Balena © 2023 – Política de Privacidade
Este Acordo de Proteção de Dados (ou “APD”) entra em vigor em 01 de maio de 2023.
O Cliente deve disponibilizar à Empresa e o Cliente autoriza a Empresa a processar informações, incluindo Dados Pessoais para a prestação dos Serviços sob o Contrato. As partes concordam em celebrar este APD para confirmar as disposições de proteção de dados relacionadas ao seu relacionamento e para atender aos requisitos da Lei de Proteção de Dados aplicável.
- Definições
1.1. Para os fins deste APD:
“Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável (‘dados assunto’); é considerada identificável a pessoa singular que possa ser identificada, direta ou indiretamente, designadamente por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos para o físico, fisiológico, genético, mental, econômico, cultural ou social identidade dessa pessoa física;
“Lei de Proteção de Dados” significa todas as leis, regulamentos e outros requisitos legais aplicáveis relacionados a (a) privacidade, segurança de dados, proteção ao consumidor, marketing, promoção e mensagens de texto, e-mail e outros comunicações; e (b) o uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, descarte e outro processamento de quaisquer Dados Pessoais.;
“a Afiliada da Empresa” significa qualquer entidade que direta ou indiretamente controle, seja controlada por, ou esteja sob controle comum com a Companhia. “Controle”, para fins desta definição, significa controle direto ou indireto propriedade ou controle de mais de 50% das participações com direito a voto da entidade objeto;
“Serviços” significa qualquer um dos seguintes serviços prestados pela Empresa:
(a) Produtos com a marca da Empresa ofertas disponibilizadas através do site da Empresa,
(b) serviços de consultoria ou treinamento prestados por a Empresa remotamente via Internet ou pessoalmente, e
(c) quaisquer serviços de suporte prestados pela Empresa, incluindo acesso ao suporte técnico da Empresa; os termos “controlador de dados”, “processador de dados”, “titular dos dados”, “dados pessoais”, “processamento” e “apropriado medidas técnicas e organizacionais” terão os significados que lhes são atribuídos nos Dados aplicáveis à Lei de Proteção.
- Objeto, Natureza e Finalidade do Processamento de Dados Pessoais pela Empresa
2.1. O assunto, natureza e finalidade do processamento de Dados Pessoais sob este APD é da Empresa desempenho dos Serviços conforme instruído por escrito pelo Cliente em seu uso dos Serviços, a menos que exigido de outra forma pela Lei de Proteção de Dados, caso em que na medida permitida pela Lei de Proteção de Dados, a Empresa deverá informar o Cliente deste requisito legal antes de realizando o processamento.
A Empresa apenas coletará ou processará Dados Pessoais pelo período de prestação dos Serviços na medida e da maneira necessária para a prestação dos Serviçose de acordo com o APD e a Lei de Proteção de Dados aplicável à Empresa.
- Obrigações da Empresa
3.1. A Empresa concorda s e/ou garantias:
(a) processar os Dados Pessoais apenas em nome do Cliente e em conformidade com as suas instruções e o APD; se não puder fornecer tal cumprimento por qualquer motivo, concorda em informar prontamente o Cliente da sua incapacidade de cumprir, caso em que o Cliente tem o direito de suspender a transferência de dados e/ou rescindir os Serviços;
(b) que todos os Dados Pessoais processados em nome do Cliente permanecem propriedade do Cliente e/ou os titulares de dados relevantes;
(c) que não tem motivos para crer que a legislação que lhe é aplicável o impeça de cumprir as instruções recebidas do Cliente e suas obrigações sob o APD e que no caso de um alteração nesta legislação que provavelmente terá um efeito adverso substancial nas garantias e obrigações previstas pelo APD, este notificará prontamente a alteração ao Cliente assim que tiver conhecimento, caso em que o Cliente tem o direito de suspender a transferência de dados e/ou rescindir os Serviços;
(d) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 1 antes processar os Dados Pessoais transferidos;
(e) que notificará prontamente o Cliente sobre: qualquer solicitação juridicamente vinculativa de divulgação dos Dados Pessoais por uma autoridade policial, a menos que proibido de outra forma, como uma proibição sob a lei criminal de preservar a confidencialidade de uma investigação policial;
- qualquer acesso acidental ou não autorizado; e
iii. qualquer solicitação recebida diretamente dos titulares dos dados sem resposta a essa solicitação, a menos que tenha sido autorizado de outra forma a fazê-lo;
(f) lidar pronta e adequadamente com todas as perguntas do Cliente relacionadas ao processamento do Dados Pessoais sujeitos à transferência e acatar o conselho da autoridade supervisora em relação a o processamento dos dados transferidos;
(g) a pedido do Cliente para submeter suas instalações de processamento de dados para auditoria das atividades de processamento abrangidos pelo APD;
(h) que, em caso de subprocessamento, informou previamente o Cliente e obteve sua prévia permissão por escrito;
(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Seção 7;
(j) nomear um responsável pela proteção de dados, que exerça as suas funções em conformidade com o Código de Proteção de Dados Lei. Os detalhes de contato dos responsáveis pela proteção de dados estão disponíveis na página da empresa.
(k) confiar apenas aos funcionários o processamento de dados descrito neste APD que foram obrigados a confidencialidade e foram previamente familiarizados com as disposições de proteção de dados relevantes para a sua trabalhar. A Empresa e qualquer pessoa agindo sob sua autoridade que tenha acesso a Dados Pessoais não devem processar esses dados, a menos que receba instruções do Cliente, a menos que seja exigido pelos Dados
Lei de Proteção;
(l) monitorar periodicamente os processos internos para garantir que o processamento dentro da área da Empresa de responsabilidade está de acordo com os requisitos da Lei de Proteção de Dados e a proteção dos direitos do titular dos dados.
- Tipo de Dados Pessoais Processados
4.1. O Cliente pode enviar Dados Pessoais do Cliente aos Serviços, cuja extensão é determinada e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado ao seguintes categorias de Dados Pessoais:
- Informação da conta. Quando o Cliente se inscreve em uma Conta de Serviços, são necessários determinados informações como nome e e-mail. O Cliente pode atualizar ou corrigir suas informações e preferências de e-mail a qualquer momento visitando a Conta de Serviços.
A Empresa pode fornecer o Cliente com suporte adicional para acessar, corrigir, excluir ou modificar as informações que o Cliente fornecidos à Empresa e associados à Conta de Serviços do Cliente.
Para proteger o segurança, a Empresa toma medidas razoáveis (como solicitar qualquer informação legal) para verificar a identidade do Cliente antes de fazer correções. O Cliente é responsável pela manutenção do sigilo da senha e informações da Conta de Serviços do Cliente em todos os momentos.
- Informações de perfil adicionais. O Cliente pode optar por fornecer informações adicionais como parte do seu perfil. As informações do perfil ajudam o Cliente a obter mais dos Serviços. É a escolha do cliente de incluir informações confidenciais em seu perfil.
- Outra informação. O Cliente pode optar por fornecer informações à Empresa quando o Cliente preenche um formulário, realiza uma pesquisa, atualiza ou adiciona informações à sua Conta de Serviços, responde a pesquisas, publica em fóruns da comunidade, participa de promoções ou usa outros recursos do a plataforma de Serviços.
- Obrigações do Cliente
5.1. O Cliente concorda e/ou garante:
(a) que o processamento, incluindo a própria transferência, dos Dados Pessoais foi e continuará a ser realizada de acordo com as disposições relevantes da Lei de Proteção de Dados e não viola ou provisões relevantes;
(b) que instruiu e durante a duração dos serviços de processamento de dados pessoais instruirá a empresa para processar os Dados Pessoais transferidos apenas em nome do Cliente e de acordo com a Lei de Proteção de Dados e o APD;
(c) que a Empresa fornecerá garantias suficientes em relação à segurança técnica e organizacional medidas especificadas no Apêndice 1 deste APD;
(d) que após a avaliação dos requisitos da Lei de Proteção de Dados, as medidas de segurança são apropriado para proteger Dados Pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, nomeadamente quando o tratamento implique a transmissão de dados em uma rede e contra todas as outras formas ilegais de processamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos tendo em conta o estado da técnica e o custo da sua implementação;
(e) que zelará pelo cumprimento das medidas de segurança; (f) acessar e usar os Serviços apenas para fins legais, autorizados e aceitáveis. O Cliente não usar (ou ajudar outras pessoas a usar) os Serviços de maneiras que:
(a) violem, se apropriem indevidamente ou infrinjam os direitos de a Empresa, seus usuários ou outros, incluindo privacidade, publicidade, propriedade intelectual ou outras propriedades direitas;
(b) sejam ilegais, obscenos, difamatórios, ameaçadores, intimidadores, assediadores, odiosos, raciais ou etnicamente ofensivo, ou instigar ou encorajar ato que seria ilegal ou inapropriado;
(c) envolver a publicação de falsidades, deturpações ou declarações enganosas; (d) fazer-se passar por alguém;
(e) envolva o envio de comunicações ilegais ou inadmissíveis, como mensagens em massa, mensagens automáticas, discagem automática e similares; ou (f) envolver qualquer outro uso dos Serviços prescritos neste APD, a menos que de outra forma autorizado pela Empresa;
(g) não (ou ajudar outros a) acessar, usar, copiar, adaptar, modificar, preparar trabalhos derivados com base em distribuir, licenciar, sublicenciar, transferir, exibir, executar ou de outra forma explorar a plataforma de serviços em maneiras inadmissíveis ou não autorizadas, ou de maneiras que sobrecarreguem, prejudiquem ou prejudiquem a Empresa, o Plataforma de serviços, sistemas, outros usuários, ou outros, inclusive que o Cliente não irá diretamente ou através meios automatizados:
(a) fazer engenharia reversa, alterar, modificar, criar trabalhos derivados, decompilar ou extrair código da plataforma de Serviços;
(b) enviar, armazenar ou transmitir vírus ou outro código de computador prejudicial através ou para a plataforma de Serviços;
(c) obter ou tentar obter acesso não autorizado aos Serviços plataforma ou sistemas; (d) interferir ou interromper a integridade ou o desempenho da plataforma de Serviços; (e) criar contas para a plataforma de Serviços por meios não autorizados ou automatizados;
(f) recolher as informações de ou sobre outros usuários de qualquer maneira inadmissível ou não autorizada;
(g) vender, revender, alugar ou cobrar pela plataforma de Serviços; ou (h) distribuir ou disponibilizar a plataforma de Serviços em uma rede onde poderia ser usado por vários dispositivos ao mesmo tempo;
(h) que o Cliente é responsável por manter a Conta de Serviços do Cliente segura e protegida, e o Cliente notificará a Empresa imediatamente sobre qualquer uso não autorizado ou violação de segurança do Conta ou plataforma de Serviços;
(i) que a Empresa concede ao Cliente uma licença limitada, revogável, não exclusiva, não sublicenciável e intransferível para usar a plataforma de Serviços. Esta licença tem o único propósito de habilitar o Cliente para usar a plataforma de Serviços, na forma permitida por este APD. Nenhuma licença ou direito é concedidas ao Cliente por implicação ou de outra forma, exceto para as licenças e direitos expressamente concedidos para o consumidor.
- Medidas Técnicas e Organizacionais
6.1. A Empresa deve tomar as medidas técnicas e organizacionais apropriadas para proteger adequadamente Dados pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais, descritos no Apêndice 1. Tais medidas incluem, mas não se limitam a e medidas de TI e medidas organizacionais para:
(a) a prevenção de pessoas não autorizadas de obter acesso a sistemas de processamento de Dados Pessoais (físicos controle de acesso),
(b) a prevenção de sistemas de processamento de Dados Pessoais de serem usados sem autorização (acesso lógico ao controle),
(c) garantir que as pessoas autorizadas a usar um sistema de processamento de Dados Pessoais tenham acesso apenas a esses Dados Pessoais
Os dados a que têm direito de acesso de acordo com os seus direitos de acesso e que, no decurso do processamento ou uso e após o armazenamento, os Dados Pessoais não podem ser lidos, copiados, modificados ou excluídos sem autorização (controle de acesso a dados),
(d) garantir que os Dados Pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização durante transmissão, transporte ou armazenamento eletrônico em mídia de armazenamento, e que as entidades alvo de qualquer transferência de Dados Pessoais por meio de instalações de transmissão de dados pode ser estabelecida e verificada (transferência de dados ao controle),
(e) garantir o estabelecimento de uma trilha de auditoria para documentar se e por quem os Dados Pessoais foram inseridos, modificados ou removidos de sistemas de processamento de dados pessoais (controle de entrada),
(f) garantir que os Dados Pessoais sejam protegidos contra destruição ou perda acidental (controle de disponibilidade).
6.2. As medidas técnicas e organizacionais estão sujeitas ao progresso técnico e ao desenvolvimento. Em a este respeito a Empresa poderá implementar medida alternativa adequada, porém, o nível de segurança do medidas definidas nunca devem ser reduzidas. Mudanças importantes devem ser documentadas.
- Subprocessadores
7.1. O Cliente concorda que a Empresa pode contratar uma Afiliada da Empresa ou terceiros para processar Dados Pessoais para ajudar a Empresa a fornecer os Serviços em nome do Cliente (“Subprocessadores”). A Empresa tem ou entrará em acordo por escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que as deste APD na medida aplicável à natureza dos Serviços prestados por tal Subprocessador. Se o Subprocessador processar os Serviços fora do UE/EEA, a Empresa deve garantir que a transferência seja feita de acordo com a Comissão Europeia aprovada cláusulas contratuais padrão para a transferência de Dados Pessoais que o Cliente autoriza o Empresa para celebrar em seu nome, ou outro acordo mecanismos legais apropriados de transferência de dados são usados.
7.2. Os Subprocessadores atuais para os Serviços são definidos no site da Empresa (“Lista de Subprocessadores”) e o Cliente concorda e aprova que a Empresa contratou tais Subprocessadores para processar Dados Pessoais conforme estabelecido na lista. A Empresa deve fornecer notificação de um novo Subprocessador(es) antes de autorizar qualquer novo Subprocessador(es) a processar Dados Pessoais em conexão com o fornecimento de o Serviço aplicável.
7.3. A Empresa notificará o Cliente com trinta (30) dias de antecedência sobre quaisquer alterações pretendidas relativas a adição ou substituição de qualquer Subprocessador durante o qual o Cliente pode levantar objeções à nomeação do Subprocessador. Quaisquer objeções devem ser levantadas imediatamente (e, em qualquer caso, o mais tardar de quatorze (14) dias após a notificação da Empresa sobre as alterações pretendidas). Caso a empresa optar por reter o Subprocessador contestado, a Empresa notificará o cliente pelo menos quatorze (14) dias antes de autorizar o Subprocessador a processar Dados Pessoais e, em seguida, o Cliente poderá interromper imediatamente o uso da parte relevante dos Serviços e pode rescindir o parte dos Serviços.
7.4. Para evitar dúvidas, quando qualquer Subprocessador deixar de cumprir suas obrigações sob qualquer contrato de subprocessamento ou sob a lei aplicável, a Empresa permanecerá totalmente responsável perante o Cliente por o cumprimento de suas obrigações sob este APD.
- Auditoria
8.1. Para confirmar a conformidade com este APD, o Cliente terá a liberdade de conduzir uma auditoria por designar um terceiro independente que será obrigado a observar a confidencialidade a esse respeito. Qualquer tal auditoria deve ocorrer durante o horário comercial normal da Empresa e será permitida apenas na medida em que necessários para que o Cliente avalie a conformidade da Empresa com este APD. Em conexão com qualquer um desses auditoria, o Cliente garantirá que o auditor irá:
(a) revisar qualquer informação nas instalações da Empresa;
(b) observar o acesso razoável no local e outras restrições razoavelmente impostas pela Empresa;
(c) cumprir com as políticas e procedimentos da Empresa, e (d) não interferir injustificadamente com as atividades de negócio. A Empresa reserva-se o direito de restringir ou suspender qualquer auditoria em caso de qualquer violação das condições especificadas nesta Seção 8.
8.2. No caso de o Cliente, um regulador ou autoridade de proteção de dados exigir informações adicionais ou uma auditoria relacionada aos Serviços, a Empresa concorda em enviar suas instalações de processamento de dados, dados arquivos e documentação necessários para o processamento de Dados Pessoais para auditoria pelo Cliente (ou qualquer terceiro como agentes de inspeção ou auditores, selecionados pelo Cliente) para verificar a conformidade com este APD, sujeito a notificação e o auditor celebrando um acordo de confidencialidade diretamente com a Empresa. A Empresa concorda em fornecer cooperação razoável ao Cliente no decorrer de tal operações, incluindo o fornecimento de todas as informações relevantes e acesso a todos os equipamentos, software, dados, arquivos, sistemas de informação etc. usados para a execução dos Serviços, incluindo o processamento de Dados Pessoais. Tais auditorias devem ser realizadas às custas e despesas do Cliente.
8.3. A auditoria só pode ser realizada quando houver motivos específicos para suspeitar do uso indevido de Dados Pessoais
Dados, e não antes de duas semanas após o Cliente ter fornecido notificação por escrito à Empresa.
8.4. Os achados da auditoria realizada serão discutidos e avaliados pelas partes e, quando
aplicáveis, implementadas conforme o caso por uma das partes ou conjuntamente por ambas as partes. Os custos da auditoria serão suportados pelo Cliente.
- Notificação de violação de dados
9.1. Caso a Empresa tenha conhecimento de qualquer violação de segurança que resulte no acesso acidental e não autorizado ou destruição ilegal ou divulgação não autorizada ou acesso a Dados Pessoais, a Empresa deve ao melhor de sua capacidade, notifique o Cliente com atraso indevido, após o que o Cliente deverá determinar se deve ou não informar os titulares dos dados e/ou a(s) autoridade(s) regulatória(s) relevante(s). Esse o dever de informar aplica-se independentemente do impacto da fuga. A Empresa se esforçará para que o informações fornecidas são completas, corretas e precisas.
9.2. Se exigido por lei e/ou regulamento, a Empresa cooperará notificando as autoridades competentes e/ou titulares de dados. O Cliente continua a ser o responsável por quaisquer obrigações estatutárias em relação disso.
9.3. O dever de comunicação inclui, em qualquer caso, o dever de comunicação da ocorrência de uma fuga, incluindo detalhes sobre: a (suspeita) causa do vazamento; as consequências (atualmente conhecidas e/ou antecipadas); a solução (proposta); as medidas que já foram tomadas.
- Exclusão e Devolução de Dados Pessoais
10.1. As partes concordam que, ao término da prestação de serviços de processamento de dados
serviços, a empresa e seus subcontratados deverão, à escolha do Cliente, devolver todos os Dados Pessoais transferidos e as cópias dos mesmos para o Cliente ou destruirá todos os Dados Pessoais e certificará ao Cliente que tenha feito isso, a menos que a legislação imposta à Empresa a impeça de devolver ou destruir todos ou parte dos Dados Pessoais transferidos. Nesse caso, a Companhia garante que garantirá a confidencialidade dos Dados Pessoais transferidos e não processará ativamente os Dados Pessoais transferidos não mais. A Empresa e seus subcontratados garantem que, mediante solicitação do Cliente e/ou do autoridade supervisora, submeterá suas instalações de processamento de dados para uma auditoria das medidas referidas na Seção 8.
- Lei Aplicável/Fórum
11.1. Este APD será regido e interpretado de acordo com as leis da Lituânia.
11.2. Todas e quaisquer reivindicações, disputas ou controvérsias decorrentes de, ou relacionadas a este APD, violação, rescisão ou validade dos mesmos, que não tenham sido resolvidos por negociações de boa-fé entre a Empresa e o Cliente no prazo de trinta (30) dias corridos após o recebimento de uma notificação da uma parte para a outra solicitando negociações será resolvida por arbitragem final e obrigatória no Tribunal de Arbitragem Comercial de acordo com suas Regras de Arbitragem em vigor e efeito na data do APD. As disputas serão resolvidas por um único árbitro. Os procedimentos de arbitragem serão realizados em São Paulo – Brasil. O local da arbitragem será São Paulo – Brasil. A linguagem da arbitragem deve ser português. Documentos relevantes em outros idiomas serão traduzidos para o português se os árbitros tão direto. Todas as despesas e custos dos árbitros e da arbitragem em relação a eles serão compartilhado igualmente, exceto que a Empresa e o Cliente arcarão com os custos de seu próprio processo e defesa, incluindo, sem limitação, honorários advocatícios e produção de testemunhas e outros evidência. Qualquer sentença proferida em tal arbitragem será final e poderá ser executada por qualquer uma das partes.
11.3. As partes concordam em manter todos os detalhes do processo de arbitragem e sentença arbitral estritamente confidencial e deve envidar todos os esforços razoáveis para tomar as medidas que possam ser apropriadas para evitar a divulgação não autorizada do processo, qualquer informação divulgada em relação a ele e o prêmio concedido.
Apêndice nº 1
Descrição das medidas técnicas e organizacionais implementadas pela Empresa:
a Empresa deverá implementar as medidas descritas neste apêndice, desde que as medidas diretamente ou indiretamente contribuir ou pode contribuir para a proteção de Dados Pessoais durante o período de Prestação de Serviços ao Cliente. Se a Companhia acreditar que uma medida não é necessária para o respectivo Serviço ou parte dele, a Empresa justificará isso e chegará a um acordo com o Cliente. As medidas técnicas e organizacionais estão sujeitas ao progresso e desenvolvimento técnico. A este respeito a Companhia está autorizada a implementar medidas alternativas adequadas. O nível de segurança deve estar alinhado com melhores práticas de segurança do setor e não menos que as medidas aqui estabelecidas. Todas as grandes mudanças devem ser acordado com o Cliente e documentado.
- Gestão de riscos
1.1. Gerenciamento de riscos de segurança
- A Empresa deve identificar e avaliar os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base nessa avaliação, implementar técnicas e organizações apropriadas medidas para garantir um nível de segurança adequado ao risco.
- A Empresa deve ter processos e rotinas documentados para tratamento de riscos em suas operações.
- A Empresa avaliará periodicamente os riscos relacionados aos sistemas de informação e processamento, armazenando e transmitindo informações.
1.2. Gerenciamento de riscos de segurança para dados pessoais
1.2.1. A Empresa deve identificar e avaliar os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base nessa avaliação, implementar técnicas e organizações apropriadas medidas para garantir um nível de segurança adequado ao risco dos Dados Pessoais específicos tipos e propósitos sendo processados pela Empresa, incluindo, inter alia, conforme apropriado:
- A pseudonimização e encriptação de Dados Pessoais;
- A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas de sistemas e serviços de processamento;
- A capacidade de restaurar a disponibilidade e o acesso aos Dados do Cliente em tempo hábil o evento de um incidente físico ou técnico;
- Um processo para testar, avaliar e avaliar regularmente a eficácia de técnicas e medidas organizacionais para garantir a segurança do processamento.
1.2.2. A Empresa deve ter processos e rotinas documentados para lidar com riscos ao processar
Dados Pessoais em nome do Cliente.
- 2.3. A Companhia avaliará periodicamente os riscos relacionados aos sistemas de informação e processamento, armazenamento e transmissão de Dados Pessoais.
1.3. Políticas de segurança da informação
1.3.1. A Empresa deve ter um sistema de gerenciamento de segurança da informação definido e documentado incluindo uma política de segurança da informação e procedimentos em vigor, que devem ser aprovados por Administração da empresa. Eles devem ser publicados dentro da organização da Empresa e comunicados ao pessoal relevante da Empresa.
1.3.2. A Empresa deve revisar periodicamente as políticas e procedimentos de segurança da Empresa e atualizá-los se necessário para garantir a sua conformidade com este Apêndice.
- Organização da segurança da informação
- A Empresa deve ter funções e responsabilidades de segurança definidas e documentadas dentro de sua organização.
- A Empresa deve nomear pelo menos um oficial de proteção de dados que tenha segurança apropriada competência e que tem uma responsabilidade geral pela implementação das medidas de segurança sob este
Apêndice e quem será a pessoa de contato da equipe de segurança do Cliente.
- Segurança de recursos humanos
- A Empresa deve garantir que o pessoal da Empresa lide com as informações de acordo com o
nível de confidencialidade exigido pelo APD.
- A Empresa deve garantir que o pessoal relevante da Empresa esteja ciente do uso aprovado (incluindo restrições de uso conforme o caso) de informações, instalações e sistemas sob o APD.
- A Empresa deve garantir que qualquer funcionário da Empresa que desempenhe tarefas sob o O contrato é confiável, atende aos critérios de segurança estabelecidos e foi, e durante a vigência do
a atribuição continuará a ser, sujeita a triagem apropriada e verificação de antecedentes.
- A Empresa deve garantir que o pessoal da Empresa com responsabilidades de segurança esteja adequadamente treinado para desempenhar tarefas relacionadas à segurança.
- A Empresa deve fornecer ou garantir treinamento periódico de conscientização de segurança para a Empresa relevante pessoal. Tal treinamento da Empresa deve incluir, sem limitação:
(a) Como lidar com a segurança das informações do cliente (ou seja, a proteção da confidencialidade, integridade e disponibilidade de informações);
(b) Por que a segurança da informação é necessária para proteger as informações e os sistemas dos clientes;
(c) Os tipos comuns de ameaças de segurança (como roubo de identidade, malware, hacking, informações vazamento e ameaça interna);
(d) A importância de cumprir as políticas de segurança da informação e aplicar normas/procedimentos;
(e) Responsabilidade pessoal pela segurança da informação (como proteger a privacidade do cliente informações e relatar violações de dados reais e suspeitas).
- Controle de acesso
A Empresa deve ter uma política de controle de acesso definida e documentada para instalações, sites, rede, sistema, acesso a aplicativos e informações/dados (incluindo controles de acesso físico, lógico e remoto), um processo de autorização para acesso e privilégios de usuários, procedimentos para revogar direitos de acesso e um uso de privilégios de acesso para o pessoal da Empresa no local.
A Empresa deve ter um processo de registro e cancelamento de registro formal e documentado do usuário implementado para permitir a atribuição de direitos de acesso.
A Empresa atribuirá todos os privilégios de acesso com base no princípio da necessidade de saber e no princípio do mínimo privilégio.
A Empresa deve usar autenticação forte (multifator) para usuários de acesso remoto e usuários que se conectam de uma rede não confiável.
A Empresa deve garantir que o pessoal da Empresa tenha um identificador pessoal e exclusivo (ID de usuário) e use uma técnica de autenticação apropriada, que confirma e garante a identidade dos usuários.
- Segurança física e ambiental
A Empresa deve proteger as instalações de processamento de informações contra ameaças externas e ambientais e riscos, incluindo falhas de energia/cabeamento e outras interrupções causadas por falhas nos utilitários de suporte. Esse inclui perímetro físico e proteção de acesso.
- Segurança das operações
A Empresa deve ter um sistema de gerenciamento de mudanças estabelecido para fazer mudanças nos negócios processos, instalações e sistemas de processamento de informações. O sistema de gerenciamento de mudanças deve incluir testes e revisões antes que as mudanças sejam implementadas, como procedimentos para lidar com mudanças urgentes, reverter procedimentos para recuperar de alterações com falha, logs que mostram o que foi alterado, quando e por quem.
A Empresa deve implementar proteção contra malware para garantir que qualquer software usado para o fornecimento da Empresa dos Serviços ao Cliente está protegido contra malware.
A Empresa deve fazer cópias de backup de informações críticas e testar cópias de backup para garantir que as informações podem ser restauradas conforme acordado com o Cliente. A Empresa deve registrar e monitorar atividades, como criar, ler, copiar, alterar e excluir dados processados, bem como exceções, falhas e eventos de segurança da informação e revisá-los regularmente.
Além disso, a Empresa deve proteger e armazenar (por pelo menos 6 meses ou o(s) período(s) definido(s) e Dados
Lei de Proteção) registram informações e, mediante solicitação, entregam dados de monitoramento ao Cliente. Anomalias / incidentes / indicadores de comprometimento devem ser relatados de acordo com o gerenciamento de violação de dados requisitos estabelecidos na cláusula 9, abaixo.
A Empresa deve gerenciar as vulnerabilidades de todas as tecnologias relevantes, como sistemas operacionais, bancos de dados, aplicativos de forma proativa e em tempo hábil.
A Empresa deve estabelecer linhas de base de segurança (fortalecimento) para todas as tecnologias relevantes, como operação sistemas, bancos de dados, aplicativos.
A Empresa deve garantir que o desenvolvimento seja separado do ambiente de teste e produção.
- Segurança das comunicações
A Empresa deve implementar controles de segurança de rede, como nível de serviço, firewall e segregação para proteger os sistemas de informação.
- Relacionamento da empresa com subfornecedores
A Empresa deve refletir o conteúdo deste Apêndice em seus contratos com Subprocessadores que executam tarefas atribuídas pelo APD.
A Empresa deve monitorar, revisar e auditar regularmente a conformidade do Subprocessador com este Apêndice.
A Empresa deverá, a pedido do Cliente, fornecer ao Cliente evidências sobre a conformidade do Subprocessador com este Apêndice.
- Gerenciamento de violação de dados
A Empresa deve ter procedimentos estabelecidos para gerenciamento de violação de dados.
A Empresa informará o Cliente sobre qualquer violação de dados (incluindo, entre outros, incidentes em relação ao processamento de Dados Pessoais) o mais rápido possível, mas o mais tardar dentro de 36 horas após os dados violação foi identificada.
Todos os relatórios de incidentes relacionados à segurança devem ser tratados como informações confidenciais e criptografados, usando métodos de criptografia padrão da indústria.
O relatório de violação de dados deve conter pelo menos as seguintes informações:
(a) A natureza da violação de dados,
(b) A natureza dos Dados Pessoais afetados,
(c) As categorias e o número de titulares de dados em causa,
(d) O número de registros de Dados Pessoais em questão,
(e) Medidas tomadas para lidar com a violação de dados,
(f) As possíveis consequências e efeitos adversos da violação de dados, e
(g) Qualquer outra informação que o Cliente deva relatar ao regulador relevante ou ao titular dos dados.
Na medida do legalmente possível, a Empresa pode reivindicar compensação por serviços de suporte nos termos desta cláusula 9
que não são atribuíveis a falhas por parte da Empresa.
- Gestão de continuidade de negócios
A Empresa deve identificar os riscos de continuidade de negócios e tomar as ações necessárias para controlar e mitigar tais riscos.
A Empresa deve ter processos e rotinas documentados para lidar com a continuidade dos negócios.
A Empresa deve garantir que a segurança da informação seja incorporada aos planos de continuidade de negócios
A Empresa avaliará periodicamente a eficiência de sua gestão de continuidade de negócios e conformidade com requisitos de disponibilidade (se houver).