Contract
A presente Adenda ao Tratamento de Dados ("DPA", do inglês, Data Processing Addendum) da Xxxxxx faz parte do Contrato de Serviços e de Licença do Utilizador Final da Ivanti ("Contrato") e é redigida e celebrada a partir da última data de assinatura abaixo indicada (a "Data Efetiva") pelo e entre o cliente identificado abaixo ou no Contrato ("Responsável") e a entidade Ivanti aplicável identificada neste DPA ("Ivanti" ou "Contratante") (individualmente, uma "Parte"; coletivamente, as "Partes"). Os termos em maiúsculas não definidos no presente documento terão os significados que lhes são atribuídos no Contrato.
PREÂMBULO
CONSIDERANDO QUE, as Partes celebraram o Contrato.
CONSIDERANDO QUE, no decurso da prestação dos Serviços ao Responsável nos termos do Contrato, o Contratante pode Tratar os Dados Pessoais em nome do Responsável;
CONSIDERANDO QUE, para assegurar salvaguardas adequadas no que respeita ao Tratamento dos Dados Pessoais fornecidos pelo Responsável ao Contratante, as Partes concordam em cumprir as seguintes disposições no que respeita a quaisquer Dados Pessoais, cada uma agindo de forma razoável e de boa fé.
POR ISSO, AGORA, considerando as premissas precedentes e as promessas e os convénios mútuos abaixo definidos, o Responsável e o Contratante acordam como se segue:
CONTRATO
1. DEFINIÇÕES
Os termos em maiúsculas não definidos no presente documento terão o significado estabelecido no Contrato.
"Afiliada" significa qualquer entidade que, direta ou indiretamente, controla, é controlada por, ou está sob controlo comum com a entidade em questão. "Controlo", para os fins da presente definição, significa propriedade direta ou indireta ou controlo de mais de 50% dos direitos de voto da entidade em questão.
"Leis de Proteção de Dados Aplicáveis" significa todas as leis, regulamentos, orientações regulamentares, ou requisitos aplicáveis em qualquer jurisdição relacionada com a proteção de dados, privacidade, ou confidencialidade de Dados Pessoais, incluindo, entre outros, (a) o RGPD juntamente com qualquer legislação de transposição, de execução ou suplementar, e (b) a CCPA.
"Afiliado Autorizado" significa qualquer dos Afiliados do Responsável que (a) estão sujeitos às leis e regulamentos de proteção de dados do Espaço Económico Europeu e/ou dos seus Estados-Membros, Reino Unido e Suíça, (b) estão sujeitos às leis e regulamentos de proteção de dados fora do Espaço Económico Europeu e/ou dos seus Estados-Membros, Suíça e Reino Unido (conforme aplicável), e (c) estão autorizados a utilizar o Contratante para o Tratamento nos termos do Contrato.
"CCPA" significa Lei de Privacidade do Consumidor da Califórnia, Código Civil da Califórnia § 1798.100 et seq., e os seus regulamentos de execução.
"Responsável" significa a entidade que determina as finalidades e os meios de Tratamento dos Dados Pessoais. Para evitar dúvidas, a Parte identificada acima como "Responsável" é Responsável ao abrigo da presente DPA.
"Violação de Dados" significa uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de Tratamento.
"Autoridade de Proteção de Dados" significa qualquer representante ou agente de uma entidade ou agência governamental que tenha autoridade para aplicar as Leis de Proteção de Dados Aplicáveis.
"Titular dos Dados" significa a pessoa a quem os Dados Pessoais se referem.
"RGPD" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre a livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).
"Ivanti" significa a entidade identificada abaixo na mesma região geográfica que o Cliente:
- Ivanti, Inc., uma empresa registada no Delaware, nas Américas, exceto o Brasil.
- Ivanti Comércio de Software Brasil Ltda, uma empresa brasileira, no Brasil.
- Ivanti Software K.K., uma empresa japonesa, no Japão.
- Ivanti Software Technology (Beijing) Co., Ltd., uma empresa chinesa, na China.
- Ivanti International Limited, uma empresa irlandesa, para produtos e serviços das marcas Wavelink e Naurtech na Europa, Médio Oriente, África e a região Ásia-Pacífico.
- Ivanti UK Limited, uma empresa limitada registada em Inglaterra e no País de Gales, em todas as restantes localizações.
"Dados Pessoais" significa qualquer informação que identifique, diga respeito, descreva, seja suscetível de ser associada, ou possa razoavelmente estar associada, direta ou indiretamente, a uma pessoa singular identificada ou identificável ou a um determinado agregado familiar. É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
"Tratamento" significa qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais por ou em associação com e para os fins da prestação dos Serviços, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, bem como a limitação, apagamento ou destruição; e conforme definido pelas Leis de Proteção de Dados Aplicáveis.
"Contratante" significa a entidade que Trata os Dados Pessoais por conta do Responsável. Para evitar dúvidas, a Parte identificada acima como "Contratante" é Contratante para a presente DPA.
"Serviços" significa Tratamento dos Dados Pessoais pelo Contratante em associação com e para os fins da prestação dos serviços a serem fornecidos pelo Contratante nos termos do Contrato.
"Fornecedor de Serviços" significa uma empresa individual, sociedade em nome coletivo, sociedade anónima de responsabilidade limitada, corporação, associação, ou outra entidade jurídica organizada ou operada para fins lucrativos ou benefícios financeiros dos seus acionistas ou outros proprietários, que processa informações em nome de um Responsável pelo Tratamento dos Dados Pessoais e à qual o Responsável pelo Tratamento dos Dados Pessoais divulga os Dados Pessoais do Titular dos Dados para uma Finalidade Empresarial, nos termos de um contrato escrito, desde que o contrato proíba o Fornecedor de Serviços de reter, utilizar, ou divulgar os Dados Pessoais para qualquer outro fim que não seja o fim específico de executar os serviços especificados no contrato, ou conforme permitido pela CCPA, incluindo a retenção, utilização, ou divulgação dos Dados Pessoais para uma Finalidade Comercial que não seja a de prestar os serviços especificados no contrato com o Responsável pelo Tratamento dos Dados Pessoais. Os termos "Finalidade Empresarial" e "Finalidade Comercial" devem entender-se do mesmo modo que os termos usados na CCPA. Para evitar qualquer dúvida, o Contratante é um Fornecedor de Serviços.
"Subcontratante" significa qualquer entidade que Trata os Dados Pessoais em nome do Contratante.
2. TRATAMENTO DOS DADOS PESSOAIS
2.1 Papéis das Partes. As partes reconhecem e concordam que sobre o Tratamento dos Dados Pessoais, o Responsável é o Responsável, o Contratante é o Contratante ou Fornecedor de Serviços. O assunto, duração, finalidade do Tratamento, e os tipos de Dados Pessoais e categorias de Titulares dos Dados Tratados ao abrigo desta DPA são especificados mais detalhadamente no Anexo 1.
2.2 Obrigações do Responsável. As instruções do Responsável para o Tratamento dos Dados Pessoais devem cumprir as Leis e Regulamentos de Proteção de Dados. O Responsável é o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios através dos quais o Responsável adquire os Dados Pessoais e os fornece ao Contratante.
2.3 Obrigações do Contratante. Todos os Dados Pessoais Tratados pelo Contratante nos termos do Contrato são Informações Confidenciais e o Contratante Tratará os Dados Pessoais apenas de acordo com as instruções documentadas do Responsável estabelecidas no Anexo 1 ou de outra forma fornecidas por escrito pelo Responsável. O Contratante não venderá os Dados Pessoais Tratados ao abrigo desta DPA e não reterá, utilizará ou divulgará Dados Pessoais fora da relação empresarial direta entre o Contratante e o Responsável. O Contratante deve aderir a todas as Leis de Proteção de Dados Aplicáveis no que diz respeito ao Tratamento dos Dados Pessoais. Se o Contratante considerar que o cumprimento de quaisquer instruções pelo Responsável resultaria numa violação de
qualquer Lei de Proteção de Dados Aplicável, o Contratante deverá notificar o Responsável por escrito, sem demora. O Contratante deverá disponibilizar ao Responsável todas as informações necessárias para demonstrar o cumprimento do Contratante das suas obrigações nos termos desta DPA.
2.3.1. Requisitos de Assistência. O Contratante deve ajudar o Responsável: no cumprimento das Leis de Proteção de Dados Aplicáveis; nas Violações de Dados suspeitas e relevantes; nas notificações a, ou consultas de uma Autoridade de Proteção de Dados; notificações a, e consultas de, Titulares dos Dados; e na obrigação do Responsável de efetuar avaliações de impacto da proteção de dados e consultas prévias com uma Autoridade de Proteção de Dados.
3. OBRIGAÇÕES DE NOTIFICAÇÃO
3.1 Obrigações de Notificação do Contratante. O Contratante deve notificar de imediato o Responsável, por escrito, do seguinte:
3.1.1 Pedido do Titular dos Dados para exercer os seus direitos de privacidade, tais como acesso, retificação, apagamento, portabilidade, oposição, ou limitação dos seus Dados Pessoais;
3.1.2 Qualquer pedido ou reclamação recebida dos clientes ou funcionários do Responsável;
3.1.3 Qualquer pergunta, reclamação, investigação, ou outra consulta de uma Autoridade de Proteção de Dados;
3.1.4 Qualquer pedido de divulgação de Dados Pessoais que esteja de alguma forma relacionado com o Tratamento dos Dados Pessoais do Contratante ao abrigo desta DPA;
3.1.5 Uma Violação de Dados de acordo com as obrigações de notificação estabelecidas na Secção 7.1; e
3.1.6 Quando os Dados Pessoais são objeto de busca e apreensão, de ordem de penhora, de confisco durante um processo de falência ou insolvência, ou eventos ou medidas semelhantes por terceiros enquanto são tratados.
O Contratante ajudará o Responsável no cumprimento das obrigações do Responsável de responder aos pedidos relacionados com os parágrafos (3.1.1) - (3.1.6) acima e não responderá a tais pedidos sem o consentimento prévio por escrito do Responsável, a menos que o Contratante seja obrigado a responder por lei.
4. CONFIDENCIALIDADE
4.1 Informações confidenciais. Todas as Informações fornecidas ao Contratante nos termos do Contrato são Informações Confidenciais.
4.2 Pessoal do Contratante. O Contratante deve assegurar que o seu pessoal envolvido no Tratamento dos Dados Pessoais seja informado da natureza confidencial dos Dados Xxxxxxxx, tenha recebido formação adequada sobre as suas responsabilidades, e tenha celebrado contratos de confidencialidade por escrito. O Contratante deve assegurar que tais obrigações de confidencialidade sobrevivam à cessação da sua respetiva relação laboral com tais indivíduos.
4.3 Limitação de Acesso. O Contratante deve assegurar que o acesso do Contratante aos Dados Pessoais seja limitado ao pessoal que presta os Serviços em conformidade com o Contrato.
5. SUBCONTRATANTES
5.1 Nomeação de Subcontratantes. O Responsável reconhece e concorda que o Contratante e os Afiliados do Contratante podem contratar Subcontratantes de terceiros em associação com a prestação dos Serviços. O Contratante ou Afiliado do Contratante deverá celebrar um contrato por escrito com cada Subcontratante contendo obrigações de proteção de dados não menos protetoras do que as da presente DPA, na medida aplicável à natureza dos Serviços prestados por tal Subcontratante. O Responsável autoriza o Contratante a contratar a sua lista atual de Subcontratantes, tal como listada em xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx, para Tratar Dados Pessoais em conformidade com a presente DPA. O Responsável não comunicará diretamente com os Subcontratantes do Contratante sobre os Serviços, a menos que tal seja acordado pelo Contratante a critério exclusivo do Contratante.
5.2 Notificação de Alterações a Subcontratantes. O Contratante informará o Responsável de quaisquer alterações previstas relativamente à adição ou substituição de Subcontratantes, ao fornecer ao Responsável um mecanismo para subscrever as notificações de novos Subcontratantes em xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx- subprocessors. O Contratante notificará o Responsável de quaisquer alterações previstas relativamente à adição ou substituição de Subcontratantes antes da sua utilização do Subcontratante.
5.3 Direito de Oposição em relação a Novos Subcontratantes. O Responsável pode razoavelmente opor-se à utilização de um novo Subcontratante por parte do Contratante, ao notificar de imediato o Contratante por escrito no prazo de quinze (15) dias úteis após a receção da notificação do Contratante. Caso o Responsável se oponha a um novo Subcontratante, o Contratante envidará esforços razoáveis para disponibilizar ao Responsável uma alteração nos Serviços, a fim de evitar o Tratamento dos Dados Pessoais pelo novo Subcontratante contestado. Se o Contratante não puder disponibilizar tal alteração, o Responsável pode rescindir o Contrato aplicável no que respeita aos Serviços que não possam ser prestados pelo Contratante sem a utilização do novo Subcontratante contestado.
5.4 Responsabilidade por Atos de Subcontratantes. O Contratante será responsável pelos atos e omissões dos seus Subcontratantes na mesma medida em que o Responsável seria responsável se executasse os serviços de cada Subcontratante diretamente nos termos da presente DPA.
6. SEGURANÇA
6.1 Proteção dos Dados Pessoais. O Contratante deve manter medidas técnicas e organizacionais adequadas para a proteção da segurança (incluindo proteção contra Tratamento não autorizado ou ilegal e contra destruição acidental ou ilegal, perda ou alteração ou dano, divulgação não autorizada de, ou acesso a, Dados Pessoais), confidencialidade e integridade dos Dados Pessoais.
6.2 Direitos de Auditoria. O Responsável concorda que o seu direito de auditar o Contratante pode ser satisfeito mediante a apresentação, por parte do Contratante, de atestados, relatórios ou extratos atualizados de organismos independentes, incluindo, sem limitação, auditores externos ou internos, o encarregado de proteção de dados do Contratante, o departamento de segurança de TI, auditores de proteção de dados ou de qualidade ou outros auditores mutuamente acordados com terceiros ou certificação através de uma auditoria de segurança de TI ou de proteção de dados. Na medida em que não seja possível satisfazer uma obrigação de auditoria imposta pelas Leis e Regulamentos de Proteção de Dados aplicáveis através de tais atestados, relatórios ou extratos, o Responsável, ou a pessoa por ele designada, tem o direito de auditar e de inspecionar - a expensas do Responsável - as instalações, políticas, procedimentos, e sistemas informatizados do Contratante para se certificar de que o Contratante cumpre os requisitos da presente DPA. O Responsável, ou a pessoa por ele designada, fornecerá pelo menos trinta (30) dias de notificação antes de realizar uma auditoria, a menos que tal auditoria seja exigida devido a uma Violação de Dados que envolva o Contratante. As auditorias efetuadas pelo Responsável, ou pela pessoa por ele designada, não violarão as obrigações de confidencialidade do Contratante com os outros clientes do Contratante. Todas as auditorias serão realizadas durante o horário normal de expediente, no principal local de trabalho do Contratante ou noutro(s) local(is) do Contratante onde os Dados Pessoais sejam acedidos, tratados ou administrados, e não interferirão irrazoavelmente com as operações do dia-a-dia do Contratante. Antes do início de qualquer auditoria, o Contratante e o Responsável devem acordar mutuamente o calendário, o âmbito e a duração da auditoria. O Responsável pode solicitar um relatório(s) sumário(s) de auditoria ou fazer uma auditoria ao Contratante não mais do que uma vez por ano.
7. VIOLAÇÕES DE DADOS
7.1 Notificação de Violação de Dados. O Contratante deve notificar o Responsável por escrito, sem demora injustificada, após tomar conhecimento de uma suspeita de Violação de Dados. Em caso algum tal notificação deverá ser feita mais de 72 horas após a descoberta da Violação de Xxxxx por parte do Contratante.
7.2 Gestão da Violação de Dados. O Contratante deverá fazer esforços razoáveis para identificar a causa de tal Violação de Xxxxx e tomar as medidas que considerar necessárias e razoáveis para solucionar a causa de tal Violação de Dados, na medida em que a solução esteja dentro do controlo razoável dos Contratantes.
8. RESCISÃO
8.1 Rescisão. A presente DPA cessará automaticamente após (a) a cessação ou expiração do Contrato ou (b) a eliminação ou a devolução dos Dados Pessoais por parte do Contratante. O Responsável terá ainda o direito de rescindir a presente DPA por justa causa se o Contratante estiver, na opinião exclusiva do Responsável, numa violação material ou persistente da presente DPA que, no caso de uma violação suscetível de solução, não terá sido solucionada no prazo de dez (10) dias a partir da data de receção pelo Contratante de uma notificação do Responsável a identificar a violação e a solicitar a sua solução.
8.2 Devolução ou Eliminação de Dados. Ao cessar a presente DPA, o Contratante apagará ou devolverá todas as cópias existentes dos Dados Pessoais, a menos que a lei aplicável exija a retenção contínua dos Dados Pessoais. A pedido do Responsável, o Contratante deverá confirmar por escrito o cumprimento de tais obrigações e eliminar todas as cópias existentes. Nos casos em que a lei local exija que o Contratante retenha Dados Pessoais, o
Contratante protegerá a confidencialidade, integridade, e acessibilidade dos Dados Pessoais; não Tratará ativamente os Dados Pessoais; e continuará a cumprir os termos da presente DPA.
9. MECANISMOS PARA TRANSFERÊNCIAS INTERNACIONAIS
9.1 Transferências para Fora da UE. No decurso da prestação de Serviços ao abrigo da DPA, pode ser necessário que o Responsável transfira Dados Pessoais da União Europeia, do Espaço Económico Europeu e/ou dos seus Estados-Membros, da Suíça, ou do Reino Unido, para o Contratante num país que não tenha uma decisão de adequação da Comissão Europeia ou que não esteja localizado no Espaço Económico Europeu.
9.1.1. Em relação aos Dados Pessoais que estão sujeitos ao RGPD (i) o Contratante será considerado o "importador de dados" e o Responsável é o "exportador de dados"; (ii) os termos do Módulo Dois aplicar-se-ão quando o Responsável for um Responsável pelo Tratamento dos Dados Pessoais e quando o Contratante for um Contratante de Tratamento dos Dados Pessoais; (iii) na Cláusula 7, a cláusula opcional de ancoragem será eliminada; (iv) na Cláusula 9 do Módulo Dois, a Opção 2 será aplicável e a lista de Subcontratantes e o prazo para a notificação de alterações será o acordado na Secção 5 da presente DPA; (v) na Cláusula 11, a língua opcional será eliminada; (vi) na Cláusula 17, a Opção 1 será aplicável e as Cláusulas Contratuais Padrão serão regidas pelo Estado-Membro onde o Responsável está domiciliado; (vii) na Cláusula 18(b), os litígios serão resolvidos perante os tribunais do Estado- Membro onde o Responsável está domiciliado; (viii) o Anexo I e o Anexo II serão considerados preenchidos com as informações estabelecidas no Anexo 1 da presente DPA respetivamente; e (ix) se e na medida em que as Cláusulas Contratuais Padrão entrarem em conflito com qualquer disposição do Contrato (incluindo a presente DPA), as Cláusulas Contratuais Padrão prevalecerão na medida em que tal conflito ocorra. Para esta secção, as Cláusulas Contratuais Padrão da Decisão de Aplicação da Comissão (UE) 2021/914 são incorporadas por referência e estão disponíveis aqui: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
9.1.2. Em relação aos Dados Pessoais sujeitos às Leis de Proteção de Dados do Reino Unido, o International Data Transfer Agreement ("IDTA") é aplicável com as seguintes modificações: (i) as informações de contacto sobre as partes do Contrato são as informações de contacto para o IDTA; (ii) o Responsável é o exportador de dados e o Contratante é o importador de dados; (iii) as leis que regem o IDTA e o local onde podem ser feitas reclamações legais é a Inglaterra e o País de Gales; (iv) o RGPD do Reino Unido não se aplica ao tratamento de dados transferidos pelo importador de dados; (v) as Partes não utilizam as cláusulas adicionais de segurança ou comerciais do IDTA; e (vi) as informações na presente DPA e no Anexo 1 podem ser utilizadas para as Tabelas 1-4. Para esta secção, as Cláusulas Contratuais Padrão do Information Commissioner’s Office são incorporadas por referência e estão disponíveis aqui: xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx-xxxx- protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
9.1.3. Em relação aos Dados Pessoais que estão sujeitos à DPA suíça, as Cláusulas Contratuais Padrão referenciadas na Secção 9.1.1 serão aplicáveis com as seguintes modificações (i) as referências ao "Regulamento (UE) 2016/679" deverão ser interpretadas como referências à DPA suíça; (ii) as referências à "UE", "União" e "legislação dos Estados-Membros" deverão ser interpretadas como referências à legislação suíça; e (iii) as referências à "autoridade de supervisão competente" e "tribunais competentes" deverão ser substituídas pelo "Swiss Federal Data Protection and Information Commissioner" (Comissário Federal para a Proteção de Dados e Informação da Suíça) e os "tribunais competentes na Suíça".
9.2. Mecanismos Alternativos para Transferência de Dados. As Partes reconhecem que as leis, regras e regulamentos relacionados com as transferências de dados internacionais estão em rápida evolução. Caso o Responsável adote outro mecanismo autorizado pelas leis, regras ou regulamentos aplicáveis para a transferência de Dados Pessoais (cada um deles um "Mecanismo Alternativo para Transferência de Dados"), as Partes concordam em trabalhar em conjunto de boa-fé para implementar quaisquer alterações ao presente Contrato necessárias para implementar o Mecanismo Alternativo para Transferência de Dados.
10. OUTRAS DISPOSIÇÕES
10.1. Alterações. A presente DPA não pode ser alterada nem complementada, nem qualquer das suas disposições será considerada como renunciada ou modificada de qualquer outra forma, exceto através de um documento escrito devidamente executado por representantes autorizados de ambas as partes.
10.2 Lei Aplicável. A presente DPA será regida pela lei aplicável estabelecida no Contrato.
COMO PROVA DA SUA CONFORMIDADE, as Partes assinaram o presente Contrato na Data de Início da Vigência.
RESPONSÁVEL: IVANTI
Assinatura: Assinatura:
Nome: Nome:
Título: Título:
Data: Data:
Lista de Anexos:
Anexo 1: Descrição do Tratamento
ANEXO 1
Descrição do Tratamento
Informações de Contacto da Xxxxxx:
Ivanti
00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000
Xxxxx Xxxxxx, Xxxx 00000
Contacto do DPO: xxxxxxx@xxxxxx.xxx
Assunto
O assunto do Tratamento:
Fornecimento de licenças de software de TI, serviços de suporte e implementação, seja no local ou como uma solução SaaS alojada, relativamente à administração e à facilitação de processos empresariais essenciais no(s) domínio(s) da gestão unificada de terminais, gestão de serviços de TI, gestão de ativos de TI, segurança, relatórios e análises, e cadeia de fornecimento.
Os serviços de TI incluem a utilização de software como uma instalação no local ou uma solução SaaS incluindo a instalação de módulos (incluindo, entre outros, incidentes, alterações, ativos, configuração e módulos de gestão de versões); catálogos de self-service e serviços; suporte e manutenção incluindo, entre outros, acesso remoto; e patches, controlo de aplicações, segurança de terminais/móvel e gestão de privilégios.
Frequência do Tratamento:
Contínua.
Duração
Duração do Tratamento:
Tal como estabelecido no Contrato.
Âmbito, Tipo e Finalidade do Tratamento
O âmbito, tipo e finalidade do Tratamento são os seguintes:
Tal como estabelecido no Contrato.
Titulares dos Dados
O Tratamento dos Dados Xxxxxxxx pode dizer respeito às seguintes categorias de Titulares dos Dados:
Clientes, potenciais clientes; funcionários; fornecedores; representantes comerciais; contactos; prestadores de serviços (incluindo trabalhadores temporários); voluntários; trabalhadores temporários e ocasionais; freelancers, agentes, consultores e outros profissionais inquiridos, e respetivos dependentes, beneficiários e contactos de emergência; potenciais funcionários e pessoal temporário de clientes; queixosos, correspondentes e requerentes; conselheiros, consultores e outros peritos profissionais; funcionários ou pessoas de contacto dos potenciais clientes do exportador de dados, clientes, parceiros empresariais e fornecedores; parceiros empresariais e fornecedores do exportador de dados (que são pessoas singulares); e utilizadores do exportador de dados autorizados pelo exportador de dados a utilizar o software e serviços relacionados.
Categorias de Dados
Os Dados Pessoais Tratados podem dizer respeito às seguintes categorias de dados: Dados do cliente carregados para os Serviços sob os serviços e contas do Cliente.
Medidas Técnicas e Organizacionais
O seguinte descreve as medidas de segurança técnicas e organizacionais implementadas pelo Contratante:
Formação de Sensibilização para a Segurança
O Contratante tem formação de sensibilização para a segurança que inclui formação obrigatória em segurança sobre o tratamento e a segurança de informações confidenciais e informações sensíveis, tais como informações pessoalmente identificáveis, informações financeiras, e informações sobre saúde consistentes com a legislação aplicável, e cursos periódicos de segurança e de comunicações de sensibilização para a segurança focados na sensibilização dos utilizadores finais.
Políticas e Procedimentos de Segurança
O Contratante tem políticas de segurança, de utilização e de gestão das informações que ditam as ações dos funcionários e prestadores de serviços relativamente à utilização adequada, acesso e armazenamento de informações confidenciais e sensíveis; restringir o acesso a informações confidenciais e sensíveis aos membros da força de trabalho do Contratante que tenham a "necessidade de conhecer" tais informações; impedir o acesso às informações do Contratante por parte dos funcionários cessantes após a cessação de funções; e impor medidas disciplinares por incumprimento de tais políticas. Acesso do sistema aos recursos do Contratante recusado, a menos que seja especificamente avaliado e o acesso concedido. O Contratante efetua verificações dos antecedentes dos seus funcionários no momento da contratação, conforme permitido por lei.
Controlos de Acesso Físico e Ambiental
O Contratante limita o acesso físico aos seus sistemas e serviços de informação ao utilizar controlos físicos (por exemplo, acesso codificado) que fornecem uma garantia razoável de que o acesso aos seus centros de dados se limita a indivíduos autorizados e utiliza sistemas de vigilância por câmara ou por vídeo em pontos de entrada críticos internos e externos. O Contratante aplica controlos de temperatura e humidade do ar para os seus centros de dados e protege contra perdas devido a falhas de energia.
Controlos de Acesso Lógico
O Contratante utiliza tecnologia de registo e monitorização para ajudar a detetar e a prevenir tentativas de acesso não autorizado às suas redes e sistemas de produção. A monitorização do Contratante inclui uma análise das alterações que afetam a autenticação, autorização e auditoria do manuseamento dos sistemas; acesso privilegiado aos sistemas de produção do Contratante.
Controlos de Encriptação
O Contratante aplica controlos de encriptação adequados às empresas em todos os nossos produtos. O Contratante avalia e aplica a encriptação em trânsito e em repouso utilizando as práticas recomendadas da indústria para criptografia. As práticas recomendadas são utilizadas para a gestão do ciclo de vida das chaves de encriptação, incluindo geração, armazenamento, controlo de acesso, e rotação.
Gestão de Vulnerabilidades
O Contratante efetua regularmente análises de vulnerabilidade e aborda as vulnerabilidades detetadas de acordo com o seu risco. Os produtos do Contratante são também sujeitos a uma avaliação periódica de vulnerabilidade e a testes de invasão.
Recuperação Após Desastres e Controlos de Back-up
O Contratante realiza backups periódicos dos sistemas de ficheiros de produção e bases de dados de acordo com um calendário definido e mantém um plano formal de recuperação após desastres para o centro de dados da nuvem de produção, incluindo testes regulares.
Plano de Resposta a Incidentes Cibernéticos
O Contratante utiliza um plano de resposta a incidentes para gerir e minimizar os efeitos de eventos cibernéticos não planeados que inclui procedimentos a serem seguidos no caso de uma violação real ou potencial da segurança, incluindo: uma equipa interna de resposta a incidentes com um líder de resposta; uma equipa de investigação que efetua uma análise das causas profundas e identifica as partes afetadas; processos internos de relatórios e notificações; documentação de ações de resposta e planos de remediação; e uma revisão pós-incidente dos eventos.
Segurança de Armazenamento e de Transmissão
O Contratante utiliza medidas técnicas de segurança para proteger contra o acesso não autorizado aos dados do Contratante que são transmitidos através de uma rede pública de comunicações eletrónicas ou armazenados eletronicamente.
Eliminação em Segurança
O Contratante utiliza políticas e procedimentos relativos à eliminação de bens tangíveis e intangíveis contendo dados do Contratante, de modo que os dados do Contratante não possam ser lidos ou reconstruídos na prática.
Identificação e Avaliação de Riscos
O Contratante utiliza um programa de avaliação de riscos para ajudar a identificar razoavelmente os riscos internos e externos previsíveis para os recursos de informação do Contratante e determinar se os controlos, políticas e procedimentos existentes são adequados para abordar os riscos identificados.
Fornecedores e Prestadores de Serviços
Os fornecedores ou prestadores de serviços de terceiros (coletivamente, "Fornecedores") com acesso às informações confidenciais do Contratante estão sujeitos a avaliações de risco para avaliar a sensibilidade da informação do Contratante a ser partilhada. Os Fornecedores deverão cumprir quaisquer termos contratuais pertinentes relacionados com a segurança dos dados do Contratante, bem como quaisquer políticas ou procedimentos aplicáveis do Contratante. Periodicamente, o Contratante pode pedir a um Fornecedor que reavalie a sua postura de segurança para ajudar a garantir o cumprimento.