Condições Gerais de Compra

Condições Gerais de Compra

1. Escopo (objetivo) e conclusão de contratos

1.1 Essas Condições Gerais de Compra (as “Condições de Compra”) deverão aplicar-se aos produtos e serviços do Fornecedor, a não ser que seja acordado de outra forma. Outros termos padrão e condições gerais, especialmente os termos e condições padrão do Fornecedor, não deverão aplicar-se mesmo que não sejam expressamente contestadas em casos individuais ou ainda se os produtos/serviços pedidos tenham sido aceitos sem reservas.

1.2 Para todos os fins de direito, as disposições compostas por estas Condições de Compra e o Pedido de Compra deverão ser considerados como instrumento contratual e deverão ser vinculantes para as Partes em seus termos e condições.

1.3 O(s) Pedido(s) de Compra e seu aceite ("Confirmação de Pedido de Compra") e todos os acordos entre a Voith e o Fornecedor para fins da realização do contrato deverão apenas ser válidas se realizadas por escrito. As transmissões via e-mail e os documentos assinados eletronicamente com certificado digital emitido pelo ICP-Brasil ou assinados digitalmente por meio de plataformas como DocuSign, AdobeSign e outras satisfazem os mesmos requisitos do formato por escrito.

1.4 O Fornecedor deverá aceitar o Pedido de Compra devolvendo a Confirmação de Pedido de Compra dentro de duas semanas, caso contrário a Voith terá o direito de cancelar o pedido de compra. Caso a Confirmação do Pedido de Compra contenha desvios ou diferenças com o Pedido de Compra (mesmo que tais desvios e diferenças não sejam materiais), tais desvios e diferenças só entrarão em vigor se a Voith consentir expressamente com isso.

2. Entrega, local de realização, descumprimento dos prazos de entrega, interrupção dos negócios.

2.1 Os prazos de entrega acordados deverão ser vinculantes e descritos no Cronograma anexo ao Pedido de Compra ou no próprio Pedido de Compra. A Voith deverá ser imediatamente notificada sobre quaisquer circunstâncias que impeçam que o prazo de entrega seja cumprido ou que venham a atrasar a entrega. O momento em que os produtos ou serviços são recebidos nas instalações da Voith ou no local onde eles devem ser entregues/realizados, conforme descrito no Pedido de Compra ("local de realização"), é que determinarão se o prazo de recebimento dos produtos ou conclusão do serviço foi cumprido.

2.2 Entregas parciais deverão exigir a anuência prévia da Voith.

2.3 No caso de atraso na entrega ou conclusão dos serviços, a Voith terá direito a exigir uma multa não compensatória de 1% do valor dos produtos ou serviços, por semana completa ou fração de semana pela qual a entrega sofreu atraso, até o máximo de 10% do valor dos produtos ou serviços do contrato. Outros direitos (tais como rescisão, cancelamento, e pedido de indenização por perdas e danos, entre outros) permanecem inalterados. A Voith manterá o direito de reivindicar outras perdas e danos comprovadamente maiores e o Fornecedor terá o direito de provar que as perdas são significativamente menores ou que nenhuma perda foi incorrida de fato.

2.4 A aceitação incondicional da entrega atrasada de produtos ou serviços não implica que a Voith esteja renunciando a quaisquer direitos que a Voith possa ter à indenização em razão da entrega atrasada de produtos ou serviços.

2.5 No caso de trabalho em horário reduzido, interrupção de negócios e outros casos de paralisação que impeçam a Voith de aceitar entregas na área afetada que não decorram de culpa sua, as partes deverão acordar uma data alternativa adequada, na medida do possível. Até que uma data alternativa adequada tenha sido acordada, as obrigações contratuais mútuas deverão ser suspensas durante o evento. Se possível, a Xxxxx deverá entrar em contato com o Fornecedor em tempo hábil.

3. Fornecimento de peças de reposição

3.1 O Fornecedor deverá assegurar que as peças de reposição para o item fornecido estejam disponíveis por um período mínimo de dez anos depois da fabricação da série de produtos ter terminado. Os recursos e desenhos necessários para a produção das peças de reposição também deverão ser mantidos durante este período. Esta obrigação de retenção prescreverá após o final deste período e mediante acordo escrito com a Xxxxx. Eventuais recusas deverão ser devidamente justificadas.

4. Preços e Condições de Pagamento

4.1 O Preço especificado no Pedido de Compra é vinculante. Os preços são "entregues no local", DAP Incoterms 2020, incluindo a embalagem. Salvo acordo em contrário, o Preço especificado no Pedido de Compra é fixo e não está sujeito a qualquer reajuste e a sua data base será a data de emissão do Pedido de Compra. O Preço do Pedido de Compra inclui todos e quaisquer produtos e serviços para o perfeito cumprimento do objetivo do Pedido de Compra e será a única remuneração devida ao Fornecedor. Assim, o

Xxxxxxxxxx declara ter levado em consideração todas e quaisquer circunstâncias que influenciam o Preço.

4.2 As faturas deverão ser enviadas para o endereço especificado no Pedido de Compra, de acordo com a legislação aplicável, indicando o número do Pedido de Compra. Se o Pedido de Compra estiver incompleto, as faturas não serão pagas e serão devolvidas ao Fornecedor. a Voith não será responsável por atrasos resultantes de erros /omissões no Pedido de Compra. Uma fatura deverá ser emitida separadamente para cada Pedido de Compra. A fatura deve ser estruturada de acordo com o Pedido de Compra. Quaisquer faturas para pagamentos de sinal e pagamentos parciais, assim como faturas finais devem ser identificadas como tal. Caso se trate de prestação de serviços, as planilhas de trabalho (relatórios) assinadas pela Voith e pelo Fornecedor deverão ser anexadas às referidas faturas.

4.3 As faturas deverão ser pagas dentro de 60 dias após a entrega dos produtos ou da prestação dos serviços e recebimento da fatura pela Voith.

4.4 A Voith poderá fazer todas e quaisquer retenções sobre os pagamentos nos quais a Voith esteja vinculada por lei ou medida judicial, sem necessidade de notificação prévia. As retenções efetuadas de acordo com esta cláusula não poderão ser objeto de reembolso ao Fornecedor, que deverá levá-las em consideração na formação do seu preço. Além disso, para fins do Pedido de Compra, os impostos serão pagos pelo contribuinte, conforme definido na regra de aplicabilidade fiscal, sem direito a reembolso.

4.5 Em qualquer caso de inadimplemento, fornecimento e/ou a prestação de serviços em desacordo com o Pedido de Compra, a Voith poderá reter os pagamentos devidos ao Fornecedor até que o Fornecedor regularize a situação de inadimplemento, sem que isto gere qualquer direito a reclamações por atraso no pagamento.

4.6 O Fornecedor não deverá, em qualquer caso, descontar, negociar, transferir ou de qualquer outra forma atribuir os créditos originados do respectivo Pedido de Compra a bancos, empresas de factoring ou a terceiros, exceto mediante autorização prévia e expressa da Voith.

5. Teste de Aceitação e transferência de risco

5.1 A aceitação formal dos produtos e/ou serviços é exigida pela Voith. A Voith poderá exigir que a aceitação ocorra na fábrica do Fornecedor ou no local de realização dos serviços. Os pagamentos não constituem aceitação, aprovação dos itens fornecidos ou renúncia a reclamações sobre defeitos.

5.2 A Voith e/ou o Cliente Final poderão nomear um Representante Autorizado. A Voith, seu Cliente Final e/ou o respectivo inspetor autorizado terá direito, a qualquer momento, de monitorar as inspeções e/ou testes dos produtos ou serviços objeto do Pedido de Compra na fábrica do Fornecedor.

5.3 O Fornecedor deverá realizar os testes adotando os métodos comumente usados e de acordo com os regulamentos existentes. A realização dos testes e a emissão dos documentos e registros relevantes são da responsabilidade do inspetor autorizado do Fornecedor, a menos que existam exigências resultantes de um plano de testes separados da Voith, da autoridade de inspeção técnica ou outros.

5.4 Os registros, certificados de inspeção de fábrica e certificados de testes de fábrica para os produtos e serviços testados deverão ser assinados pelo Fornecedor e entregues ao Representante Autorizado.

5.5 O Fornecedor deverá entregar à Voith, em até 15 (quinze) dias de antecedência da data da inspeção, uma lista das inspeções e/ou testes agendados para serem realizados.

5.6 No caso de serem encontrados defeitos durante a realização das inpeções e/ou testes, esses resultados deverão ser apresentados ao Representante Autorizado da Xxxxx, que deverá registrá-los por escrito e tais informações servirão de base para uma nova condução de testes.

5.7 A presença do Representante Autorizado e suas observações e/ou consentimento não eximirão o Fornecedor das obrigações contidas no Pedido de Compra. Os custos dos testes e/ou inspeções de fábrica nas instalações do Fornecedor e/ou subfornecedores do Fornecedor deverão ser custeados pelo Fornecedor.

5.8 O Fornecedor deverá ser responsável por todos os custos para realização de quaisquer inspeções e/ou testes que venham ser necessários.

5.9 O Fornecedor concorda em:

i) Fornecer quaisquer e todos os esclarecimentos ou informações solicitadas pela equipe de inspeção da Voith, garantindo-lhe o acesso, a qualquer momento, nos horários de expediente, aos locais onde os produtos estão sendo fabricados e/ou os serviços estão sendo executados, bem como aos documentos a eles relacionados, mantendo a confidencialidade sobre os processos industriais.

ii) Responder às reclamações, exigências ou notas feitas pela equipe de inspeção da Voith, desfazendo ou refazendo, conforme o caso, por sua própria conta, a parte do Pedido de Compra que esteja em

desacordo com os respectivos projetos, especificações técnicas e/ou as regras técnicas indicadas no Pedido de Compra.

5.10 A equipe de inspeção da Voith tem poderes adicionais para recusar o Pedido de Xxxxxx ou qualquer parte dele que não tenha sido realizada de acordo com a Especificação Técnica, projetos e outros documentos aprovados pela Voith.

5.11 A ação ou omissão da inspeção não deverá eximir o Fornecedor de suas responsabilidades contratuais e legais na realização do Pedido de Compra.

5.12 O descumprimento dos requisitos do Pedido de Compra e dos documentos anexados resultará na recusa parcial ou total do Pedido de Compra e o Fornecedor concorda em realizar, por sua conta e risco, todas e quaisquer alterações que possam ser necessárias, sem quaisquer ônus ou encargos à Voith.

5.13 A aprovação prévia do Pedido de Compra, ou de parte dele não impede que o Pedido de Compra seja subsequentemente rejeitado e não eximirá o Fornecedor de suas responsabilidades, seja no que diz respeito às garantias estabelecidas ou em relação a todas as outras obrigações contratuais.

5.14 Os custos relacionados com a não-realização de uma inspeção já agendada e confirmada, motivos alheios aos a responsabilidade da Voith, deverão ser cobrados do Fornecedor.

5.15 O Fornecedor deverá fornecer, sem qualquer ônus para a Voith, toda a infraestrutura bem como assistência completa para a realização das inspeções.

5.16 O Fornecedor deverá notificar a Voith, por meio do site https:

//xxxxx.xxxxx.xxx, com pelo menos 15 (quinze) dias de antecedência, quanto à data de realização dos testes solicitados pelo Pedido de Compra e a Voith, ou qualquer terceiro por ela devidamente autorizado, poderá testemunhar tais testes. O Fornecedor deverá fornecer à Voith os certificados de testes que a Voith possa solicitar.

5.17 Qualquer teste realizado sem a presença da Voith não será considerado como tendo sido realizado e deverá ser repetido à custa do Fornecedor, a menos que a Voith tenha sido notificada dentro do prazo estabelecido acima e não tenha comparecido ou não tenha solicitado um novo agendamento.

5.18 Caso os testes sejam realizados em outro país que não o Brasil, a Voith deverá ser notificada com pelo menos 30 (trinta) dias de antecedência.

5.19 Qualquer alteração necessária em uma convocação já realizada deverá ser feita com pelo menos 04 (quatro) dias úteis de antecedência.

5.20 Todos os testes sistemáticos e, em particular, todos os procedimentos de teste devem ser apresentados com o tempo de espera devido para aprovação pela Voith, conforme o caso. Esses procedimentos deverão descrever, em pormenores, a sequência de desempenho, condições, pré- requisitos necessários, materiais e ferramentas necessários e os critérios e montantes de ajustes especificados. As planilhas de dados deverão ser incluídas com a finalidade de formalizar o resultado dos testes, nos quais os responsáveis pelos testes deverão certificar os resultados obtidos.

5.21 Os procedimentos deverão ser analisados e comentados pela Voith, se for o caso, o Fornecedor deverá introduzir as alterações consideradas necessárias pela Voith no momento oportuno.

5.22 O fornecedor deverá manter engenheiros e/ou técnicos especializados durante a realização dos testes de fábrica para esclarecimentos à inspeção da Voith.

5.23 Subsequentemente, tais testes deverão ser realizados integralmente pelo Fornecedor mediante a aprovação dos procedimentos de teste da Voith.

5.24 Nenhum recurso poderá ser enviado sem a devida liberação expressa da Xxxxx.

5.25 Após a entrega dos produtos/serviços e aprovação pela Voith indicando que o Objeto do Pedido de Compra está apto a ser utilizado pela Voith e/ou pelo Cliente final, a Voith deverá emitir o Certificado de Aceitação Provisória (em inglês, PAC) ou documento equivalente, na ocasião em que a posse (transferência de risco) e a propriedade deverão ser transmitidas para a Voith.

5.26 O Pedido de Compra somente deverá ser considerado permanentemente aceito sempre que o prazo de garantia técnica tenha expirado e não haja questões pendentes, de qualquer tipo, em relação ao Pedido de Compra. Para fins do Pedido de Compra, as partes do Pedido de Compra que foram entregues à Voith deverão ser recebidas temporariamente e o recebimento definitivo deverá ser estabelecido de acordo com esta Seção. Após o recebimento definitivo do Pedido de Compra, a Voith deverá emitir um Certificado de Aceitação Final (PAC) ou documento equivalente.

6. Embarque

6.1 A notificação da expedição dos produtos deverá ser feita, o mais tardar, quando as entregas saírem das instalações dos Fornecedores.

6.2 O Fornecedor concorda em especificar o número do Pedido de Compra e o endereço de entrega exato da Voith em todos os documentos de remessa e notas de remessa. Caso o Fornecedor não o faça, será responsável por todos os atrasos resultantes do referido fato e suas consequências.

6.3 Para os fretes que sejam contratados pelo Fornecedor e custeados no todo ou em parte pela Voith, os custos das tarifas de frete devem ser as mais

econômicas e/ou com melhor proporção entre custo e benefício e deverão estar de acordo com as especificações de frete da Voith.

6.4 As instruções de remessa aplicáveis deverão estar especificadas no Pedido de Compra.

6.5 O Fornecedor deverá assegurar a carga antes da entrega ao transportador, inclusive contemplando indenização por perdas e danos ou dano em trânsito. O custo para esse seguro está incluído no valor do Pedido de Compra.

7. Embalagem

7.1 O Fornecedor compromete-se a embalar as mercadorias que necessitem ser transportadas de acordo com o Pedido de Compra e as especificações aplicáveis para que as mercadorias não sejam danificadas e sejam manuseadas normalmente.

7.2 Independentemente se a embalagem em questão é uma embalagem de transporte, embalagem de varejo ou um embrulho protetor, o Fornecedor compromete-se em levá-la volta após o uso, sem qualquer custo adicional e a reutilizá-la ou reciclá-la, salvo pedido em contrário da Xxxxx. O local de devolução da embalagem, se a devolução for solicitada pelo Fornecedor, será o portão da fábrica do Fornecedor.

8. Notificação sobre defeitos

8.1 A Voith deverá verificar as entregas a fim de conferir se as quantidades estão corretas, se houve danos no transporte e se existem defeitos aparentes, na medida em que isso for conveniente no curso normal dos negócios. Os defeitos deverão ser comunicados ao Fornecedor dentro de um período de cinco dias úteis após a sua detecção. No tocante a este fato, o Xxxxxxxxxx renuncia ao argumento de ter recebido o aviso atrasado sobre os defeitos. A Voith reserva-se o direito de realizar verificações mais detalhadas sobre as mercadorias recebidas. Em qualquer circunstância, o Fornecedor será responsável pelo reembolso e indenização à Voith por qualquer produto encomendado, mas não entregue e por qualquer produto danificado durante o transporte.

9. Responsabilidade sobre defeitos

9.1 O Fornecedor garante à Voith que os produtos ou serviços encomendados estão de acordo com o contratado, com as boas práticas de mercado e com as especificações técnicas apresentadas e estão livres de defeitos e imperfeições no momento da transferência de risco.

9.2 Se a Voith informar ao Fornecedor sobre o uso pretendido, o local de uso dos produtos serem fornecidos e/ou dos serviços a serem prestados, o Fornecedor garante que sua entrega e serviços serão adequados ao uso nestes locais.

9.3 Sem prejuízo de qualquer garantia legal ou implícita, o prazo de garantia dos produtos e/ou serviços será de 24 (vinte e quatro) meses a contar da emissão do PAC ou documento equivalente pela Voith, em relação à totalidade dos produtos e/ou serviços que compõem o Pedido de Compra, com exceção de outro prazo previsto no Pedido de Compra.

9.4 Em princípio, a Voith terá o direito de escolher a forma de reparação do defeito. Se o Fornecedor não tomar as providências de reparação, ou seja, a retificação de defeitos ou a entrega de um equipamento ou bem substituto assim que o Fornecedor tiver sido solicitado para tal pela Voith, a Voith terá o direito, de executar o modo de reparação selecionado pela Voith, ou tê-lo realizado por um terceiro, à custa do Fornecedor e também para afastar perigo ou evitar/limitar danos. A Voith terá o mesmo direito se a retificação de defeitos e/ou a entrega de um substituto falhar ou for recusada.

9.5 Todos os custos de remoção e/ou instalação que decorram de defeitos ou que sejam incorridos durante trabalhos de retificação de um defeito, serão arcados integralmente pelo Fornecedor, que também arcará com os custos decorrentes de movimentação, instalação, montagem, transporte do item de substituição até seu destino final (local no qual o Fornecedor teria a obrigação de instalar o item entregue como parte da entrega) e todas as desvantagens, penalidades e multas que sejam aplicadas à Voith em razão do defeito e/ou retificação do defeito, independentemente de o Fornecedor ser responsável direto ou indireto pelo defeito.

9.6 Se um terceiro apresentar uma reclamação contra a Voith devido a violação de direitos de terceiros relacionados com os produtos e/ou serviços do Fornecedor, o Fornecedor será obrigado a indenizar a Voith por essas reclamações no primeiro pedido escrito. A obrigação do Fornecedor de indenizar a Voith deve se referir a todas as despesas necessariamente incorridas pela Voith em relação às reivindicações feitas contra ela por um terceiro.

9.7 Se o Fornecedor cumprir com sua obrigação de reparar um defeito ou fornecer produtos substitutos, um novo prazo de prescrição para eventuais referidos nos produtos deverá ser iniciado após a sua entrega.

9.8 Caso a reincidência de defeitos seja verificada na maioria dos equipamentos/componentes/materiais, resultante de erro de projeto ou defeitos ocultos, o Fornecedor deverá adotar as medidas necessárias para execução de um novo projeto e o fornecimento de tais equipamentos,

componentes e/ou materiais, até a remediação total do defeito, mesmo que esgotado o Prazo de Garantia.

10. Tecnologia da informação

10.1 Para soluções de software, hardware e/ou OT&E/E-system, incluíndo a documentação que seja parte dos produtos e/ou serviços do Fornecedor e que não tenham sido desenvolvidos em nome de ou para a Voith, estão sujeitos às condições do Anexo 1 desse Pedido de Compra.

10.2 Para todos os bens e serviços do Fornecedor na área de tecnologia da informação (TI)/tecnologia operacional (OT) & sistemas E/E, que tenham sido desenvolvidos e/ou adaptados em nome de ou para a Voith e/ou digam respeito à prestação de serviços de TI ou tecnologia da informação que não estejam cobertas pela seção 10.1, estão sujeitos às condições do Anexo 2 desse Pedido de Compra.

11. Garantia De Qualidade

11.1 O Fornecedor compromete-se a monitorizar continuamente a qualidade dos seus produtos utilizando um sistema de garantia de qualidade adequado, ex.: DIN EN ISO 9001 ff ou um sistema comparável, e realizar os controles e verificações de qualidade especificados pela Voith ou que sejam adequados durante e após a fabricação dos seus produtos. O Fornecedor deverá documentar essas inspeções e manter essa documentação por um período de dez anos.

11.2 A Voith ou um terceiro contratado pela Voith, tem o direito de exigir a prova de que os itens de entrega e o sistema de garantia de qualidade do Fornecedor respeita a qualidade especificada no contrato e também se certifica de que a qualidade e/ou a forma como os controles e inspeções são realizados na fábrica do Fornecedor ou dos subfornecedores são adequados, além de poder realizar aceitações ou auditorias na fábrica do Fornecedor ou do seu subfornecedor, às expensas do Fornecedor.

11.3 Sem que a Voith seja solicitada a fazê-lo, o Fornecedor deverá, imediatamente, na forma estabelecida no item 1.3, informar a Voith sobre mudanças na composição do material ou projeto processado de seus produtos ou serviços. As alterações requerem o consentimento por escrito da Xxxxx.

11.4. Se o Fornecedor pretender que os produtos ou serviços sejam fornecidos total ou parcialmente por um subfornecedor, o Fornecedor deverá informar previamente a Voith. Nesse caso, a subcontratação requer a aprovação por escrito da Xxxxx, sem que tal aprovação represente qualquer assunção de responsabilidade pela Voith.

11.5 A política de garantia de qualidade da Voith divulgada ao Fornecedor e os contratos de garantia de qualidade firmados com o Fornecedor deverão fazer parte do contrato.

12. Venda de produtos e Responsabilidade sobre o produto

12.1 O Fornecedor compromete-se a cumprir com os requisitos legais que se aplicam na sua sede social e no local de entrega dos produtos e/ou realização dos serviços.

12.2 Se os produtos e/ou serviços fornecidos se enquadram no escopo de aplicação de Diretivas Européias para a primeira comercialização, como a Diretiva Européia de Máquinas, Diretiva de Equipamentos sob Pressão, Diretiva EMC, etc., o Fornecedor se compromete a cumprir os requisitos e processos relevantes de saúde e segurança especificados nessas Diretivas e emitir os documentos nelas previstos. No caso de máquinas parcialmente concluídas de acordo com a Diretiva de Máquinas 2006/42/CE, o Fornecedor deverá fornecer à Voith uma declaração de incorporação de acordo com o Anexo II B da Diretiva de Máquinas CE na forma solicitada pela Voith (declaração estendida de incorporação), bem como, além disso, fornecer instruções de uso de acordo com a Cláusula 1.7.4 do Anexo I da Diretiva de Máquinas CE. Se solicitado pela Voith, o Fornecedor deverá, a critério da Voith, permitir que a Voith inspecione a avaliação de risco criada por ele ou deverá fornecê-la à Voith.

12.3 O Fornecedor é inteiramente responsável pelos danos causados à Voith e/ou a terceiros devido à responsabilidade do produto. O Fornecedor deverá indenizar a Voith se o dano estiver na esfera de responsabilidade do Fornecedor, perante terceiros, logo na primeira solicitação da Voith. Em decorrência de sua responsabilidade, o Fornecedor será obrigado a indenizar a Voith a todas as despesas decorrentes de demandas de terceiros, logo na primeira solicitação, além de indenizar a demanda em si. Como parte de sua responsabilidade, o Fornecedor também é obrigado a reembolsar quaisquer despesas incorridas pela Voith relacionadas a emissão de aviso emitido ou recall realizado pela Voith. Sempre que possível e razoável, a Xxxxx deverá informar o Fornecedor do conteúdo e âmbito das medidas a serem executadas e coordená-las com o Fornecedor. Outras reclamações, garantidas por lei, permanecem inalteradas.

12.4 O Fornecedor compromete-se a contratar um seguro de responsabilidade civil de produto com cobertura mínima de €1.000.000,00 de euros (ou o seu equivalente em outra moeda) por sinistro. O referido seguro não prejudicará o direito da Voith de fazer reivindicações mais extensas por danos.

13. Segurança ocupacional, proteção ambiental e conflitos minerais

13.1 O Fornecedor deverá assegurar que os seus produtos e serviços cumpram com as normas de proteção ambiental, prevenção de acidentes e segurança no trabalho que se aplicam nas dependências da Voith ou em outro local de realização com o qual esteja familiarizado, bem como com outras regras relacionadas com a segurança de forma que seus efeitos negativos sobre as pessoas e o meio ambiente sejam evitados ou reduzidos. O Fornecedor estabelecerá um sistema de gestão para este fim, por exemplo, em conformidade com a norma DIN EN ISO 14001 ou um sistema comparável. A Voith tem o direito, se necessário, de exigir provas do sistema de gestão operado pelo Fornecedor e de realizar uma auditoria na empresa do Fornecedor.

13.2 O Fornecedor compromete-se a cumprir com as leis e regulamentos relevantes sobre o manuseio e colocação no mercado de mercadorias perigosas. O Fornecedor também tem que observar as leis e regulamentos relevantes sobre a disposição de resíduos e materiais residuais e notificar a Voith sobre o tratamento, armazenagem e eliminação de qualquer produto. O Fornecedor compromete-se a cumprir as leis e regulamentos relevantes sobre o manuseio e colocação no mercado de mercadorias perigosas.

13.3 O Fornecedor se compromete a cumprir a lei e os regulamentos relevantes sobre o manuseio e colocação no mercado de produtos perigosos, inclusive com regulamentos internacionais nos limites em que são aplicáveis, tais como o REACH (Regulamento da UE nº 1907/2006), em particular para o registro das substâncias. A Voith não é obrigada a obter a aprovação de um item de entrega fornecido pelo Fornecedor dentro da estrutura da regulamentação REACH. Além disso, o Fornecedor se compromete a não fornecer qualquer item de entrega que contenha substâncias especificadas nos Anexos 1 a 9 da regulamentação REACH, a Decisão 2006/507/CE do Conselho (Convenção de Estocolmo sobre poluentes orgânicos persistentes, Regulamento CE 1005/2009 sobre substâncias que esgotam a camada de ozônio, a Lista Global de Substâncias Declaráveis Automotivas (GADSL) e a Diretiva RoHS (2002/95/CE)) para produtos de acordo com o campo de aplicação do Fornecedor. A versão mais atual de todas as diretivas nomeadas é aplicável. Caso os itens de entrega contenham substâncias que estejam na Lista de Substâncias Candidatas a Substâncias de Preocupação Muito Elevada (lista SVHC), conforme especificado no REACH, o Fornecedor se compromete a notificar isto sem demora. Isto também se aplicará se substâncias que não tenham sido previamente listadas forem adicionadas a esta lista enquanto as entregas estiverem sendo feitas. Além disso, os itens de entrega não devem conter amianto, biocidas ou material radioativo. Caso os itens de entrega contenham tais substâncias, a Voith deverá ser notificada por escrito antes da entrega, declarando a substância, o número de identificação (por exemplo, número CAS) e uma folha de dados de segurança atual. O fornecimento destes itens de entrega requer aprovação separada e escrita da Xxxxx.

13.4 O Fornecedor se compromete através de medidas apropriadas de sua

organização e com referência a sua própria cadeia de fornecedores a trabalhar para garantir que os produtos a serem entregues à Voith não contenham minerais, conforme definido pelas Seções 1502 e 1504 da Lei Dodd-Frank dos Estados Unidos da América (incluindo, mas não limitado a columbite-tantalita (coltan), estanho, volframita, ouro e seus derivados originários da República Democrática do Congo e seus estados vizinhos.

13.5 O Fornecedor tem a obrigação de indenizar a Voith de toda a responsabilidade em relação ao não-cumprimento, pelo Fornecedor, dos regulamentos acima referidos e/ou de indenizar a Voith por perdas incorridas decorrentes do não-cumprimento dos referidos gulamentos ou em relação a isso.

13.6 Além disso, o Fornecedor deverá observar as regras relevantes para a eliminação de refugo e materiais residuais e informar a Voith sobre quaisquer requisitos de tratamento, armazenamento e eliminação do produto.

13.7 O Fornecedor deverá ser responsável por todos e quaisquer danos ambientais ou danos à saúde causados por ele, concordando, como consequência do disposto neste item, em manter a Voith e seu Cliente final, conforme o caso, isentos de qualquer responsabilidade, inclusive responsabilidade financeira. Desta forma, o Fornecedor será responsável por todos os custos resultantes da resolução de tais danos, incluindo penalidades sofridas pela Voith ou Cliente como resultado de ações ou omissões do Fornecedor.

14. Reserva de propriedade, modelos, ferramentas e confidencialidade

14.1 Os direitos do Fornecedor de solicitar a titularidadenão são reconhecidos.

14.2 Quando a Voith fornecer ao Fornecedor substâncias, peças, recipientes, etc., a Voith deverá manter a propriedade dos mesmos. O processamento ou transformação dessas peças deverá ser feito em nome da Voith. Se as mercadorias reservadas forem processadas com outros itens que não pertençam à Voith, a Voith deverá adquirir a propriedade conjunta do novo

objeto na proporção do valor da propriedade da Xxxxx em relação aos outros itens processados no mesmo momento.

14.3 Todos os modelos e ferramentas produzidos pelo Fornecedor à custa da Voith passam a ser propriedade da Voith mediante pagamento por eles. Eles devem ser tratados com cuidado pelo Fornecedor, utilizados exclusivamente para a fabricação dos produtos encomendados, indicados como propriedade da Voith e - quando possível - armazenados separadamente de outros produtos do Fornecedor, bem como segurados à custa do Fornecedor contra desastres como incêndio, inundação, roubo, perda e outros danos. O Fornecedor compromete-se a realizar, em tempo oportuno, todos os trabalhos de manutenção e serviços que possam ser necessários às ferramentas e realizar trabalhos de manutenção e reparação às suas expensas. Não é permitida a revenda das peças produzidas utilizando esses modelos e ferramentas sem a expressa aprovação por escrito da Voith.

14.4 Os documentos, desenhos, planos e esboços e demais itens de know- how da Xxxxx, que a Xxxxx confie ao Fornecedor para realizar a entrega e/ou o serviço encomendado sob qualquer forma, continuam de propriedade da Voith. São segredos industriais da Voith e deverão ser tratados de forma confidencial. O Fornecedor compromete-se a (i) tratá-los com cuidado, (ii) disponibilizá-los apenas aos colaboradores que deles necessitem para o cumprimento do contrato e que, por sua vez, sejam obrigados a manter a confidencialidade (iii) não os disponibilizar a terceiros e (iv) devolver ou destruir, à critério da Voith, todos os documentos e suas eventuais cópias após a conclusão dos produtos e/ou serviços ou, sempre que solicitado pela Voith. É permitido fazer cópias apenas para fins de entrega do pedido.

14.5 O Fornecedor deverá indenizar e isentar a Voith de todos os danos e reclamações de qualquer natureza, resultantes da falha das condições acima mencionadas.

14.6 O Fornecedor declara que os produtos e/ou serviços objeto do Pedido de Compra não estão sob nenhuma dívida judicial ou extrajudicial sobre patentes de invenção, marcas, desenhos ou modelos de utilidade, obrigando- se a defender a Voith e seus sucessores contra toda e qualquer ação judicial resultante, direta ou indiretamente, da alegada violação de direitos de terceiros sobre tais produtos ou produtos e indenizá-la por quaisquer perdas que possam ser causadas em consequência de reclamações de terceiros.

15. Proteção de Dados

15.1 A Voith tem o direito de recolher, armazenar, utilizar e transferir (ou seja, a parceiros na transação legal, autoridades, bancos, companhias de seguros, consultores externos, empresas de serviços) os dados pessoais do Fornecedor, desde que sejam necessários para a realização da transação legal ou o consentimento das pessoas em questão tenha sido obtido. Tais dados pessoais serão armazenados pelo tempo necessário para a execução da transação legal, pelo tempo em que as reivindicações legais possam ser julgadas com base na transação legal, pela duração dos períodos legais de retenção e pelo tempo em que os procedimentos oficiais estejam pendentes em que os dados sejam (ou possam ser) necessários. Na medida em que o processamento dos dados seja baseado no consentimento do respectivo envolvido, este consentimento pode ser revogado a qualquer momento. As pessoas em questão têm o direito de obter informações sobre os dados pessoais armazenados sobre eles e sobre a finalidade para a qual está sendo processada e utilizada. Os pedidos de informação ou a aplicação de direitos adicionais por parte dos interessados devem ser sempre apresentados à Voith e fornecidos no âmbito da legislação nacional.

16. Origem de produtos e controle de exportação

16.1 Caso a Voith o solicite, o Fornecedor deverá apresentar um certificado de origem, que corresponda aos requisitos legais aplicáveis na data da sua emissão. O Fornecedor deverá fornecê-lo gratuitamente à Voith. Se forem utilizadas declarações do Fornecedor a longo prazo, o Fornecedor deverá, quando o Pedido de Compra for aceito, sem ser solicitado a fazê-lo, informar a Voith sobre mudanças no status de origem e manter tais informações atualizadas. O país de origem real deverá, em todos os casos, ser declarado na documentação da transação, mesmo que não haja elegibilidade para tratamento aduaneiro preferencial.

16.2 O Fornecedor deverá informar a Voith sobre quaisquer aprovações exigidas na (re)exportação de seus produtos ou informações de acordo com as regulamentações aduaneiras ou de exportação aplicáveis. Para esse fim, o Fornecedor fornecerá à Voith, na medida em que tal não esteja já previsto em sua oferta, as seguintes informações ao lado das referências de itens relevantes quando um Pedido de Compra for aceito e em cada fatura informará:

a) O Código da mercadoria.

b) O número AL do Regulamento de Dupla Utilização da CE na sua versão válida ou números de classificação de controle com base nas regulamentações nacionais;

c) O ECCN (Número de Classificação de Controle de Exportações) de acordo com a legislação de exportação dos EUA;

d) Autorização Disponível (Exceções de Licenças).

16.3 A pedido da Voith, o Fornecedor será obrigado a informar a Xxxxx, por escrito, todos os dados de comércio exterior relacionados com as mercadorias e seus componentes, bem como informar imediatamente a Voith, por escrito, todas as alterações nos dados especificados nos itens 16.1 e 16.2.

Se os detalhes informados nas cláusulas anteriores não forem fornecidos ou forem fornecidos incorretamente, a Voith deverá, sem prejuízo de outros direitos, rescindir o Pedido de Compra.

16.4 De acordo com o Regulamento (UE) nº 833/2014 do Conselho, de 31 de julho de 2014, que impõe medidas restritivas em virtude das ações da Rússia que desestabilizam a situação na Ucrânia, conforme alterado periodicamente ("Regulamento 833/2014 da UE"), o Fornecedor declara, representa e garante que os produtos de ferro e aço listados no Anexo XVII do Regulamento 833/2014 da UE e vendidos ou entregues pelo Fornecedor à Voith ou a qualquer uma de suas empresas afiliadas não incorporam produtos de ferro e aço originários da Rússia, conforme listado no Anexo XVII do Regulamento 833/2014 da UE.

17. Suspensão, Cancelamento e Direitos Rescisórios

17.1 A Voith pode, a qualquer momento, rescindir o Pedido de Compra por escrito e sem justa causa, mediante notificação escrita a ser enviada com antecedência mínima de 30 (trinta) dias e tal ato não acarretará quaisquer encargos à Voith. Na hipótese da Voith rescindir o Pedido de Compra nos termos dessa cláusula, o Fornecedor terá direito de receber os valores dos serviços e/ou produtos executados até o momento da rescisão, mediante comprovação, sendo os valores referentes as despesas da Voith deduzidos do saldo final devido.

17.2 A Voith terá o direito de suspender, a qualquer momento, no todo ou em parte, a realização do respectivo Pedido de Compra, mediante notificação por escrito ao Fornecedor, se os produtos e/ou serviços estiverem em desacordo com essas Condições de Compra ou com os respectivos Pedidos de Compra, se o cliente da Voith tiver suspendido o contrato com a Voith ou, por qualquer outro motivo justificado.

17.3 Além do direito de rescisão unilateral, a Voith tem o direito de rescindir o Pedido de Compra se ocorrer, ou ameaçar ocorrer, uma deterioração material das circunstâncias financeiras do Fornecedor e a obrigação de fornecimento de bens e serviços for prejudicada por isso. A Voith também terá o direito de rescindir o Pedido de Compra se o Fornecedor estiver sob controle de um concorrente da Voith.

17.4 O direito das partes de rescindir o Pedido de Compra por justa causa não será afetado. Em particular, no caso do Fornecedor, um de seus diretores, funcionários, agentes ou terceiro contratado pelo Fornecedor para comercializar ou distribuir seus produtos, violar a legislação anticorrupção, os direitos humanos, as exigências ambientais dispostas na cláusula 18.3, o Código de Conduta da Voith ou houver pelo menos uma suspeita de violação, factualmente reforçada, a Voith terá o direito de rescindir o Pedido de Compra sem aviso prévio, a menos que a violação seja insignificante e seja remediada pelo Fornecedor imediata e permanentemente.

17.5 Em caso de suspensão do Pedido de Compra devido ao inadimplemento do Fornecedor, a Voith deverá estipular um prazo para que as obrigações violadas sejam resolvidas pelo Fornecedor sem prejuízo de quaisquer outros direitos e remédios aqui previstos ou previstos pela lei aplicável.

17.6 Ao receber tal aviso de suspensão, o Fornecedor deverá interromper prontamente a execução do Pedido de Compra, tal como está, e cessar qualquer trabalho relacionado com o Pedido de Compra. Durante esse período, o Fornecedor deverá manter cuidadosamente os materiais, suprimentos e equipamentos queestejam em andamento.

17.7 A Voith poderá remover, no todo ou em parte, a suspensão da realização do Pedido de Compra por notificação escrita ao Fornecedor, especificando a data real e o objeto da remoção. Após o recebimento dessa notificação, o Fornecedor deverá retomar os trabalhos relacionados com o Pedido de Compra que tenham sido suspensos, com os cuidados necessários e na data notificada.

17.8 O respectivo Pedido de Compra poderá ser rescindido, no todo ou em parte, sem qualquer responsabilidade da Voith em relação ao Fornecedor, independentemente de notificação judicial ou extrajudicial e sem prejuízo do direito da Voith de recuperar possíveis danos sofridos, por ação ou omissão do Fornecedor, posteriormente à ocorrência de qualquer dos seguintes eventos:

a) Em caso de força maior, que atrasem a realização do Pedido de Compra por um período superior a noventa (90) dias;

b) Se a entrega de produtos e/ou serviços não for efetuada de acordo com as especificações e itens do respectivo Pedido de Compra ou, em qualquer caso, o Fornecedor incorra em qualquer evento de rescisão contratual previsto em lei;

c) Em caso de recuperação judicial, extrajudicial, falência e/ou insolvência do Fornecedor;

d) Caso o Fornecedor viole qualquer um dos itens destas Condições

de Compra ou do respectivo Pedido de Compra;

e) Qualquer infração à Lei ou Regulamentação contra a Corrupção, bem como o descumprimento de qualquer disposição do Código de Conduta da Voith;

f) Se houver o inadimplemento das Cláusulas 17.3 e 17.4;

g) Se o Cliente suspender pagamentos;

h) Se o Fornecedor estiver sob a influência de controladora de um concorrente da Xxxxx.

i) Se o Cliente infringir qualquer das obrigações descritas na Cláusula 18 - Responsabilidade Corporativa, deste Pedido de Compra.

17.9 No caso de suspensão do Pedido de Compra por um período superior a 30 (trinta) dias, as Partes deverão acordar sobre a continuidade do Pedido de Compra.

17.10 Caso o Fornecedor, por ocasião do recebimento da comunicação de rescisão do Pedido de Compra, ainda não tenha iniciado a execução do Pedido de Compra, a Voith poderá, a seu exclusivo critério, solicitar que o Fornecedor se abstenha de iniciar sua execução e, como resultado, os montantes eventualmente já pagos pela Voith serão restituidos ao Fornecedor posteriormente à data de recepção da comunicação enviada pela Voith.

17.11 Em qualquer caso de rescisão do Pedido de Compra, a Voith poderá transferir imediatamente a conclusão do Pedido de Compra a quem considerar conveniente, a seu exclusivo critério, sem necessidade de qualquer consulta prévia ao Fornecedor.

17.12 Em qualquer caso de rescisão do Pedido de Compra, a Voith tomará posse de parte do Pedido de Compra que a Voith pretenda reter, a seu critério. De qualquer forma, a Voith deverá compensar o Fornecedor pela rescisão do Pedido de Compra de acordo com o item 17.11, e os produtos que a Voith optar por não receber e que possam ser usados ou reaproveitados pelo Fornecedor, não serão indenizados.

17.13 Observado o disposto no item 17.8, em qualquer hipótese de rescisão e desde que o Fornecedor esteja em dia com suas obrigações contratuais, a Voith reembolsará o Fornecedor pelos custos razoáveis, incorridos até então, na realização do Pedido de Compra e que irrecuperáveis para o Fornecedor, devendo o Fornecedor adotar todas as medidas necessárias para minimizar suas perdas, devendo fornecer à Voith provas desses custos. A compensação, em qualquer caso, não deverá exceder o Preço do Pedido de Compra, deduzindo os montantes já pagos pela Voith ao Fornecedor.

18. Responsabilidade Corporativa

18.1 O Fornecedor declara seu compromisso, no âmbito de sua responsabilidade corporativa, de assegurar o cumprimento das disposições legais, incluindo as leis de proteção ambiental, legislação trabalhista e a legislação de saúde e segurança dos funcionários, além de comprovar que não tolera o trabalho infantil ou forçado em relação à produção e venda dos seus produtos ou à prestação dos seus serviços. Ao aceitar o Pedido de Compra, o Fornecedor confirma ainda, que não cometerá ou tolerará qualquer forma de suborno e corrupção. Nesse contexto, a Voith chama a atenção do Fornecedor para o "Código de Conduta VOITH" que pode ser consultado em xxxx://xxx.xxxxx.xxx. A Voith espera que o Fornecedor concorde em cumprir com as regras e princípios nele contidos e preste assistência para assegurar que estes sejam observados.

18.2 O Fornecedor compromete-se a cumprir com as leis que se aplicam ao salário-mínimo geral e a impor esta obrigação na mesma medida aos seus subfornecedores. O Xxxxxxxxxx deverá fornecer prova de que a garantia acima foi cumprida, se solicitado pela Voith. Se a garantia acima não for cumprida, o Fornecedor indenizará a Voith contra reclamações de terceiros e se comprometerá a reembolsar as multas impostas à Voith em relação ao eventual descumprimento. Além disso o Fornecedor se obriga a cumprir as disposições previstas na Cláusula 18.3, abaixo:

18.3 O Fornecedor se compromete, em particular, a cumprir os seguintes requisitos de Direitos Humanos e Ambientais:

a) Não permitir a contratação de trabalho infantil e respeitar a idade mínima para admissão ao emprego, de acordo com a Convenção nº 138 da OIT, e quanto à proibição e ação imediata para a eliminação das piores formas de trabalho infantil, e observar o art. 3 Convenção nº 182 da OIT;

b) Não permitir o emprego de pessoas em trabalhos forçados em conformidade com a Convenção nº 29 da OIT;

c) Não permitir todas as formas de escravidão, práticas escravagistas, servidão ou opressão no ambiente de trabalho;

d) Cumprir das obrigações aplicáveis em matéria de saúde e segurança no trabalho de acordo com a lei no local de trabalho;

e) Respeitar a liberdade de associação;

f) Não permitir tratamento desigual no emprego com base na nacionalidade, origem étnica, origem social, estado de saúde, deficiência, orientação sexual, idade, sexo, opinião política, religião, crença, a menos que justificado pelas exigências do emprego;

g) Respeitar o salário-mínimo e salário justo;

h) Não permitir poluição ambiental relativa ao solo, água, ar,

emissão de ruído prejudicial ou consumo excessivo de água;

i) Não praticar despejo ilegal, bem como privação ilegal de terras, florestas e águas na aquisição, construção ou outro uso de terras, florestas e águas, cujo uso assegure o sustento de uma pessoa;

j) Não contratar ou usar forças de segurança privadas ou públicas para a proteção do projeto empresarial, que ao fazê-lo utilize tortura e tratamento cruel, desumano ou degradante, ferindo a vida ou integridade física, ou desconsiderando a liberdade de associação e união;

k) Não praticar ato ou omissão em violação do dever que vá além dos atos infratores acima mencionados, que seja diretamente capaz de prejudicar uma posição legal protegida de maneira particularmente grave e cuja ilegalidade seja óbvia;

l) Não usar ou produzir bens que utilizem mercúrio e componentes de mercúrio, bem como do tratamento de resíduos de mercúrio de acordo com as disposições da Convenção de Minamata (Art. 4, parágrafo. 1 e Anexo A Parte I, Art. 5, parágrafo 2 e Anexo B, Parte I, Art. 11, parágrafo 11. 3);

m) Proibir a utilização e/ou produção de bens que utilizem produtos químicos, não manusear produtos químicos de forma abientalmente incorreta, coletar, armazenar e dispor de resíduos em desacordo com as disposições do sistema jurídico aplicável sob a Convenção de Estocolmo sobre Poluentes Orgânicos Persistentes (23.05.2001, 06.05.2005) e o Regulamento da UE sobre Poluentes Orgânicos Persistentes 2021/277 (art. 3, parágrafo 1a e Anexo A, art. 3, parágrafo 1bis e Anexo A, art. 4, parágrafo 2bis). 6, parágrafo 1d (i), (ii));

n) As seguintes proibições sob a Convenção da Basiléia sobre o Controle de Movimentos Transfronteiriços de Resíduos Perigosos e sua Disposição (22.03.1989 e 06.05.2014): Proibição de exportação de resíduos perigosos e outros resíduos sob o art. 1 (1), 2 do) sob o Art. 4 (1b), (1c), (5), (8) p.1, Art. 4A, e Art. 36 do Regulamento (CE) nº 1013/2006; Proibição de importação de resíduos perigosos e outros resíduos de uma não-Parte da Convenção da Basiléia (Art. 4 (5)).

18.3.1 Caso os requisitos de direitos humanos e ambientais sejam alterados, o Fornecedor deverá concordar com um ajuste desta Seção 18.3 que implemente a mudança nos requisitos de direitos humanos e ambientais. A Voith deverá notificar o Fornecedor sobre as mudanças nas exigências relacionadas aos direitos humanos e ao meio ambiente por escrito ou em forma de texto sem demora.

18.3.2 O fornecedor deverá tratar os requisitos de direitos humanos e ambientais mencionados na Cláusula 18.3 de maneira apropriada em relação a seus próprios subfornecedores e, mais ainda, ao longo de toda a sua própria cadeia de fornecimento assegurando seu cumprimento por seus próprios subfornecedores e, no caso de violações dos direitos humanos ou das obrigações ambientais existentes, sua rescisão por meio de disposições contratuais adequadas. Isto também deve incluir, na medida do legalmente possível e razoável, esforços sérios para celebrar um acordo que garanta a transferência desta obrigação para os fornecedores diretos do Fornecedor e para os próprios fornecedores do fornecedor direto do Fornecedor.

18.3.3 O fornecedor se compromete ainda a selecionar cuidadosamente seus fornecedores, em particular no que diz respeito aos direitos humanos e requisitos ambientais de acordo com esta Cláusula 18.3 e deverá investigar adequadamente quaisquer indicações de violações dos direitos humanos e requisitos ambientais e levá-los em consideração na seleção de fornecedores.

18.4 A Voith tem o direito de verificar o cumprimento dos direitos humanos e requisitos ambientais mencionados na Cláusula 18.3 realizando inspeções no local do Fornecedor e/ou em seu local de produção (direito de auditoria). A Voith pode exercer o direito de auditoria através de seus próprios empregados, através de terceiros comissionados pela Voith (por exemplo, um advogado ou auditor) ou utilizando sistemas reconhecidos de certificação ou auditoria. A Xxxxx avisará ao Fornecedor de tal auditoria com antecedência razoável por escrito, sem aviso prévio, a menos que haja perigo iminente ou que o aviso ponha em perigo, reduza significativamente ou elimine a eficácia da auditoria. O direito de auditoria deverá, em princípio, ser exercido durante o horário comercial normal de expediente nas instalações comerciais ou de produção do Fornecedor. O Fornecedor se compromete a disponibilizar documentos, registros, nomes de subfornecedores dentro da cadeia de fornecimento e até onde for conhecido ("Documentação da Cadeia de Fornecimento") solicitados pela Voith para inspeção, pela Voith, por um período de tempo apropriado, mas pelo menos por [dez] dias úteis, ("Período de Auditoria"). A pedido da Voith, o Fornecedor deverá também disponibilizar a Documentação da Cadeia de Suprimentos às suas próprias custas em uma sala de dados on-line adequada que esteja de acordo com os padrões atuais de segurança de TI para o Período de Auditoria e conceder a Voith acesso a partir de suas próprias instalações comerciais. Além disso, o Fornecedor concederá a Voith acesso a seus funcionários e diretores, por exemplo, para permitir que entrevistas sejam conduzidas e/ou para exercer o direito de auditoria. As exigências de proteção de dados devem ser cumpridas quando a Voith exercer o direito de auditoria,

e a proteção dos segredos comerciais do Fornecedor deve ser levada em consideração na medida em que isso não entre em conflito com o cumprimento das obrigações legais por parte da Voith.

18.5 A pedido da Voith, o Fornecedor deverá apoiar e possibilitar o treinamento e educação adicional pela Voith para o cumprimento dos direitos humanos e requisitos ambientais conforme especificado na Cláusula 18.3, deverá nomear seus próprios funcionários relevantes e garantir sua participação no treinamento e educação adicional na medida do legalmente possível. Os detalhes da organização e implementação de treinamento e educação adicional de acordo com esta Cláusula 18.5 deverão ser acordados pelo Cliente e Fornecedor caso a caso. Ao fazer isso, os interesses do Fornecedor com relação ao tipo e duração dos cursos de treinamento, sua freqüência e o grupo de participantes deverão ser levados em consideração de forma apropriada para evitar um ônus excessivo para o Fornecedor. Os cursos de treinamento podem tomar a forma de e-learning, formato on-line ou eventos presenciais.

18.6 O Fornecedor deverá indenizar e isentar a Voith, suas afiliadas, diretores, funcionários ou representantes de qualquer responsabilidade em relação a todas as responsabilidades, reclamações, despesas, perdas ou danos resultantes ou relacionados à infração incorrida pelo Fornecedor, às suas obrigações e/ou Garantias previstas nesta Cláusula.

18.7 O Pedido de Compra que não cumprir com todos os requisitos estabelecidos neste item será considerado como desviado e qualquer infração a este item será considerada como um inadimplemento grave.

19. Relacionamento e Não Exclusividade

19.1 Nada nestas Condições de Compra deverá ser interpretado como criação de nova sociedade e/ou joint ventures e as Partes não terão o poder de obrigar ou vincular a outra de qualquer maneira.

19.2 Nada nestas Condições de Compra pode ser interpretado ou entendido como concessão de qualquer tipo exclusividade pela Voith ao Fornecedor, com relação à fabricação ou venda dos produtos ou serviços objeto deste documento.

19.3 O total do volume de compras entre o Fornecedor e a Voith não deverá exceder 50% (cinquenta por cento) do volume de negócios total do Fornecedor com todos os seus clientes durante um ano civil. Caso o volume de compras entre o Fornecedor e a Voith exceda esse percentual, a Xxxxx deverá ser imediatamente notificada por escrito pelo Fornecedor. Após o recebimento dessa notificação, a Xxxxx decidirá sobre as medidas necessárias, incluindo a redução do volume de compras real sem custos adicionais ou danos devidos ao Fornecedor.

20. Caso Fortuito e de Força Maior

20.1 Todos os eventos ocorridos durante o cumprimento do Pedido de Compra cujos efeitos não possam ser antecipados, evitados ou impedidos e, desde que não tenham sido causados por erro, culpa grave ou negligência de qualquer das Partes, seus empregados, subcontratados ou fornecedores e que necessariamente interferirão, no todo ou em parte, no Pedido de Compra, serão caracterizados como Caso Fortuito e/ou de Força Maior ("Caso Fortuito ou de Força Maior") e constituirão causas de exclusão de responsabilidade.

20.1.1 Tais eventos incluem, mas não se limitam a, naufrágios, terremotos, tufões, furacões, epidemias, ataques cibernéticos, atos de inimigos públicos que interfiram diretamente no Pedido de Compra, guerras, atos terroristas, greves regionais ou nacionais das categorias empregadas para cumprimento do Pedido de Compra, não causados por culpa ou inadimplemento das Partes ou de seus subcontratados ou, ainda, greves locais, desde que evidentemente causadas por movimentos sindicais, regionais ou nacionais; e os atos de perturbação ou de detenção ilícita do local de realização do Pedido de Compra, movimentos sindicais e/ou movimentos organizados.

20.2 A Parte afetada por um Caso Fortuito ou de Força Maior estará isenta do cumprimento de suas obrigações previstas no Pedido de Compra, exclusivamente em relação à parte afetada pelo evento de Caso Fortuito ou de Força Maior, na extensão e durante o Período em que tais obrigações sejam afetadas pelo Caso Fortuito ou de Força Maior, desde que:

(i) o Caso Fortuito ou de Força Maior tenha ocorrido e permaneça fora do controle da Parte afetada;

(ii) a Parte afetada não tenha cooperado para a ocorrência do Caso Fortuito ou de Força Maior; e

(iii) as ações da Parte afetada, desde que diligentes e oportunas, não tenham sido suficientes para sanar ou minimizar os efeitos da ocorrência do Caso Fortuito ou de Força Maior.

20.3 Não obstante a ocorrência do Caso Fortuito ou de Força Maior, as Partes cumprirão suas obrigações previstas no Pedido de Compra, na medida em que o cumprimento de tais obrigações não seja impedido pelo Caso Fortuito ou de Força Maior.

20.3.1 Nenhum Caso Fortuito ou de Força Maior isentará a Parte afetada do cumprimento de qualquer de suas obrigações, pendentes de cumprimento antes da ocorrência de tal evento ou que tenham sido constituídas anteriormente.

20.3.2 A Parte que, tendo oportunidade de fazê-lo, não solucionado ou mitigado, na ocasião, a ocorrência de um Caso Fortuito ou de Força Maior, não poderá ter suas obrigações desculpadas.

20.3.3 As Partes concordam que a ocorrência dos eventos citados abaixo, entre outros, não será caracterizada como Caso Fortuito ou de Força Maior:

(i) atrasos causados por ineficiência evidenciada do Fornecedor;

(ii) atraso e/ou falhas dos subcontratados na realização do Pedido de Compra;

(iii) greve de pessoal, direta ou indiretamente relacionada ao Fornecedor e ao cumprimento deste Pedido de Compra;

(iv) crise financeira no mercado local ou internacional que resulte em variações cambiais e/ou variação de preços de insumos, materiais e mão-de-obra;

(v) problemas financeiros da Parte que reivindica o evento de Caso Fortuito ou de Força Maior;

(vi) suspensão ou falta de transporte, a menos que resulte do evento evidenciado de Caso Fortuito ou Força Maior; e

(vii) alterações à legislação.

20.4 Na ocorrência de Caso Fortuito ou de Força Maior, a Parte interessada enviará uma Notificação por escrito à outra Parte dentro de até 5 (cinco) dias úteis subsequentes à confirmação do evento. Tal Notificação deverá incluir a estimativa de Prazo Razoável, que não deverá exceder 30 (trinta) dias, para a entrega do relatório informando o evento e anexando todos os documentos necessários para caracterizar o Caso Fortuito ou de Força Maior, as circunstâncias envolvendo as obrigações, o cumprimento de que será atrasada, descrevendo o evento, suas consequências e, se possível, a estimativa da duração do atraso.

20.5 A falta de envio da Notificação dentro do prazo estabelecido será válida como prova de que o evento não interferiu no andamento do Pedido de Compra e, portanto, não pode ser qualificado como Caso Fortuito ou de Força Maior, no âmbito do Pedido de Compra.

20.6 No caso de a Parte notificada discordar da existência de Caso Fortuito ou de Força Maior ou, ainda, discordar do fato de que o evento seja capaz de interromper e/ou suspender a realização do Pedido de Compra, tal Parte deverá dentro de 10 (dez) dias úteis a partir do recebimento da notificação, encaminhar à Parte interessada um parecer fundamentado ou relatório que justifique sua interpretação.

20.7 A falha da Parte notificada, em fornecer qualquer declaração nos termos do item anterior dentro do prazo estabelecido, presumirá sua aceitação tácita do evento ocorrido.

21. Seguros e Garantias Financeiras

21.1 Com a exceção dos Seguros expressamente previstos na lei, no caso de ser necessário contratar Seguros adicionais, as condições de contratação, bem como a lista de seguros necessários, deverão constar no Pedido de Compra.

21.2 Caso seja necessário contratar Garantias Financeiras, as condições de contratação, bem como a lista de Garantias necessárias, deverá constar no Pedido de Compra.

22. Obrigações e Responsabilidades do Fornecedor

22.1 Sem prejuízo das outras obrigações já previstas nestas Condições de Compra, o Fornecedor concorda em apresentar, sempre que solicitado pela Voith, a documentação relacionada à evidência do cumprimento de suas obrigações trabalhistas, tributárias, previdenciárias, entre outras.

22.2 O Fornecedor deverá, a qualquer momento, proteger a Voith de (i) quaisquer perdas ou danos e todas as ações e despesas relacionadas a ele, causadas por atos ou omissões do Fornecedor, seus subcontratados e do pessoal empregado para a realização do Pedido de Compra, seus executivos, administradores, fornecedores e cessionários; (ii) ônus e responsabilidades decorrentes de morte ou lesões corporais e todas as ações e despesas relacionadas a ele, causadas por atos ou omissões do Fornecedor e do pessoal designado para a realização do Pedido de Compra, seus executivos, administradores, subcontratados, fornecedores e cessionários.

22.3 Para todos e quaisquer efeitos legais, fica expressamente estabelecido que o pessoal do Fornecedor designado para a realização do Pedido de Compra é empregado do Fornecedor e que, portanto, não existem tipos de relações empregatícias entre esse pessoal e a Voith, que deverá estar isenta de todos e quaisquer encargos resultantes do reconhecimento judicial dessa relação. Em decorrência das disposições deste instrumento, as Partes concordam que o Fornecedor é o único e exclusivamente responsável por quaisquer obrigações, de qualquer natureza, perante seu pessoal.

22.4 As pessoas que trabalham nas instalações da Voith ou nas instalações de empresas associadas com a Voith para realizar o Pedido de Compra, deverão observar os termos das respectivas regras de trabalho. A Voith estará isenta de responsabilidade por acidentes ocorridos em locais de trabalho será excluída, a menos que tenha sido causada por violação deliberada ou negligente de obrigações por parte dos representantes legais da Voith ou de seus agentes indiretos.

23. Disposições Gerais

23.1 Não é permitida a utilização de pedidos de informação, pedidos de compra e correspondência associada para fins publicitários. O Fornecedor somente poderá utilizar a relação comercial com a Voith ou utilizar a Voith como referência com a autorização prévia e por escrito da Xxxxx.

23.2 A cessão de parte ou da totalidade de qualquer Pedido de Compra, contrato, direito ou obrigação sob estas Condições de Compra, sem a prévia aprovação por escrito da Voith será nula e sem efeito. No entanto, a Voith terá o direito de ceder seus direitos e soluções em âmbito externo ao do Pedido de Compra relevante para qualquer de suas empresas afiliadas.

23.3 Salvo disposição expressa em contrário no Pedido de Compra, estas Condições de Compra prescriçãoestão sujeitas às Leis Brasileiras, mesmo se o Fornecedor estiver domiciliado no exterior. Exclui-se a Convenção das Nações Unidas sobre Compra e Venda Internacional de Produtos (CISG).

23.4 As Partes elegem o Tribunal da Cidade de São Paulo, Estado de São Paulo, Brasil, como o exclusivamente competente para resolver todas as questões relacionadas a este instrumento e em relação a todos os Pedidos de Compra emitidos pela Voith, com expressa renúncia de qualquer outro tribunal por mais provilegiado que seja.

23.5 No caso de qualquer disposição individual destas Condições de Compra ser inválida ou declarada inválida, no todo ou em parte, tal invalidade não

afetará as demais disposições. No entanto, as Partes reescreverão tal disposição, para resgatar a intenção inicial das Partes.

23.6 Por qualquer descumprimento do Pedido de Compra que não tenha qualquer outra penalidade especificada, o Fornecedor deverá pagar o valor de 5% (cinco por cento) do Preço do Pedido de Compra, por dia de inadimplemento, sem prejuízo de possíveis perdas e danos.

23.7 Nenhuma das Partes será obrigada a cumprir qualquer alteração no Pedido de Compra até a ocasião em que tal alteração tenha sido confirmada por meio de uma alteração ou documento equivalente assinado por ambas as Partes.

23.8 Em nenhum caso a Voith será responsabilizada por danos indiretos e consequentes, tais como, mas não apenas, perda de lucros, perdas de produção, perdas financeiras, perdas de vendas. Além disso, a total responsabilidade da Voith em relação ao Pedido de Compra é limitada a 10% (dez por cento) de seu Preço.

Anexo 1: Condições para Fornecimento de Software/Hardware e/ou OT & E/E Systems incl. Documentação

Anexo 2: Condições para Fornecimentos, Serviços, Desenvolvimento de Software/Hardware no Contexto de TI & Sistemas OT & E/E incl. Documen- tação

Anexo 1: Condições para Fornecimento de Software/Hardware e/ou soluções de sistemas de TO e E/E, incluindo documentação

Risco de Segurança	Um Risco de Segurança é a probabilidade de que algo ruim aconteça que cause danos a um Ativo de Informação;
Avaliação de Risco de Segurança	Uma determinação do valor quantitativo ou qualitativo do risco relacionado a uma situação concreta e uma ameaça reconhecida à segurança dos Dados da Voith e/ou dos sistemas;
Avaliação de Vulnerabilidade	Uma Avaliação de Risco de Segurança que leve à identificação, quantificação e priorização (ou classificação) das vulnerabilidades em um sistema de computador, incluindo as redes, bancos de dados e aplicativos de software associados;
Empresas Afiliadas	Qualquer entidade que deva ser considerada afiliada da Voith. Além disso, a Voith pode definir outras entidades como Empresas Afiliadas da Voith em um contrato de alteração;
Grupo Voith	Significa a Voith em conjunto com suas Empresas Afiliadas;

As Condições Gerais de Compra da Voith, em sua versão atual, são complementadas pelos seguintes termos e condições, que se aplicam a todos os fornecimentos de software/hardware e/ou soluções de sistemas de TO e E/E, incluindo documentação relacionada à tecnologia da informação (TI)/tecnologia operacional (TO).

Estes termos e condições aplicam-se adicionalmente e, em caso de contradição, prevalecerão sobre as Condições Gerais de Compra da Voith.

Tecnologia da Informação (TI)	A tecnologia da informação (TI) envolve o desenvolvimento, manutenção e uso de sistemas de computador, software e redes para processamento e distribuição de dados;
Tecnologia Operacional (TO)	Tecnologia Operacional (TO) é o hardware e software que detecta ou provoca uma alteração, por meio do monitoramento e/ou controle direto de equipamentos industriais, máquinas, ativos, processos e eventos;
Sistemas E/E	Sistemas Elétricos e Eletrônicos
Dados da Voith	São todas as informações e dados (incluindo textos, desenhos documentais, diagramas, imagens ou audios) de propriedade, licenciados para (exceto pelo Fornecedor) ou relacionados a Voith e/ou qualquer um de seus representantes, seja em forma humana ou legível por máquina, que serão, em cada caso, gerados, fornecidos ou retidos pelo Fornecedor ou qualquer um de seus subcontratados de acordo com ou em conexão com estes termos e condições;
Incidente de Segurança	Um evento envolvendo o acesso e/ou uso não autorizado, real ou tentado, dos Sistemas que contêm os Dados da Voith e/ou o acesso não autorizado, uso, destruição, perda ou alteração dos Dados da Voith em relação a estes termos e condições; tais incidentes podem ser categorizados como Incidente Crítico de Segurança, Incidente de Segurança Grave ou Incidente de Segurança de Baixa Prioridade.
Incidente Crítico de Segurança	Um Incidente de Segurança que resulte em uma grave interrupção do trabalho entregue;
Incidente de Segurança Grave	Um Incidente de Segurança que resulte em uma redução no desempenho do trabalho entregue ou possa levar à divulgação dos Dados da Voith ou quaisquer dados usados pela Voith ou pelo Fornecedor em relação a estes termos e condições no domínio público;
Incidente de Segurança de Baixa Prioridade	Um Incidente de Segurança que não tenha impacto significativo na disponibilidade ou desempenho do trabalho entregue;
Ativo de Informação	Qualquer Sistema de Informação/Sistema de TI que contém informações pertencentes a uma organização
Sistema de Informação / Sistema de TI	Um Sistema de Informação é qualquer combinação de tecnologia da informação, processos, informações digitais e atividades do usuário que suportam as operações de uma organização;
Ameaça à Segurança	É um possível perigo que pode explorar uma vulnerabilidade de segurança para causar um incidente de segurança que pode resultar em danos;
Vulnerabilidade de Segurança	É uma fraqueza de um Sistema de Informação que pode ser explorada por uma ou mais Ameaças à Segurança;
Avaliação de Risco	Uma Avaliação de Risco é o processo de (a) identificar os riscos relacionados a um Ativo de Informação e Ameaças de Segurança reconhecidas, e (b) avaliar o efeito geral da probabilidade de ocorrência dos riscos e o impacto caso ocorram;

DEFINIÇÕES

1 Software de Código Aberto

Software de Código Aberto (“OSS”) é um software geralmente fornecido gratuitamente e de código aberto e que pode ser usado sob uma licença, que não restringe a redistribuição do software, permite modificações e trabalhos derivados e deve permitir sua redistribuição sob a mesmos termos da licença do software original (“Licença OSS”). As licenças OSS incluem, entre outros, a “Berkeley Software Distribution License” (BSD), “GNU General Public License” (GPL) e a “GNU Lesser General Public License” (LGPL). Licenças Copyleft são licenças que exigem que qualquer trabalho derivado ou baseado no programa seja distribuído ou transmitido somente sob os termos da licença original (“Licença Copyleft”).

1.1 Requisitos

O OSS pode ser incluído no software fornecido pelo Fornecedor. A Fornecedor fornecerá à Voith todas as informações e materiais sobre o uso de OSS no software. Isso inclui:

(i) uma lista transparente e completa de todos os componentes licenciados sob uma licença OSS,

(ii) o texto de cada licença OSS,

(iii) avisos de direitos autorais,

(iv) os resultados de um monitoramento de segurança e vulnerabilidade de última geração de todo o código-fonte aberto usado, e

(v) Uma descrição e documentação claras sobre os componentes OSS usados.

A Voith concederá a aprovação a seu exclusivo critério. Uma aprovação concedida deve ser revogada se as informações ou materiais fornecidos forem falsos ou incompletos.

Os textos da Licença OSS e o respectivo código-fonte devem ser fornecidos separadamente. O Fornecedor fornecerá todo o código-fonte aberto na medida em que isso for exigido pelas licenças aplicáveis.

O Fornecedor sempre colocará a Voith em posição de cumprir integralmente todos os requisitos das Licenças OSS aplicáveis.

Esses requisitos também se aplicam a quaisquer atualizações, patches, upgrades ou novas versões do software.

1.2 Responsabilidade

O Fornecedor está ciente de sua responsabilidade especial de proteger a Xxxxx contra danos causados pela integração do software OSS no software fornecido por ela e pelo uso de tal software pela Voith. Diante disso, o Fornecedor deverá zelar para que todos os direitos de terceiros sejam comprovados e garantidos.

1.3 Indenização

O Fornecedor deverá indenizar, defender e isentar de responsabilidade a Voith e suas afiliadas, funcionários, diretores ou agentes de quaisquer reclamações, danos, despesas e responsabilidades que surjam em conexão direta ou indireta com a violação por parte do Fornecedor de um dos requisitos anteriores de obrigações, independentemente em que teoria jurídica.

2 Ciclo de Vida de Desenvolvimento de Software

Para suprimentos que incluam desenvolvimento de software, o Fornecedor deverá estabelecer um processo de Desenvolvimento Seguro de Software.

(i) adotar uma abordagem de Ciclo de Vida de Desenvolvimento de Software Seguro de acordo com padrões bem conhecidos, como IEC 62443 4-1. Espera-se uma certificação.

(ii) fornecer evidências de que os requisitos de segurança identificados e os controles de segurança correspondentes foram projetados e implementados no software.

(iii) garantir que os testes de segurança apropriados, incluindo, entre outros, verificações estáticas e dinâmicas de código e avaliação contínua de vulnerabilidade sejam aplicados nos pipelines de desenvolvimento e integração e que quaisquer problemas descobertos sejam corrigidos antes do lançamento do software; e

(iv) permitir que a Voith e/ou seus agentes realizem Avaliações de Vulnerabilidade do software desenvolvido. Se alguma vulnerabilidade com classificação de risco “alta” ou “crítica” for encontrada pela Voith, o Fornecedor deverá tomar medidas para mitigar os riscos antes do lançamento do software.

3 Gerenciamento de Vulnerabilidades

(i) O Fornecedor contratará um serviço de Avaliação de Vulnerabilidade independente e confiável e/ou cooperará e auxiliará um terceiro independente indicado pela Voith na condução de Avaliações de Vulnerabilidade.

(ii) O Fornecedor deverá, mensalmente, revisar suas fontes de informações sobre ameaças e vulnerabilidades no que tange às vulnerabilidades, ameaças e remediações mais recentes relevantes para os sistemas sob sua gestão.

(iii) O Fornecedor deve implementar um plano de remediação com atividades de mitigação assim que uma vulnerabilidade for identificada ou para prevenir o surgimento de uma vulnerabilidade e para priorizar, rastrear e monitorar o

progresso do plano. Todos os planos de remediação devem ser documentados para referência futura. Vulnerabilidades com impacto significativo na segurança devem ser corrigidas o mais rápido possível. Para riscos menores e médios, o cronograma de correção deve levar em consideração o custo, o tempo e o esforço necessários para mitigar os riscos.

(iv) O Fornecedor deverá notificar a Voith imediatamente se não conseguir remediar qualquer Vulnerabilidade Crítica ou de Classificação Alta e deverá propor à Voith os controles de segurança necessários.

(v) O Fornecedor deve assegurar que todos os produtos personalizáveis contenham documentação para parametrização segura.

(vi) Atividades como parte da Gestão de Vulnerabilidade de Fornecedores, como Avaliações de Vulnerabilidade, independentemente do tipo ou alvo, e todo o trabalho e tempo necessários para realizar atividades de remediação, serão custeados pelo Fornecedor e não serão cobrados da Voith.

4 Governança de Segurança

(i) O Fornecedor nomeará um indivíduo (o “Gerente de Segurança da Informação do Fornecedor”) para:

• coordenar e gerenciar todos os aspectos de segurança de acordo com o Contrato; e

• atuar como o único ponto de contato em nome do Fornecedor e seus Subcontratados no caso de um Incidente de Segurança.

(ii) Caso o Fornecedor deseje alterar o Gerente de Segurança da Informação do Fornecedor, notificará a Voith por escrito, fornecendo os dados de contato do substituto.

Anexo 2: Condições para Fornecimentos, Serviços e Desenvolvimento de Software/Hardware no Contexto de Sistemas de TI e TO e E/E, incluindo Documentação

Risco de Segurança	Um Risco de Segurança é a probabilidade de que algo ruim aconteça que cause danos a um Ativo de Informação;
Avaliação de Risco de Segurança	Uma determinação do valor quantitativo ou qualitativo do risco relacionado a uma situação concreta e uma ameaça reconhecida à segurança dos Dados da Voith e/ou dos sistemas;
Avaliação de Vulnerabilidade	Uma Avaliação de Risco de Segurança que leve à identificação, quantificação e priorização (ou classificação) das vulnerabilidades em um sistema de computador, incluindo as redes, bancos de dados e aplicativos e software associados;
Empresas Afiliadas	Qualquer entidade que deva ser considerada afiliada da Voith. Além disso, a Voith pode definir outras entidades como Empresas Afiliadas da Voith em um contrato de alteração;
Grupo Voith	Significa a Voith em conjunto com suas Empresas Afiliadas;

As Condições Gerais de Compra da Voith, em sua versão atual, são complementadas pelos seguintes termos e condições, que se aplicam a todos os suprimentos e serviços relacionados à tecnologia da informação (TI)/tecnologia operacional (OT) (Parte A) e à criação ou adaptação de software ou a prestação de serviços associados (Parte B).

Estes termos e condições aplicam-se adicionalmente e, em caso de contradição, prevalecerão sobre as Condições Gerais de Compra da Voith.

Tecnologia da Informação (TI)	A tecnologia da informação (TI) envolve o desenvolvimento, manutenção e uso de sistemas de computador, software e redes para processamento e distribuição de dados;
Tecnologia Operacional (TO)	Tecnologia Operacional (TO) é o hardware e software que detecta ou provoca uma alteração, por meio do monitoramento e/ou controle direto de equipamentos industriais, máquinas, ativos, processos e eventos;
Sistemas E/E	Sistemas Elétricos e Eletrônicos
Dados da Voith	São todas as informações e dados (incluindo textos, desenhos documentais, diagramas, imagens ou sons) de propriedade, licenciados para (exceto pelo Fornecedor) ou relacionados a Voith e/ou qualquer um de seus representantes, seja em forma humana ou legível por máquina, que serão, em cada caso, gerados, fornecidos ou retidos pelo Fornecedor ou qualquer um de seus subcontratados de acordo com ou em conexão com estes termos e condições;
Incidente de Segurança	Um evento envolvendo o acesso e/ou uso não autorizado real ou tentado dos Sistemas que contêm os Dados da Voith e/ou o acesso não autorizado, uso, destruição, perda ou alteração dos Dados da Voith em relação a estes termos e condições; tais incidentes podem ser categorizados como Incidente Crítico de Segurança, Incidente de Segurança Grave ou Incidente de Segurança de Baixa Prioridade.
Incidente Crítico de Segurança	Um Incidente de Segurança que resulte em uma grave interrupção do trabalho entregue;
Incidente de Segurança Grave	Um Incidente de Segurança que resulte em uma redução no desempenho do trabalho entregue ou possa levar à divulgação dos Dados da Voith ou quaisquer dados usados pela Voith ou pelo Fornecedor em relação a estes termos e condições no domínio público;
Incidente de Segurança de Baixa Prioridade	Um Incidente de Segurança que não tenha impacto significativo na disponibilidade ou desempenho do trabalho entregue;
Dados Pessoais	Terão o mesmo significado que o estabelecido Lei Geral de Proteção de Xxxxx Xxxxxxxx (Lei 13.709/2018);
Ativo de Informação	Qualquer Sistema de Informação/Sistema de TI que contém informações pertencentes a uma organização
Sistema de Informação / Sistema de TI	Um Sistema de Informação é qualquer combinação de tecnologia da informação, processos, informações digitais e atividades do usuário que suportam as operações de uma organização;
Ameaça à Segurança	É um possível perigo que pode explorar uma vulnerabilidade de segurança para causar um incidente de segurança que pode resultar em danos;
Vulnerabilidade de Segurança	É uma fraqueza de um Sistema de Informação que pode ser explorada por uma ou mais Ameaças à Segurança;
Avaliação de Risco	Uma Avaliação de Risco é o processo de (a) identificar os riscos relacionados a um Ativo de Informação e Ameaças de Segurança reconhecidas, e (b) avaliar o efeito geral da probabilidade de ocorrência dos riscos e o impacto caso ocorram;

DEFINIÇÕES

Parte A - Condições para Fornecimentos e Serviços no Contexto dos Sistemas de TI/TO e E/E no Fornecedor

1. Conformidade e requisitos técnicos básicos

O Fornecedor deverá prestar o serviço em conformidade com os princípios do tratamento adequado de dados. Isso inclui, entre outros, observância aos regulamentos estatutários de proteção de dados e a implementação de todas as precauções e medidas mais recentes reconhecidas.

O Fornecedor tomará as medidas técnicas e organizacionais adequadas para garantir um alto nível de segurança de TI em relação aos serviços e sistemas de TI por ele exigidos para fins de prestação de tais serviços. Na medida em que sejam aplicáveis aos serviços e aos sistemas de TI usados pelo Fornecedor para fornecer tais serviços, o Fornecedor deverá garantir a conformidade com os padrões mínimos da ISO/IEC 27001:2013 (ou qualquer versão subsequente da norma que surgir posteriormente) ou as últimas versões aplicáveis de outros padrões de segurança semelhantes ou mais elevados, como BSI (Bundesamt für Sicherheit in der Informationstechnik) IT-Grundschutz. O Fornecedor deverá divulgar tais medidas detalhadamente com os respectivos conceitos, certificados e relatórios de auditoria a pedido da Voith.

2. Formação e conscientização no âmbito da segurança da informação

O Fornecedor deverá informar regularmente seus empregados e terceiros encarregados da prestação dos serviços sobre temas relevantes de segurança da informação, incluindo as funções que lhes incumbem no âmbito da prestação dos serviços para garantir a segurança da informação.

3. Proteção dos dados da Voith contra uso indevido e perda

O Fornecedor se compromete a proteger todas as informações e dados da Voith recebidos ou gerados de forma imediata, eficaz e em conformidade com avançada tecnologia contra acesso não autorizado, modificação, destruição ou perda, transmissão proibida, outros tipos de processamento proibido e qualquer outro uso indevido. Ao proteger os dados da Voith, o Fornecedor deve tomar todas as precauções e medidas para garantir que os dados possam ser arquivados e restaurados a qualquer momento sem perdas. Se durante a execução continuada da prestação de Serviços as mais recentes tecnologias, no que diz respeito às medidas de segurança, mudarem o Fornecedor deverá tomar todas as medidas para proteger todas as informações e dados da Voith de acordo com a mais avançada tecnologia.

4. Propriedade dos dados da Voith

A Voith e suas Empresas Afiliadas possuem e retêm todos os direitos, titularidade e interesses sobre seus dados, sendo que a posse dos mesmos pelo Fornecedor é exclusivamente em nome da Voith e/ou Afiliada da Voith.

5. Proteção ao enviar informações

Quaisquer dados enviados, física ou eletronicamente, no contexto dos fornecimentos e serviços devem ser transmitidos por meios (por exemplo, correio registrado, correio expresso, criptografia de e-mail) adequados ao grau de sensibilidade de tais dados.

6. Proteção contra malware

O Fornecedor deve usar procedimentos de teste e análise de última geração para examinar todos os serviços e soluções para armazenamento de dados ou serviços transmitidos eletronicamente (por exemplo, por e-mail ou transferência de dados) para garantir que não sejam comprometidos por malware (por exemplo, trojans, vírus, spyware) antes de tais serviços serem prestados ou

utilizados. Soluções de armazenamento de dados nos quais o malware é detectado não podem ser usadas. O Xxxxxxxxxx deverá informar a Xxxxx imediatamente se descobrir que este está comprometido por malware. As mesmas obrigações se aplicam a todas as formas de comunicação eletrônica.

7. Transparência nos serviços e processos

Os serviços não podem conter nenhum mecanismo ou função não documentada que possa comprometer sua segurança. Os dados só podem ser transmitidos automaticamente ao Fornecedor ou a terceiros com o consentimento explícito por escrito da Xxxxx.

8. Comunicação em caso de defeitos ou erros nos serviços prestados

O Fornecedor informará imediatamente à Voith se descobrir defeitos ou erros nos serviços prestados e que possam comprometer as operações ou a segurança da Voith.

9. Manipulação de hardware, software, meios de acesso e dados de acesso fornecidos ao Fornecedor

Todo o hardware, software, meios de acesso e dados de acesso que a Voith fornecer ao Fornecedor devem ser usados em conformidade com os termos de uso da Voith. O Fornecedor deverá manter em sigilo todos os dados de acesso e meios de acesso que lhe forem fornecidos e tomar medidas avançadas para protegê-los contra o acesso e uso não autorizado de terceiros. Caso não sejam mais necessários hardwares, softwares, meios de acesso e dados de acesso fornecidos ao Fornecedor para fins de prestação dos serviços, os mesmos serão imediatamente devolvidos à Voith. Caso não seja possível a devolução do software, meios de acesso e dados de acesso fornecidos, o Fornecedor deverá excluir ou desinstalar o software, dados de acesso e meios de acesso a ele fornecidos, mas não sem antes entrar em contato com a Voith e solicitar a aprovação da exclusão/desinstalação. Posteriormente, o Fornecedor deverá confirmar a exclusão/desinstalação à Voith por escrito. O Fornecedor só pode usar seu próprio hardware e software com, ou, nos sistemas e redes da Voith em relação à prestação de um serviço se isso tiver sido previamente permitido pela Voith.

Parte B - Termos e Condições para o Fornecimento de Software/Hardware Desenvolvido e/ou Soluções de Sistemas de TO e E/E, incluindo Documentação

1. Obrigação principal do Fornecedor

A principal obrigação do Fornecedor é fornecer como parte do contrato de serviço um software pronto para uso de acordo com as especificações e funções definidas nas especificações de software fornecidas, a documentação correspondente (como o manual do usuário) e, se não houver nenhum outro acordo contratual, o código-fonte, em cada caso de acordo com o programa atual e estado de atualização (doravante denominado “Serviço Contratual”).

O Fornecedor deve manter e salvaguardar a prontidão operacional do software, quando isso for acordado em um contrato de nível de serviço separado ou como parte do contrato de suporte de software e/ou manutenção de software. O Fornecedor deverá cumprir o contrato pessoalmente. A execução do serviço por um terceiro será excluída, a menos que a Voith concorde com o envolvimento de um terceiro mediante notificação prévia por escrito.

Uma vez concluído o Serviço Contratual, o Fornecedor notificará a Voith por escrito e combinará uma data para apresentar os resultados do trabalho. O Fornecedor deve dar à Voith a oportunidade de realizar testes funcionais antes da aceitação do Serviço Contratual. As partes devem chegar a um acordo mútuo sobre os detalhes desses testes.

Todas as aceitações devem seguir um procedimento formal. Um relatório a ser assinado por ambas as partes deve ser produzido para a aceitação. Se o Serviço Contratual não estiver pronto para aceitação, o Fornecedor compromete-se a corrigir imediatamente os defeitos e a apresentar novamente o serviço a Voith para aceitação.

2. Direitos de uso

2.1 Propriedade e direitos de uso exclusivos da Voith

Propriedade sobre todos os resultados e resultados provisórios dos serviços prestados pelo Fornecedor em relação ao desenvolvimento de software/hardware e/ou Sistemas de TO e E/E como parte do contrato, por ex. descrições de desempenho, especificações, estudos, conceitos, documentação, incluindo manuais de instalação, uso e operação, bem como documentação sobre manutenção, código-fonte e desenvolvimento posterior, relatórios, documentos de consultoria, gráficos, diagramas, imagens e software sob medida, programas, software adaptado (customização) e parametrização, bem como todos os resultados provisórios, auxiliares e/ou outros resultados de desempenho produzidos no seu decorrer (juntos: “Resultados do Trabalho”) passarão para a Voith quando estes objetos forem entregues, desde que sejam objetos físicos.

Em outros aspectos, o Fornecedor concede à Voith direitos exclusivos, permanentes, irrevogáveis, sublicenciáveis e transferíveis sobre os Resultados do Trabalho quando estes forem criados, mas o mais tardar quando forem entregues. A operação do software pode ser realizada para a Voith e suas Empresas Afiliadas.

A Voith poderá - além de seu próprio uso - fornecer o software para suas Empresas Afiliadas para uso próprio de acordo com as disposições dos contratos firmados, além de utilizar o software para essas empresas. Este direito de uso é temporário; ele termina seis meses após o momento em que a Voith e a empresa usuária não seja mais afiliada

A Voith pode ter a operação do software realizada por uma empresa terceira (por exemplo, como terceirização ou hospedagem). A Voith deve informar o Fornecedor por escrito com antecedência e deve apresentar a declaração do terceiro ao Fornecedor, a pedido deste último, de que o software será mantido em segredo e usado exclusivamente para os propósitos da Voith e suas Empresas Afiliadas.

Fora do âmbito dos direitos de garantia, a Voith pode ceder o software a terceiros para fins de correção de erros. Ela poderá fornecer o software, incluindo os documentos escritos, a terceiros para treinamento dos seus funcionários ou de suas Empresas Afiliadas.

Estes direitos serão ilimitados quanto à área geográfica, tempo e conteúdo e não têm limitação quanto ao uso e exploração.

Tais direitos de utilização abrangem todos os tipos de utilização, nomeadamente o armazenamento, carregamento, execução e tratamento de dados, tratamento de qualquer forma, incluindo a correção de erros, também por terceiros, incluindo a combinação permanente com os serviços do Fornecedor, o direito de reproduzir e disseminar, o direito de desempenho e apresentação, inclusive em público, o direito de comercializar, fazer alterações, converter, traduzir, fazer adições e desenvolvê-los adicionalmente. O direito de uso também incluirá novas formas de uso futuras. Com relação a novas formas de uso, o Fornecedor deverá indenizar a Voith contra quaisquer reclamações dos autores.

A Voith poderá efetuar cópias de segurança de acordo com a utilização conforme o respetivo estado da arte.

A Voith pode imprimir e copiar o manual do usuário e outras informações e, também, disponibilizá-los para as Empresas Afiliadas.

A Voith poderá conceder sublicenças gratuitas e pagas e outros direitos de uso a esses direitos de uso e transferir direitos de uso a terceiros, sem exigir permissão adicional do Fornecedor.

O Fornecedor deve garantir que aqueles que forem trazidos por ele para cumprir o contrato em seu nome, renunciarão aos seguintes direitos: serem nomeados como autores e terem acesso a quaisquer cópias originais de software ou outro trabalho, como documentação, desenhos e outros Resultados do Trabalho que possam estar protegidos por direitos autorais.

2.2 Direitos de uso não exclusivos da Voith

O Fornecedor concede à Xxxxx e suas Empresas Afiliadas um direito não exclusivo, irrevogável e permanente de usar obras, outros materiais protegidos por direitos autorais e outros conhecimentos técnicos não protegidos ("Know- how") que o Fornecedor já havia desenvolvido ou usado antes do início do contrato e Know-how, software padrão e ferramentas de desenvolvimento (conjuntamente denominados “Propriedade Intelectual do Fornecedor”) adquiridos pelo Fornecedor e seus agentes substitutos no decorrer da prestação do serviço, independentemente do Serviço Contratual. Esses direitos não serão limitados a uma área geográfica específica, serão direitos de uso transferíveis e sublicenciáveis que são cobertos pela compensação acordada, desde que seja necessário para a Voith e suas Empresas Afiliadas usarem os Resultados do Trabalho entregues pelo Fornecedor, sem necessidade de consentimento adicional por parte do Fornecedor. Inclui-se aqui também a reprodução, edição e modificação da Propriedade Intelectual do Fornecedor pela Voith e suas Empresas Afiliadas ou terceiros, desde que isso seja necessário para usar os Resultados do Trabalho.

Este direito de uso das Empresas Afiliadas é temporário; ele termina seis meses após o momento em que a Voith e a empresa usuária não seja mais afiliada.

2.3 Direitos de uso para personalizar serviços

Caso o Fornecedor tenha customizado seu próprio software ou software de terceiros para a Voith, deverá conceder à Voith e suas Afiliadas o direito de uso do mesmo conforme item 2.1.

2.4 Dever de notificar

Antes do término do contrato, o Fornecedor deverá fornecer à Voith uma notificação por escrito de todos os softwares de terceiros, software padrão, ferramentas de desenvolvimento e outros trabalhos (como toda a documentação necessária para o desenvolvimento e processamento dos resultados de desempenho do Fornecedor) a serem usados no contexto do desenvolvimento dos Resultados do Trabalho, incluindo materiais que o Fornecedor usa sob licença. Estes, incluindo os direitos do Fornecedor, devem ser listados no contrato. A menos que acordado em contrário no contrato, o Fornecedor concederá à Voith os direitos de uso de software de terceiros, software padrão, ferramentas de desenvolvimento e outros trabalhos de acordo com o Item 2.2.

2.5 Coautores

Quando os funcionários ou agentes substitutos do Fornecedor forem coautores, o Fornecedor garante que adquiriu deles o direito de outorgar os direitos de uso e exploração previstos nos itens 2.1 e 2.2 acima.

2.6 Direitos às invenções

Quando os Resultados do Trabalho contiverem realizações inventivas, se a invenção tiver sido feita por um funcionário, o Fornecedor se compromete a reivindicá-la em tempo hábil e a transferir a invenção para a Voith. A Voith é livre para tomar a decisão de registrar invenções e adquirir seus direitos de propriedade intelectual em todo o mundo em seu nome ou em nome de terceiros por ele designados. O Fornecedor compromete-se a prestar quaisquer declarações e fornecer assinaturas para obter, manter e defender invenções. Nenhuma remuneração especial será fornecida para isso.

2.7 Concessão de direitos para atualizações e desempenho suplementar

As atualizações, upgrades, adições, novas versões e similares, bem como a documentação atualizada em cada caso (conjuntamente denominadas “Atualizações”) fornecidas à Voith pelo Fornecedor também estarão sujeitas às disposições deste contrato.

2.8 Aplicação continuada

Caso os direitos de uso sejam adquiridos definitivamente e desde que todas as remunerações acordadas tenham sido pagas, os direitos de uso concedidos não serão afetados pela rescisão do contrato ou término de qualquer outra forma.

3. Defeitos e interrupções de desempenho

O Fornecedor deverá ter especial cuidado para que o Serviço Contratado esteja isento de direitos de terceiros que limitem ou excluam sua utilização de acordo com o âmbito contratualmente definido e, que sejam evitadas as reclamações de terceiros de que os direitos de utilização concedidos à Voith violem os direitos deste terceiro. Ele deve documentar os seus próprios processos de aquisição com a maior precisão, garantir uma transferência segura de direitos através da elaboração de contratos com os seus empregados, selecionar subfornecedores com o maior cuidado possível, acompanhar imediata e intensivamente qualquer suspeita de vício de titularidade. Se um terceiro fizer tais reivindicações, o Fornecedor deverá, mediante notificação à Voith, de que seus direitos de uso estão sendo atacados por terceiros, disponibilizar essas informações e seus conhecimentos à Voith sem restrições, a fim de esclarecer os fatos e defender-se contra as supostas reivindicações. Se possível, o Fornecedor deverá celebrar acordos com seus subfornecedores que permitam e assegurem o cumprimento integral dessas obrigações. Em caso de litígio judicial com terceiros, o Fornecedor deverá fornecer provas de acordo com o respectivo tipo de processo (por exemplo, como declaração juramentada ou como documentos originais).

O Fornecedor também deve tomar cuidado especial para garantir que o Serviço

Contratado atenda aos requisitos especiais da Voith, às especificações técnicas especificadas ou acordadas ou outras especificações e seja adequado para o uso planejado que seja consistente com os requisitos de desempenho acordados.

Qualquer desvio do Serviço Contratado em relação à qualidade acordada será sempre considerado um defeito de qualidade. O mesmo se aplica se o Serviço Contratado não for adequado para a utilização prevista no contrato.

A documentação é considerada defeituosa se um usuário experiente com o nível de conhecimento normalmente esperado para usar o software não puder, aplicando esforço razoável com a ajuda da documentação, operar funções individuais ou resolver os problemas que ocorrerem.

O Fornecedor reconhece que a interação harmoniosa entre os Serviços Contratados e os programas atuais, pelo menos aqueles relacionados ao objeto do contrato, é de extrema importância para a Voith, a fim de garantir o funcionamento das suas operações comerciais, que a Voith contratou do Fornecedor a prestação de Serviços e, portanto, este fará tudo para garantir que os Serviços Contratados possam ser operados sem problemas usando o Serviço Contratado com base nos padrões industriais. O Fornecedor reconhece ainda que o cumprimento do Serviço Contratado com os requisitos estatutários vigentes no momento da aceitação é de extrema importância para a Voith e deverá ter um cuidado especial para garantir que tal cumprimento seja possível.

O prazo de prescrição para defeitos de qualidade será de dois anos a partir da aceitação do Serviço Contratado, com exceção de defeitos ocultos que obedecerão ao prazo previsto em regra própria, se houver. O prazo de prescrição para defeitos de titularidade será de dois anos e começará no final do ano civil em que a reclamação surgir e a Voith tomar conhecimento do vício de titularidade (em particular violação de um direito de propriedade intelectual) e o titular tiver recebido a informação ou deveria tê-la feito, a menos que tenha havido negligência grave. A notificação do defeito por parte da Voith suspende o prazo prescricional. A Voith deve informar o Fornecedor sem demora sobre quaisquer defeitos que ocorram até o momento em que o prazo de prescrição se aplicar. Se necessário e após consulta, a Xxxxx será envolvida conforme necessário na análise e retificação do defeito.

3.1 Desempenho suplementar

O Xxxxxxxxxx deve corrigir os defeitos imediatamente e dentro de um período apropriado durante o período de garantia, levando em conta os interesses da Voith, e entregar uma versão melhorada do Serviço Contratado ou fornecer o Serviço Contratado novamente. Se o uso de acordo com o contrato causar prejuízo aos direitos de terceiros, o Fornecedor deverá modificar o Serviço Contratado para que não viole os direitos protegidos ou obter autorização para que o Serviço Contratado possa ser usado de acordo com o contrato sem qualquer limitação e sem custos adicionais para a Voith. O fornecimento de uma solução de substituição ou solução alternativa pode ser feito como uma medida de curto prazo para fornecer uma solução temporária ou contornar os efeitos de um defeito. O defeito não será considerado corrigido até que tenha sido totalmente resolvido dentro de um período de tempo razoável.

Se o Fornecedor não corrigir o defeito imediatamente e se a Voith sofrer uma desvantagem excessivamente alta em relação à desvantagem do Fornecedor devido à falha em remediar o defeito imediatamente, a Voith terá o direito de remediar o defeito ela mesma, de repará-lo ou ainda obter uma substituição às custas do Fornecedor. Os custos com o reparo serão repassados ao Fornecedor que deverá quitar o valor correspondente. Outras reivindicações legais ou contratuais permanecem reservadas.

3.2 Redução do preço, retirada

Se o Fornecedor se recusar a sanar o defeito ou não conseguir fazê-lo ou se o prazo adicional permitido à Fornecedora transcorrer sem que uma solução seja encontrada, a Voith poderá optar por reduzir a remuneração ou rescindir o contrato total ou parcialmente, a menos que ele mesmo resolva o defeito previsto no item 3.1.

3.3 Retenção de pagamento e compensação de pagamentos

Se o Fornecedor não cumprir as suas obrigações, a Voith pode reter o pagamento referente aos Serviços Contratados até que o Fornecedor tenha cumprido integralmente as suas obrigações. A Voith pode deduzir os seus créditos da remuneração devida ao Fornecedor pelo incumprimento das suas obrigações.

3.4 Reembolso de despesas, compensação

Reivindicações mais extensas, inclusive em relação a compensação e reembolso de despesas, não serão afetadas.

4. Software de Código Aberto

Software de Código Aberto (“OSS”) é um software geralmente fornecido gratuitamente e de código aberto e que pode ser usado sob uma licença, que não restringe a redistribuição do software, permite modificações e trabalhos derivados e deve permitir sua redistribuição sob a mesmos termos da licença do software original (“Licença OSS”). As licenças OSS incluem, entre outros, a “Berkeley Software Distribution License” (BSD), “GNU General Public License” (GPL) e a “GNU Lesser General Public License” (LGPL). Licenças Copyleft são licenças que exigem que qualquer trabalho derivado ou baseado no programa seja distribuído ou transmitido somente sob os termos da licença original (“Licença Copyleft”).

4.1 Requisitos

O OSS só pode ser incluído no software fornecido pelo Fornecedor com aprovação prévia por escrito da Xxxxx. A Fornecedor fornecerá à Voith todas as informações e materiais necessários para decidir sobre o uso de OSS no software. Isso inclui:

(i) uma lista transparente e completa de todos os componentes licenciados sob uma licença OSS,

(ii) o texto de cada licença OSS,

(iii) avisos de direitos autorais,

(iv) os resultados de um escaneamento de segurança e vulnerabilidade de última geração de todo o código-fonte aberto usado, e

(v) Uma descrição e documentação claras sobre a integração técnica dos componentes OSS.

O Voith concederá a aprovação a seu exclusivo critério. Uma aprovação concedida deve ser revogada se as informações ou materiais fornecidos forem falsos ou incompletos.

Os textos da Licença OSS e o respectivo código-fonte devem ser fornecidos separadamente. O Fornecedor fornecerá todo o código-fonte aberto na medida em que isso for exigido pelas licenças aplicáveis.

O Fornecedor sempre colocará a Voith em posição de cumprir integralmente todos os requisitos das Licenças OSS aplicáveis.

Esses requisitos também se aplicam a quaisquer atualizações, patches, upgrades ou novas versões do software.

4.2 Responsabilidade

O Fornecedor está ciente de sua responsabilidade especial de proteger a Xxxxx contra danos causados pela integração do software OSS no software fornecido por ele e pelo uso de tal software. Em vista disso, o Fornecedor deverá ter especial cuidado para que:

(i) cumpra sempre os requisitos das Licenças OSS aplicáveis e que a Voith receba todas as licenças necessárias dos autores do OSS incorporado no software,

(ii) possua um Sistema de Conformidade de Código Aberto que esteja de

acordo com as melhores práticas do setor,

(iii) use apenas componentes OSS licenciados sob licenças OSS compatíveis,

(iv) não incorpore nenhuma Licença Copyleft no software,

(v) tenha examinado todo o código-fonte aberto usado no software em busca de riscos de segurança.

4.3 Indenização

O Fornecedor deverá indenizar, defender e isentar de responsabilidade a Voith e suas afiliadas, funcionários, diretores ou agentes de quaisquer reclamações, danos, despesas e responsabilidades que surjam em conexão direta ou indireta com a violação, por parte do Fornecedor, de um dos requisitos anteriores de obrigações, independentemente da teoria jurídica.

5. Ciclo de Vida de Desenvolvimento de Software

Para trabalhos que incluam desenvolvimento de software, o Fornecedor deverá:

(i) adotar uma abordagem de Ciclo de Vida de Desenvolvimento de Software Seguro de acordo com padrões bem conhecidos, como IEC 62443 4-1. Espera-se uma certificação.

(ii) fornecer evidências de que os requisitos de segurança identificados e os controles de segurança correspondentes foram projetados e implementados no software.

(iii) garantir que os testes de segurança apropriados, incluindo, entre outros, verificações estáticas e dinâmicas de código e avaliação contínua de vulnerabilidade, sejam aplicados nos pipelines de desenvolvimento e integração e que quaisquer problemas descobertos sejam corrigidos antes do lançamento do software; e

(iv) permitir que a Voith e/ou seus agentes realizem Avaliações de Vulnerabilidade do software desenvolvido. Se alguma vulnerabilidade com classificação de risco “alta” ou “crítica” for encontrada pela Voith, o Fornecedor deverá tomar medidas para mitigar os riscos antes do lançamento do software.

6. Gerenciamento de Vulnerabilidades

(i) O Fornecedor contratará um serviço de Avaliação de Vulnerabilidade independente e confiável e/ou cooperará e auxiliará um terceiro independente indicado pela Voith na condução de Avaliações de Vulnerabilidade.

(ii) O Fornecedor deverá, mensalmente, revisar suas fontes de informações sobre ameaças e vulnerabilidades no que tange às vulnerabilidades, ameaças e remediações mais recentes relevantes para os sistemas sob sua gestão.

(iv) O Fornecedor deve realizar avaliações de vulnerabilidade em nível de rede e em nível do aplicativo para identificar os controles que podem estar ausentes ou sejam ineficazes para proteger um alvo de ameaças potenciais.

(vi) O Fornecedor deve implementar um plano de remediação com atividades de mitigação assim que uma vulnerabilidade for identificada ou para prevenir o surgimento de uma vulnerabilidade e para priorizar, rastrear e monitorar o progresso do plano. Todos os planos de remediação devem ser documentados para referência futura. Vulnerabilidades com impacto significativo na segurança devem ser corrigidas o mais rápido possível em consenso com a Voith. Para riscos menores e médios, o cronograma de correção deve levar em consideração o custo, o tempo e o esforço necessários para mitigar os riscos.

(vi) O Fornecedor deve testar novamente todas as vulnerabilidades após as atividades de correção, para confirmar que os riscos foram mitigados a níveis aceitáveis, conforme definido pela Voith.

(vii) O Fornecedor deverá fornecer prontamente à Voith o seguinte:

• os relatórios (em formato original) dos resultados e recomendações das Avaliações de Vulnerabilidade fornecidas pelos prestadores de serviços independentes; e

• os planos de remediação do Fornecedor para remediar as vulnerabilidades identificadas.

(viii) O Fornecedor deverá notificar a Voith imediatamente se não conseguir remediar qualquer Vulnerabilidade Crítica ou de Classificação Alta e deverá propor e acordar com a Voith os controles de segurança necessários.

(ix) O Fornecedor deve garantir que todos os aplicativos, middleware, software de back-end, sistemas e redes sejam construídos e configurados com segurança por padrão. Como parte da implantação de compilação padrão, os componentes de tecnologia terão definições de configuração usadas de acordo com fontes de recomendações de segurança autorizadas, como aquelas fornecidas por fornecedores de produtos (por exemplo, Siemens, Microsoft) ou grupos do setor (por exemplo, ISO, IEC, CIS, NIST, SANS, OWASP).

(x) Avaliações de Vulnerabilidade, independentemente do tipo ou alvo, e todo o trabalho e tempo necessários serão custeados pelo Fornecedor e não serão cobrados da Voith.

7. Governança de Segurança

(i) O Fornecedor nomeará um indivíduo (o “Gerente de Segurança da Informação do Fornecedor”) para:

• coordenar e gerenciar todos os aspectos de segurança de acordo com o Contrato; e

• atuar como o único ponto de contato em nome do Fornecedor e seus

Subcontratados no caso de um Incidente de Segurança.

(ii) Caso o Fornecedor deseje alterar o Gerente de Segurança da informação do Fornecedor, notificará a Voith por escrito, fornecendo os dados de contato do substituto.

(iii) Se o Fornecedor tiver alguma dúvida em relação a qualquer aspecto da Segurança de TI ou à implementação dos requisitos deste Anexo, ele consultará a Voith.

8. Gerenciamento de Riscos

(i) Mediante solicitação razoável da Voith, para os casos em que o Fornecedor tiver interação com o sistema de TI da Voith, o Fornecedor o auxiliará com uma Avaliação de Risco de Segurança do trabalho, que pode ser realizada a qualquer momento durante o horário comercial comum.

(ii) Caso quaisquer problemas identificados em uma Avaliação de Risco de Segurança sejam classificados como Alto ou Crítico, o Fornecedor fornecerá toda assistência razoável à Voith na análise dos riscos e identificação de controles apropriados a serem implementados para proteger os Dados ou Serviços da Voith gerenciados ou possuídos pelo Fornecedor de acordo com os requisitos detalhados neste documento.

(iii) Caso o Fornecedor pretenda fazer qualquer alteração material em sua prestação de trabalho, ou a Voith solicite qualquer alteração material no trabalho, o Fornecedor realizará uma Avaliação de Risco de Segurança.

(iv) O Fornecedor garantirá que quaisquer riscos identificados em uma Avaliação de Risco de Segurança sejam prontamente remediados, monitorados e gerenciados até seu fechamento. O Fornecedor deve manter a Voith informada sobre as atividades de correção para todos os riscos identificados durante a Avaliação de Risco de Segurança.

9. Segurança Pessoal

(i) O Fornecedor garantirá que qualquer Fornecedor ou Pessoal do Fornecedor com acesso aos Dados da Voith tenha sido examinado e avaliado de acordo com este contrato e/ou conforme orientado pela Voith.

(ii) O Fornecedor e seus Subcontratados devem garantir que todo o Pessoal do Fornecedor receba o treinamento necessário e esteja ciente de suas responsabilidades em relação às disposições de segurança deste contrato.

(iii) O Fornecedor deve implementar e manter controles apropriados para reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalações pelo Pessoal do Fornecedor.

10. Segurança do Data Center

(i) O Fornecedor deve implementar e manter controles de segurança física e ambiental apropriados para evitar acesso não autorizado, danos e interferência a quaisquer Data Centers que contenham Dados da Voith ou qualquer informação utilizada na realização do trabalho.

(ii) O Fornecedor deve garantir que todos os Data Centers sejam certificados pela ISO 27001 (ou qualquer norma que substitua ou complemente a ISO 27001).

(iii) O Fornecedor deverá notificar a Voith com antecedência razoável por escrito sobre qualquer alteração proposta à quaisquer procedimentos ou políticas aplicáveis a um Data Center que possam razoavelmente aumentar o risco à segurança e integridade dos Dados da Voith.

11. Controle de Acesso

(i) O Fornecedor deve garantir que mecanismos de controle de acesso apropriados sejam empregados para verificar e autenticar todos os usuários (ou entidades), sejam do Fornecedor, de terceiros ou da Voith, antes que o acesso seja concedido.

(ii) Todos os usuários (ou entidades) que acessam ou solicitam acesso ao trabalho serão provisionados, gerenciados e autorizados como parte de um processo de gerenciamento de acesso definido.

(iii) O Fornecedor deve usar um método de autenticação que suporte no mínimo uma combinação de ID de usuário e senha, onde os IDs de usuário e senhas são únicos, não reatribuídos e não compartilhados por um grupo de usuários. No caso de contas administrativas, o fornecedor deverá exigir um fator adicional de autenticação.

(iv) O Fornecedor exigirá que todos os usuários que transitam de um privilégio inferior para um superior ou nível de acesso sensível sejam autenticados novamente.

(v) O Fornecedor deve usar controles apropriados para proteger senhas e outras credenciais de acesso durante o armazenamento e quando transmitidas. O Fornecedor não deve transmitir ou armazenar senhas em texto não criptografado e não exibir visivelmente as senhas nos Sistemas ao fazer login.

(vi) O Fornecedor não deve codificar IDs de usuário e senhas em scripts ou arquivos de texto não criptografado, como shell scripts, arquivos de configuração em lote e strings de conexão.

12. Segurança de Rede

(i) O Fornecedor deverá gerenciar a transmissão dos Dados da Voith em um ambiente de rede sob seu controle direto (ou de uma Subcontratada). A rede deve ser gerenciada e protegida contra ameaças externas, incluindo, entre outros, controle de acesso nos níveis físico, de rede e de aplicativos para

permitir que apenas aqueles que foram legitimamente autorizados pelo Fornecedor tenham acesso aos Dados da Voith. A rede deve ser segregada para impedir o acesso de redes públicas ou não confiáveis, incluindo redes pertencentes a terceiros com os quais o Fornecedor não celebrou um contrato com cláusulas equivalentes às cláusulas destes termos e condições e um contrato de processamento de dados (DPA) separado.

(ii) O Fornecedor deve garantir que os Sistemas sejam atualizados com o software de segurança mais recente e relevante e patches de software de segurança pretextados e autorizados, além de correções de outros Sistemas fornecidos pelo Fornecedor regularmente e em tempo hábil. O Fornecedor deve realizar Avaliações de Vulnerabilidade para avaliar a configuração e o status do patch de software dos sistemas mensalmente.

(iii) O Fornecedor deve garantir que todas as conexões de rede da Voith à rede do Fornecedor que transportam quaisquer Dados da Voith classificados como "CONFIDENCIAIS" em uma rede não confiável, como a Internet, sejam feitas por meio de um link de rede criptografado em conformidade com as Políticas de Segurança da Voith ou padrões publicados como ISO ou NIST.

(iv) O Fornecedor deve garantir que eventos auditáveis sejam gerados, incluindo, entre outros, eventos específicos de segurança, todas as tentativas de acesso bem-sucedidas e malsucedidas na rede e manterá um registro de todas as alterações nas configurações de segurança da rede.

(v) O Fornecedor deve estabelecer, implementar e gerenciar procedimentos e um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM) para monitorar a segurança da rede quanto à suspeita de intrusão ou acesso não autorizado.

(vi) O Fornecedor deve garantir que o processo e os controles usados para realizar o monitoramento de segurança sejam implementados de forma a manter a integridade, confidencialidade e disponibilidade dos eventos relacionados ao monitoramento de segurança coletados.

(vii) O Fornecedor deve manter segregação de quaisquer ambientes de desenvolvimento e teste dos ambientes de produção. Quaisquer dados ativos da Xxxxx que contenham dados pessoais devem ser tornados anônimos (ou seja, convertidos em um formulário que não identifique indivíduos ou permita que os dados sejam reconstruídos para facilitar a identificação) antes de serem usados para teste e tenham a aprovação explícita por escrito da Xxxxx.

(viii) Quando um sistema ou rede do Fornecedor estiver se conectando à rede da Voith, o sistema ou rede do Fornecedor deverá cumprir as Políticas de Segurança da Voith.

13. Subcontratados e Terceiros

(i) Ao contratar um Subcontratado, o Fornecedor deverá providenciar para que o Subcontratado concorde com os mesmos termos e condições contidos neste documento em relação à Segurança de Sistemas de TI/TO e E/E em benefício direto da Voith, além de celebrar um contrato de processamento de dados (DPA) separado, se necessário, considerando principalmente se a Voith e o Fornecedor tiverem celebrado um contrato de processamento de dados (DPA) entre si.

(ii) Mediante solicitação da Voith, o Fornecedor deverá verificar e fornecer um relatório escrito detalhado sobre o cumprimento das obrigações de segurança exigidas dos Subcontratados de acordo com este documento de termos e condições.

(iii) Quando o Fornecedor contratar um terceiro para fins de entrega do trabalho à Xxxxx, o Fornecedor irá:

a) autenticar todos os sistemas de terceiros usando tecnologia e processos para impor o não repúdio;

b) implementar controles para proteger a rede do Fornecedor contra acesso não autorizado entre:

1) a rede de terceiros e a rede do Fornecedor;

2) a rede de terceiros e quaisquer pontos de acesso à Internet; e

3) a rede de terceiros e outras redes de terceiros conectadas à rede do Fornecedor;

c) restringir todas as conexões de entrada e saída de ou a partir de redes de terceiros para hosts específicos, portas e trabalho nesses hosts ao mínimo necessário para atender às necessidades da Voith;

d) comunicar todas as alterações no escopo do trabalho, incluindo alterações nas regras de firewall, à Voith, se solicitado;

e) manter uma lista de todos os indivíduos que têm acesso à rede do Fornecedor e revisar a lista mensalmente;

f) registrar todos os acessos bem-sucedidos e malsucedidos de terceiros e disponibilizá-los para revisão pela Voith quando necessário;

g) notificar imediatamente a Voith sobre quaisquer violações de segurança, incluindo acesso não autorizado real ou suspeito ou comprometimento de qualquer sistema, e tomar as ações corretivas de acordo com estes termos e condições; e

h) revisar todas as conexões de rede de terceiros anualmente ou quando houver uma alteração nas conexões e requisitos de controle de acesso e encerrar quaisquer conexões de terceiros obsoletas ou desnecessárias.

(iv) O Fornecedor será responsável por qualquer violação de dever por parte de seus subcontratados na mesma medida em que for responsável por sua própria violação de dever.

14. Gerenciamento de Incidentes de Segurança

(i) O Fornecedor deve sempre monitorar e verificar se todo o acesso aos Dados da Voith está autorizado e verificar se há Incidentes de Segurança.

(ii) No caso de um Incidente de Segurança Crítico ou Incidente de Segurança Grave, conforme determinado pela Voith, o Fornecedor deverá:

a) notificar a Voith até quatro horas após o Incidente de Segurança (incluindo, quando necessário, escalonar tal notificação);

b) responder imediatamente e de maneira apropriada a tal incidente de acordo com os Níveis de Serviço de Segurança e o procedimento estabelecido no Plano de Resposta a Incidentes de Segurança; e

c) fornecer assistência imediata à Voith e/ou aos representantes da Voith na investigação e reter toda a documentação relacionada para as investigações.

(iii) O Fornecedor não deve divulgar os detalhes de um Incidente de Segurança ou pontos fracos a terceiros sem autorização por escrito da Xxxxx.

(iv) O Fornecedor deverá coletar e proteger evidências na investigação de um Incidente de Segurança usando procedimentos forenses, garantindo uma cadeia de custódia e, quando necessário, conformidade com os requisitos regulamentares.

(v) O Fornecedor deve classificar todos os relatórios de Incidentes de Segurança como “CONFIDENCIAIS” de acordo com a Política de Classificação de Dados da Voith e garantir que os controles apropriados sejam aplicados para proteger essas informações.

(vi) O Fornecedor deverá, no caso de um Incidente de Segurança, fornecer relatórios sobre Incidentes de Segurança. Tais relatórios devem incluir, entre outros:

a) a origem e destino do evento, bem como a hora, data e tipo de evento;

b) uma ponderação de criticidade (Incidente de Segurança de Baixa Prioridade, Grave ou Crítico);

c) um relatório de Análise de Causa Raiz em relação a cada incidente de segurança; e

d) um número de referência individual a ser rastreado.

(vii) Após um Incidente de Segurança, ou conforme solicitado pela Voith, o Fornecedor deverá iniciar uma ação corretiva para minimizar e prevenir futuros Incidentes de Segurança relacionados ao escopo do trabalho.

(viii) O Fornecedor deverá invocar procedimentos de backup e recuperação em resposta a Incidentes de Segurança que resultem em informações perdidas ou danificadas.

15. Auditorias de Segurança

(i) O Fornecedor concederá acesso (durante o horário comercial normal do Fornecedor) à Voith e/ou a quaisquer auditores externos nomeados pela Voith, às instalações e/ou registros do Fornecedor para fins de:

a) revisar a Integridade, confidencialidade e segurança dos Dados do Voith e/ou o escopo do trabalho;

b) garantir que o Fornecedor está cumprindo estes termos e condições; ou

c) realizar uma Avaliação de Vulnerabilidade de qualquer um dos sistemas que contenham Dados da Voith.

(ii) A Voith terá o direito de conduzir uma auditoria de acordo com o parágrafo

(i) uma vez por ano durante a vigência do Contrato, desde que possa conduzi- la sempre que suspeitar razoavelmente que o Fornecedor esteja em violação material destes termos e condições.

(iii) No caso de uma investigação sobre suspeita de atividade fraudulenta ou criminosa relacionada à Segurança de Sistemas de TI/TO e E/E e/ou a prestação do trabalho pelo Fornecedor ou qualquer um de seus Subcontratados, o Fornecedor deverá fornecer à Voith, quaisquer auditores estatutários ou regulamentares da Voith e seus respectivos agentes autorizados, acesso imediato às instalações e registros do Fornecedor para fins de realização de uma auditoria, sendo que prestará toda a assistência necessária para a condução de tal investigação durante o período do Contrato ou posteriormente.

(iv) Cada parte arcará com seus próprios custos e despesas incorridos no exercício de seus direitos ou no cumprimento de suas obrigações.

(v) O Fornecedor deverá, e fará com que seus Subcontratados forneçam à Voith (e/ou seus agentes ou representantes) o seguinte:

a) todas as informações solicitadas pela Voith dentro do escopo permitido de qualquer auditoria;

b) acesso a quaisquer locais ou Data Centers controlados pelo Fornecedor em que qualquer equipamento de propriedade da Voith seja utilizado na execução do trabalho para fins de auditoria;

c) acesso aos registros mantidos nos sistemas de informação do Fornecedor para fins de auditoria; e

d) acesso ao Fornecedor e ao Pessoal do Fornecedor para fins de auditoria.