InícioBlog › Segurança
Segurança

O Kommo é seguro? LGPD e proteção de dados explicados

Resposta rápida: O Kommo adota criptografia em trânsito (HTTPS/TLS) e em repouso, controle de acesso por perfil (RBAC), autenticação de dois fatores (2FA) e logs de atividade. Para a LGPD brasileira, a responsabilidade é compartilhada: o Kommo provê a infraestrutura segura, mas cabe à sua empresa configurar permissões, definir bases legais e gerenciar consentimentos dos titulares.
Principais pontos
  • Criptografia: dados em trânsito via HTTPS/TLS e em repouso nos servidores.
  • 2FA disponível: autenticação de dois fatores para todos os usuários — ative obrigatoriamente.
  • RBAC: controle de acesso por perfil permite limitar quem vê quais dados e pipelines.
  • LGPD: o Kommo é a plataforma; sua empresa é controladora dos dados — a responsabilidade de compliance é sua.
  • Dados no exterior: servidores do Kommo não ficam no Brasil — verifique cláusulas de transferência internacional de dados no contrato.

Quais recursos de segurança o Kommo oferece nativamente?

O Kommo implementa práticas padrão de segurança SaaS: comunicação criptografada via HTTPS/TLS entre cliente e servidor, criptografia de dados em repouso, e autenticação de dois fatores (2FA) disponível para todos os usuários.

O sistema de permissões (RBAC) permite configurar o que cada perfil de usuário pode visualizar, editar ou exportar. Um vendedor, por exemplo, pode ver apenas seus próprios leads, enquanto gestores têm visão completa. Essa segmentação é crítica para empresas com dados sensíveis de clientes.

Recurso de segurançaDisponível?Plano mínimo
HTTPS/TLS em trânsitoSimTodos
Criptografia em repousoSimTodos
Autenticação 2FASimTodos
Controle de acesso (RBAC)SimTodos
Log de atividadesSimAdvanced+
SSO (Single Sign-On)ParcialEnterprise

O Kommo está em conformidade com a LGPD?

A LGPD (Lei 13.709/2018) define papéis claros: o Kommo atua como operador de dados (processa dados por conta da sua empresa), e a sua empresa é a controladora (define finalidade e meios do tratamento). Essa distinção é fundamental para entender quem responde por quê.

Na prática, o Kommo fornece a infraestrutura segura e um DPA (Data Processing Agreement) disponível sob solicitação. Mas cabe à sua empresa: definir a base legal para coletar dados dos clientes, registrar o consentimento quando necessário, responder a solicitações de titulares (acesso, exclusão, portabilidade) e configurar o acesso restrito internamente.

Um ponto de atenção: os servidores do Kommo ficam fora do Brasil (principalmente EUA e Europa). Transferência internacional de dados pessoais exige mecanismos legais previstos na LGPD — verifique esse ponto no contrato antes de armazenar dados sensíveis de saúde, financeiros ou de menores.

Quais configurações de segurança você deve ativar obrigatoriamente?

Independentemente do plano, três configurações são inegociáveis para qualquer empresa que leve segurança a sério:

  • Ative o 2FA para todos os usuários — não deixe como opcional
  • Configure perfis de acesso (RBAC) limitando cada usuário ao mínimo necessário
  • Revise usuários ativos periodicamente e revogue acessos de ex-colaboradores imediatamente
  • Não use integrações de terceiros (Zapier, webhooks externos) sem avaliar o destino dos dados
  • Documente as bases legais LGPD para cada tipo de dado que entra no Kommo

O Kommo é mais ou menos seguro que os concorrentes?

Em termos de recursos nativos, o Kommo está no nível padrão do mercado de CRMs SaaS para PMEs — comparável ao Pipedrive, HubSpot e RD Station em funcionalidades básicas de segurança. Nenhum desses CRMs possui certificação ISO 27001 confirmada publicamente, ao contrário de plataformas enterprise como Salesforce.

Para negócios com requisitos regulatórios específicos (saúde, financeiro, jurídico), vale consultar o time de segurança do Kommo diretamente para obter documentação atualizada antes de contratar.

Perguntas frequentes

O Kommo tem certificação ISO 27001 ou SOC 2?
Até a última verificação, o Kommo não publica certificações ISO 27001 ou SOC 2 em seu site. Para negócios com requisitos de compliance específicos, solicite documentação de segurança diretamente ao time comercial do Kommo antes de fechar contrato.
Meus dados de clientes ficam em servidores no Brasil?
Não necessariamente. Os servidores do Kommo ficam principalmente nos EUA e Europa. A LGPD permite transferência internacional com salvaguardas adequadas — verifique o DPA (Data Processing Agreement) no contrato para entender os mecanismos utilizados.
Como excluo dados de um cliente do Kommo em resposta a uma solicitação LGPD?
O Kommo permite excluir contatos e conversas manualmente pela interface. Para exclusões em massa ou automação do processo de direitos do titular, você precisará de integração via API. Documente o processo internamente para responder dentro dos prazos legais.
O 2FA do Kommo funciona com aplicativos como Google Authenticator?
Sim. O 2FA do Kommo suporta aplicativos TOTP padrão como Google Authenticator e Authy, além de SMS. Recomenda-se o uso via aplicativo ao invés de SMS para maior segurança.

Leia também

O software é bom. O resultado vem da implementação.

O Kommo é uma ferramenta excelente — mas quem transforma o CRM em máquina de vendas é o processo por trás dele. A rota mais rápida: entrar na Comunidade Kommo Brasil (implementação guiada com quem já fez centenas de vezes) ou contratar a engenharia do Luiz Otávio.