Logo Olist RebrandLogo Olist Rebrand
Logo Olist RebrandLogo Olist Rebrand
Teste grátis
Ícone

A Olist protege os dados que movem a sua operação

Segurança da informação faz parte da nossa cultura e orienta processos em todos os níveis da empresa. Nossos controles são estruturados e avaliados de forma independente para proteger os dados que nossos clientes confiam à Olist.

Como a Olist trata segurança

Nosso programa de segurança é estruturado em 4 pilares fundamentais que orientam a proteção em todo o Ecossistema da Olist.
Cada um deles contribui para manter a confiança de clientes e parceiros.

Icone

Abordagem e cultura

A segurança começa nas pessoas. Mantemos uma governança corporativa sólida, treinamentos contínuos de conscientização e um comitê multidisciplinar que trata riscos de forma proativa.

Icone

Controles técnicos avançados

Operamos sob o modelo de defesa em profundidade, que inclui gestão rigorosa de identidades, criptografia de ponta a ponta, desenvolvimento seguro de software e monitoramento de ameaças 24/7.

Icone

Privacidade e proteção de dados

Tratamos dados pessoais com o mais alto nível de respeito e rigor legal. Estamos em total conformidade com a LGPD, possuímos um DPO dedicado e políticas transparentes de coleta e retenção.

Icone

Auditoria e conformidade

Segurança também exige validação externa. Por isso, nossos controles de segurança e privacidade são auditados anualmente e certificados sob o padrão internacional SOC 2 Type II pela KPMG.

Cultura de segurança

Na Olist, a segurança não fica restrita a uma equipe.
É uma disciplina compartilhada, integrada aos processos e sustentada por governança formal.

Governança e liderança

A Olist mantém um Comitê de Segurança Institucional, que se reúne mensalmente para avaliar riscos, revisar políticas, analisar incidentes e priorizar ações de segurança. O comitê reúne lideranças executivas, áreas de Cybersecurity e Engenharia, profissionais de Segurança Defensiva e GRC, além de representantes dos times Jurídico e de Compliance.

Pessoas e conscientização

Todos os colaboradores Passam por treinamentos obrigatórios de Segurança da Informação e participam de campanhas recorrentes de conscientização contra phishing e engenharia social. O aceite formal do Código de Conduta e Ética é renovado anualmente por toda a organização.

Gestão de riscos

Seguimos um processo contínuo de identificação, avaliação, priorização e tratamento de riscos de segurança da informação. Os planos de ação são acompanhados de forma estruturada, e os riscos críticos Passam por aprovação da diretoria. Mudanças relevantes no ambiente também são reavaliadas com base nas ameaças identificadas.

Imagem ilustrativa

Como protegemos a plataforma e seus dados

Operamos com um modelo de defesa em profundidade, com múltiplas camadas de proteção complementares. 
Cada controle é formalizado em políticas internas e verificado durante a auditoria independente.

Icone

Identidade e acesso

A Olist utiliza autenticação centralizada via SSO, com MFA obrigatório em todas as contas corporativas. Os acessos seguem o princípio de menor privilégio, com revogação controlada e revisões periódicas.

Icone

Monitoramento e resposta a incidentes

Monitoramento contínuo por meio de SIEM para correlação e análise de logs, EDR em endpoints e servidores, e orquestração automatizada de resposta. Incidentes seguem um processo formalizado de detecção, contenção, erradicação e análise de causa raiz.

Icone

Criptografia e classificação de dados

Dados em trânsito e em repouso são protegidos por criptografia. As informações são classificadas em quatro níveis: pública, interna e parceiros, restrita e confidencial, com controles de acesso e prevenção de vazamento de dados (DLP) aplicados conforme a classificação.

Icone

Segurança de rede

Combinamos a autenticação via 802.1X para dispositivos corporativos, segmentação de redes e labels automáticos de DLP, que controlam download, cópia e compartilhamento de dados sensíveis.

Icone

Web Application Firewall (WAF)

APIs e aplicações web são protegidas por WAF, com regras gerenciadas para bloquear ataques comuns previstos no OWASP Top 10, incluindo SQL injection, cross-site scripting (XSS) e abuso de bots. O tráfego malicioso é monitorado continuamente.

Icone

Desenvolvimento seguro

Análise estática de código (SAST) integrada ao pipeline de CI/CD, com revisão de código obrigatória antes de qualquer implantação. A gestão de vulnerabilidades inclui priorização por criticidade e aplicação controlada de patches.

Icone

Gestão de mudanças

Alterações com potencial impacto ao negócio ou à segurança são registradas e gerenciadas formalmente por meio de um processo de GMUD baseado em risco, com segregação de funções, aprovação e rastreabilidade completa.

Icone

Gestão de terceiros e fornecedores

Parceiros que suportam serviços críticos Passam por avaliação de risco, due diligence e monitoramento contínuo. Contratos incluem cláusulas de segurança, SLAs e revisões periódicas de conformidade.

Icone

Backup e recuperação de dados

Realizamos rotinas de backup automatizadas com testes periódicos de restauração. Os dados são replicados em infraestrutura cloud com redundância, garantindo a disponibilidade e integridade das informações em cenários de falha.

Conformidade com a LGPD

O tratamento de dados pessoais na Olist segue os princípios da Lei Geral de Proteção de Dados (Lei nº 13.709/2018),
com coleta restrita à finalidade do serviço, retenção apenas pelo período necessário e suporte a solicitações de titulares.

Política de Privacidade

Nossa política é publicada, revisada periodicamente e acessível em olist.com/seguranca-e-privacidade. Ela descreve, de forma clara, as práticas de coleta, uso, retenção e descarte de dados pessoais para todos os produtos do Ecossistema Olist.

Encarregado de Dados (DPO)

A Olist possui um Data Protection Officer designado, responsável por garantir a conformidade com a LGPD e por atender solicitações de titulares de dados. O canal de contato é [email protected].

Notificação de incidentes

Em caso de incidente envolvendo dados pessoais, a Olist segue o procedimento de notificação previsto na LGPD: comunicação aos controladores de dados afetados e notificação à ANPD quando aplicável, conforme o art. 48 da lei.

Imagem ilustrativa

Auditoria independente SOC 2® Type II

A Olist é a primeira empresa brasileira de ERP a concluir essa avaliação, reforçando nosso compromisso com padrões internacionais rigorosos de segurança da informação. O processo é conduzido de forma independente por uma das maiores empresas de auditoria do mundo.

Relatório SOC 2 Type II — Segurança e Privacidade

Passamos pela avaliação SOC 2 Type II (System and Organization Controls), conduzida pela KPMG Assurance Services Ltda. Diferente do Type I, que verifica controles em um momento específico, o Type II analisa a efetividade desses controles ao longo de um período contínuo.

 

O processo considerou os critérios de Segurança e Privacidade do AICPA Trust Services Criteria, abrangendo os controles desenhados e implementados para o Sistema ERP da Olist durante o período avaliado.

 

Auditado pela KPMG · Relatório emitido em abril de 2026

Solicitar o relatório

Clientes e parceiros de negócios podem solicitar o relatório completo da auditoria SOC 2 Type II mediante assinatura de Acordo de Não Divulgação (NDA). Para receber uma cópia, entre em contato com nossa equipe de segurança.

Imagem ilustrativa