- Criptografia: dados em trânsito via HTTPS/TLS e em repouso nos servidores.
- 2FA disponível: autenticação de dois fatores para todos os usuários — ative obrigatoriamente.
- RBAC: controle de acesso por perfil permite limitar quem vê quais dados e pipelines.
- LGPD: o Kommo é a plataforma; sua empresa é controladora dos dados — a responsabilidade de compliance é sua.
- Dados no exterior: servidores do Kommo não ficam no Brasil — verifique cláusulas de transferência internacional de dados no contrato.
Quais recursos de segurança o Kommo oferece nativamente?
O Kommo implementa práticas padrão de segurança SaaS: comunicação criptografada via HTTPS/TLS entre cliente e servidor, criptografia de dados em repouso, e autenticação de dois fatores (2FA) disponível para todos os usuários.
O sistema de permissões (RBAC) permite configurar o que cada perfil de usuário pode visualizar, editar ou exportar. Um vendedor, por exemplo, pode ver apenas seus próprios leads, enquanto gestores têm visão completa. Essa segmentação é crítica para empresas com dados sensíveis de clientes.
| Recurso de segurança | Disponível? | Plano mínimo |
|---|---|---|
| HTTPS/TLS em trânsito | Sim | Todos |
| Criptografia em repouso | Sim | Todos |
| Autenticação 2FA | Sim | Todos |
| Controle de acesso (RBAC) | Sim | Todos |
| Log de atividades | Sim | Advanced+ |
| SSO (Single Sign-On) | Parcial | Enterprise |
O Kommo está em conformidade com a LGPD?
A LGPD (Lei 13.709/2018) define papéis claros: o Kommo atua como operador de dados (processa dados por conta da sua empresa), e a sua empresa é a controladora (define finalidade e meios do tratamento). Essa distinção é fundamental para entender quem responde por quê.
Na prática, o Kommo fornece a infraestrutura segura e um DPA (Data Processing Agreement) disponível sob solicitação. Mas cabe à sua empresa: definir a base legal para coletar dados dos clientes, registrar o consentimento quando necessário, responder a solicitações de titulares (acesso, exclusão, portabilidade) e configurar o acesso restrito internamente.
Um ponto de atenção: os servidores do Kommo ficam fora do Brasil (principalmente EUA e Europa). Transferência internacional de dados pessoais exige mecanismos legais previstos na LGPD — verifique esse ponto no contrato antes de armazenar dados sensíveis de saúde, financeiros ou de menores.
Quais configurações de segurança você deve ativar obrigatoriamente?
Independentemente do plano, três configurações são inegociáveis para qualquer empresa que leve segurança a sério:
- Ative o 2FA para todos os usuários — não deixe como opcional
- Configure perfis de acesso (RBAC) limitando cada usuário ao mínimo necessário
- Revise usuários ativos periodicamente e revogue acessos de ex-colaboradores imediatamente
- Não use integrações de terceiros (Zapier, webhooks externos) sem avaliar o destino dos dados
- Documente as bases legais LGPD para cada tipo de dado que entra no Kommo
O Kommo é mais ou menos seguro que os concorrentes?
Em termos de recursos nativos, o Kommo está no nível padrão do mercado de CRMs SaaS para PMEs — comparável ao Pipedrive, HubSpot e RD Station em funcionalidades básicas de segurança. Nenhum desses CRMs possui certificação ISO 27001 confirmada publicamente, ao contrário de plataformas enterprise como Salesforce.
Para negócios com requisitos regulatórios específicos (saúde, financeiro, jurídico), vale consultar o time de segurança do Kommo diretamente para obter documentação atualizada antes de contratar.
Perguntas frequentes
O Kommo tem certificação ISO 27001 ou SOC 2?
Meus dados de clientes ficam em servidores no Brasil?
Como excluo dados de um cliente do Kommo em resposta a uma solicitação LGPD?
O 2FA do Kommo funciona com aplicativos como Google Authenticator?
Leia também
O software é bom. O resultado vem da implementação.
O Kommo é uma ferramenta excelente — mas quem transforma o CRM em máquina de vendas é o processo por trás dele. A rota mais rápida: entrar na Comunidade Kommo Brasil (implementação guiada com quem já fez centenas de vezes) ou contratar a engenharia do Luiz Otávio.