Visão Geral de Segurança da Twilio
ESTA VERSÃO EM PORTUGUÊS DA VISÃO GERAL DE SEGURANÇA DA TWILIO É DISPONIBILIZADA APENAS PARA REFERÊNCIA. EM CASO DE CONFLITOS OU INCONSISTÊNCIAS ENTRE A VERSÃO EM INGLÊS DISPONÍVEL EM HTTPS://WWW.TWILIO.COM/EN-US/LEGAL/SECURITY-OVERVIEW E ESTA VERSÃO EM PORTUGUÊS, A VERSÃO EM INGLÊS PREVALECERÁ.
Última atualização: 9 de abril de 2026
Esta Visão Geral de Segurança da Twilio (“Visão Geral de Segurança da Twilio”) é incorporada e integra o contrato entre a Twilio e o Cliente, abrangendo o uso dos Serviços pelo Cliente (conforme definido abaixo), incluindo qualquer termo aplicável ao processamento de dados pessoais estabelecidos neste instrumento (coletivamente, “Acordo”). Os termos iniciados em letra maiúscula usados, mas não definidos abaixo, têm seus respectivos significados indicados no Acordo.
1. Definições
“Dados do Cliente” significa quaisquer dados (a) disponibilizado pelo Cliente ou qualquer usuário dos Serviços, inclusive por meio dos produtos e serviços fornecidos pelo Cliente, à Twilio, em conexão com o uso dos Serviços pelo Cliente; ou (b) gerado para uso pelo Cliente como parte dos Serviços.
“Serviços do Segment” refere-se a qualquer serviço ou interfaces de programação de aplicativos com a marca “Segment”, “Twilio Segment” ou “Twilio Engage”.
“Serviços do SendGrid” refere-se a qualquer serviço ou interfaces de programação de aplicativos com a marca “SendGrid” ou “Twilio SendGrid”.
“Serviços” refere-se, em conjunto, aos Serviços da Twilio (conforme definido abaixo), aos Serviços do SendGrid, e aos Serviços do Segment.
“Serviços da Twilio” refere-se a (a) qualquer serviço ou interfaces de programação de aplicativos com a marca “Twilio”; e (b) qualquer plataforma de identidade, autenticação, e segurança baseada na nuvem, bem como a serviços relacionados, com a marca “Stytch”.
2. Finalidade. Esta Visão Geral de Segurança da Twilio descreve o programa de segurança da Twilio, incluindo as certificações de segurança e a auto-certificação da Twilio, além dos controles de segurança técnicos e organizacionais para proteger (a) os Dados do Cliente contra roubo, ou uso, acesso, divulgação não autorizados; e (b) os Serviços. Conforme as ameaças à segurança evoluem com o tempo, a Twilio continua a atualizar seu programa e estratégia de segurança para proteger os Dados do Cliente e os Serviços de acordo com as práticas recomendadas do setor. Dessa forma, a Twilio reserva-se o direito de atualizar esta Visão Geral de Segurança de tempos em tempos; contanto que nenhuma atualização reduza materialmente as proteções gerais estabelecidas nesta Visão Geral de Segurança. Os versão atual desta Visão Geral de Segurança da Twilio está disponível em https://www.twilio.com/pt-br/legal/security-overview. Esta Visão Geral de Segurança da Twilio não se aplica a (a) Serviços identificados como alfa, beta, não disponíveis publicamente, de lançamento restrito, de visualização do desenvolvedor, ou Serviços semelhantes oferecidos pela Twilio; ou (b) serviços prestados por fornecedores de serviços de telecomunicações.
3. Programa e Organização de Segurança. A Twilio mantém um programa de avaliação de segurança baseado em riscos, com base no sistema de gestão de segurança da informação (“Information Security Management System” ou “ISMS”) ISO/IEC 27001, que inclui proteções administrativas, técnicas, organizacionais e físicas claramente elaboradas para proteger os Serviços e a segurança, confidencialidade, integridade e disponibilidade dos Dados do Cliente. O programa de segurança da Twilio destina-se a ser adequado à natureza dos Serviços e ao tamanho e complexidade das operações comerciais da Twilio. A Twilio tem equipes de Segurança da informação separadas e dedicadas, que gerenciam o programa de segurança da Twilio, incluindo aquelas que facilitam e apoiam auditorias e avaliações independentes realizadas por terceiros. O programa de segurança da Twilio é gerenciado pelos executivos da empresa, com reuniões regulares entre o diretor de Segurança da informação da Twilio e a gestão executiva para discutir questões e coordenar iniciativas de segurança por toda a empresa. As políticas e normas de segurança da informação da Twilio são analisadas e aprovadas pela gestão executiva da Twilio, no mínimo, uma vez ao ano.
4. Segurança de Pessoas e Integração. A Twilio (a) mantém políticas, procedimentos, e controles abrangentes que são atualizados regularmente para se alinhar às práticas recomendadas do setor; e (b) disponibiliza essas políticas e procedimentos prontamente a todos os funcionários da Twilio. Todos os funcionários da Twilio estão sujeitos, no mínimo, às seguintes medidas de segurança:
(i) Verificação de antecedentes administrada por um provedor terceirizado reconhecido no mercado, aplicável a todos os novos funcionários da Twilio antes da contratação, de acordo com as leis locais vigentes, incluindo verificação de escolaridade, emprego, e verificações de referência, e quando permitido pela lei local e aplicável ao cargo, verificação de antecedentes criminais, de crédito e de elegibilidade para o trabalho.
(ii) Assinatura de um contrato de confidencialidade.
(iii) Treinamento anual obrigatório de segurança e privacidade, com prazos prorrogados para os funcionários da Twilio em licença.
(iv) Manutenção e monitoramento contínuo de uma linha direta anônima para os funcionários denunciarem comportamento antiético, caso denúncias anônimas sejam permitidas por lei.
(v) Ações de conscientização sobre ameaças à segurança por diversos meios, incluindo incidentes de segurança simulados (p. ex., campanhas de phishing).
(vi) Acesso controlado e limitado dos Dados do Cliente estritamente aos funcionários autorizados da Twilio, exclusivamente de acordo com a Cláusula 10.1 (Concessão de Acesso) e com os procedimentos operacionais padrão internos da Twilio que regem o processamento e a proteção desses Dados do Cliente.
5. Segurança Física. A Twilio mantém controles de segurança física robustos nos escritórios da empresa, guiados por uma política de segurança física que é revisada regularmente. A política de segurança física da Twilio estabelece os controles de segurança física básicos necessários para impedir o acesso não autorizado aos escritórios da Twilio e proteger os ativos físicos da Twilio. A política de segurança física da Twilio aborda áreas como controles de acesso, exigência de crachá de funcionários e prestadores de serviços, proteção de equipamentos de tecnologia da informação, e monitoramento fora do horário comercial. A Twilio exige que seus respectivos fornecedores de infraestrutura, identificados na Cláusula 8 (Arquitetura de Hospedagem e Segregação de Dados) desta Visão Geral de Segurança da Twilio, mantenham padrões de segurança física que estejam, no mínimo, alinhados com os padrões SOC2 (“Service Organization Control” (Controle de Organização de Serviços)).
6. Gestão de Fornecedores Terceirizados. A Twilio poderá usar fornecedores terceirizados para prestar os Serviços. A Twilio implementou um programa abrangente de gestão de fornecedores que aplica os controles de segurança técnicos e organizacionais adequados, proporcionais ao tipo de serviço que o fornecedor terceirizado oferece e a qualquer risco relacionado à segurança. Os possíveis fornecedores terceirizados são minuciosamente avaliados por meio de um processo que assegura que estejam e continuem a estar em conformidade com as rigorosas exigências de confidencialidade, segurança e privacidade da Twilio durante toda a relação comercial com a Twilio. Os fornecedores terceirizados que processam os Dados do Cliente estão sujeitos a controles de segurança técnicos e organizacionais mais rigorosos que (a) constam no contrato da Twilio com esses fornecedores terceirizados; e (b) são auditados regularmente pela Twilio para garantir a conformidade contínua. Além disso, a Twilio analisa regularmente: (i) cada fornecedor terceirizado em relação aos padrões de segurança e continuidade de negócios da Twilio; (ii) o acesso de cada fornecedor terceirizado aos Dados do Cliente e seus respectivos controles de segurança técnicos e organizacionais para protegê-los; e (iii) as constantes alterações nas exigências jurídicas ou regulatórias que afetam o programa de segurança da Twilio ou o processamento dos Dados do Cliente. Os fornecedores terceirizados atuais da Twilio, que são subprocessadores, estão listados em https://www.twilio.com/en-us/legal/sub-processors. A título de esclarecimento, os fornecedores de serviços de telecomunicações não são considerados fornecedores terceirizados ou subprocessadores da Twilio.
7. Certificações e Relatórios de Conformidade em Segurança. A Twilio mantém as seguintes certificações e relatórios de conformidade relacionadas à segurança:
|
Certificação ou Relatório de Conformidade |
Serviços Cobertos |
|---|---|
|
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 |
Serviços da Twilio, Serviços do Segment |
|
SOC 2 Tipo 2 |
Todos os Serviços |
|
PCI DSS Nível 1 (“Payment Card Industry Data Security Standard” (“Padrão de segurança de dados do setor de cartões de pagamento”)) |
Todos os Serviços expressamente identificados na Matriz de responsabilidade PCI DSS |
|
PCI (SAQ-A) |
A parte dos Serviços da Twilio que são a plataforma de identidade, autenticação e segurança baseada em nuvem e serviços relacionados, com a marca “Stytch” |
Para mais informações relacionadas às certificações e relatórios de conformidade em segurança da Twilio, bem como outros documentos de segurança relacionados, acesse o respectivo Centro de Confiança (“Trust Center”) abaixo:
Trust Center para os Serviços da Twilio e Serviços do SendGrid: https://security.twilio.com
Trust Center para os Serviços do Segment: https://security.segment.com
8. Arquitetura de Hospedagem e Segregação de Dados
8.1 Provedores de Infraestrutura e Colocation. Os Serviços específicos dispostos abaixo são hospedados pelo provedor de infraestrutura ou colocation líder do setor aplicável. As informações sobre os controles de segurança técnicos e organizacionais dos provedores de infraestrutura e colocation também estão disponíveis abaixo.
|
Provedor de Infraestrutura |
Serviços cobertos |
Controles de segurança técnicos e organizacionais do provedor de infraestrutura |
|---|---|---|
|
Amazon Web Services (“AWS”) |
Todos os Serviços |
|
|
Google Cloud Platform (“GCP”) |
Serviços do Segment, a parte de serviços de identificação e autenticação móvel dos Serviços da Twilio, exceto o Twilio Verify |
|
Provedor de Colocation |
Serviços cobertos |
Controles de segurança técnicos e organizacionais do provedor de Colocation |
|---|---|---|
|
Databank |
Serviços do SendGrid |
|
|
Lumen |
Serviços do SendGrid |
|
|
Digital Realty |
Serviços do SendGrid |
8.2 Ambiente de produção e acesso aos Dados do Cliente. O ambiente de produção dos Serviços hospedados com os provedores de infraestrutura mencionados acima é isolado por meio de segregação lógica em uma Nuvem Privada Virtual (“Virtual Private Cloud” ou “VPC”), e os Dados do Cliente são criptografados em todos os momentos. Os provedores de infraestrutura estão hospedados nos Estados Unidos da América. Os provedores de infraestrutura e Colocation mencionados acima não têm acesso a Dados do Cliente não criptografados. Todo o acesso à rede entre hospedeiros dentro do ambiente de produção é restrito, com adoção de mecanismos de controle de acesso e do princípio de menor privilégio, para permitir que apenas os serviços autorizados interajam no ambiente de produção. As listas de controle de acesso são usadas para gerenciar a segregação de rede entre diferentes zonas de segurança nos ambientes de produção e corporativo dentro do ambiente de hospedagem da Twilio. As listas de controle de acesso são revisadas regularmente. A Twilio separa os Dados do Cliente com o uso de identificadores lógicos. Os Dados do Cliente são marcados com um identificador exclusivo por cliente atribuído para segregar a propriedade dos Dados do Cliente. As interfaces de programação de aplicativos da Twilio são elaboradas e criadas para identificar e permitir acesso autorizado exclusivamente aos Dados do Cliente identificados com etiquetas específicas por cliente. Esses controles impedem que outros clientes tenham acesso aos Dados do Cliente.
9. Segurança desde a Concepção. A Twilio segue os princípios de segurança desde a concepção ao desenvolver os Serviços. A Twilio também aplica o padrão de ciclo de vida seguro de desenvolvimento de software da Twilio (“Secure Software Development Lifecycle” ou “Secure SDLC”) para realizar diversas atividades relacionadas à segurança dos Serviços em diferentes fases do ciclo de vida de criação do produto, desde a coleta de exigências e a concepção do produto, até a implantação do produto. Essas atividades incluem, dentre outras, a realização de: (a) revisões internas de segurança antes da implantação de novos Serviços ou código; (b) testes de penetração dos novos Serviços; e (c) modelos de ameaças para novos Serviços para detectar possíveis ameaças e vulnerabilidades de segurança.
10. Controles de Acesso
10.1 Provisão de Acesso. A Twilio segue os princípios de menor privilégio ao conceder acesso ao sistema, empregando um mecanismo de controle de acesso, para minimizar o risco de exposição não autorizada dos Dados do Cliente. O acesso dos funcionários da Twilio aos Dados do Cliente precisa ser aprovado antes de ser concedido e é restrito conforme a necessidade de acesso do cargo ou das responsabilidades do cargo. Os direitos de acesso ao ambiente de produção dos Serviços que não são baseados em tempo são revisados, no mínimo, uma vez por trimestre. O acesso de um funcionário ou prestador de serviços aos Dados do Cliente é imediatamente removido após o término do vínculo empregatício. Para acessar o ambiente de produção dos Serviços, o usuário autorizado precisa de um nome de usuário e senha exclusivos, bem como autenticação multifator habilitada. Antes que o usuário autorizado receba acesso ao ambiente de produção dos Serviços, o acesso precisa ser aprovado pelo seu gestor. Além disso, é necessário que o usuário autorizado conclua o treinamento interno para obter esse acesso, inclusive treinamento sobre o uso adequado dos sistemas relevantes que interagem ou permitem o acesso ao ambiente de produção dos Serviços. A Twilio registra ações de alto risco e mudanças no ambiente de produção dos Serviços. A Twilio aproveita a automação para identificar desvios de normas técnicas internas que possam indicar atividade anômala e/ou não autorizada para sinalizar um alerta poucos minutos após uma mudança de configuração.
10.2 Controles de senha. A política de gerenciamento de senhas da Twilio para funcionários da Twilio cumpre, no mínimo, a orientação NIST 800-63B, e exige o uso do maior número de caracteres, caracteres especiais e autenticação multifator. Além disso, quando o cliente acessa sua respectiva conta, a Twilio criptografa através da função hash as credenciais do usuário antes do armazenamento. O cliente também precisa exigir que seus respectivos usuários adicionem outra camada de segurança à conta, por meio da autenticação de dois fatores (2FA).
11. Gestão de Alterações. A Twilio segue um processo formal de gestão de alterações para administrar alterações no ambiente de produção dos Serviços, inclusive alterações em seus respectivos softwares, aplicativos e sistemas subjacentes. Cada alteração é analisada e avaliada com atenção em um ambiente de teste antes de ser lançada no ambiente de produção dos Serviços. Todas as alterações, inclusive a avaliação das alterações em um ambiente de teste, são documentadas por meio de um sistema de registro formal e auditável. Uma avaliação rigorosa é realizada para todas as alterações de alto risco, a fim de avaliar o impacto na segurança geral dos Serviços. A aprovação para lançamento de alterações de alto risco é feita pelos setores organizacionais apropriados. Planos e procedimentos também são implementados caso uma alteração lançada precise ser revertida para preservar a segurança dos Serviços.
12. Criptografia
12.1 Criptografia em Trânsito. Os Dados do Cliente são criptografados quando em trânsito entre o aplicativo de software do Cliente e os Serviços, usando TLS v1.2. Além disso, para os Serviços do SendGrid, a Twilio oferece TLS oportunístico v1.1 ou superior para e-mails em trânsito entre o aplicativo de software do Cliente e o servidor de e-mail do destinatário. Os Serviços do SendGrid foram desenvolvidos para usar, de forma oportunística, o TLS v1.1 ou superior ao tentar entregar um e-mail a um destinatário. Isso significa que, se o servidor de e-mail do destinatário aceitar uma conexão de entrada TLS v1.1 ou superior, a Twilio entregará um e-mail por meio de uma conexão TLS criptografada. Se o servidor de e-mail do destinatário não for compatível com TLS, a Twilio entregará um e-mail por meio da conexão não criptografada padrão. Os Serviços do SendGrid oferecem um recurso opcional, que o Cliente precisa habilitar, que permite ao Cliente exigir a aplicação da criptografia TLS. Caso o Cliente habilite o recurso TLS obrigatório, a Twilio entregará os e-mails aos destinatários somente se o servidor de e-mail do destinatário aceitar uma conexão TLS v1.1 de entrada ou superior. Mais informações sobre a habilitação do recurso TLS obrigatório para os Serviços do SendGrid estão disponíveis em https://www.twilio.com/docs/sendgrid/api-reference/settings-enforced-tls/update-enforced-tls-settings.
12.2 Criptografia em Repouso. Os Dados do Cliente são criptografados em repouso no AWS e na GCP, por meio de padrão avançado de criptografia.
13. Gestão de Vulnerabilidades. A Twilio mantém controles e políticas de mitigação de risco de vulnerabilidades de segurança em um período mensurável que equilibre o risco e as exigências comerciais e operacionais. A Twilio usa ferramentas de realização de varreduras de vulnerabilidade de terceiros regularmente para avaliar vulnerabilidades na infraestrutura do ambiente de hospedagem e dos sistemas corporativos da Twilio. Correções críticos de software são avaliadas, testadas, e aplicadas proativamente. As correções do sistema operacional são aplicados por meio da regeneração de uma imagem de máquina virtual base, e lançadas em todos os pontos do cluster da Twilio de acordo com um cronograma predefinido. Para correções de alto risco, a Twilio lançará diretamente em pontos existentes por meio de ferramentas de orquestração desenvolvidas internamente.
14. Teste de Penetração. A Twilio realiza testes de penetração regularmente. As ameaças e vulnerabilidades de segurança detectadas são priorizadas, passam por triagem e são remediadas imediatamente. Além disso, a Twilio mantém um programa de recompensa por bugs por meio do HackerOne, que permite que pesquisadores de segurança independentes relatem ameaças e vulnerabilidades de segurança continuamente.
15. Gestão de Incidentes de Segurança
15.1 Medidas de Prevenção. A Twilio mantém políticas e procedimentos de gestão de incidentes de segurança de acordo com a NIST SP 800-61. A equipe de Resposta a Incidentes de Segurança da Twilio (“Twilio Security Incident Response Team” ou “T-SIRT”) avalia ameaças de segurança e vulnerabilidades relevantes, estabelecendo as ações de mitigação e correção adequadas. A Twilio retém registros de segurança por 180 (cento e oitenta) dias. O acesso a esses registros de segurança é limitado à T-SIRT. A Twilio utiliza ferramentas de terceiros para detectar, mitigar, e prevenir ataques de negação distribuída de serviço ("Distributed Denial of Service” ou “DDoS”).
15.2 Resposta a Incidentes. A Twilio investigará imediatamente qualquer Incidente de Segurança após a descoberta (conforme definido no Acordo). Na medida permitida pela lei ou regulamento aplicável, a Twilio notificará o Cliente sobre o Incidente de Segurança de acordo com o Acordo. As notificações sobre o Incidente de Segurança serão fornecidas ao Cliente por e-mail, para o e-mail designado pelo Cliente em sua conta. A Twilio mantém um conjunto de políticas, procedimentos, normas, e ferramentas que orientam suas respostas subsequentes, em conformidade com a lei ou regulamento aplicável. Isso inclui notificações ao cliente quando exigido, coordenação com autoridades judiciais, e declarações a outros órgãos regulatórios e de privacidade aplicáveis, quando adequado.
16. Resiliência e Continuidade do Serviço
16.1 Resiliência. A Twilio utiliza regiões geograficamente diversas em relação aos seus respectivos provedores de infraestrutura e configurou várias zonas de disponibilidade independentes de falhas dentro de cada uma dessas regiões, a fim de assegurar que uma falha em qualquer data center específico não afete a disponibilidade dos Serviços. Isso permite à Twilio detectar e contornar, em tempo real, questões enfrentadas pelos hospedeiros ou, até mesmo, data centers inteiros, bem como empregar ferramentas de orquestração com a capacidade de regenerar hospedeiros, construindo-os a partir do backup mais recente.
16.2 Continuidade do Serviço. A Twilio aproveita ferramentas especializadas disponibilizadas na infraestrutura de hospedagem dos Serviços para monitorar o desempenho do servidor, os dados, e a capacidade de carga de tráfego dentro de cada zona de disponibilidade, e do datacenter de colocation. Caso seja detectado desempenho abaixo do ideal, ou sobrecarga de capacidade em um servidor dentro de uma zona de disponibilidade ou datacenter de colocation, essas ferramentas especializadas aumentam a capacidade ou redirecionam o tráfego, a fim de mitigar qualquer degradação de desempenho do servidor ou sobrecarga de capacidade. A Twilio também é imediatamente notificada em caso de qualquer desempenho do servidor abaixo do ideal ou sobrecarga de capacidade.
17. Backups dos Dados do Cliente. A Twilio realiza backups regulares dos Dados do Cliente, hospedados na infraestrutura do datacenter do AWS. Os Dados do Cliente copiados em backup são preservados de forma redundante em várias zonas de disponibilidade e criptografados em trânsito e em repouso, por meio de um padrão de criptografia moderno conforme o tipo dos Dados do Cliente.