ACORDO DE TRATAMENTO DE DADOS PESSOAIS
DPA Controlador x Controlador (bilateral)
ACORDO DE TRATAMENTO DE DADOS PESSOAIS
Contrato (“Contrato”) | [inserir nome do contrato] |
Data do Contrato | [inserir a data de celebração] |
Controlador (“Contratante”) | Pirelli Comercial de Pneus Ltda. (“Pirelli”) |
Controlador (“Contratada”) | [inserir razão social da Contratada] |
Contratante e Contratada, doravante em conjunto denominados simplesmente como “Partes”, ou isoladamente, “Parte”.
Este Acordo de Tratamento de Dados Pessoais (“Acordo”) se aplica às atividades de Tratamento de Dados Pessoais
(conforme definido abaixo) realizadas em razão do Contrato e o integra para todos os fins de direito.
Quaisquer termos iniciados em letras maiúsculas e não definidos de outra forma neste Acordo terão o significado atribuído a eles no Contrato ou na LGPD. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.
1. DEFINIÇÕES
1.1. Neste Acordo, os seguintes termos terão os significados definidos abaixo:
1.1.1 “Leis e Regulamentos de Proteção de Dados” significam qualquer lei e regulação, incluindo qualquer decisão publicada por qualquer Autoridade Fiscalizadora competente, aplicável ao Tratamento dos Dados Pessoais que ocorra no contexto do Contrato;
1.1.2 “LGPD” significa Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados, e suas respectivas alterações posteriores);
1.1.3 “Dados Pessoais” significam qualquer informação relacionada a pessoa natural identificada ou identificável. Neste Acordo a definição também inclui qualquer Dado Pessoal compartilhado pelo Controlador para Tratamento pela Contratada ou qualquer um de seus Subcontratados incluindo Dados Pessoais Sensíveis, no contexto do Contrato;
1.1.4 “Tratamento de Dados Pessoais” significa qualquer operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
1.1.5 “Data do Término” tem seu significado descrito na cláusula 10.1;
1.1.6 “Serviços” significam os serviços e outras atividades que serão fornecidas ou realizadas pela ou em nome da Contratada para a Contratante, nos termos do Contrato;
1.1.7 “Subcontratado” significa qualquer pessoa natural ou jurídica que, em nome da Contratada, irá tratar
os Dados Pessoais em nome da Contratante, nos termos do Contrato;
1.1.8 “Colaborador(es)” significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais;
1.1.9 “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando à ANPD;
1.1.10 “ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD; e
1.1.11 “Incidente de Segurança” significa qualquer evento adverso de segurança ou um conjunto deles, confirmado ou sob suspeita que impacte a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação. No caso do presente Acordo, a expressão referir-se-á a incidentes envolvendo Xxxxx Xxxxxxxx.
2. Tratamento de Dados Pessoais
2.1. A execução do Contrato pressupõe o compartilhamento mútuo de Dados Pessoais entre as Partes. As Partes se comprometem, em relação às atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato, a:
2.1.1. Tratar os Dados Pessoais de acordo com todas as Leis e Regulamentos de Proteção de Dados aplicáveis, inclusive as que entrarem em vigor após a assinatura deste Acordo, garantindo, especialmente, que todo Tratamento esteja devidamente justificado em uma das bases legais estabelecidas pela LGPD;
2.1.2. Tratar apenas os Dados Pessoais necessários para execução do Contrato, de acordo com o Apêndice 1 (quando preenchido), e tão somente para a finalidade de execução do Contrato, exceto nos casos em que o Tratamento seja necessário para o cumprimento de obrigações legais ou regulatórias a que se sujeitem as Partes;
2.1.3. Caso uma das Partes tenha acesso, no contexto do Contrato, a Dados Pessoais que considere como excessivos ou não necessários à execução do Contrato, deverá comunicar imediatamente à outra Parte, devendo inutilizar tais Dados Pessoais;
2.1.4. Caso uma das Partes realize qualquer atividade de Tratamento que não esteja relacionada à execução do Contrato, esta atividade de Tratamento ocorrerá fora do contexto deste Acordo. A Parte que realizar este Tratamento será considerada única Controladora em relação à atividade, ficando a outra Parte livre de qualquer obrigação ou responsabilidade que dela derive;
2.1.5. Xxxxxxxx mutuamente para garantir o devido cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e o atendimento a eventuais solicitações de Autoridades Fiscalizadoras, no limite de suas atividades.
2.2. É vedado às Partes utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que os Dados Pessoais tenham sido compartilhados de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação.
3. Dos Colaboradores
3.1. As Partes deverão assegurar que o Tratamento dos Dados Pessoais realizados no contexto do Contrato fique restrito aos Colaboradores responsáveis pelo Tratamento, de acordo com a cláusula 2.1.2 deste Acordo, bem como
que tais Colaboradores:
3.1.1. Tenham ciência dos princípios referentes à proteção de dados e às leis que envolvem o Tratamento; e
3.1.2. Tenham responsabilidade ao executar atividades que envolvam o acesso e Tratamento de Dados Pessoais, informações confidenciais e de propriedade dos Agentes de Tratamento.
3.2. As Partes deverão assegurar que todos os Colaboradores estejam sujeitos a contratos de sigilo ou obrigações profissionais ou estatutárias de confidencialidade e proteção de dados.
4. Segurança
4.1. As Partes implementarão medidas técnicas, administrativas e organizacionais adequadas e compatíveis com as atividades de Tratamento que realizarem. Para avaliar o nível apropriado de segurança, as Partes deverão levar em conta os riscos que derivam do Tratamento, em especial aqueles relacionados a Incidentes de Segurança.
4.2. A Contratada assegura que seguirá os critérios mínimos de segurança estabelecidos pela Contratante e descritos no Apêndice 2.
5. Subcontratado
5.1. Quando qualquer atividade de Tratamento for realizada por meio de um Subcontratado, seja ele Controlador ou Operador, as Partes deverão, em relação ao Subcontratado:
5.1.1. Preservar a integridade e precisão dos Dados Xxxxxxxx, devendo atualizar, corrigir ou deletar tais dados a pedido da outra Parte;
5.1.2. Ser responsável por todas as ações e omissões do Subcontratado em relação ao tratamento de Xxxxx Xxxxxxxx.
6. Transferência Internacional de Dados
6.1. Caso seja necessária, para a execução do Contrato, a realização de Transferência Internacional de Dados Pessoais por qualquer uma das Partes, e caso o país de destino não possua nível adequado de proteção de Dados Pessoais conforme determinações da ANPD, a Parte que compartilhar o dado deverá garantir que a Transferência Internacional seja realizada de acordo com um dos mecanismos previstos pela LGPD e demais Leis e Regulamentos de Proteção de Dados.
7. Direitos do Titular
7.1 As Partes deverão cooperar mutuamente, no limite de suas atividades, com o cumprimento das obrigações relacionadas ao exercício dos direitos dos Titulares dos Dados Pessoais, de acordo com as Leis e Regulamentos de Proteção de Dados.
7.2 As Partes deverão:
7.2.1 Notificar imediatamente a outra Parte em caso de recebimento de solicitação de Titular de Dados, quando relacionada a qualquer atividade de Tratamento realizada no contexto do Contrato; e
7.2.2 Abster-se de responder qualquer solicitação de Titular de Dados relacionada aos Dados Pessoais
compartilhados pela outra Parte, sem que esta outra Parte tenha manifestado, por escrito, concordância com o teor da resposta a ser apresentada ao Titular, exceto nos casos em que o prazo para resposta seja inferior a 48 horas, de acordo com as Leis e Regulamentos de Proteção de Dados.
8. Incidente de Segurança
8.1 Quando as Partes identificarem a ocorrência de um Incidente de Segurança que possa causar dano relevante ao Titular, de acordo com a LGPD e eventuais regulamentações que venham a ser emitidas pela Autoridade Nacional de Proteção de Dados, deverão notificar a outra Parte por escrito imediatamente. A notificação deverá conter informações suficientes (no mínimo, descrição do ocorrido, data, causa, possíveis impactos aos Titulares de Dados Pessoais, ações de mitigação adotadas, e próximos passos) para que a outra Parte possa cumprir com eventuais exigências impostas pelas Leis e Regulamentos de Proteção de Dados.
8.2 As Partes, com suas próprias despesas, investigarão as causas e as consequências do Incidente de Segurança e tomarão as medidas necessárias para remediar suas consequências, informando prontamente à outra Parte acerca de todas as ações tomadas.
8.3 As Partes deverão manter registro dos Incidentes de Segurança, contendo pelo menos (a) descrição da natureza do Incidente de Segurança, (b) descrição das consequências do Incidente de Segurança e (c) descrição das medidas tomadas ou propostas pelas Partes para tratar do Incidente de Segurança.
8.4 As Partes não divulgarão qualquer informação sobre o Incidente de Segurança, a menos que acordado pelas Partes, ou caso elas estejam obrigadas por determinação de Autoridades Fiscalizadoras, nos termos da lei brasileira.
9. Autoridades Fiscalizadoras
9.1 As Partes deverão cooperar mutuamente, no limite de suas atividades, com o cumprimento de obrigações ou solicitações impostas por qualquer Autoridade Fiscalizadora competente.
9.2 As Partes deverão informar, imediatamente, à outra Parte acerca do recebimento de solicitações de informações ou determinações por Autoridades Competentes relacionadas a qualquer atividade de Tratamento realizada no contexto do Contrato. Quando essas solicitações ou determinações estiverem relacionadas aos Dados Pessoais compartilhados pela outra Parte, a Parte receptora/intimada submeterá sugestão de resposta para validação da outra Parte dentro do prazo legal ou determinado pelas Autoridades Competentes.
10. Exclusão e devolução dos Dados Pessoais
10.1 As Partes deverão, quando do término de quaisquer atividades de Tratamento de Dados Pessoais no contexto do Contrato (“Data do Término”), interromper o tratamento dos Dados Pessoais e, mediante solicitação por escrito da outra Parte, eliminar os Dados Pessoais relacionados às atividades finalizadas, bem como todas as cópias porventura existentes (seja em formato digital ou físico), exceto quando a manutenção dos Dados Pessoais for necessária para o cumprimento de obrigação legal ou regulatória.
10.2 As Partes poderão, a seu exclusivo critério, mediante notificação por escrito à outra Parte, dentro de 30 dias corridos da Data do Término, exigir que a outra Parte devolva uma cópia completa de todos os Dados Pessoais tratados no contexto do Contrato, mediante transferência segura e em formato interoperável ou proprietário da outra Parte.
10.3 As Partes deverão fornecer certificação por escrito, para a outra Parte, de que cumpriram integralmente esta seção, dentro de 30 dias corridos do Data do Término.
11. Direito de Auditoria
11.1 As Partes concordam que a outra Parte terá o direito, a qualquer momento, durante a vigência do Contrato de realizar auditoria para confirmar que a outra Parte está agindo em conformidade com este Acordo, mediante notificação prévia, com 15 (quinze) dias úteis de antecedência. A auditoria apenas poderá ser realizada por empregados da Parte auditora ou terceiro contratado, desde que seja assinado termo de confidencialidade com a Parte auditada.
11.2 A auditoria será limitada aos repositórios físicos e/ou eletrônicos em que ocorram atividades de Tratamento de Dados Pessoais relacionadas aos Dados Pessoais compartilhados pela outra Parte, respeitadas eventuais obrigações de sigilo profissional e segredo de negócio.
11.3 As Partes deverão disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com este Acordo e com o Contrato, em relação ao Tratamento dos Dados Pessoais. No caso de quaisquer falhas ou inconformidades de segurança encontradas durante tais auditorias, as Partes deverão tomar, às suas próprias custas, todas as ações necessárias para resolver as falhas ou inconformidades identificadas.
11.4 Caso a Parte auditada não solucione as falhas ou inconformidades identificadas pela Parte auditora, em prazo acordado pelas Partes por escrito, a Parte auditora poderá rescindir o Contrato.
12. Indenização
12.1 As Partes deverão indenizar, defender e isentar a outra Parte e/ou suas filiais contra toda e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa (incluindo, sem limitação, multas, indenização por danos, custos dos esforços de reparação e honorários advocatícios e custos decorrentes de ou relacionados a qualquer ação, reivindicação ou alegação de terceiros - incluindo, sem limitação, qualquer autoridade reguladora ou governamental) que decorrer do não cumprimento deste Acordo e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.
12.2 Caso a ANPD impute sanções para as Partes relacionadas a este Acordo, e for constatada culpa, dolo ou outro elemento de responsabilidade de uma das Partes, a Parte que tiver dado causa à sanção deverá arcar com a penalidade financeira – quando for o caso – e/ou indenizar a outra Parte, inclusive pelos danos reputacionais experimentados, além de quaisquer custos e despesas experimentados pela Parte prejudicada ao longo do processo administrativo.
12.3 Este Acordo não gera responsabilidade solidária entre as Partes, por quaisquer penalidades relacionadas às atividades de Tratamento realizadas no contexto do Contrato, devendo cada Parte ser responsabilizada individualmente no limite de suas atividades.
13. Responsabilidade
13.1 As obrigações de indenização previstas na Cláusula 12 serão adicionais, e não excluem qualquer obrigação de indenização que conste do Contrato.
13.2 Fica ainda estabelecido que o presente Acordo: (i) não gera qualquer limitação de responsabilidade ou obrigação de indenização das Partes decorrente das atividades de Tratamento de Dados Pessoais realizadas no contexto do Contrato; e (ii) não impede as Partes de exercerem quaisquer direitos que possam ter em relação à outra Parte.
14. Disposições Gerais
14.1 Sem prejuízo de eventuais disposições sobre mediação e jurisdição:
14.1.1. As Partes deste Acordo se submetem à escolha da jurisdição estipulada no Contrato com relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes deste Acordo, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade; e
14.1.2. Este Acordo e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para este fim no Contrato.
14.2 Em caso de conflito entre as disposições deste Acordo e do Contrato ou qualquer outro documento firmado entre as Partes, especificamente em relação às atividades de Tratamento de Xxxxx Xxxxxxxx, prevalecerão as disposições deste Acordo, exceto nos casos em que documento superveniente seja firmado entre as Partes, declarando expressamente a subsidiariedade deste Acordo.
14.3 Este Acordo poderá ser alterado pela vontade das Partes ou caso sobrevenha nova lei, regulação ou direcionamentos por parte da ANPD ou qualquer Autoridade Fiscalizadora que demande a alteração de suas disposições. As novas disposições deverão ser acordadas pelas Partes de boa-fé e sempre por escrito como termo aditivo a este Acordo.
14.4 Caso qualquer disposição deste Acordo seja considerada nula, inválida ou inexequível, as disposições remanescentes permanecerão válidas e em vigor. A disposição nula, inválida ou inexequível deve ser alterada para garantir a sua validade e eficácia, preservando as intenções das Partes.
14.5 Este Acordo permanecerá em vigor até que o Contrato seja rescindido por qualquer motivo.
14.6 Este Acordo sobreviverá ao término do Contrato e continuará obrigando as Partes com relação às atividades de Tratamento de Dados Pessoais originadas pelo Contrato que continuem ocorrendo, ainda que apenas para fins de cumprimento de obrigação legal ou regulatória.
Este Acordo é celebrado e torna-se parte integrante e obrigatória do Contrato, com efeitos a partir desta data, aplicando-se, porém, a todas as atividades de tratamento de Dados Pessoais realizadas desde a data da celebração do Contrato.
[local, data]
Contratante Nome: | Contratada Nome: | |
Cargo: | Cargo: | |
Data: | Data: |
Testemunhas
Nome: | Nome: | |
Cargo: | Cargo: | |
Data: | Data: |
APÊNDICE 1 – Dados Pessoais Tratados
Selecione abaixo a(s) categoria(s) de titulares de dados cuja informações pessoais serão tratadas:
☐ Candidatos à vagas
☐ Empregados
☐ Familiares dos empregados
☐ Consumidores
☐ Ex-empregados
☐ Clientes (B2B)
☐ Clientes (B2C)
☐ Usuários
☐ Prestadores de serviço
☐ Fornecedores
☐ Visitantes
☐ Outros. Especificar:
Selecione abaixo a(s) natureza(s) de dados pessoais que serão tratados:
☐ Dados cadastrais
☐ Dados financeiros
☐ Dados relacionados a logins e senhas
☐ Dados de geolocalização
☐ Dados pessoais sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural)
☐ Dados de dependentes e/ou familiares
☐ Dados profissionais
☐ Outros. Especificar:
Duração do tratamento: em regra a duração do tratamento irá durar até o encerramento da prestação de serviço, exceto nos casos em que a Pirelli indicar o contrário por escrito.
APÊNDICE 2 – Medidas de Segurança
Medidas técnicas e organizacionais para garantir a segurança dos dados
Abaixo estão listadas as medidas técnicas e organizacionais básicas que a Pirelli exige que os fornecedores que são operadores ("Fornecedores") adotem e implementem para garantir um nível apropriado de segurança dos dados pessoais da Pirelli ("Dados Pessoais da Pirelli"). A lista abaixo deve ser lida em conjunto com qualquer outro documento técnico, checklist ou certificação vigente entre a Pirelli e o Fornecedor sobre medidas técnicas e organizacionais aplicáveis ao tratamento dos Dados Pessoais da Pirelli.
Caso sejam necessárias alterações nas medidas técnicas e organizacionais básicas listadas abaixo, o Fornecedor deve notificar prontamente a Pirelli por escrito sobre tais alterações. Todas as alterações devem permanecer consistentes com as medidas gerais de segurança abaixo e nunca devem resultar em uma redução dessas medidas.
1. POLÍTICAS E PROCEDIMENTOS
O Fornecedor deve possuir políticas e/ou procedimentos relacionados às áreas listadas abaixo. Essas políticas e/ou procedimentos devem ser sujeitos a revisão periódica.
1.1. Responsabilidade
O Fornecedor deve identificar e comunicar à Pirelli os detalhes relevantes de um "Ponto de Contato" responsável pela segurança da TI dos ativos e sistemas utilizados para processar os Dados Pessoais da Pirelli. O Fornecedor também deve comunicar antecipadamente à Pirelli os contatos das pessoas responsáveis pela comunicação de violações de dados pessoais. Na medida do possível, o Fornecedor também deve garantir a disponibilidade contínua de tais recursos em regime 24hs - especialmente em casos de emergência.
1.2. Continuidade dos negócios
Requisitos de segurança devem ser garantidos, como o backup do sistema e o plano de continuidade de negócios, especialmente em relação aos ativos utilizados para processar os Dados Pessoais da Pirelli. Nesse sentido, o Fornecedor deve manter a capacidade de restaurar a disponibilidade e o acesso aos citados Dados imediatamente para evitar interrupções de serviço.
1.3. Treinamento e Instruções de Segurança
Devem ser realizadas atividades de treinamento dedicadas a melhorar a conscientização sobre segurança da TI aos empregados e colaboradores. Eles devem receber instruções detalhadas sobre o sigilo e a integridade de suas credenciais de acesso, bem como sobre a guarda diligente e proteção dos dispositivos e sistemas - com referência àqueles usados para processar os Dados Pessoais da Pirelli.
1.4. Registro e monitoramento
Os sistemas e ferramentas usados pelo Fornecedor para processar os Dados Pessoais da Pirelli devem ter mecanismos de registro e monitoramento. Em relação aos registros (logs), o Fornecedor deve gerar e manter registros pelo período exigido pelas leis aplicáveis (ou conforme acordado com a Pirelli) e, em qualquer caso, mantê-los por pelo menos 6 (seis) meses a partir de sua geração. Em relação ao monitoramento, o Fornecedor deve garantir a rastreabilidade de todas as operações realizadas nos Dados Pessoais da Pirelli por meio de seus sistemas e ferramentas, adotando e implementando medidas adequadas de rastreamento.
1.5. Prevenção de perda de dados
O Fornecedor deve possuir políticas e/ou procedimentos que evitem a exportação de dados fora de sua rede. Em caso de compartilhamento dos Dados Pessoais da Pirelli, o Fornecedor deve adotar medidas adequadas de confidencialidade.
1.6. Gerenciamento de Incidente de Segurança
O Fornecedor deve possuir políticas e/ou procedimentos relacionados ao gerenciamento de incidentes de segurança com dados pessoais. Estes, devem ser conhecidos por seus empregados e colaboradores e revisados e auditados periodicamente pelo Fornecedor.
2. GERENCIAMENTO DE ATIVOS
2.1. Inventário de Ativos
O Fornecedor deve possuir e manter atualizado um inventário de todos os ativos utilizados para processar os Dados Pessoais da Pirelli.
2.2. Proteção de Ativos
O Fornecedor deve proteger os ativos utilizados para processar os Dados Pessoais da Pirelli de acordo com os padrões internacionais e as melhores práticas. As medidas de proteção devem incluir, no mínimo: uso de software antivírus, firewalls, módulos IDS/IPS e soluções antispam.
2.3. Gerenciamento do ciclo de vida dos ativos
O Fornecedor deve garantir que todos os ativos que processam os Dados Pessoais da Pirelli, bem como qualquer solução de cibersegurança necessária na prestação de serviços à Pirelli (por exemplo, antivírus, firewalls, módulos IDS/IPS), estejam sempre atualizados com a última versão de software disponível. Quando as atualizações não forem possíveis ou ainda não tenham sido aplicadas, o Fornecedor deverá definir um plano de atualização e um plano geral de mitigação de riscos para gerenciar qualquer risco relevante relacionado à obsolescência do sistema (por exemplo, implementação de segregação, monitoramento, etc.).
2.4. Avaliações de risco de cibersegurança
O Fornecedor deve realizar uma avaliação de risco nos sistemas de TI usados para realizar os serviços para a Pirelli, especialmente levando em consideração todos os riscos apresentados pelo tratamento dos Dados Pessoais da Pirelli. Essa avaliação de risco deve ocorrer anualmente ou quando exigido pelas leis e regulamentos aplicáveis.
A pedido do Controlador, fornecer uma cópia dos resultados da última avaliação de risco realizada dentro de 3 (três) dias consecutivos após o pedido;
3. CRIPTOGRAFIA
3.1. Medidas de criptografia
Levando em consideração o estado da arte da tecnologia e das técnicas de criptografia, o Fornecedor deve implementar a criptografia em diferentes níveis:
• Criptografia em repouso: o Fornecedor deve possuir técnicas de criptografia adequadas para proteger a confidencialidade dos Dados Pessoais da Pirelli em repouso em diferentes níveis (por exemplo, criptografia de disco completo em unidades de massa; criptografia transparente de dados em bancos de dados; criptografia de nível de arquivo).
• Criptografia em trânsito: o Fornecedor deve possuir técnicas de criptografia adequadas para proteger a confidencialidade dos Dados Pessoais da Pirelli em trânsito (por exemplo, criptografia de rede, criptografia de aplicativos, etc.).
• Gerenciamento de chaves de criptografia: o Fornecedor deve possuir soluções adequadas e um processo definido para o gerenciamento de chaves de criptografia, garantindo pelo menos a segregação de propriedade entre proprietários de chaves e proprietários de dados.
• Gerenciamento de certificados de criptografia: o Fornecedor deve possuir soluções adequadas e um processo claro e documentado para o gerenciamento de certificados de criptografia. Esse processo deve ser desenvolvido de acordo com os requisitos definidos pelos padrões internacionais da indústria (por exemplo, comprimento mínimo das chaves de criptografia).
4. GERENCIAMENTO DE IDENTIDADE E ACESSO
4.1. Acesso aos Dados Pessoais da Pirelli
O Fornecedor deve garantir que os Dados Pessoais da Xxxxxxx possam ser acessados somente por pessoal autorizado com expertise e experiência apropriadas em matéria de proteção de dados e que o pessoal esteja sujeito a obrigações de confidencialidade.
O Fornecedor deve manter e atualizar regularmente uma lista de todas as pessoas (incluindo empregados, agentes ou contratados) que atuam sob sua autoridade ou sob a autoridade de quaisquer suboperadores e que têm acesso ou processam os Dados Pessoais da Pirelli.
4.2. Medidas e Princípios para identificação e autorização de usuários
O Fornecedor deve implementar sistemas para gerenciamento de autenticação e autorização de usuários. O Fornecedor deve atribuir as permissões mínimas de acesso aos Dados Pessoais da Pirelli de acordo com os princípios de "Privilégio mínimo e Necessidade de saber" (ou seja, permitindo o acesso apenas aos dados necessários para realizar a função designada). O Fornecedor também deve revisar as permissões para conceder aos usuários com base em sua função no processamento dos Dados Pessoais da Pirelli, bem como em conformidade com qualquer requisito regulatório aplicável sobre gerenciamento de identidade e acesso de usuários.
4.3. Revisão de perfil
O Fornecedor deve revisar a consistência e a presença de perfis de autorização de usuários pelo menos anualmente e deve acompanhar essa atividade quando se referir aos Dados Pessoais da Pirelli.
4.4. Segurança de credenciais
O Fornecedor deve adotar padrões internacionais e melhores práticas de segurança de credenciais em todos os ativos usados para processar os Dados Pessoais da Pirelli.
4.5. Credenciais individuais
O Fornecedor deve atribuir apenas credenciais individuais em quaisquer ativos usados para processar os Dados Pessoais da Pirelli (especialmente aqueles com amplas permissões em sistemas e aplicativos). A atribuição e o uso de credenciais compartilhadas são estritamente proibidos.
4.6. Ciclo de vida da identidade
O Fornecedor deve possuir um processo claro para o gerenciamento do ciclo de vida da identidade. Esse processo deve garantir que todas as credenciais utilizadas para acessar ativos usados para processar os Dados Pessoais da Pirelli expirem automaticamente após um período predeterminado de não utilização pelos usuários.
5. SEGURANÇA FÍSICA
5.1. Segurança dos Centros de Processamento de Dados ("CPDs")
O Fornecedor deve possuir medidas de segurança física desenvolvidas de acordo com os principais padrões e melhores práticas da indústria, como, no mínimo: instalação de alarmes e câmeras de segurança, tanto em relação às instalações quanto às entradas dos CPDs. O Fornecedor também deve possuir procedimentos para limitar o acesso físico aos CPDs (por exemplo, catracas anti-intrusão), prevenindo atividades não autorizadas e relatando atividades de acesso (por exemplo, múltiplas tentativas de acesso malsucedidas).
5.2. Posicionamento dos CPDs
O Fornecedor deve, se aplicável, a pedido do Controlador, comunicar onde o(s) data center(s) usado(s) para armazenar os Dados Pessoais do Controlador está(ão) localizado(s) dentro de 3 (três) dias consecutivos após a solicitação, além de comunicar tempestivamente quaisquer alterações na localização.
6. SEGURANÇA EM CLOUD
6.1. Segurança da informação em sistema de cloud
O Fornecedor deve assegurar mecanismos de segurança atualizados e barreiras como antivírus, firewalls e procedimentos, além de garantir um adequado controle de acesso aos Dados Pessoais da Pirelli.
A criptografia, detalhada no item 3, deve ser igualmente garantida.
Os usuários que acessam a rede precisam ser constantemente alertados e treinados a respeito das condutas de risco.
7. OPERAÇÕES DE SEGURANÇA
7.1. Segurança do sistema
O Fornecedor deve possuir medidas adequadas para reduzir as vulnerabilidades dos ativos usados para processar os Dados Pessoais da Pirelli, aplicando configurações adequadas e evitando quaisquer alterações não autorizadas (por exemplo, controle de dispositivos removíveis).
7.2. Diretrizes de desenvolvimento de segurança
No caso de desenvolvimento de software usado para processar os Dados Pessoais da Pirelli, o Fornecedor deve adotar diretrizes de escrita de código seguro.
7.3. Gerenciamento de patches de segurança
O Fornecedor deve gerenciar a instalação e desinstalação de patches com um processo desenvolvido de acordo com as melhores práticas e padrões da indústria que garanta a rastreabilidade e o cronograma das atividades de correção.
7.4. Avaliação de vulnerabilidade
O Fornecedor deve fornecer evidências de atividades de avaliação de vulnerabilidade ou testes de penetração realizados em seus sistemas.
8. VIOLAÇÕES DE DADOS PESSOAIS
8.1. Notificação à Pirelli
Em caso de incidente de segurança referente aos Dados Pessoais da Xxxxxxx, o Fornecedor deve notificar imediatamente a Pirelli por meio do endereço Xxxxxxxx_Xxxx_Xxxxxx@xxxxxxx.xxx. O prazo para notificação da violação será o seguinte:
1. Informações-chave (notificação simples por e-mail incluindo pelo menos os elementos suficientes, no mínimo, descrição do ocorrido, titulares afetados, data, causa, possíveis impactos aos titulares, ações de mitigação).
2. Relatório completo (com base no Relatório de Incidente de Segurança disponível neste link ou, como alternativa, em um formato próprio, que inclua as informações solicitadas no Relatório de Incidente de Segurança da Pirelli, principalmente um plano de resposta ao incidente para a aprovação do Controlador): em até 48 horas após a notificação das informações-chave acima.