Termos e Condições de Compra
Termos e Condições de Compra
1. OFERTA E ACEITAÇÃO. Estes Termos e Condições de Compra, incluindo as páginas de capa com termos comerciais e detalhes administrativos e todos os anexos, (coletivamente, a "Nota de Encomenda"), constitui uma oferta da NortonLifeLock Inc. e das suas afiliadas ("NLL ") para comprar os bens, serviços, licenças de software ou outros direitos descritos nesta Nota de Encomenda (individualmente e coletivamente referidos como os "Produtos") e unicamente sob os termos incluídos nesta Nota de Encomenda. A parte para a qual esta Nota de Encomenda é emitida é o vendedor, fornecedor ou prestador de tais Produtos ("Fornecedor") e aceita esta oferta (de acordo apenas com os termos do presente documento) ao enviar os Produtos, comprometer-se a enviar os Produtos ou ao aceitar ou executar de acordo com esta Nota de Encomenda.
A ACEITAÇÃO DESTA OFERTA ESTÁ EXPRESSAMENTE LIMITADA AOS TERMOS INCLUÍDOS NESTA NOTA DE ENCOMENDA. A NLL OBJETA E REJEITA TOTALMENTE TODOS OS TERMOS PROPOSTOS PELO FORNECEDOR, INCLUINDO, SEM LIMITAÇÃO, TERMOS DE QUAISQUER COTAÇÕES, FATURAS, ACEITAÇÃO OU CONFIRMAÇÃO DESTA OFERTA QUE SEJAM ADICIONAIS OU DIFERENTES DOS TERMOS INCLUÍDOS NESTA NOTA DE ENCOMENDA. O FORNECEDOR CONCORDA QUE TODOS OS TERMOS ADICIONAIS OU DIFERENTES, QUER SEJAM RECEBIDOS ANTES OU APÓS A DATA DESTA NOTA DE ENCOMENDA, SERÃO REJEITADOS PELA NLL E PELO FORNECEDOR E SERÃO IGNORADOS E CONSIDERADOS NULOS E SEM EFEITO, EXCETO SE OS REFERIDOS TERMOS FOREM ESPECIFICAMENTE ACEITES NUM CONTRATO SEPARADO ENTRE AS PARTES E ASSINADO POR UM REPRESENTANTE DA NLL AUTORIZADO A ASSINAR O MENCIONADO CONTRATO.
SEM ATRIBUIÇÃO. Nenhuma das partes pode atribuir esta Nota de Encomenda ou os seus respetivos direitos e obrigações, no todo ou em parte, e por força de lei, mudança de controlo ou outra, sem o consentimento prévio por escrito da outra parte, exceto aos seus sucessores por meio de fusão, aquisição ou venda de ativos, ou a qualquer entidade controladora, controlada, ou sob o controlo comum da entidade atribuidora; desde que, no entanto, o Fornecedor não possa atribuir ou transferir para nenhum concorrente da NLL.
CONFORMIDADE. Quaisquer perguntas ou dúvidas relacionadas com a conformidade da NLL com esta Nota de Encomenda, incluindo, sem limitação, a conformidade com restrições de utilização e quantidades de uso, serão discutidas pelas partes de boa fé. Se o Fornecedor considerar que as respostas da NLL não são precisas ou completas, o Fornecedor pode contratar um auditor independente reputado e neutro para rever os registos de utilização da NLL em conformidade com as normas do setor e sob os termos de um contrato de não divulgação separado. Esses terceiros não podem ser compensados com base nas conclusões ou resultados.
2. PAGAMENTO E FATURAÇÃO.
A. PREÇOS. Os preços apresentados nesta Nota de Encomenda são os valores máximos devidos à NLL pelos produtos e incluem todos os custos de despesas, envio, embalagem, processamento e seguro de transporte.
B. PAGAMENTO. Salvo indicação em contrário nesta Nota de Encomenda, os pagamentos não contestados dos valores devidos sob ou relacionados com esta Nota de Encomenda serão efetuados no prazo de 60 dias após a receção da fatura ou receção dos Produtos pela NLL.
C. DESPESAS. As despesas serão reembolsadas pelo preço de custo (sem margem) e apenas em conformidade com a Política de Deslocações e Despesas de Fornecedores da NLL sem excederem os valores de despesas especificados nesta Nota de Encomenda.
D. IMPOSTOS. Os preços apresentados nesta Nota de Encomenda não incluem todos os impostos federais, estaduais e locais aplicáveis. Todos os impostos aplicáveis devem ser declarados separadamente na fatura do Fornecedor. Se quaisquer impostos retidos na fonte forem devidos em relação a esta compra, a NLL deduzirá o valor desses impostos dos montantes devidos de acordo com este contrato (em que esse pagamento líquido constituirá o pagamento integral) e, mediante solicitação do Fornecedor, fornecerá a documentação que comprova o valor de tais impostos suficientes para que o Fornecedor solicite um crédito pelo mesmo.
E. FATURAÇÃO. (i) Todas as faturas devem incluir os respetivos número(s) de item de linha da Nota de Encomenda em cada linha da fatura, refletindo a quantidade, o preço unitário e a unidade de medida (e, quando aplicável, o ponto de envio, o encaminhamento e o valor completo do envio pré-pago) e as faturas não conformes serão rejeitadas, (ii) todas as faturas vencem e devem ser recebidas até o último dia do mês, imediatamente após o mês em que as mercadorias, serviços, licenças de software e outros direitos foram entregues ou disponibilizados, incluindo as despesas reembolsáveis incorridas (por exemplo, as taxas e despesas incorridas em outubro devem ser faturadas até 30 de novembro), e (iii) apenas os valores especificados na Nota de Encomenda são aceites e autorizados para pagamento no vencimento. Exceto conforme expressamente previsto neste parágrafo, nenhum valor poderá ser incorrido ou faturado nem será pago ou pagável, e a sua organização e os seus representantes renunciam a todos os direitos de cobrar os ditos valores. Este parágrafo substitui e prevalecerá em caso de conflito ou inconsistência com outros termos aplicáveis e nenhuma tentativa de substituir este parágrafo será válida ou executável.
3. ENTREGAS FÍSICAS. Salvo disposição em contrário:
A. O título e o risco de perda ou danos de todos os Produtos será transferido para a NLL após a receção efetiva dos Produtos no local de entrega especificado da NLL. O Fornecedor assumirá o risco de perda ou danos dos Produtos rejeitados pela NLL, exceto se forem causados por falha ou negligência dos funcionários da NLL.
B. A NLL pode, a qualquer momento, reagendar a entrega de todos ou parte dos Produtos sem custos adicionais. A nova data de entrega designada pela NLL será a nova data de entrega programada.
transportadoras comuns para envio com o menor valor para os Produtos em particular, (iii) de acordo com os regulamentos da ICC e
(iv) de forma adequada para garantir a chegada segura dos Produtos ao destino especificado.
F. Por opção da NLL, os envios em excesso serão devolvidos com o risco e a cobrança do envio a cargo do Fornecedor.
G. Para os Produtos entregues antes da data de entrega programada, a NLL poderá (1) devolver os Produtos com o risco e a cobrança do envio a cargo do Fornecedor, ou (ii) aceitar tais Produtos com o pagamento baseado na data de entrega programada e não na data de receção pela NLL.
H. Independentemente de qualquer inspeção ou pagamento prévio, todos os Produtos estarão sujeitos a inspeção e aceitação (ou rejeição) final nas instalações da NLL dentro de um prazo razoável após a entrega.
I. O Fornecedor deve ser o exportador e importador registado para todas as devoluções enviadas. O Fornecedor deve cumprir todas as regras e regulamentos de outras nações aplicáveis referentes à exportação e/ou importação de mercadorias rejeitadas devolvidas.
4. GARANTIA E SOLUÇÕES. O Fornecedor declara e garante à NLL que o Fornecedor e o seu Pessoal:
A. terá toda a autoridade, licenças, autorizações, consentimentos e documentação legal necessária para contratar e executar sob esta Nota de Encomenda e cumprirá totalmente todas as leis, códigos e regulamentos aplicáveis (incluindo, sem limitação, relativos à privacidade de dados, exportação e importação, meio ambiente e materiais perigosos);
B. não conhece nenhum conflito de interesse real ou potencial em relação a esta Nota de Xxxxxxxxx, e a execução deste contrato não resultará na violação de qualquer contrato com terceiros;
C. não usará nem fornecerá à NLL informações ou materiais confidenciais ou proprietários de terceiros, a menos que o Fornecedor tenha obtido autorização por escrito da respetiva parte para a utilização de tais informações e materiais;
D. atuará sob esta Nota de Encomenda com todo o cuidado, habilidade e diligência necessários e de maneira profissional, de acordo com os padrões razoáveis do setor;
E. os Produtos serão novos, a menos que seja expressamente adquirido como usado ou recondicionado;
F. que os Produtos cumprirão as especificações estabelecidas nesta Nota de Encomenda ou conforme expressamente acordado pelas partes por escrito;
G. que nenhuma reivindicação está pendente ou ameaçada contra o Fornecedor (ou os seus fornecedores), alegando que qualquer Produto viola os direitos de propriedade intelectual de terceiros;
H. o suporte, se existir, em que qualquer Produto é entregue à NLL estará livre de defeitos de materiais e mão de obra, e
I. que todos os produtos de software e tecnologia estarão livres de vírus e códigos ilícitos e o Fornecedor não entregará nenhum software sem antes ter utilizado pelo menos meios e práticas comercialmente razoáveis para detetar, remover completamente e destruir quaisquer vírus e códigos ilícitos e confirmar essa remoção e destruição.
Para a violação da garantia sob as subsecções 4.E, 4.F e/ou 4.H, o Fornecedor, por seu encargo exclusivo dos custos e despesas, e a critério da NLL, prontamente: (i) entregará novamente os Produtos segundo satisfação razoável da NLL; (ii) reembolsará as taxas relevantes pagas pelos Produtos defeituosos e quaisquer outros Produtos cujo uso ou valor para a NLL seja materialmente degradado como resultado da falha do Fornecedor em entregar os Produtos em conformidade (nesse caso, o Fornecedor reconhece e concorda que a NLL pode, sem aviso prévio, cancelar totalmente esta Nota de Encomenda por padrão, de acordo com a secção intitulada Cancelamento).
5. CESSAÇÃO.
O Fornecedor pode rescindir esta Nota de Encomenda se a NLL cometer uma violação material dos termos deste contrato e não solucionar tal violação (ou fornecer um plano razoável para sanar essa violação) dentro de 30 dias após a receção da notificação por escrito do Fornecedor detalhando a violação. A NLL pode, a qualquer momento, cessar esta Nota de Encomenda, no todo ou em parte, com ou sem justa causa, mediante notificação por escrito ao Fornecedor. A cessação entra em vigor imediatamente, a menos que de outra forma especificado no aviso de rescisão.
Após a rescisão, a única compensação que o Fornecedor terá o direito de faturar e/ou receber da NLL será o preço de quaisquer Produtos realmente recebidos e aceites pela NLL antes do cancelamento e o Fornecedor renuncia ao seu direito de receber ou cobrar valores adicionais. Se esta Nota de Encomenda for cancelada devido a incumprimento do Fornecedor, a NLL poderá adquirir, custeado pelo Fornecedor e da maneira que considerar apropriado, Produtos semelhantes ou substancialmente semelhantes aos cancelados.
6. INDEMNIZAÇÃO. O Fornecedor indemnizará, defenderá e isentará a NLL e os seus responsáveis, diretores e funcionários de quaisquer perdas, responsabilidades, danos, reclamações, ações judiciais, causas de ações, julgamentos, custos ou despesas (incluindo custas judiciais e honorários legais razoáveis) decorrentes de:
A. quaisquer danos materiais, lesões físicas ou morte decorrente de atos ou omissões do Fornecedor ou de terceiros contratados pelo Fornecedor;
B. quaisquer reivindicações de que os Produtos preparados ou fornecidos por ou em nome do Fornecedor nos termos deste contrato infrinjam ou se apropriem dos direitos de propriedade intelectual de terceiros;
C. quaisquer reclamações ou determinações de que uma relação diferente de adjudicatário independente foi estabelecido entre a NLL e o Fornecedor ou qualquer Pessoal do Fornecedor sob: a) em relação ao Reino Unido, os regulamentos de Transferência de Empresas (Proteção de Emprego) de 2006; (b) em relação a qualquer outro estado membro da União Europeia, qualquer legislação nacional que implemente a Diretiva de Direitos Adquiridos; e (c) em relação a qualquer estado que não seja membro da União Europeia, qualquer legislação nacional ou local, que seja amplamente semelhante às disposições da Diretiva de Direitos Adquiridos, e
D. reclamações de terceiros decorrentes de violações de confidencialidade e obrigações de dados pessoais, incluindo, sem limitação, uso não autorizado, acesso ou divulgação de informações confidenciais da NLL.
(i) isente a NLL integralmente de todas as reclamações, (ii) não imponha nenhuma obrigação à NLL, exceto cessar o uso dos itens infratores (se existirem) e (iii) não inclua admissão de qualquer tipo por ou em nome da NLL. Se, no critério razoável da NLL, existir um conflito no interesse da NLL e do Fornecedor, a NLL poderá manter os seus próprios advogados.
7. LIMITAÇÃO DE RESPONSABILIDADE. EXCETO PARA MORTE OU LESÕES FÍSICAS, AS VIOLAÇÕES DAS OBRIGAÇÕES DE CONFIDENCIALIDADE OU DADOS PESSOAIS, VIOLAÇÕES DE LEIS OU REGULAMENTOS APLICÁVEIS, FRAUDE OU FALTA DELIBERADA, NENHUMA DAS PARTES SERÁ RESPONSÁVEL PERANTE A OUTRA PARTE OU PERANTE TERCEIROS, EM RELAÇÃO A ESTA NOTA DE ENCOMENDA OU AOS PRODUTOS E SERVIÇOS NO PRESENTE CONTRATO POR QUAISQUER DANOS INDIRETOS, INCICENTAIS, ESPECIAIS OU CONSEQUENCIAIS, INCLUINDO QUAISQUER DANOS POR PERDA DE LUCRO OU RECEITA INCORRIDOS POR QUALQUER UMA DAS PARTES OU POR TERCEIROS, QUER SEJA EM AÇÃO, CONTRATO OU ILÍCITO, MESMO QUE A OUTRA PARTE TENHA SIDO AVISADA DA POSSIBILIDADE DA OCORRÊNCIA DOS REFERIDOS DANOS.
8. SEGURO.
A. Salvo disposição em contrário num contrato escrito em separado assinado por ambas as partes (que acordo se destina a regular a compra ou venda dos Produtos especificados nesta Nota de Encomenda), o Fornecedor manterá a seguinte cobertura de seguro (ou equivalente em dólares americanos para fornecedores fora dos EUA) para os Produtos e o respetivo desempenho para esta Nota de Encomenda fornecido à NLL Corporation e às suas afiliadas localizadas na América do Norte, América do Sul, Europa, Oriente Médio e África:
(i) Seguro de responsabilidade comercial (incluindo cobertura de responsabilidade contratual) em base de ocorrência de lesões físicas, morte, danos materiais de "forma ampla" e danos pessoais, com limites de cobertura não inferiores a Um Milhão de Dólares (US
$1.000.000) por ocorrência e Dois Milhões de Dólares (US $2.000.000) de limite geral agregado por lesões físicas e danos materiais;
(ii) Seguro de responsabilidade civil para automóveis, cobrindo todos os veículos pertencentes, não pertencentes e alugados, com limites de cobertura não inferiores a Um Milhão de Dólares (US $1.000.000) por ocorrência para lesões físicas e danos materiais;
(iii) Seguro de compensação do trabalhador, conforme exigido por lei no estado em que os serviços serão executados, incluindo cobertura de responsabilidade do empregador por lesões, doenças e morte, com limites de cobertura não inferiores a Um Milhão de Dólares (US $1.000.000) por acidente e funcionário;
(iv) Seguro de responsabilidade suplementar em forma de ocorrência, para limites não inferiores a Três Milhões de Dólares (US
$3.000.000) por ocorrência e agregado; e
(v) Responsabilidade profissional (erros e omissões) em forma de ocorrência ou reclamação, para limites não inferiores a Dois Milhões de Dólares (US $2.000.000) de agregado anual.
As operadoras de seguros devem ter classificação A-1 ou superior pela A.M. Best Company. A entidade NLL que emite esta Nota de Encomenda deve ser adicionada como assegurado adicional à apólice de Responsabilidade Comercial Geral. A apólice de Responsabilidade Comercial Geral do Licenciante será considerada primária sem direito a contribuição de qualquer seguro coberto pelas apólices de seguro da NLL. As apólices devem conter uma cláusula de Separabilidade de Interesses. As apólices deverão fornecer uma notificação por escrito com trinta (30) dias de antecedência para o cancelamento, exceto em caso de não pagamento, que exigirá uma notificação de, pelo menos, dez (10) dias.
Em caso algum os limites de cobertura acima mencionados afetarão ou limitarão de qualquer maneira a responsabilidade contratual do Fornecedor por indemnização. O Fornecedor será o único responsável por garantir que os seus subcontratados mantenham a cobertura do seguro em níveis não inferiores aos exigidos pelo Fornecedor segundo esta Secção. Todas as atividades do Fornecedor sob esta Nota de Encomenda são por conta e risco do Fornecedor, e os funcionários e agentes do Fornecedor não terão direito a quaisquer benefícios decorrentes das apólices de seguro mantidas pela NLL.
B. Para os Produtos e o respetivo desempenho sob esta Nota de Encomenda para as afiliadas da NLL na Austrália, o Fornecedor deverá obter e manter o seguro em vigor com seguradoras reputadas durante o período de quaisquer serviços como exigido por lei na Austrália, incluindo um seguro automóvel e cobertura de lesões no local de trabalho e quaisquer coberturas usuais, habituais e apropriadas para o
respetivo negócio, de acordo com os serviços ou produtos fornecidos. Isso deve incluir, sem limitação, a seguinte cobertura (com valores equivalentes a dólares não americanos, se os limites da apólice não forem fornecidos em dólares americanos):
(i) Responsabilidade Pública e de Produtos - em limites não inferiores a AUD $10.000.000. A apólice deve incluir uma Indemnização de endosso do Principal em favor da NLL.
(ii) Indemnização Profissional ou responsabilidade de TI por danos decorrentes de atos negligentes, erros e omissões causados pelo Fornecedor ou por quaisquer subcontratados que realizem trabalhos em seu nome, com limites não inferiores a AUD $1.000.000.
A cobertura do Fornecedor será considerada primária sem direito a contribuição das apólices de seguro da NLL. Em caso algum os limites de cobertura acima mencionados afetarão ou limitarão de qualquer maneira a responsabilidade contratual do Fornecedor por Indemnização. O Fornecedor será o único responsável por garantir que os seus subcontratados mantenham a cobertura do seguro em níveis não inferiores aos exigidos pelo Fornecedor segundo esta Secção. Todas as atividades do Fornecedor sob esta Nota de Encomenda são por conta e risco do Fornecedor, e os funcionários e agentes do Fornecedor não terão direito a quaisquer benefícios decorrentes das apólices de seguro mantidas pela NLL.
C. Para os Produtos e o respetivo desempenho sob esta Nota de Encomenda para as afiliadas da NLL na Índia, o Fornecedor deverá obter e manter o seguro em vigor com seguradoras reputadas durante o período deste Contrato como exigido por lei na Índia, como um seguro automóvel e quaisquer coberturas usuais, habituais e apropriadas para o respetivo negócio, de acordo com os serviços ou produtos fornecidos. Isso deve incluir, sem limitação, as seguintes coberturas (com valores equivalentes a dólares não americanos, se os limites da apólice não forem fornecidos em dólares americanos):
1) Seguro de responsabilidade civil em limites não inferiores ao equivalente em moeda local de US $1.000.000, incluindo cobertura para Responsabilidade Contratual e Danos Pessoais e Publicitários.
2) Seguro de Erros e Omissões com cobertura de danos decorrentes de atos negligentes, erros e omissões causados pelo Fornecedor ou por quaisquer subcontratados que realizem trabalhos em seu nome, com limites não inferiores em moeda local equivalente a US $1.000.000.
A entidade NLL que emite esta Nota de Encomenda deve ser adicionada como assegurado adicional à apólice do Fornecedor.
A cobertura do Fornecedor será considerada primária sem direito a contribuição das apólices de seguro da NLL. Em caso algum os limites de cobertura acima mencionados afetarão ou limitarão de qualquer maneira a responsabilidade contratual do Fornecedor por Indemnização. O Fornecedor será o único responsável por garantir que os seus subcontratados mantenham a cobertura do seguro em níveis não inferiores aos exigidos pelo Fornecedor segundo esta Secção. Todas as atividades do Fornecedor sob esta Nota de Encomenda são por conta e risco do Fornecedor, e os funcionários e agentes do Fornecedor não terão direito a quaisquer benefícios decorrentes das apólices de seguro mantidas pela NLL.
9. RELACIONAMENTO DAS PARTES/PESSOAL
A. O Fornecedor garantirá que todos os seus funcionários, contratados, subcontratados, agentes e quaisquer outros terceiros contratados pelo fornecedor ou agindo em nome do Fornecedor (individual e coletivamente, ("Pessoal") se encontram obrigados por acordo escrito com o Fornecedor a cumprir os termos desta Nota de Encomenda (incluindo, sem limitação, os termos de confidencialidade e proteção de dados), e todos os requisitos de qualquer declaração de trabalho relevante que se aplique ao referido Pessoal. Além disso, (i) o Fornecedor será totalmente responsável perante a NLL por todos os atos, omissões e violações de seu Pessoal, como se os mesmos fossem realizados diretamente pelo Fornecedor.
B. O Fornecedor é e deve ser sempre considerado um contratado independente da NLL e nada nesta Nota de Encomenda pretende nem deve ser interpretado como o estabelecimento entre as partes de qualquer relacionamento de parceria, empreendimento conjunto, emprego conjunto, emprego, franquia ou agência entre as partes. Nenhuma das partes tem autoridade, e não deve representar que tem autoridade, para assumir ou criar qualquer obrigação, expressa ou implícita, em nome da outra parte. Como contratado independente, o Fornecedor será o único responsável por determinar os meios e métodos para fornecer os Produtos. Além disso, o Fornecedor (e não a NLL) será responsável por (a) efetuar todos os pagamentos, relatórios e cobranças aplicáveis (incluindo, sem limitação, impostos federais, estaduais e locais, segurança social, indemnização por desemprego e outras contribuições e retenções) para o seu Pessoal em conformidade com todas as leis, regulamentos federais, estaduais e locais, e similares, e (b) pagar todos os salários, benefícios e outras compensações aplicáveis para o seu Pessoal (incluindo, sem limitação, compensação médica, dental, de trabalhadores, seguro de invalidez, pensão ou planos de aposentação e similares).
C. Os termos desta secção aplicam-se apenas ao Pessoal do Fornecedor que pode (i) executar serviços em instalações designadas pela NLL,
(ii) ter acesso a dados pessoais, (iii) ter acesso a informações confidenciais dos clientes da NLL ou (iv) ter acesso a qualquer rede, sistema ou repositório de dados pertencente ou usado pela NLL ('individualmente e coletivamente "Serviços Designados"), se houver. As regras, políticas e procedimentos de trabalho da NLL devem ser respeitadas e o pessoal do Fornecedor não removerá nenhum material, dado ou propriedade das instalações da NLL sem primeiro obter o consentimento expresso da NLL. Mediante solicitação da NLL, o Fornecedor removerá imediatamente qualquer indivíduo designado para executar os Serviços Designados e substitui-lo-á por um indivíduo com
qualificação igual ou superior. A NLL não será faturada ou obrigada a pagar por qualquer tempo ou despesa incorrida para formar e familiarizar o substituto com os Serviços aplicáveis. Antes de que o Pessoal do Fornecedor possa executar os Serviços Designados, o Fornecedor garante que: (a) na medida do permitido pela lei local, o Pessoal realizará (e obterá o consentimento apropriado para realizar) as investigações em segundo plano, conforme exigido por uma SOW, no anexo do presente documento ou conforme expressamente acordado pelas partes por escrito ou, se nenhuma for expressamente identificada, a investigação de antecedentes incluirá uma investigação de antecedentes local, municipal e federal para cada indivíduo, incluindo, mas sem limitação, verificações de identidade e académicas, confirmação de elegibilidade para o trabalho e um exame detalhado de condenações criminais que envolvam atos desonestos (incluindo, mas sem limitação, fraude, roubo e burla) e lesões ou ameaça de lesões a outra pessoa; e (b) nenhuma informação foi descoberta em tais investigações que poderiam ter um impacto negativo no desempenho ou na integridade dos Serviços; e (c) o Fornecedor fornecerá os resultados de investigação de antecedentes e/ou atestado para confirmar a conformidade com esta secção, tal como a NLL pode solicitar periodicamente. A NLL reserva o direito de recusar o acesso às suas instalações e rede(s) a qualquer momento e por qualquer motivo legal. A violação desta secção pelo fornecedor será considerada uma violação material do Contrato.
10. PRODUTO DE TRABALHO E PROPRIEDADE. Todos os itens tangíveis e não tangíveis, hardware, equipamento, documentos, escritos, dados, conteúdo, desenhos gráficos, fotografias, relatórios, fluxos de trabalho, software (incluindo modificações e documentação), feedback ou outros materiais preparados ou fornecidos à NLL sob esta Nota de Encomenda, incluindo, sem limitação, quaisquer dados e informações de entrada, processados e gerados ou produzidos por quaisquer Produtos de software (quer o software esteja nas instalações da NLL ou alojado pelo Fornecedor ou os seus fornecedores de nuvem ou alojamento, e se fornecido como um subscrição, SAAS ou outro serviço) ("Resultados do Serviço") será única e exclusivamente propriedade da NLL. O Fornecedor concorda que, na máxima extensão permitida pela lei aplicável, os direitos, titularidade e interesses em e de todos os Resultados do Serviço, será pertença e propriedade exclusiva da NLL, incluindo, sem limitação, todos os direitos de autor, patentes, segredos comerciais, marcas comerciais e quaisquer outros direitos de propriedade intelectual (individual e coletivamente, "IPR"). Caso todos os direitos, títulos e interesses em ou de qualquer Resultado do Serviço não sejam da exclusiva propriedade da NLL, o Fornecedor cede irrevogavelmente à NLL, sem consideração adicional, todos os direitos, títulos e interesses em e dos Resultados do Serviço e todos os direitos de propriedade intelectual incluídos, sem limitação, de aplicações, extensões e renovações subsequentes. Mediante solicitação da NLL, o Fornecedor concorda em executar atribuições por escrito de tais direitos à NLL (e quaisquer outros documentos necessários para que a NLL estabeleça, mantenha, aperfeiçoe ou aplique os seus direitos de propriedade intelectual aos Resultados do Serviço). O Xxxxxxxxxx renuncia e concorda em não reivindicar quaisquer "direitos morais" que o Fornecedor possa ter nos Resultados do Serviço, e o Fornecedor cede à NLL todos os direitos morais nele contidos. No caso de quaisquer Resultados do Serviço não serem atribuíveis à NLL, o Fornecedor concede à NLL uma licença irrevogável, não exclusiva, mundial, perpétua, totalmente paga em e de todos os Resultados do Serviço e em todos os IPRs, incluindo, sem limitação, os direito de usar, copiar, vender, distribuir (diretamente e através de várias camadas) e criar e possuir trabalhos derivados desses Resultados do Serviço para si e para outros e sem prestar contas ao Fornecedor.
No caso de qualquer Obra Preexistente pertencente ou licenciada pelo Fornecedor ser fornecida à NLL sob esta Nota de Encomenda ou, de outra forma, ser integrada nos Resultados do Serviço, o Fornecedor concede à NLL uma licença não exclusiva, mundial, perpétua, totalmente paga e irrevogável em e de todas as Obras Preexistentes e em todos os direitos de autor nelas contidos, na medida necessária para que a NLL exerça todos os seus direitos nos e dos Resultados do Serviço. "Obras Preexistentes" significa todos os produtos, informações e materiais desenvolvidos ou criados por ou em nome do Fornecedor antes ou independentemente do seu desempenho sob esta Nota de Encomenda, incluindo, sem limitação, projetos, invenções, código de objeto, código fonte, documentos, métodos, especificações, notas e ferramentas.
11. INFORMAÇÕES CONFIDENCIAIS
"Informações Confidenciais" significa todos os (i) dados pessoais e (ii) informações não-públicas fornecidos ou revelados por uma parte ("Divulgador") à outra parte ("Destinatário") ou de outra forma dadas a conhecer por uma parte durante a execução deste Contrato, incluindo, sem limitação, software, programas, preços, processos, requisitos, documentação, conta bancária, cartão de crédito, planos financeiros, marketing e outros planos e informações comerciais e qualquer outro material ou informação identificada no momento da divulgação como confidencial ou proprietário, ou que de outra forma seria razoavelmente esperado que seja confidencial ou proprietário. "Dados Pessoais" significa qualquer informação relacionada a qualquer pessoa singular identificada ou identificável ("Titular de Dados"), uma pessoa singular identificável é todo aquele que possa ser identificado, direta ou indiretamente, por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou um ou mais fatores específicos de identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Os Titulares de Dados aqui contidos podem ser funcionários da NLL (ou os seus agentes ou distribuidores), contratados, utilizadores finais, clientes, utilizadores finais ou funcionários de clientes e/ou de terceiros. Para maior clareza, todos os Resultados do Serviço e todas as informações, dados e conteúdos carregados para um Produto por ou em nome da NLL são Informações Confidenciais da NLL. Exceto para os Dados Pessoais, as obrigações de confidencialidade do Destinatário nos termos deste documento não são aplicáveis a informações que: (a) são ou se tornam públicas sem culpa ou violação do Destinatário, (b) são ou se tornam conhecidas pelo Destinatário (direta ou legitimamente por meio de terceiros) sem uma obrigação de confidencialidade, (c) são desenvolvidas independentemente pelo Destinatário sem uso ou acesso ou referência às Informações Confidenciais do Divulgador ou (d) sejam divulgadas com a aprovação prévia por escrito do Divulgador, segundo o caso específico. Todas as Informações Confidenciais são e permanecerão propriedade exclusiva do Divulgador, e o Destinatário não adquirirá quaisquer direitos ou licenças, exceto conforme expressamente estabelecido neste Contrato.
O Destinatário não difundirá nem divulgará Informações Confidenciais, exceto ao seu Pessoal com uma necessidade genuína de
conhecimento e a quem estiver sob obrigações vinculativas de confidencialidade por escrito com o Destinatário para proteger as Informações Confidenciais do Divulgador substancialmente de acordo com os termos deste Contrato. Além disso, o Destinatário pode divulgar as Informações Confidenciais do Divulgador conforme exigido por lei ou por ordem judicial, mas apenas se o Destinatário: (a) notificar prontamente o Divulgador por escrito da necessidade de divulgação, (b) divulgar apenas as Informações Confidenciais exigidas pela lei ou ordem judicial e (3) fornecer uma cópia das informações divulgadas ao Divulgador.
O Destinatário deve proteger as Informações Confidenciais do Divulgador com o mesmo grau de cuidado que utiliza para proteger as suas próprias informações confidenciais de natureza semelhante e nunca usar menos do que um grau razoável de cuidado. O Destinatário deve usar as Informações Confidenciais do Divulgador apenas na medida do necessário em relação aos seus direitos e obrigações sob este Contrato e não deve usar (e não terá o direito de usar) as Informações Confidenciais para qualquer outra finalidade. Além disso, o Destinatário deve ter e implementar medidas técnicas, físicas e organizacionais razoáveis e apropriadas para proteger as Informações Confidenciais contra o acesso acidental ou não autorizado, uso, alteração, divulgação, adulteração ou perda, e deve fornecer pelo menos um nível razoável de segurança apropriado para o risco representado pela posse, processamento e natureza das Informações Confidenciais a serem protegidas. Tais medidas devem cumprir as leis, regras, regulamentos e ordens de qualquer autoridade governamental com jurisdição relevante, incluindo, sem limitação, as disposições de quaisquer leis de proteção de dados.
O Fornecedor notificará a NLL sem demora injustificada (e, em qualquer caso, até 24 horas) da ocorrência de qualquer destruição, perda, alteração, divulgação não autorizada ou ilegal, acidental ou suspeita, ou não, divulgação ou acesso não autorizado a Informações Confidenciais transmitidas, armazenadas ou de outra forma processadas. O aviso incluirá detalhes suficientes para que a NLL cumpra as suas obrigações relacionadas com as Informações Confidenciais em questão e tome medidas para evitar ou minimizar as adversidades de tais divulgações. O Fornecedor deve fornecer cooperação e suporte completos e imediatos, conforme solicitado pela NLL, incluindo, sem limitação, a disponibilização de Pessoal essencial com conhecimento suficiente para resolver ou mitigar qualquer incidente (incluindo questões de privacidade ou segurança de dados envolvendo Dados Pessoais), determinar o âmbito do incidente, investigar o incidente e a raiz do problema, preparar um resumo por escrito e ajudar a tomar medidas corretivas, incluindo qualquer notificação e/ou anúncio aos reguladores, às partes afetadas e ao público.
Salvo indicação em contrário do Divulgador, o Destinatário (sem qualquer custo) devolverá imediatamente ao Divulgador (ou, mediante orientação expressa do Divulgador, destruirá) todas e quaisquer Informações Confidenciais e qualquer outra informação e material que contenha as referidas Informações Confidenciais mediante solicitação do Divulgador ou após a conclusão dos Serviços ou da rescisão deste Contrato. No prazo de 10 dias após a solicitação da NLL, o Fornecedor disponibilizará à NLL uma certificação por escrito, conforme assinado por um funcionário ou funcionário de nível executivo do Fornecedor, certificando a conformidade do Fornecedor com esta Secção.
O Destinatário concorda que qualquer violação das obrigações de Confidencialidade e Dados Pessoais pode resultar em danos irreparáveis ao Divulgador, para os quais danos monetários podem não ser suficientes e que o Revelador terá o direito de buscar uma medida justa, sem prejuízo e para além de quaisquer outros direitos ou soluções que o Divulgador possa ter.
12. SEGURANÇA DAS INFORMAÇÕES E PROTEÇÃO DE DADOS
Segurança das Informações. O Fornecedor declara que tem e manterá, no mínimo, as medidas e controlos técnicos e organizacionais especificados na Evidência A anexada (Requisitos de Segurança do Fornecedor da NLL) e o Fornecedor atualizará aqueles com medidas e controlos de proteção equivalentes ou superiores conforme necessário para manter a conformidade com as atuais práticas padrão do setor.
Dados Pessoais e Monitorização. Abrangido e sujeito às obrigações do Fornecedor nos termos da Secção 17 (Informações Confidenciais), e na medida em que o Fornecedor processar Dados Pessoais para ou em nome da NLL nos termos deste Contrato, os termos da Adenda de Processamento de Dados anexada a este documento como Evidência B são aplicáveis. “Processo” significa qualquer operação ou conjunto de operações executadas nos Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. Se o Fornecedor usar ou fornecer tecnologias de monitorização (incluindo, sem limitação, de pixels, etiquetas ou sinalizadores Web) no desempenho dos Serviços, o Fornecedor deverá: (i) notificar a NLL sobre o tipo de tecnologia de monitorização usada e as informações recolhidas, (ii) recolher informações e usar as informações obtidas exclusivamente para executar os Serviços; e (iii) usar mecanismos apropriados para permitir que os titulares de dados ativem e desativem essas tecnologias de monitorização, incluindo, sem limitação, o fornecimento de divulgações precisas e completas antes da recolha de informações de acordo com as leis aplicáveis.
13. PUBLICIDADE. O Fornecedor não terá o direito de usar o nome, logótipos ou marcas comerciais da NLL ou fazer qualquer referência direta, indireta ou implícita à NLL, à sua relação com o Fornecedor ou quaisquer benefícios que a NLL tenha ou possa derivar dos Produtos ou a sua relação com o Fornecedor, sem obter consentimento prévio por escrito do departamento de Relações Públicas da NLL, segundo o caso específico (e não como parte de qualquer outro documento emitido por ou em nome do Fornecedor sob esta Nota de Xxxxxxxxx).
14. CONTRATO DO GOVERNO. Se esta Nota de Encomenda estiver relacionada direta ou indiretamente com a execução de um contrato
principal com o Governo dos EUA ou de um subcontrato, os termos do Regulamento Federal de Aquisições ou outros regulamentos apropriados serão inseridos nos contratos ou subcontratos aplicáveis a esta Nota de Encomenda.
15. EXPORTAÇÃO. O Fornecedor deve cumprir todas as leis, regulamentos e regras internacionais, nacionais, federais, estaduais e locais aplicáveis que regem o Produto e os Resultados do Serviço, incluindo o cumprimento de quaisquer licenças de exportação no cumprimento das suas obrigações nos termos deste documento. O Fornecedor não deve exportar ou reexportar qualquer software, sistema de computador pessoal, peça, dados ou subelementos técnicos sob esta Nota de Encomenda ("Dados Técnicos"), direta ou indiretamente, em violação às leis ou regulamentos de controlo de exportação dos Estados Unidos ou de outros países, incluindo as Ordens do Departamento de Commence Denial and Probation dos Estados Unidos e sanções administradas pelo Office of Foreign Assets Control (Organismo de Controlo dos Ativos Estrangeiros) e, além disso, não distribuirão Dados Técnicos a nenhum país, empresa ou pessoa listada em tais Ordens ou sanções. É proibido exportar ou reexportar Software e Dados Técnicos para qualquer destino proibido pelas leis, regras e regulamentos de exportação e importação aplicáveis, sem primeiro obter uma licença (incluindo, mas não limitado a, Cuba, Coreia do Norte, Irão, Síria e Sudão ou qualquer país sujeito a sanções comerciais relevantes). O Fornecedor é responsável por manter os procedimentos internos para cumprir as leis de exportação relevantes e concorda que essa conformidade será efetuada a por sua conta e orientação legal. O Fornecedor deve obter e manter em vigor todas as licenças, permissões e autorizações necessárias para o desempenho das suas obrigações nos termos deste documento e fornecerá à NLL todas as informações aplicáveis para permitir que a NLL cumpra as leis e regulamentos relevantes, incluindo, sem limitação, os Números de Classificação de Controlo de Exportação dos EUA aplicável e outras informações solicitadas pela NLL. Uma violação desta secção por qualquer uma das partes será considerada uma violação material e será motivo para a rescisão desta Nota de Encomenda por justa causa.
16. CONFORMIDADE COM AS LEIS ANTICORRUPÇÃO. O Fornecedor deve cumprir (e garantir que os seus executivos, diretores, funcionários e contratados, subcontratados, agentes e qualquer pessoa ou entidade que atue em seu nome ou sob o seu controlo esteja em conformidade) com todas as leis e regulamentos anticorrupção aplicáveis nos EUA e noutros países, incluindo, mas sem limitação, à Lei de Práticas de Corrupção no Exterior dos EUA e à Lei de Suborno do Reino Unido. Nenhum pagamento ou transferência de valor será realizado com o propósito ou efeito de suborno público ou comercial, aceitação ou consentimento na extorsão, comissões ou outros meios ilegais ou impróprios de obter ou manter negócios ou direcionar negócios para qualquer pessoa ou entidade. O Fornecedor deve cooperar totalmente com os esforços da NLL para cumprir os termos desta disposição, incluindo, mas não limitado, ao fornecimento, mediante solicitação da NLL de (i) certificação de conformidade com esta disposição, conforme assinado por um representante autorizado do Fornecedor e (ii) cooperação diligente e razoável custeada pelo Fornecedor em relação a qualquer investigação relacionada com esta disposição.
17. GERAL
A. Legislação Aplicável; Local. As cláusulas da Convenção das Nações Unidas sobre Contratos de Compra e Venda Internacional de Mercadorias não serão aplicáveis à Nota de Encomenda.
• As Notas de Encomenda assinados pela NLL Corporation ou pelas suas afiliadas localizadas na América do Norte e na América do Sul serão válidas, regidas e interpretadas exclusivamente de acordo com as leis da Califórnia, sem considerar os princípios de conflitos legais. Qualquer ação ou processo legal decorrente desta Nota de Encomenda será instaurado exclusivamente no Condado de Santa Clara, Califórnia, e as partes concordam com a jurisdição pessoal e o local do mesmo. As cláusulas da Convenção das Nações Unidas sobre Contratos de Compra e Venda Internacional de Mercadorias não serão aplicáveis à Nota de Encomenda.
• As Notas de Encomenda assinados pelas afiliadas da NLL Corporation localizadas na Europa, Médio Oriente e África serão válidas, regidas e interpretadas exclusivamente de acordo com as leis da Inglaterra e País de Gales, sem considerar os princípios de conflitos legais. Qualquer ação ou processo legal decorrente desta Nota de Encomenda será instaurado exclusivamente na jurisdição dos tribunais ingleses e as partes concordam com a jurisdição pessoal e o local do mesmo.
• As Notas de Encomenda assinadas pelas afiliadas da NLL Corporation localizadas na zona Ásia-Pacífico, incluindo a Índia e excluindo o Japão e a China, serão válidas, regidas e interpretadas exclusivamente de acordo com as leis de Singapura, sem considerar os princípios de conflitos legais. Qualquer ação ou processo legal decorrente desta Nota de Encomenda será instaurado exclusivamente na jurisdição de Singapura e as partes concordam com a jurisdição pessoal e o local do mesmo.
B. Separabilidade. Se uma cláusula desta Nota de Encomenda for considerada parcial ou totalmente ilegal ou inaplicável, tal cláusula deve ser aplicada na extensão máxima permitida, e a legalidade e obrigatoriedade das demais cláusulas desta Nota de Encomenda devem permanecer plenamente em vigor.
C. Sem Renúncia. O incumprimento de qualquer uma das partes de qualquer disposição desta Nota de Encomenda não constituirá uma renúncia à aplicação futura dessa ou de qualquer outra disposição. Todas as soluções previstas nesta Nota de Encomenda não são exclusivas e sem prejuízo de outros direitos que a NLL possa ter por lei ou em títulos.
D. Empregador com Igualdade de Oportunidades. O Fornecedor representa que (i) é um empregador com igualdade de oportunidades e
não discrimina com base na raça, sexo, idade, origem nacional, deficiência, estado civil, estado de veterano de guerra ou qualquer outra base proibida por lei e (ii) todos os Produtos serão fornecidos/executados em conformidade com a política de não discriminação acima mencionada e todas as leis e políticas de igualdade de oportunidades aplicáveis e (iii) o Fornecedor não violará direta ou indiretamente o espírito da letra de tais leis e políticas.
E. Validade. Exceto conforme expressamente estabelecido neste documento, os direitos e obrigações que, pela sua natureza, continuarão em vigor, mesmo após a conclusão da execução da Nota de Encomenda pela Nota de Encomenda (e sobreviverão a qualquer cancelamento ou rescisão desta Nota de Encomenda), incluindo, sem limitação, os direitos e obrigações relacionados com o pagamento, propriedade, informações confidenciais, proteção de dados, relacionamento das partes, indemnização, limite de responsabilidade, publicidade, exportação e conformidade com as leis.
F. Conduta.
(i). Código de Conduta. O Fornecedor deve sempre cumprir o Código de Conduta Global de Fornecedores da NLL, cuja cópia pode encontrar em: xxxxx://xxx.xxxxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxxxx-xxxx-xxxxxxx
G. Resposta a Intimação. Caso o Fornecedor receba uma intimação de qualquer parte ou um pedido de informações de uma agência governamental ("Intimação") para as Informações Confidenciais da NLL, ou seja legalmente obrigado a fornecer as Informações Confidenciais da NLL, o Fornecedor (a) notificará imediatamente a NLL da existência de tal intimação; (b) solicitará prontamente que tal intimação seja reemitida diretamente para a NLL; e (c) quando a parte solicitante se recusar a reenviar a Intimação diretamente para a NLL, cooperar razoavelmente com a NLL na resposta a esses pedidos de informações ou documentos e fornecer à NLL uma cópia de toda e qualquer resposta do Fornecedor à Intimação, se permitido.
No caso de a NLL receber uma intimação para fornecer as Informações Confidenciais da NLL, o Fornecedor cooperará razoavelmente com a NLL para disponibilizar as Informações Confidenciais da NLL de forma atempada. Essa cooperação pode incluir, sem limitação, a recolha e o fornecimento de Informações Confidenciais da NLL à NLL, sem custos adicionais para a NLL. Quando o ónus para o Fornecedor associado a essa cooperação exceder o razoável, as partes entrarão em negociações de boa fé em relação a uma atribuição adequada dos custos.
(FIM DOS TERMOS
NAS PRÓXIMAS PÁGINAS, SEGUE-SE A EVIDÊNCIA A (REQUISITOS DE SEGURANÇA PARA O FORNECEDOR PRINCIPAL) E A EVIDÊNCIA B (ADENDA DE PROCESSAMENTO DE DADOS E RESPETIVOS ANEXOS)
EVIDÊNCIA A
NortonLifeLock Inc. e as suas afiliadas ("NLL") Requisitos de Segurança do Fornecedor Principal
1. REQUISITOS DE SEGURANÇA DA NLL
O fornecedor de serviços (ou "Fornecedor") deve atuar em conformidade com: i) os requisitos estabelecidos nestes Requisitos de Segurança do Fornecedor Principal, (ii) as melhores práticas e normas do setor; e iii) quaisquer requisitos legais e regulamentares aplicáveis.
Nada do estipulado neste documento tem a intenção ou deve ser interpretado de forma a limitar as obrigações do Fornecedor com a NLL sob qualquer contrato, declaração de trabalho ou outros termos ou condições (coletivamente, "Contrato") entre a NLL e o Fornecedor. Em caso de qualquer conflito entre essas disposições e este documento de Requisitos de Segurança do Fornecedor, prevalecerá a norma mais rigorosa, superior ou mais protetora, salvo acordo em contrário por escrito e assinado por ambas as partes.
2. DEFINIÇÕES
PRAZO | DEFINIÇÃO |
Dados da NLL | Quaisquer dados, conteúdos e informações da NLL que o Fornecedor receba ou tem acesso, de acordo com o Contrato aplicável com a NLL. |
Dados Restritos da NLL | Dados da NLL altamente confidenciais, limitados a um número reduzido de indivíduos e partilhados apenas com base na necessidade de conhecimento. Aplica-se aos dados da NLL que devem ser protegidos devido a requisitos legais ou regulamentares; pode dar uma vantagem competitiva à NLL. Quaisquer dados da NLL que contenham informações pessoais não públicas (NPI), informações de identificação pessoal (PII) ou informações de saúde protegidas (PHI) são considerados Restritos à NLL. O impacto da divulgação não autorizada será grave. O acesso, uso ou divulgação não autorizados terá um grande impacto regulamentar, reputacional ou financeiro. O impacto comercial da perda ou modificação será severo e espera-se que tenha um grande efeito adverso nas operações, ativos ou indivíduos. |
Dados Confidenciais da NLL | Dados confidenciais da NLL, limitados a pequenos grupos (por exemplo, equipas de projeto) e partilhados apenas com base na necessidade de conhecimento. Aplica-se aos segredos da empresa, código proprietário e outros dados que dariam à NLL uma vantagem competitiva. Quaisquer Dados da NLL que não sejam expressamente classificados nesta Secção 2 como Dados Restritos da NLL, Dados Confidenciais da NLL ou Apenas para Uso Interno da Symantec são Confidenciais da NLL. O impacto da divulgação não autorizada será grave a moderado. O acesso, uso ou divulgação não autorizados pode ter um grande impacto reputacional ou financeiro, mas não é expectável que tenha um impacto regulamentar. O impacto comercial de perda ou modificação será severo a moderado e pode ter um grande efeito adverso nas operações, ativos ou indivíduos. |
Apenas para Uso Interno da NLL | Dados Não Confidenciais da NLL utilizados para realizar as atividades da empresa. Aplica-se a dados normalmente disponíveis na NLL e usados para operações diárias. O impacto da divulgação não autorizada será mínimo. O acesso, uso ou divulgação não autorizados não terá um impacto regulamentar, reputacional ou financeiro. O impacto comercial de perda ou modificação será mínimo e pode ter um efeito adverso limitado nas operações, ativos ou indivíduos. |
Processamento (ou "Processamento") | Quaisquer operações de processamento executadas nos Dados da NLL, quer seja por meios automáticos ou não, como a recolha, gravação, utilização, acesso, cópia, reprodução, retenção, armazenamento, divulgação, modificação, alteração, transferência, transmissão, eliminação, destruição ou de outra forma eliminar, vender, atribuir, licenciar ou marketing. |
Pessoal | Funcionários, contratados, subcontratados e/ou terceiros do Fornecedor contratados por ou em nome do Fornecedor que prestam serviços à NLL e/ou processam informações da NLL. |
PRAZO | DEFINIÇÃO |
Recursos de Informações da NLL | Recursos da NLL, incluindo dispositivos de computação do utilizador final, redes, infraestrutura, repositórios de dados. |
3. POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES
3.1. Direção de Gestão de Segurança das Informações
3.1.1. O Fornecedor deve manter uma Política de Segurança das Informações (ISP) que será revista e aprovada, pelo menos, anualmente a nível executivo. O Fornecedor deve garantir que todo o Pessoal tenha acesso e cumpra a ISP.
4. ORGANIZAÇÃO DA SEGURANÇA DAS INFORMAÇÕES
4.1. Organização Interna
4.1.1. O Fornecedor deve adotar medidas de segurança física, técnica e organizacional, de acordo com as melhores práticas e normas do setor, e estar em conformidade com todos os requisitos legais e regulamentares aplicáveis na medida em que se aplicam aos serviços do Fornecedor prestados à NLL.
5. SEGURANÇA DE RECURSOS HUMANOS
5.1. Antes do emprego
5.1.1. Sem limitar as obrigações decorrentes de um Contrato, o Fornecedor, quando, e na extensão legalmente permitida, realizará verificações de antecedentes em conformidade com as políticas da NLL para todo o Pessoal que possa ter acesso aos Dados Restritos da NLL ou Dados Confidenciais da NLL e/ou à rede da NLL. Essas verificações de antecedentes devem ser realizadas de acordo e como permitido pela legislação e regulamentação aplicáveis e devem incluir os seguintes itens regionais equivalentes: Rastreamento SSN, pesquisa global na lista negra, pesquisa criminal no município (histórico de endereços de 5 anos), pesquisa federal criminal (histórico de endereços de 5 anos) e pesquisa de sanções financeiras.
5.2. Durante o emprego
5.2.1. O Fornecedor deve fornecer formação para consciencialização de segurança com base nas melhores práticas e normas do setor para todo o pessoal, no mínimo, anualmente.
5.2.2. Formação Adicional
5.2.3. O Fornecedor deve concluir e implementar formação adicional, conforme periodicamente exigido pela NLL.
5.3. Rescisão e mudança de emprego
5.3.1. O Fornecedor implementará controlos efetivos de rescisão/transferência de utilizadores que incluam a remoção/desativação de acesso imediatamente após a rescisão ou transferência de Pessoal ou quando o Pessoal não necessitar processar os Dados da Symantec como parte das suas funções de trabalho para o Fornecedor.
6. GESTÃO DE RECURSOS
6.1. Responsabilidade pelos recursos
6.1.1. Os Fornecedores que usam os Recursos de Informações da NLL devem aderir estritamente ao Padrão de Uso Aceitável da NLL.
6.1.2. Os Recursos de Informações da NLL não podem ser modificados de formal alguma nem ser utilizados para fornecer serviços a terceiros, exceto por prévio acordo expresso por escrito com a NLL.
6.2. Manuseio do suporte
6.2.1. Requisitos de Destruição e Provas de Conformidade
6.2.1.1. Todos os Dados da NLL são e permanecerão propriedade exclusiva da NLL, e o Fornecedor não adquirirá quaisquer direitos ou licenças, exceto conforme expressamente estabelecido neste Contrato. O Fornecedor devolverá à NLL (ou, segundo opção da NLL, destruirá) todas e quaisquer Dados da NLL e qualquer outra informação e material que contenha os referidos Dados da NLL (incluindo cópias em qualquer formato) imediatamente após a solicitação da NLL ou após a conclusão dos serviços ou rescisão do Contrato relevante.
6.2.1.2. O Fornecedor deve garantir a eliminação segura dos sistemas e suportes para tornar indecifráveis ou irrecuperáveis todos os Dados da NLL contidos antes da eliminação final ou libertação da posse do Fornecedor. Isso deve ser realizado de acordo com as normas aprovadas pela NIST e, no prazo de dez (10) dias após a solicitação da NLL, o Fornecedor fornecerá à NLL um certificado de destruição por escrito.
6.2.2. Suporte removível
6.2.2.1. É proibida a utilização de suportes removíveis. Todas as portas para unidades USB e externas devem ser desativadas em todas as estações de trabalho que processam dados da NLL.
7. CONTROLO DE ACESSO
7.1. Requisitos comerciais de controlo de acesso
7.1.1. O Fornecedor deve implementar um controlo de acesso robusto e restringir o acesso às configurações do sistemas operativos ao pessoal autorizado e privilegiado para manipulação dos sistemas que processam Dados Restritos da NLL ou Dados Confidenciais da NLL.
7.1.2. Dispositivos móveis e teletrabalho
7.1.2.1. O Fornecedor exigirá que todo o Pessoal que possa aceder aos Dados da NLL utilize um dispositivo disponibilizado pelo Fornecedor, excluindo telemóveis.
7.1.2.2. O Fornecedor não deve permitir (e deve restringir) que o Pessoal aceda aos Dados da NLL através de um telemóvel.
7.1.3. Gestão de acesso dos utilizadores
7.1.3.1. O Fornecedor deve garantir que o sistema (Rede, Alojamento e Aplicação) está concebido em conformidade com o princípio do menor privilégio.
7.1.3.2. O Fornecedor deve aplicar a utilização de palavras-passe fortes em todos os sistemas (rede, alojamento e aplicação) da seguinte maneira:
▪ As palavras-passe devem ter, no mínimo, dez (10) carateres
▪ Conter, no mínimo, três dos seguintes itens: Letras maiúsculas, minúsculas, números, carateres não alfabéticos
▪ Expirar após 90 dias para todos os sistemas
▪ Nunca são codificadas, armazenadas em ficheiros ou armazenadas ou transmitidas em texto não encriptado
7.1.3.3. Todas as palavras-passe predefinidas do Fornecedor nos produtos de software e hardware devem ser alteradas antes ou durante a instalação
7.1.4. Responsabilidades do utilizador
7.1.4.1. Para contas administrativas, o Fornecedor deve usar autenticação multifatores ou outros controlos positivos, como um maior comprimento da palavra-passe, menor vida útil da palavra-passe ou listas brancas de utilizadores para restringir o acesso às contas administrativas.
7.1.5. Controlo de acesso a sistemas e aplicações
7.1.5.1. O Fornecedor deve manter documentação sobre a aplicação, arquitetura, fluxos de processos e/ou diagrama de fluxos de dados aplicáveis, e funcionalidades de segurança para aplicações que processam Dados Restritos da NLL ou Dados Confidenciais da NLL.
8. CRIPTOGRAFIA
8.1. Controlos criptográficos
8.1.1. O Fornecedor deve usar as normas de encriptação e hash aprovadas por NIST ou PCI (por exemplo, SSH, SSL, TLS) para a transmissão e armazenamento de Dados Restritos da NLL e Dados Confidenciais da NLL.
8.1.1.1. Se for necessário armazenar num computador portátil, o computador portátil deve estar protegido por encriptação de disco completa.
8.1.2. Os Dados Restritos da NLL ou Dados Confidenciais da NLL armazenados em sistemas de arquivo ou backup devem estar sujeitos a, pelo menos, as mesmas medidas de proteção usadas no ambiente ativo.
9. SEGURANÇA FÍSICA E AMBIENTAL
9.1. Áreas seguras
9.1.1. O Fornecedor deve garantir que a segurança física e ambiental de todas as áreas que contenham Dados Restritos da NLL ou Dados Confidenciais da NLL, incluindo, sem limitação, centros de dados e instalações do servidor, seja projetada para:
9.1.1.1. Proteger os recursos de informações do acesso físico e lógico não autorizado, com base na função, deveres, nível e localização geográfica de todo o Pessoal.
9.1.1.2. Efetuar a gestão, monitorização e registo de movimento de Pessoal de entrada e saída das instalações e de todas as outras áreas aplicáveis, incluindo, sem limitação, controlo de acesso por distintivos, acessos bloqueados, perímetro seguro, câmaras, alarmes monitorizados e controlos de provisionamento de uso forçado.
9.1.1.3. Proteger contra riscos ambientais, como danos causados por calor, fogo e água.
9.1.1.4. Pessoal de Segurança designado para supervisionar o acesso às instalações e políticas estritas para garantir que os dados da NLL não sejam removidos das instalações.
9.1.2. Em relação aos centros de dados, centros de contacto e instalações do servidor, o Fornecedor deve separar de forma lógica ou física os Dados da NLL dos dados de outros clientes ou inquilinos.
10. SEGURANÇA DAS OPERAÇÕES
10.1. Procedimentos e responsabilidades operacionais
10.1.1. O Fornecedor deve implementar a proteção do sistema operativo para os anfitriões e a infraestrutura que processe Dados Restritos da NLL ou Dados Confidenciais da NLL. A proteção do sistema operativo inclui, sem limitação, as seguintes configurações e práticas:
▪ Autenticação com palavra-passe forte
▪ Tempo limite de inatividade
▪ Desativação de portas/serviços não utilizados
▪ Gestão de registos
▪ Desativação ou remoção de contas desnecessárias ou expiradas
▪ Alteração de palavras-passe predefinidas de contas e, sempre que possível, nomes de conta predefinidos
▪ Correção e atualizações oportunas de firmware, SO e sistema, aplicação e software de nível da base de dados
10.2. Proteção contra malware
10.2.1. O Fornecedor deve empregar e manter soluções abrangentes de anti-malware configuradas para transferir assinaturas, pelo menos, diariamente e uma solução de firewall (ou outras tecnologias de proteção contra ameaças) para dispositivos de computação dos utilizadores finais que ligam à rede NLL ou processam Dados Restritos da NLL ou Dados Confidenciais da NLL.
10.2.2. O Fornecedor deve proibir e desativar o uso de dispositivos externos para armazenamento ou transporte ou em uso com máquinas que processam Dados Restritos da NLL ou Dados Confidenciais da NLL. Os dispositivos externos incluem, sem limitação: pen USB, CD, DVD, discos rígidos externos e outros dispositivos móveis.
10.3. Registo e Monitorização
10.3.1. O Fornecedor deve garantir que a auditoria do sistema ou o registo de eventos e procedimentos de monitorização relacionados sejam implementados e mantidos para registar proativamente o acesso do utilizador e a atividade do sistema para revisão de rotina. Todos os ficheiros de registo devem ser mantidos por, pelo menos, 12 (doze) meses e o acesso deve estar restrito apenas ao pessoal autorizado.
10.3.2. Os Fornecedores que têm acesso físico aos Dados Restritos ou Dados Confidenciais da NLL devem manter registos de todos os pontos de entrada do CFTV, leitores de distintivos e folhas de entrada. Todos os ficheiros de registo devem ser mantidos por, pelo menos, 12 (doze) meses e o acesso deve estar restrito apenas ao Pessoal autorizado.
10.4. Verificação de vulnerabilidades
10.4.1. Os Fornecedores que processam Dados Restritos da NLL ou Dados Confidenciais da NLL, ou alojam websites acessíveis pela Internet em nome da NLL (diretamente ou através de terceiros), devem;
10.4.1.1. Utilizar ferramentas de análise padrão do setor para identificar vulnerabilidades de rede, alojamento e aplicações.
10.4.1.2. Realizar, pelo menos, análises internas vulnerabilidade mensais da(s) rede(s), alojamento(s) e aplicação(ões).
10.4.1.3. Execute a análise de vulnerabilidades ad-hoc para identificar as vulnerabilidades de rede, alojamento e aplicações antes de iniciar a produção e após alterações significativas.
10.4.1.4. Corrigir todas as vulnerabilidades críticas, altas e médias, de acordo com a pontuação do CVSS, antes e após libertar para produção, de acordo com os seguintes prazos de correção de vulnerabilidades:
▪ Crítica/Alta - 30 dias
▪ Média - 60 dias
▪ Baixa - 90 dias ou antes do próximo período de teste
10.4.1.5. Para Vulnerabilidades críticas de dia zero, as ações corretivas recomendadas para mitigação de riscos são implementadas sem demora injustificada, em caso algum posterior ao prazo especificado para as Vulnerabilidades críticas nesta secção. O Fornecedor implementará prontamente a ação corretiva recomendada para mitigação de riscos, como a aplicação de uma correção de software, atualizações de software, modificações na configuração de aplicações ou outros métodos de controlo preventivo de segurança, no prazo máximo de 12 (doze) dias úteis após a ação corretiva ser publicada, testada e determinada como segura para instalação e utilização.
10.5. Teste de Penetração
10.5.1. Os Fornecedores que processam Dados Restritos da NLL ou Dados Confidenciais da NLL ou têm acesso à rede da NLL devem;
10.5.1.1. Utilizar terceiros independentes para realizar um teste de penetração, no mínimo, anualmente, da(s) rede(s), alojamento(s) e aplicação(ões).
10.5.1.2. Utilizar terceiros independentes para realizar testes de penetração ad-hoc antes do lançamento da produção e nunca inferior a trinta (30) dias após alterações significativas.
10.5.1.3. Corrigir todas as vulnerabilidades críticas, altas e médias detetadas pelo teste de intrusão antes e após libertar para produção, de acordo com os seguintes prazos de correção de vulnerabilidades:
▪ Crítica/Alta - 30 dias
▪ Média - 60 dias
▪ Baixa - 90 dias ou antes do próximo período de teste
10.5.1.4. Fornecer à NLL a parte do resumo executivo do teste de penetração de terceiros relacionado com a(s) rede(s), alojamento(s) e aplicação(ões).
10.5.1.5. Rever os relatórios de teste de penetração de quaisquer subcontratados ou empresas terceirizadas da NLL, que processem os Dados Restritos da NLL ou Dados Confidenciais da NLL, ou alojem sites acessíveis pela Internet para o Fornecedor em nome da NLL e notificar a NLL sobre a sua utilização.
10.5.1.6. A NLL reserva o direito de realizar de forma independente ou utilizar terceiros autorizados para realizar um teste de penetração na(s) área(s) da rede do Fornecedor que processem Dados Restritos da NLL ou Dados Confidenciais da NLL, estabelecem ligação à rede da NLL ou alojem websites acessíveis pela Internet em nome da NLL.
11. SEGURANÇA DAS COMUNICAÇÕES
11.1. Requisitos a Nível de Rede
11.1.1. Os Fornecedores devem utilizar firewalls que protejam as redes que processam Dados Restritos da NLL ou Dados Confidenciais da NLL, ou alojam websites acessíveis pela Internet em nome da NLL. As firewalls devem ser capazes de desempenhar efetivamente as seguintes funções: inspeção de estado, registo, suporte de todas as normas e certificados IPSec, suporte de encriptação forte e hash, monitorização e anti-spoofing baseados em ICMP e SNMP. O Fornecedor deve ter monitorização de segurança baseado em rede (isto é, syslog, software de gestão de informações de segurança e eventos (SIEM) ou sistemas de deteção de intrusão baseados em host) para os segmentos que processam Dados Restritos da NLL ou Dados Confidenciais da NLL.
11.1.2. O Fornecedor não tem permissão para usar um serviço DNS dinâmico para o endereço IP do website externo. Se não for possível fornecer um endereço IP estático, deverá ser usado um método de interação/comunicação não baseado na Internet.
11.2. Requisitos a Nível de Alojamento
11.2.1. O Fornecedor não deve usar ou alterar um ambiente de nuvem sob qualquer forma (por exemplo, IaaS, PaaS, SaaS, processar, transmitir, aceder e armazenar dados) sem obter o consentimento prévio por escrito da NLL. Se a NLL fornecer essa permissão, o Fornecedor deverá segregar logicamente todos os Dados Restritos e Dados Confidenciais da NLL.
11.3. Transferência de Informações
11.3.1. O Fornecedor não deve aceder, armazenar, processar e/ou usar quaisquer Dados da NLL num local fora dos Estados Unidos. Além disso, o Fornecedor deve garantir que todo o Pessoal que tenha acesso aos Dados da NLL esteja localizado nos Estados Unidos. Se o acesso ou processamento for realizado fora dos Estados Unidos, pode ser adequado utilizar termos ou contratos adicionais e o Fornecedor concorda de boa fé com os termos ou contratos adicionais que a NLL possa exigir periodicamente.
12. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
12.1. Segurança nos processos de desenvolvimento e suporte
12.1.1. Os Fornecedores que desenvolvem código-fonte para a NLL, manipulam o código fonte da NLL (incluindo, sem limitação, qualquer código-fonte do produto ou serviço da NLL) ou desenvolvem e mantêm aplicações que processam Dados Restritos da NLL ou Dados Confidenciais da NLL, devem;
12.1.1.1. Fornecer, pelo menos, formação anual sobre código seguro a todo o Pessoal relevante para fornecer esses serviços à NLL. Os programadores devem ser proficientes nas 10 principais vulnerabilidades OWASP e nas 25 principais vulnerabilidades CWE/SANS e as respetivas técnicas de correção apropriadas. O Fornecedor deverá fornecer à NLL a comprovação inicial de conformidade dentro de trinta (30) dias a partir da data efetiva do Contrato relevante entre a NLL e o Fornecedor e, em seguida, anualmente.
12.1.1.2. Manter e comprovar a revisão anual de um processo documentado de Gestão de Alterações e do Ciclo de Desenvolvimento de Software (SDLC), que inclui:
▪ Revisões independentes de código seguro
▪ Diretrizes e protocolos de programação seguros para o desenvolvimento de aplicações
▪ Metodologia de modelo de ameaça para identificar os principais riscos para aplicações e/ou código fonte
▪ Teste de segurança de aplicações (os testes podem incluir SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) e testes de penetração de terceiros)
12.2. Dados de Teste
12.2.1. O Fornecedor não poderá utilizar Dados da NLL para cenários de teste.
13. RELAÇÕES COM FORNECEDORES
13.1. Segurança das informações nas relações com os fornecedores
13.1.1. Os Fornecedores que liguem a qualquer rede da NLL, processem Dados Restritos da NLL ou Dados Confidenciais da NLL e/ou desenvolvam ou alojem websites da Internet avaliáveis em nome da NLL, devem garantir que mantêm um atestado SOC 2 Tipo 2 aplicável e/ou certificação ISO/IEC27001. O Fornecedor deve fornecer à NLL uma cópia do relatório SOC 2 Tipo 2 e/ou Declaração de Aplicabilidade ISO27001 com certificado.
13.1.2. Os Fornecedores que não possam fornecer um atestado ou certificação aplicável, conforme declarado acima, são obrigados a realizar anualmente uma Avaliação de Risco de Segurança (SRA) da NLL e/ou fornecer um SIG LITE.
13.1.3. NLL é um comerciante de nível 1 de PCI. Qualquer Fornecedor que processe dados de cartões de crédito em nome da NLL deve manter sempre a conformidade com a versão mais recente de PCI DSS (Payment Card Industry Data Security Standard) na medida em que o PCI DSS seja aplicável aos serviços fornecidos sob o Contrato (por exemplo, se o Fornecedor aceder, recolher, usar, mantiver, processar, divulgar ou transferir quaisquer dados do titular do cartão, conforme definido no PCI DSS ou quaisquer outros dados protegidos ou sujeitos ao PCI DSS (coletivamente, "Dados PCI"), ou se qualquer parte desses serviços afetar a segurança do ambiente de dados de PCI). Após solicitação da NLL, o Fornecedor deverá fornecer prontamente à NLL prova suficiente, conforme determinado pela NLL, sob o seu critério exclusivo, da conformidade com o PCI-DSS. Se o Fornecedor tiver conhecimento de uma possível violação do PCI DSS, o Fornecedor notificará a NLL imediatamente, no máximo em 48 horas, após tomar conhecimento e repor a conformidade com o PCI DSS dentro do prazo especificado pela NLL, no máximo em 30 dias após o Fornecedor tomar conhecimento de tal violação. O Fornecedor deve garantir que todo o seu Pessoal cumpre as mesmas obrigações aplicáveis ao Fornecedor nos termos do Contrato e permaneça responsável perante a NLL pelo cumprimento do Contrato pelo seu Pessoal. O Fornecedor deverá fornecer à NLL a comprovação inicial de conformidade (PCI AoC) dentro de trinta (30) dias a partir da data efetiva do Contrato relevante entre a NLL e o Fornecedor e, em seguida, anualmente.
13.1.4. Nos casos em que o Fornecedor ou o seu Pessoal acredite razoavelmente que os Dados da NLL possam ter sido comprometidos, incluindo, sem limitação, qualquer manuseio não autorizado, a NLL poderá realizar um SRA com um pré-aviso de três (3) dias custeado pelo Fornecedor. O Fornecedor deve fornecer uma cooperação rápida, completa e de boa fé no desempenho do SRA.
13.1.5. O Fornecedor e o seu Pessoal devem cooperar totalmente com qualquer auditor da NLL ou de terceiros designados pela NLL, incluindo qualquer investigação regulatória da NLL ou das suas afiliadas, e permitirá o acesso a qualquer (i) Pessoal envolvido na execução dos serviços ou no processamento dos Dados da NLL, (ii) instalação onde os serviços são executados; (iii) aplicações e sistemas utilizados para executar os serviços; (iv) dados e registos mantidos ou criados em relação aos serviços ou qualquer acordo em vigor entre o Fornecedor e a NLL e/ou o Fornecedor e o seu Pessoal.
13.1.6. Os Dados Restritos da NLL ou os Dados Confidenciais da Symantec não podem ser partilhados com terceiros sem o acordo prévio por escrito da NLL.
13.2. Direito de Audição
13.2.1. Além dos direitos de inspeção e auditoria da NLL, conforme estabelecido em qualquer Contrato relevante, a NLL reserva o direito de exigir que o Fornecedor realize uma Avaliação de Riscos de Segurança da NLL, no mínimo, anualmente. Se o Fornecedor não cumprir essa solicitação dentro de um prazo razoável ou se o questionário de segurança suscitar preocupações de segurança à NLL que não sejam atendidas pelo Fornecedor de modo satisfatório para a NLL, a NLL reserva o direito (além de qualquer outra auditoria ou outros direitos que possa ter) de efetuar um SRA ou contratar um auditor de boa reputação para o efetuar.
14. GESTÃO DE INCIDENTES DE SEGURANÇA DE INFORMAÇÕES
14.1. Gestão de incidentes de segurança de informações e melhorias
14.1.1. O Fornecedor notificará imediatamente a NLL, com um prazo máximo de vinte e quatro (24) horas, se existir uma base razoável para acreditar que os Dados Restritos ou Dados Confidenciais da NLL possam ter sido comprometidos, incluindo, sem limitação, qualquer manuseio não autorizado.
14.1.2. O Fornecedor deve informar a NLL do seguinte;
14.1.2.1. Uma descrição da natureza do incidente, incluindo, sempre que possível, as categorias e a escala aproximada do incidente;
14.1.2.2. O nome e os detalhes de contacto do contacto do Fornecedor que poderá fornecer mais informações; e
14.1.2.3. Uma descrição das medidas adotadas ou propostas para solucionar o incidente, incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos.
14.1.3. O Fornecedor deve colaborar com a NLL imediatamente e de boa fé, conforme necessário, para resolver o incidente e em conjunto com quaisquer investigações associadas.
15. ASPETOS DE SEGURANÇA DAS INFORMAÇÕES DA GESTÃO DE CONTINUIDADE DE ATIVIDADE
15.1. Continuidade da segurança das informações
15.1.1. O Fornecedor concorda em manter um Plano de Continuidade de Atividade (BCP) e um Plano de Recuperação de Desastres (DRP) (os "Planos") em relação aos serviços que são executados para a NLL.
15.1.2. Os Planos devem ser testados, pelo menos, anualmente; a NLL pode solicitar uma cópia e todos os resultados devem ser solucionados.
15.1.3. No mínimo, os Planos do Fornecedor devem incluir os seguintes requisitos:
15.1.3.1. Plano de Continuidade de Atividade (BCP). O Fornecedor deve manter um BCP para as suas funções empresariais essenciais. O BCP deve conter as informações necessárias para planear a recuperação de cada função empresarial essencial. Os BCPs devem documentar os requisitos necessários para executar a estratégia de recuperação. Os BCPs devem incluir estratégias para cumprir os prazos essenciais de recuperação das funções empresariais determinados na Análise de Impacto na Atividade associada. O BCP deve incluir as seguintes informações:
▪ Sumário Executivo:
- Descrição Geral do Plano, incluindo os objetivos específicos de recuperação do plano
- Âmbito
- Premissas
- Avaliação de Impacto na Atividade (BIA)
▪ Detalhes da Estratégia de Recuperação e Procedimentos de Recuperação para cada um dos seguintes efeitos:
- Perda de Instalações
- Perda de Pessoal Essencial
- Perda de Dependências Base
▪ Procedimentos de Notificação, Escalamento e Ativação do Plano
▪ Listas de Chamadas
▪ Requisitos de Recursos de Recuperação
15.1.3.2. Plano de Recuperação de Desastres (DRP). Exceto até à extensão substituída por normas mais rigorosas incluídas no Contrato, será aplicável o seguinte;
▪ O Fornecedor deve fornecer à NLL um DRP relevante para qualquer site, rede, sistema e/ou aplicação usado para alojar websites e dados da NLL no prazo de trinta (30) dias após a solicitação.
▪ Os DRPs devem incluir os procedimentos para cumprir um Objetivo de Tempo de Recuperação (RTO) de quatro (4) horas ou menos e o Objetivo de Ponto de Recuperação (RPO) nunca superior a uma (1) hora.
15.1.3.3. Fornecedores de Serviço da Internet. O Fornecedor deve manter, pelo menos, dois Fornecedores de Serviço da Internet ("ISP") com vários caminhos para o edifício e o tráfego deve ser redirecionado automaticamente para outra operadora.
15.1.3.4. Fogo. As instalações do Fornecedor devem incluir um sistema automatizado de combate a incêndios que não afetará nenhum dos equipamentos ou sistemas, mas extinguirá imediatamente um incêndio.
15.1.3.5. Largura de banda. O Fornecedor deve manter dois routers idênticos e um servidor de firewall alternativo. O router e a firewall de backup devem estar pré-configurados e devem poder ser colocados online imediatamente.
15.1.3.6. Representação. As instalações de serviço do Fornecedor devem dispor de várias fontes de alimentação, incluindo alimentação de serviços resistente, backup extensivo da bateria da Fonte de Alimentação Ininterrupta (UPS), protetores contra picos entre a fonte de alimentação e o UPS, e um gerador de backup.
15.1.3.7. Falha no Servidor. O sistema do Fornecedor deve ser redundante até um grau razoável que seja necessário para cumprir os requisitos de tempo de atividade e manutenção.
15.1.4. Após a determinação de um desastre pelo Fornecedor, conforme definido no Plano, o Fornecedor deverá notificar imediatamente a NLL e iniciar as atividades que são da sua responsabilidade nos termos do Plano. Se o Fornecedor violar materialmente as suas obrigações de fornecimento de serviços de recuperação de desastres de acordo com esta Secção e, como resultado, não iniciar a execução de serviços críticos para a operação da atividade da NLL dentro do período prescrito, a NLL terá, além de qualquer outros direitos da NLL nos termos deste documento, o direito de contratar terceiros para fornecer esses serviços durante o tempo de ocorrência do desastre, custeado pelo Fornecedor. Após o fim do desastre, o Xxxxxxxxxx deverá, assim que for razoavelmente possível, fornecer à NLL um relatório do incidente, detalhando o motivo do desastre e todas as ações tomadas pelo Fornecedor para o resolver.
EVIDÊNCIA C
ADENDA DE PROCESSAMENTO DE DADOS
CONSIDERANDO QUE a NortonLifeLock Inc. e/ou as suas afiliadas ("NLL") adquiriram do Fornecedor certos produtos e/ou serviços sob o Contrato que envolvem o processamento de Dados Pessoais pelo Fornecedor.
CONSIDERANDO QUE, neste contexto, a NLL atua como "Controladora" e o Fornecedor atua como "Processador" em relação aos Dados Pessoais ou, conforme o caso, a NLL atua como "Processador" para os seus clientes finais, incluindo as suas empresas afiliadas (como Controlador de Dados Final) e o Fornecedor atua como um "Subprocessador" que age sob as instruções da NLL em relação aos seus clientes finais.
As partes concordam com o seguinte:
1. Definições. Exceto definido de outro modo no Contrato, todos os termos em maiúsculas usados nesta Adenda terão os significados indicados abaixo. Se quaisquer definições contidas neste documento ou no Contrato entrarem em conflito com as definições legais fornecidas em qualquer Lei de Proteção de Dados aplicável, prevalecerá a definição na Lei de Proteção de Dados.
"Legislação da UE Aplicável" significa a (i) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação de tais informações. (ii) a partir de 25 de maio de 2018, o então aplicável Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE ("RGPD") e, (iii) qualquer legislação aplicável de qualquer Estado-Membro da UE.
"Controlador" significa a parte que, individualmente ou em conjunto com outras pessoas, determine as finalidades e os meios de Processamento de Dados Pessoais.
"Lei(s) de Proteção de Dados" significa a Legislação da UE Aplicável e quaisquer outras leis de proteção de dados que possam ser aplicáveis aos Dados Pessoais Processados segundo o Contrato.
"EEE" significa Espaço Económico Europeu.
"Dados Pessoais" e "Titulares de Dados" têm o mesmo significado, tal como estabelecido no Contrato.
"Violação de Dados Pessoais" significa uma violação de segurança que produz a destruição, perda, alteração, divulgação não autorizada, acidental ou ilegal de Dados Pessoais transmitidos, armazenados ou de outra forma processados.
"Processo" significa qualquer operação ou conjunto de operações executadas nos Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição.
"Processador" tem o significado estabelecido no Contrato. "Serviços" significa os serviços conforme descrito no Contrato.
"Cláusulas Contratuais Padrão" significa as cláusulas especificadas nos termos da Decisão da Comissão Europeia, de 5 de fevereiro de 2010, sobre cláusulas contratuais padrão para a transferência de dados pessoais para os processadores estabelecidos em países terceiros nos termos da Diretiva, cujo formulário consta do Anexo 1.
2. Cumprimento das Leis. Cada parte cumprirá as Leis de Proteção de Dados, conforme aplicável. Em particular, e sem limitação do acima exposto, a NLL cumprirá as suas obrigações como Controlador e o Fornecedor cumprirá as suas obrigações como Processador, conforme estabelecido na Legislação da UE Aplicável. Na medida exigida por qualquer Lei de Proteção de Xxxxx, as partes concordam negociar de boa fé e executar quaisquer documentos adicionais, suplementares ou revistos referentes ao Processamento de Xxxxx Xxxxxxxx, conforme razoavelmente necessário para a prestação dos serviços segundo o Contrato.
3. Processamento de Dados. O Fornecedor não processará Dados Pessoais para além das instruções documentadas relevantes da NLL ou das suas Afiliadas, a menos que o Processamento seja exigido pelas Leis de Proteção de Dados aplicáveis às quais o Fornecedor está sujeito e, nesse caso, o Fornecedor ou o Afiliado do Fornecedor relevante, na extensão permitida pelas Leis de Proteção de Dados aplicáveis, informará a NLL sobre o requisito legal antes do Processamento relevante dos Dados Pessoais. A NLL e as suas Afiliadas relevantes instruem o Fornecedor e cada Afiliado do Fornecedor (e autoriza o Fornecedor e cada Afiliado do Fornecedor a instruir cada um dos seus Subprocessadores) a: i) Processar Dados Pessoais como parte dos Serviços; e ii) em particular, transferir Dados Pessoais para qualquer país ou território, conforme razoavelmente necessário para a prestação dos Serviços, mas sempre em conformidade com os termos expressos neste documento e no Contrato. A NLL garante e representa que, em todos os momentos relevantes, permanecerá devida e efetivamente autorizada a dar as instruções estabelecidas nesta Secção 3 em nome próprio e de cada um das suas Afiliadas relevantes.
As partes descreverão em cada Declaração de Trabalho aplicável, a natureza, finalidade, duração e assunto do processamento de Dados Pessoais, incluindo as categorias de Dados Pessoais e Titulares de Dados e, se relevante, a lista de Subprocessadores que processam Dados Pessoais como parte dos Serviços, bem como a localização das atividades de processamento pelo Fornecedor e, se aplicável, por cada Subprocessador.
4. Funcionários/Agentes do Fornecedor. O Fornecedor restringirá o acesso aos Dados Pessoais apenas aos funcionários e agentes que necessitem do acesso para executar o Contrato e o Fornecedor compromete-se e concorda que os funcionários/agentes a quem concede acesso aos Dados Pessoais são ou devem ser: i) instruídos para manter a confidencialidade dos Dados Pessoais; e, ii) sujeitos a obrigações de confidencialidade por escrito, consistentes com esta Adenda e com as Leis de Proteção de Dados aplicáveis. Após a rescisão de qualquer funcionário ou agente, o Fornecedor proibirá ao referido funcionário/agente o acesso aos Dados Pessoais e/ou a qualquer sistema que processe Dados Pessoais.
5. Direitos dos Titulares de Dados e Assistência do Controlador. O Fornecedor notificará a NLL de qualquer solicitação recebida de um Titular de Dados ou de qualquer outra parte em relação aos Dados Pessoais da NLL. O Fornecedor não responderá a essas solicitações, exceto segundo as instruções documentadas da NLL ou conforme exigido pela Lei de Proteção de Dados aplicável. Nesse caso, o Fornecedor deverá, na medida do permitido por lei, informar a NLL do requisito legal antes de o Fornecedor responder à solicitação. O Fornecedor assistirá de forma razoável a NLL com qualquer obrigação que possa ter para cumprir as Leis de Proteção de Dados, incluindo, sem limitação, as obrigações da NLL de responder às solicitações do Titular de Dados e em relação à transparência e cumprimento dos direitos do Titular de Dados.
6. Medidas de Segurança Técnicas e Organizacionais. O Fornecedor deve, tomando em consideração o estado da tecnologia, os custos de implementação e a natureza, âmbito, contexto e finalidades do Processamento, bem como o risco de probabilidade e severidade variadas para os direitos e liberdades das pessoas físicas, implementando medidas e técnicas e organizacionais apropriados para garantir um nível de segurança adequado ao risco, incluindo, como apropriado, as medidas referidas nas Leis de Proteção de Dados aplicáveis (por exemplo, artigo 32(1) do RGPD). Sem limitar o exposto, o Fornecedor concorda em implementar as medidas de segurança estabelecidas no Anexo B do Contrato.
7. Auditoria das Medidas de Segurança Técnicas e Organizacionais. A pedido da NLL, o Fornecedor concorda em disponibilizar todas as informações necessárias para demonstrar a conformidade com as políticas e procedimentos de proteção de dados implementados como parte dos Serviços aplicáveis no âmbito do Contrato, incluindo, sem limitação, resultados atualizados da auditoria do Fornecedor, certificados e atestados (por exemplo, ISO 27001, SOC2 TYPE2). No caso em que a NLL, um controlador ou processador de dados de terceiros com obrigações das Leis de Proteção de Dados aplicáveis, uma autoridade ou regulador de proteção de dados necessite de informações adicionais ou de acesso físico ao pessoal, dados, sistemas ou instalações do Fornecedor para fins de auditoria, o acesso deverá ser disponibilizado sob um acordo de confidencialidade, de acordo com as disposições de auditoria/acesso estabelecidas no Anexo B.
8. Notificação e Correção de Violação de Dados. O Fornecedor notificará a NLL sem demora injustificada (e, em qualquer caso, no prazo máximo de 24 horas) se ocorrer uma Violação de Dados Pessoais. O Fornecedor enviará todas as notificações de violações de Dados Pessoais conhecidas ou suspeitas para: xxxxxxxx@xxxxxxxxxxxxxx.xxx
O Fornecedor deve fornecer à NLL todo o suporte e cooperação razoavelmente necessários para permitir que a NLL cumpra as suas obrigações legais em caso de Violação de Dados Pessoais (incluindo, sem limitação, os artigos 33 e 34 do RGPD). Além disso, o Fornecedor deve, assim que for razoavelmente possível, tomar todas as ações razoavelmente necessárias, com custos e despesas da responsabilidade exclusiva do Fornecedor, para determinar a origem da Violação de Dados Pessoais e impedir qualquer outro acesso ou uso ou processamento não autorizado dos Dados Pessoais. O Fornecedor deve fornecer cooperação e suporte completos e imediatos, conforme solicitado pela NLL, incluindo, sem limitação, a disponibilização dos registos, sistemas e pessoal essencial com conhecimento suficiente para resolver ou mitigar qualquer incidente de segurança ou Dados Pessoais, determinar o âmbito do incidente, investigar o incidente, preparar um resumo por escrito e assistir na tomada de quaisquer ações corretivas ou de resposta adicionais, incluindo, sem limitação, toda a assistência razoavelmente necessária para notificar os reguladores e/ou anúncio aos Titulares de Dados afetados e o público, como requerido pelas Leis de Proteção de dados e/ou determinado pela NLL. Exceto e apenas na extensão expressamente exigida por lei ou de acordo com contratos de terceiros, o Xxxxxxxxxx concorda que não informará terceiros que os Dados Pessoais da NLL estiveram envolvidos numa Violação de Xxxxx Xxxxxxxx sem o consentimento prévio por escrito da NLL. Se o Fornecedor for obrigado por lei ou por contratos com terceiros a notificar ao público/terceiros sobre uma Violação de Xxxxx Xxxxxxxx, o Fornecedor não identificará a NLL (direta ou indiretamente) e usará todos os esforços comercialmente razoáveis para obter a aprovação prévia da NLL em relação ao conteúdo de tal divulgação para minimizar qualquer impacto adverso para a NLL e os seus respetivos clientes e/ou funcionários. A NLL pode suspender ou terminar o acesso, processamento ou armazenamento de Dados Pessoais pelo Fornecedor ou tomar outras ações apropriadas, até à resolução de qualquer Violação de Dados Pessoais conhecida ou suspeita.
O Fornecedor defenderá, indemnizará e isentará a NLL e os seus agentes, cessionários e sucessores de interesse de toda e qualquer reclamação, processo, ação judiciais, procedimentos ou demandas legais e julgamentos de terceiros, perdas, pagamentos, custos, despesas (incluindo relacionados com a investigação, terceiros técnicos ou honorários legais razoáveis), danos, acordos, responsabilidades, multas ou penalizações da NLL, decorrentes de ou relacionados com a Violação de Dados Pessoais causados pela violação pelo Fornecedor dos termos do presente documento. Para além, e sem limitação, do supracitado ou quaisquer outros direitos ou recursos disponíveis para a NLL por lei ou pelos tribunais, o Fornecedor reembolsará integralmente a NLL por todos os custos, despesas e responsabilidades reais incorridos pela NLL como resultado de uma Violação de Dados Pessoais causada pelo Fornecedor, incluindo, sem limitação, os custos ou despesas incorridos pela NLL relacionados com a investigação e correção de tal Violação de Dados Pessoais e os custos e despesas incorridos no fornecimento de avisos e/ou monitorização contínua de crédito aos Titulares de Dados cujas informações possam ter sido sujeitas a uma Violação de Dados Pessoais.
9. Subprocessamento. O Fornecedor deve obter o consentimento prévio por escrito da NLL antes de contratar fornecedores terceiros como Subprocessadores de Dados Pessoais para suportar ou permitir o fornecimento dos Serviços. Sujeito ao supracitado e sem limitação, a NLL, em nome próprio e das suas Afiliadas relevantes, consente na utilização de Subprocessadores identificados especificamente no Anexo 1 do presente documento. Para quaisquer novos Subprocessadores nomeados durante a vigência do Contrato, o Fornecedor deverá notificar a NLL com, pelo menos, quarenta e cinco (45) dias de antecedência antes de permitir que o Subprocessador aceda aos Dados Xxxxxxxx mencionados no presente documento. A NLL pode opor-se a um novo Subprocessador no prazo de sessenta (60) dias após a receção do aviso. Se a NLL se opuser a um novo Subprocessador de acordo com o descrito acima, o Fornecedor envidará os esforços comercialmente razoáveis para alterar os Serviços e garantir que os Dados Pessoais da NLL não sejam processados pelo novo Subprocessador em questão. Se não for possível ao Fornecedor efetuar essa alteração, a NLL poderá rescindir os Serviços aplicáveis mediante notificação por escrito, de acordo com os termos do Contrato. Em caso de rescisão dos Serviços de acordo com esta secção, o Fornecedor emitirá um reembolso proporcional de quaisquer taxas pré-pagas não utilizadas.
O Fornecedor restringirá as atividades de Processamento realizadas pelos Subprocessadores apenas ao estritamente necessário para fornecer os Serviços.
O Fornecedor imporá as obrigações contratuais apropriadas por escrito aos Subprocessadores que não sejam menos protetoras do que esta Adenda e o Fornecedor permanecerá responsável pelo cumprimento das obrigações desta Adenda.
10. Transferências/EEE + Processamento de Dados. O Fornecedor apenas processará os Dados Pessoais nos locais estabelecidos no Anexo 1 do presente documento e não deverá transferir os Dados Pessoais para além das fronteiras do país, a menos que o Fornecedor tenha obtido autorização prévia por escrito da NLL. O Fornecedor notificará a NLL sobre quaisquer alterações nas transferências acordadas e deve obter o consentimento da NLL para essas alterações. Se aplicável, e em relação aos Dados Pessoais originados no Espaço Económico Europeu ou da Suíça (EEE+), o Fornecedor poderá processar, segundo este Contrato, e transferir para fora do EEE+, as partes documentarão os detalhes do processamento no Contrato e, pelo presente meio, concordam que os termos das Cláusulas Contratuais Padrão da UE regerão tais transferências entre cada Afiliada e o Fornecedor da NLL relevante, conforme anexado no Anexo 2. Caso esses mecanismos de transferência deixem de ser considerados adequados, o Fornecedor concorda em executar qualquer mecanismo legítimo de transferência de dados, conforme a NLL considere apropriado para proteger os dados transferidos para fora do EEE+. Sujeito à Secção 9 acima e, se exigido pela Legislação da UE Aplicável, se o Fornecedor transferir Dados Pessoais do EEE+ para um Subprocessador localizado em qualquer país que possa ter leis de proteção de dados menos estritas que o EEE+, o Fornecedor deve executar as Cláusulas Contratuais Padrão da UE como descritas no Anexo 2, entre o Subprocessador e o Fornecedor que atua em nome da NLL, a menos que a transferência desses Dados Pessoais ocorra por meios alternativos permitidos pela Legislação da UE Aplicável.
11. Avaliação de Impacto da Proteção de Dados e Consulta Prévia. O Fornecedor deve fornecer assistência razoável à NLL em relação às avaliações de impacto na proteção de dados e consultas prévias com os reguladores ou autoridades de supervisão ou outras autoridades competentes para a privacidade de dados, que a NLL considere razoavelmente exigíveis por qualquer Lei de Proteção de Dados aplicável, em cada caso apenas em relação ao Processamento de Dados Pessoais e considerando a natureza do processamento e das informações disponíveis ao Fornecedor.
12. Conformidade. O Fornecedor deve monitorizar a conformidade com estes termos e garantir que o seu pessoal, agentes e subprocessadores estejam adequadamente qualificados, formados e responsabilizados pelas suas ações em relação ao processamento de Dados Pessoais. O Fornecedor deve garantir que, na extensão permitida pela lei aplicável, sejam realizadas verificações e análises de antecedentes adequadas em relação aos indivíduos que tenham acesso aos Dados Pessoais antes de conceder o acesso. O Fornecedor deve informar e formar o seu pessoal, agentes e subprocessadores responsáveis pelo processamento e proteção de Dados Pessoais sobre leis e regulamentos de privacidade e sobre a obrigação de proteger os Dados Pessoais de acordo com os requisitos deste Contrato. O Fornecedor concorda ainda que, após a rescisão de qualquer pessoal, agente ou Subprocessador, o acesso aos Dados Pessoais e a qualquer sistema que processe os Dados Pessoais será imediatamente terminado.
13. Devolução ou Eliminação dos Dados Pessoais. O Fornecedor, após receber uma solicitação por escrito da NLL, eliminará ou devolverá, conforme especificado pela NLL, os Dados Pessoais dentro de um período de tempo razoável. Após solicitação da NLL, o Fornecedor fornecerá uma certificação por escrito da sua conformidade com estas disposições, de acordo com o Anexo B (Requisitos de Segurança do Fornecedor Principal).
14. Ordem de Precedência. Se existir um conflito entre o Contrato e esta Adenda, prevalecem os termos desta Adenda.
Anexos:
Anexo 1 - Cláusulas Contratuais Padrão, com Apêndices 1 e 2
Anexo 1
Decisão C (2010) 593 da Comissão Cláusulas Contratuais Padrão (processadores)
Para efeitos do artigo 26(2) da Diretiva 95/46/CE, relativa à transferência de dados pessoais para os processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados
A organização exportadora de dados é a NortonLifeLock Inc. ou o Endereço das suas Afiliadas relevantes: ........................
Tel.: .......................................................................................................................................................................................; fax: ; e-mail:
(o exportador de dados) E
O nome da organização importadora de dados é o Fornecedor ou a sua Afiliada relevante, conforme expressamente identificado no Contrato (ou em qualquer Declaração de Trabalho ou Ordem executada nos termos do presente documento). Endereço:
Tel.: ................................................................. ; fax: ...............................................; e-mail: ................................................
(o importador de dados)
cada um constitui uma "parte"; em conjunto "as partes",
ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas), para adotar salvaguardas adequadas em relação à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas para a transferência dos dados pessoais especificados no Apêndice 1 do presente documento do exportador de dados para o importador de dados.
Cláusula 1
Definições
Para os fins das Cláusulas:
(a) "dados pessoais", "categorias especiais de dados", "processo/processamento", "controlador", "processador", "titular de dados" e "autoridade de supervisão" terá o mesmo significado como incluído na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
(b) "o exportador de dados" significa o controlador que transfere os dados pessoais;
(c) "o importador de dados" significa o processador que concorda receber dados pessoais do exportador de dados destinados ao processamento em seu nome após a transferência, de acordo com as suas instruções e os termos das Cláusulas e que não está sujeito a um sistema de um país terceiro, garantindo uma proteção adequada na aceção do artigo 25(1) da Diretiva 95/46/CE;
(d) "o subprocessador" significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorda receber dados pessoais do importador de dados ou de qualquer outro subprocessador do importador de dados destinados exclusivamente para executar atividades de processamento em nome do exportador de dados após a transferência, de acordo com as suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;
(e) "a lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais de pessoas singulares e, em particular, o seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a um controlador de dados no Estado-Membro onde o exportador de dados está estabelecido;
(f) "medidas de segurança técnicas e organizacionais" significa as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, ou perda e alteração acidental, divulgação ou acesso não autorizado, nomeadamente quando o processamento implicar a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que faz parte integrante das Cláusulas.
Cláusula 3
Cláusula de terceiro beneficiário
1. O titular de dados pode aplicar esta Cláusula, Cláusulas 4(b) a (i), Cláusulas 5(a) a (e) e (g) a (j), Cláusula 6(1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 ao exportador de dados como terceiro beneficiário.
2. O titular de dados pode aplicar esta Cláusula, Cláusulas 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 ao importador de dados, nos casos em que o exportador de dados desapareceu de facto ou deixou de existir legalmente, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação da lei e, como resultado, assume os direitos e obrigações do exportador de dados, nesse caso, o titular de dados pode aplicá-las contra essa entidade.
3. O titular de dados pode aplicar esta Cláusula, Cláusulas 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 ao subprocessador, nos casos em que o exportador de dados e o importador de dados desapareceram de facto ou deixaram de existir legalmente ou faliram, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação da lei e, como resultado, assume os direitos e obrigações do exportador de dados, nesse caso, o titular de dados pode aplicá-las contra essa entidade. Essa responsabilidade de terceiros do subprocessador deve limitar-se às suas próprias operações de processamento segundo as Cláusulas.
4. As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular de dados assim o desejar expressamente e se permitido pela legislação nacional.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante:
(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro em que o exportador de dados está estabelecido) e não viola as disposições pertinentes desse Estado;
(b) que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;
(c) que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;
(f) que após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são apropriadas para proteger os dados pessoais contra a destruição acidental ou ilícita, ou perda e alteração acidental, divulgação ou acesso não autorizado, nomeadamente quando o processamento implicar a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento, e que estas medidas garantem um nível de segurança apropriada contra os riscos apresentados pelo processamento e a natureza dos dados a proteger, considerando o estado da tecnologia e os custos de implementação;
(e) a conformidade com as medidas de segurança;
(f) que, se a transferência envolver categorias especiais de dados, o titular de dados foi informado ou será informado antes, ou assim que possível após a transferência, que os seus dados podem ser transmitidos para um país terceiro que não ofereça proteção adequada na aceção da Diretiva 95/46/CE;
(g) que encaminhará qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5(b) e a Cláusula 8(3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou cancelar a suspensão;
(h) disponibilizar para os sujeitos de dados, após solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deve ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais; nesse caso, essas informações comerciais poderão ser removidas;
(i) que, no caso de subprocessamento, a atividade de processamento é realizada de acordo com a Cláusula 11 por um subprocessador que fornece, pelo menos, o mesmo nível de proteção para os dados pessoais e os direitos do titular de dados que o importador de dados segundo as Cláusulas; e
(j) a conformidade com as Cláusulas 4(a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados concorda e garante:
(a) processar os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; se não for possível fornecer tal conformidade por qualquer motivo, concorda em informar prontamente o exportador de dados sobre a sua incapacidade de cumprir; nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) que não há motivos para acreditar que a legislação aplicável impeça o cumprimento das instruções recebidas do exportador de dados e as suas obrigações nos termos do contrato e que, em caso de alterações nessa legislação, que possam ter efeito adverso substancial sobre as garantias e obrigações fornecidas pelas Cláusulas, notificará prontamente a alteração ao exportador de dados assim que tiver conhecimento; nesse caso, o exportador de dados poderá suspender a transferência de dados e/ou rescindir o contrato;
(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;
(d) que notificará prontamente o exportador de dados sobre:
(i) qualquer solicitação juridicamente vinculativa para a divulgação de dados pessoais por parte de uma autoridade responsável pela aplicação da lei, a menos que seja de outro modo proibido, como a proibição da lei criminal de manter a confidencialidade de uma investigação policial,
(ii) qualquer acesso acidental ou não autorizado, e
(iii) qualquer solicitação recebida diretamente dos titulares de dados sem responder a essa solicitação, a menos que tenha sido autorizado de outra forma;
(e) atender de forma atempada e adequada todas as perguntas do exportador de dados relacionadas com o processamento dos dados pessoais sujeitos à transferência e cumprir os conselhos da autoridade supervisora em relação ao processamento dos dados transferidos;
(f) a pedido do exportador de dados, submeter as suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas, que deverão ser realizadas pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e com as qualificações profissionais requeridas, vinculados a um acordo de confidencialidade e selecionados pelo exportador de dados, se aplicável, de acordo com a autoridade de supervisão;
(g) disponibilizar ao titular de dados, após solicitação, uma cópia das Cláusulas, ou de qualquer contrato existente para o subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais; nesse caso, essas informações comerciais poderão ser removidas, com a exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular de dados não possa obter uma cópia do exportador de dados;
(h) que, em caso de subprocessamento, informará previamente o exportador de dados e obterá o seu consentimento prévio por escrito;
(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Cláusula 11;
(j) enviar atempadamente ao exportador de dados uma cópia de qualquer contrato efetuado com o subprocessador ao abrigo das Cláusulas.
Cláusula 6
Responsabilidade
1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou subprocessador, tem direito a receber uma compensação do exportador de dados pelos danos sofridos.
2. Se um titular de dados não puder apresentar uma reclamação de compensação, de acordo com o parágrafo 1, contra o exportador de dados, resultante de uma violação por parte do importador de dados ou o seu subprocessador de qualquer uma das obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de facto ou deixou de existir legalmente ou faliu, o importador de dados concorda que o titular de dados pode apresentar uma reclamação contra o importador de dados, tal como se fosse o exportador de dados, a menos que qualquer entidade sucessora assuma a totalidade das obrigações legais do exportador de dados por contrato ou por força de lei; nesse caso, o titular de dados pode aplicar os seus direitos contra essa entidade.
O importador de dados não pode confiar numa violação das obrigações por um subprocessador para evitar as suas próprias responsabilidades.
3. Se um titular de dados não puder apresentar uma reclamação, de acordo com os parágrafos 1 e 2, contra o exportador ou importador de dados, resultante de uma violação por parte do subprocessador de qualquer uma das obrigações mencionadas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados e o importador de dados desapareceram de facto ou deixaram de existir legalmente ou faliram, o subprocessador concorda que o titular de dados pode apresentar uma reclamação contra o subprocessador em relação às suas operações de processamento segundo as Cláusulas, tal como se fosse o exportador ou importador de dados, a menos que qualquer entidade sucessora assuma a totalidade das obrigações legais do exportador ou importador de dados por contrato ou por força de lei; nesse caso, o titular de dados pode aplicar os seus direitos contra essa entidade. A responsabilidade do subprocessador estará limitada às suas próprias operações de processamento segundo as Cláusulas.
Cláusula 7
Mediação e Jurisdição
1. O importador de dados concorda que, se o titular dos dados reclamar direitos de terceiros beneficiários e/ou reclamar uma compensação por danos de acordo com as Xxxxxxxxx, o importador de dados aceitará a decisão do titular de dados:
(a) de remeter a disputa para mediação, executada por uma pessoa independente ou, se aplicável, pela autoridade supervisora;
b) de remeter a disputa aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.
2. As partes concordam que a escolha feita pelo titular de dados não prejudicará os seus direitos substantivos ou processuais de procurar recursos de acordo com outras disposições da lei nacional ou internacional.
Cláusula 8
Cooperação com as autoridades supervisoras
1. O exportador de dados concorda em depositar uma cópia deste contrato na autoridade supervisora, se assim o solicitar ou se o depósito for exigido pela lei de proteção de dados aplicável.
2. As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria ao importador de dados e a qualquer subprocessador, com o mesmo âmbito e sujeita às mesmas condições que seriam aplicáveis a uma auditoria do exportador de dados segundo a lei de proteção de dados aplicável.
3. O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação que lhe seja aplicável, ou a qualquer subprocessador, que impeça a realização de uma auditoria ao importador de dados ou a qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).
Legislação Aplicável
As Cláusulas são regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido
Cláusula 10
Variação do contrato
As partes comprometem-se a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões comerciais, quando necessário, desde que não contradigam a Cláusula.
Cláusula 11
Subprocessamento
1. O importador de dados não subcontratará nenhuma das suas operações de processamento realizadas em nome do exportador de dados segundo as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar as suas obrigações segundo as Cláusulas, com o consentimento do exportador de dados, apenas o deverá fazer por meio de um contrato por escrito com o subprocessador que imponha ao subprocessador as mesmas obrigações que são impostas ao importador de dados segundo as Cláusulas1. Quando o subprocessador incumprir as suas obrigações de proteção de dados segundo tal contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador segundo esse contrato.
2. O contrato prévio por escrito entre o importador de dados e o subprocessador também deve prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3 para os casos em que o titular de dados não possa apresentar uma reclamação de compensação como mencionada no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados, porque desapareceram de facto ou deixaram de existir legalmente ou faliram e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador ou importador de dados por contrato ou por operação de lei. Essa responsabilidade de terceiros do subprocessador deve limitar-se às suas próprias operações de processamento segundo as Cláusulas.
3. As disposições relacionadas com aspetos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela legislação do Estado-Membro onde o exportador de dados está estabelecido.
4. O exportador de dados deve manter uma lista dos contratos de subprocessamento executados segundo as Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5 (j), que deve ser atualizada, pelo menos, anualmente. A lista deve estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.
Cláusula 12
Obrigação após o término dos serviços de processamento de dados pessoais
1. As partes concordam que, após o término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador, segundo opção do exportador de dados, devolverá todos os dados pessoais transferidos e as respetivas cópias ao exportador de dados ou destruirá todos os dados pessoais e enviará um certificado das suas ações ao exportador de dados, a menos que a legislação imposta ao importador de dados impeça a devolução ou destruição de todo ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e deixará de processar ativamente os dados pessoais transferidos.
2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterá as suas instalações de processamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.
Em nome do exportador de dados:
Nome (escrito por extenso):
Posição:
Endereço:
Outras informações necessárias para que o contrato seja vinculativo (se aplicável):
(carimbo da organização)
Em nome do importador de dados:
Nome (escrito por extenso):
Posição:
Endereço:
Outras informações necessárias para que o contrato seja vinculativo (se aplicável):
Assinatura……………………………………….
Assinatura……………………………………….
(carimbo da organização)
APÊNDICE 1 DAS CLÁUSULAS CONTRATUAIS PADRÃO
Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes ou, em alternativa, os detalhes do processamento de Dados Pessoais serão estabelecidos tal como indicado na declaração de trabalho ou no formulário de encomenda aplicável.
Os Estados-Membros podem preencher ou especificar, de acordo com os seus procedimentos nacionais, qualquer informação adicional necessária que conste do presente apêndice.
Exportador de dados
O exportador de dados é (especifique brevemente as suas atividades relevantes para a transferência):
……………………………………………………………………………………………………………………………………………………………………
Importador de dados
O importador de dados é (especifique brevemente as atividades relevantes para a transferência):
……………………………………………………………………………………………………………………………………………………………………
Titulares de dados
Os dados pessoais transferidos estão relacionados com as seguintes categorias de titulares de dados (especifique):
……………………………………………………………………………………………………………………………………………………………………
Categorias de dados
Os dados pessoais transferidos estão relacionados com as seguintes categorias de dados (especifique):
……………………………………………………………………………………………………………………………………………………………………
Categorias especiais de dados (se aplicável)
Os dados pessoais transferidos estão relacionados com as seguintes categorias especiais de dados (especifique):
……………………………………………………………………………………………………………………………………………………………………
Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (especifique):
…………………………………………………………………………………………………………………………………………………………………… EXPORTADOR DE DADOS
Nome:………………………………
Assinatura Autorizada …………………
IMPORTADOR DE DADOS
Nome:………………………………
Assinatura Autorizada …………………
APÊNDICE 2 DAS CLÁUSULAS CONTRATUAIS PADRÃO
Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação em anexo):
Ver o Anexo A do Contrato.