nossos sistemas de informação em relação a critérios de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade, conforme os Trust Services Criteria (TSC) estabelecidos pelo American Institute of Certified Public Accountants (AICPA). A conformidade com a SOC 2 confirma que a Incognia adota medidas eficazes de segurança, como monitoramento contínuo de riscos, gestão de acessos lógicos e físicos, mecanismos de mitigação, avaliação recorrente de riscos e controles de governança aplicados ao nosso ambiente tecnológico.

Além disso, em fevereiro de 2025, a Incognia obteve uma Letter of Attestation (LoA) emitida por auditoria independente, que reconhece a conformidade de suas práticas com legislações globais de proteção de dados, como o GDPR (General Data Protection Regulation - Regulamentação Geral de Proteção de Dados da União Europeia) e a CCPA (California Consumer Privacy Act - Lei de Proteção de Dados da Califórnia). Embora o documento faça referência a esses regulamentos internacionais, os controles avaliados também demonstram alinhamento com os princípios e requisitos da LGPD, reforçando o compromisso da Incognia em adotar padrões de privacidade equivalentes aos mais exigentes do mercado global.

18. Como contatar a DPO da Incognia?

Dúvidas, solicitações, comentários ou sugestões podem ser diretamente endereçados a nossa Encarregada pelo Tratamento de Dados Pessoais/DPO, enviando um e-mail para dpo@incognia.com.

19. Alterações desta Política

Podemos atualizar e alterar os termos desta Política de Privacidade de tempos em tempos. Em nosso site, você sempre encontrará a versão mais recente e, caso queira acessar versões anteriores basta registrar uma solicitação através de envio de e-mail para dpo@incognia.com.

INCOGNIA TECNOLOGIA DA INFORMAÇÃO LTDA.
CNPJ/MF sob o nº 17.399.938/0001-29
Endereço: Avenida Cais do Apolo, no 222, Andar S1, Sala 06, Bairro do Recife/PE, CEP 50.030-230
Encarregada/DPO: Dayana Caroline Costa 

Encarregada/DPO Substituta:  Rayanne Conceição de Almeida Santos

Contato: dpo@incognia.com