Este modelo explica de maneira direta e prática como as responsabilidades de segurança e conformidade se dividem entre a Mereo e seus clientes que utilizam a Plataforma. O objetivo é eliminar zonas cinzentas, facilitar auditorias e reduzir risco operacional.

1 - Responsabilidade da Mereo: “Segurança da plataforma”
A Mereo é responsável por proteger a infraestrutura e a plataforma. Exemplos de responsabilidades da Mereo:

• Infraestrutura física e virtual: computação, rede e armazenamento que hospedam a plataforma.
• Plataforma e camada de aplicação: manutenção, atualizações, correções de segurança aplicadas ao software central da Mereo.
• Segurança de desenvolvimento: pipelines CI/CD, revisão de código, controles de qualidade e testes de segurança.
• Segurança operacional: monitoramento contínuo, observabilidade, detecção de intrusão, resposta a incidentes e testes de penetração.
• Criptografia: proteção de dados em trânsito (TLS) e em repouso conforme políticas internas.
• Disponibilidade e continuidade: backups da infraestrutura, planos de recuperação e SLA de disponibilidade (conforme contrato).
• Gestão de vulnerabilidades e patches no ambiente da plataforma.
• Controle e segregação de dados entre clientes (multi-tenant isolation).
• Fornecimento de APIs, integrações e documentação de segurança.
• Fornecimento de evidências de conformidade e relatórios de auditoria quando aplicável.

2 - Responsabilidade do Cliente: “Segurança na plataforma”
O cliente é responsável pelas configurações, pelo conteúdo e pelo ambiente de acesso que ficam sob seu controle ao usar a Mereo. Exemplos de responsabilidades do cliente:

• Gestão de identidade e acesso: criação, revisão e remoção de contas; atribuição de permissões, uso de MFA e SSO/SCIM para provisionamento/desprovisionamento.
• Dados e conteúdo: classificação, censura, políticas de retenção, anonimização de pesquisas e decisões sobre criptografia adicional dos dados exportados.
• Ambiente de acesso: segurança de rede corporativa, estações e dispositivos dos usuários (antivírus, patches, MDM).
• Treinamento e governança: capacitação de usuários, políticas internas e resposta inicial a incidentes originados por conta de usuário.
• Backup local de dados exportados, quando necessário para políticas internas.
• Decisões sobre integrações com terceiros (CRMs, HRIS, SSO) e gerenciamento dos riscos dessas integrações.

3 - Controles compartilhados (Mereo + Cliente)
Estes controles exigem ações coordenadas; a responsabilidade final depende do contexto do serviço e da configuração do cliente:

• Gerenciamento de patches: Mereo aplica patches na plataforma; o cliente aplica patches em seus dispositivos e em software local que interage com a Mereo.
• Gerenciamento de configuração: Mereo garante configurações seguras por padrão da plataforma; o cliente é responsável por configurar permissões, exportações e integrações conforme sua política.
• Controle de acesso: Mereo fornece controles de autenticação e autorização; o cliente define políticas de senha, MFA e quem tem quais privilégios.
• Resposta a incidentes envolvendo credenciais comprometidas originadas na rede do cliente.

4 - Cenários práticos (quem faz o quê)

• Usuário com credenciais fracas é comprometido e dados são exportados: responsabilidade inicial do cliente (políticas de senha, MFA, treinamento). Mereo apoia na investigação e bloqueio de sessão no escopo da plataforma.
• Vulnerabilidade em uma biblioteca do app detectada por pen test: Mereo corrige e aplica patches na plataforma; cliente atualiza suas integrações se necessário.
• Exportação massiva por erro de permissão interna: cliente é responsável por revisar permissões; Mereo pode fornecer logs e suporte para auditoria e mitigação.
• Integração com HRIS que vaza dados por configuração incorreta: cliente e/ou terceiro integrador são responsáveis pela configuração; Mereo isola/limita o escopo conforme políticas de API e pode orientar configurações seguras.