Contrato de processamento de dados
Data de entrada em vigor: 25.04.2022
Este Contrato de Processamento de Dados (“DPA” ou “Contrato”) faz parte do contrato entre o Cliente e a ECOMZ HOLDING LIMITED, uma empresa devidamente constituída sob as leis de Chipre, sob o número de registro da empresa 309897 e com sede registrada em Georgiou Karyou, 6B, office/flat 6B, Dasoupoli, Strovolos, 2014 (doravante a “Selzy” ou “a Empresa”) para refletir o acordo das partes para a prestação dos Serviços (conforme alterados periodicamente) e o processamento dos Dados Pessoais do Cliente de acordo com os requisitos das Leis de Proteção de Dados.
Este Contrato de Processamento de Dados entrará em vigor a partir da Data de Vigência.
Se você aceitar este Contrato de Processamento de Dados em nome do Cliente, você garante que: (a) tem plena autoridade legal para vincular o Cliente a este Contrato de Processamento de Dados; (b) leu e entendeu este Contrato de Processamento de Dados; e (c) concorda, em nome do Cliente, com este Contrato de Processamento de Dados. Se você não tiver autoridade legal para vincular o Cliente, não aceite este Contrato de Processamento de Dados.
ESCOPO DO DPA
Este DPA será aplicado somente na medida em que as Leis de Proteção de Dados se apliquem ao processamento de Dados Pessoais do Cliente, incluindo se:
- o processamento ocorre no contexto das atividades relacionadas aos Clientes registrados por meio dos nomes de domínio selzy.com, cp.selzy.com ou unione.io. Entre em contato com nosso suporte para obter mais informações sobre alterações no local de processamento de dados.
- o processamento ocorre no contexto das atividades de um estabelecimento do Cliente no EEE; e/ou
- O cliente está oferecendo serviços a titulares de dados que estão no EEE.
Se a entidade do Cliente que assina este DPA for parte dos Termos de Serviço da Selzy, este DPA será um adendo e fará parte dos Termos de Serviço.
Este DPA não substituirá nenhum acordo aplicável anteriormente relacionado ao seu objeto (incluindo qualquer alteração de processamento de dados ou adendo de processamento de dados relacionado aos Serviços).
Se houver qualquer conflito ou inconsistência entre os termos deste DPA e os Termos de Serviço (https://www.selzy.com/en/terms/) os termos e condições estabelecidos neste DPA prevalecerão. Sujeito às alterações neste DPA, os Termos de Serviço permanecem em pleno vigor e efeito.
COMO ASSINAR ESTE DPA:
- Este DPA foi pré-assinado em nome da Selzy.
- Para concluir este DPA, o Cliente deve:
(a)Preencher as informações na caixa de assinatura e assinar na página 8, e (b)Enviar o DPA assinado para Selzy por e-mail para [email protected] indicando, se aplicável, a ID do Cliente (conforme estabelecido no Formulário de Pedido ou fatura aplicável).
Após o recebimento do DPA validamente preenchido pela Selzy neste endereço de e-mail, este DPA se tornará juridicamente vinculativo.
AS PARTES CONCORDAM MUTUAMENTE COM O SEGUINTE:
1. INTRODUÇÃO
Este DPA reflete o acordo das partes sobre os termos que regem o processamento e a segurança dos Dados Pessoais do Cliente em conexão com as Leis de Proteção de Dados.
1.1 DEFINIÇÕES E INTERPRETAÇÃO
“Afiliados” significa qualquer entidade que seja controlada, controle ou esteja em controle comum com a Selzy.
“Selzy” significa a ECOMZ HOLDING LIMITED e suas Afiliadas envolvidas no Processamento de Dados Pessoais.
“Dados Pessoais do Cliente” significa dados pessoais que são processados pela Selzy em nome do Cliente como parte da prestação dos Serviços pela Selzy.
“Incidente de Dados” significa uma violação da segurança da Selzy que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente em sistemas gerenciados ou controlados de outra forma pela Selzy. “Incidentes de Dados” não incluirão tentativas malsucedidas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de login, pings, varreduras de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas em rede.
“Leis de Proteção de Dados” significa, conforme aplicável: (a) o GDPR; e/ou (b) a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).
“Data de Vigência” significa, conforme aplicável:
A data em que o Cliente forneceu à Selzy o DPA devidamente assinado, conforme indicado na seção “COMO ASSINAR ESTE DPA” acima.
“GDPR” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.
“Endereço de E-mail de Notificação” significa o endereço de e-mail (se houver) designado pelo Cliente, por meio da interface do usuário dos Serviços ou outros meios fornecidos pela Selzy, para receber determinadas notificações da Selzy relacionadas a este DPA.
“Dados Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos da sua identidade física, fisiológica, mental, econômica, cultural ou social;
“Tratamento de Dados Pessoais” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, seja por meios automáticos ou não, tais como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, alinhamento ou combinação, bloqueio, apagamento ou destruição (“Processo”, “Processos” e “Processados” terão o mesmo significado).
“Medidas de Segurança” significa medidas para proteger dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado e contra todas as outras formas ilegais de processamento, conforme descrito no documento (ou na parte aplicável, dependendo de quais Serviços o Cliente compra da Selzy), conforme atualizado periodicamente e descrito no Apêndice 2 deste DPA.
“Serviços” significa o fornecimento de licença para usar o software da Selzy ou UniOne, bem como serviços de manutenção e suporte, consultoria ou serviços profissionais e o fornecimento de software como serviço ou quaisquer outros serviços fornecidos sob o Contrato onde a Selzy Processa Dados Pessoais do Cliente.
“Subprocessadores” significa terceiros autorizados pela Selzy a ter acesso lógico e processar Dados Pessoais do Cliente para fornecer partes dos Serviços e qualquer suporte técnico relacionado.
“Prazo” significa o período desde a Data Efetiva até o fim da prestação dos Serviços pela Selzy ao Cliente nos termos do Contrato.
Os termos “Controlador de dados”, “Titular dos dados”, “Dados pessoais”, “Processamento”, “Processador de dados” e “Autoridade supervisora” conforme usados neste DPA, têm os significados fornecidos no GDPR.
2. PROCESSAMENTO DE DADOS PESSOAIS
2.1 Funções e conformidade regulatória; Autorização.
2.1.1 Responsabilidades do Processador e do Controlador.
As partes reconhecem e concordam que:
- o Apêndice 1 das Cláusulas Contratuais Padrão descreve o assunto e os detalhes do processamento de Dados Pessoais do Cliente;
- A Selzy é uma processadora de Dados Pessoais do Cliente de acordo com as Leis de Proteção de Dados;
- O Cliente é um controlador ou processador, conforme aplicável, de Dados Pessoais do Cliente de acordo com as Leis de Proteção de Dados; e
- cada parte cumprirá as obrigações aplicáveis a ela sob as Leis de Proteção de Dados com relação ao processamento de Dados Pessoais do Cliente;
- O Cliente deverá, ao usar ou receber os Serviços, Processar Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados e garantirá que suas instruções para o Processamento de Dados Pessoais estejam em conformidade com as Leis de Proteção de Dados.
- O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais.
2.2 Autorização do Controlador Terceiro.
Se o Cliente for um processador, o Cliente garante à Selzy que as instruções e ações do Cliente com relação aos Dados Pessoais do Cliente, incluindo a nomeação da Selzy como outro processador, foram autorizadas pelo controlador relevante.
2.3 As partes concordam que, com relação ao Processamento de Dados Pessoais, a Selzy ou suas Afiliadas contratarão Subprocessadores de acordo com os requisitos estabelecidos na Seção 7 “Subprocessadores” abaixo.
2.4 Ao celebrar este Contrato de Processamento de Dados, o Cliente instrui a Selzy a processar Dados Pessoais do Cliente somente de acordo com a lei aplicável:
(a) para fornecer os Serviços e qualquer suporte técnico relacionado; (b) conforme especificado por meio do uso dos Serviços pelo Cliente (incluindo nas configurações e outras funcionalidades dos Serviços) e qualquer suporte técnico relacionado; (c) conforme documentado neste Contrato de Processamento de Dados; e (d) conforme documentado em quaisquer outras instruções escritas fornecidas pelo Cliente e reconhecidas pela Selzy como constituindo instruções para fins deste Contrato de Processamento de Dados.
2.5 Exclusão no Término do Prazo.
Após o término do Prazo, o Cliente instrui a Selzy a excluir todos os Dados Pessoais do Cliente (incluindo cópias existentes) dos sistemas da Selzy de acordo com a lei aplicável. A Selzy cumprirá esta instrução o mais rápido possível e dentro de um período máximo de 30 dias, a menos que a lei dos Estados Unidos, da UE ou de um Estado-Membro da UE exija armazenamento.
2.6 Exclusão e arquivamento de contas.
O período geral de retenção de Dados Pessoais é de 30 dias, exceto para os dados gerais de entrega e estatísticas abertas, que são armazenados por pelo menos 180 dias a partir da data de envio. A Selzy reserva-se o direito de excluir ou arquivar qualquer conta inativa (e Dados Pessoais do Cliente associados), ou seja, uma conta que não enviou nenhum e-mail por um período superior a 12 meses.
3. DIREITOS DOS TITULARES DOS DADOS
3.1 Se o Cliente, ao usar ou receber os Serviços, não tiver a capacidade de corrigir, alterar, bloquear ou excluir Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados, a Selzy (levando em consideração a natureza do processamento dos Dados Pessoais do Cliente e, se aplicável, o Artigo 11 do GDPR) auxiliará o Cliente a cumprir qualquer obrigação do Cliente de responder a solicitações de titulares de dados, incluindo (se aplicável) a obrigação do Cliente de responder a solicitações para exercer os direitos do titular de dados estabelecidos no Capítulo III do GDPR, fornecendo a funcionalidade dos Serviços;
3.2 A Selzy deverá, na medida legalmente permitida, notificar imediatamente o Cliente caso receba uma solicitação de um Titular de Dados para acesso, correção, alteração, restrição, exclusão ou exercício de quaisquer outros direitos sob o GDPR dos Dados Pessoais dessa pessoa. A Selzy não responderá a nenhuma solicitação do Titular dos Dados sem o consentimento prévio por escrito do Cliente, exceto para confirmar que a solicitação se refere ao Cliente. A Selzy fornecerá ao Cliente cooperação e assistência em relação ao tratamento da solicitação de um Titular de Dados para acesso aos Dados Pessoais dessa pessoa ou ao exercício de quaisquer outros direitos sob o GDPR, na medida legalmente permitida e na medida em que o Cliente não tenha acesso a tais Dados Pessoais por meio do uso ou recebimento dos Serviços.
4. PESSOAL
4.1 A Selzy garantirá que seu pessoal e contratados envolvidos no Processamento de Dados Pessoais sejam informados sobre a natureza confidencial dos Dados Pessoais, tenham recebido treinamento apropriado sobre suas responsabilidades e estejam sujeitos a obrigações de confidencialidade, conforme descrito no Apêndice 2 deste DPA, e tais obrigações sobreviverão ao término do contrato dessas pessoas com a Selzy.
5. SEGURANÇA DE DADOS
5.1 A Selzy manterá salvaguardas administrativas, físicas e técnicas para proteção da segurança, confidencialidade e integridade dos Dados Pessoais, tais medidas são descritas no Apêndice 2 deste DPA.
5.2 Medidas de segurança da Selzy. A Selzy implementará e manterá medidas técnicas, físicas e organizacionais para proteger a confidencialidade e a integridade dos Dados Pessoais do Cliente contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado, conforme descrito no Apêndice 2 deste DPA (as “Medidas de Segurança”). Conforme descrito no Apêndice 2 deste DPA, as Medidas de Segurança incluem medidas: (a) para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Selzy; (b) para restaurar o acesso oportuno aos dados pessoais após um incidente; e (c) para testes regulares de eficácia. A Selzy pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços.
5.3 Conformidade de segurança pela equipe da Selzy. A Selzy tomará as medidas adequadas para garantir a conformidade com as Medidas de Segurança por seus funcionários, contratados e Subprocessadores na medida aplicável ao seu escopo de desempenho, incluindo a garantia de que todas as pessoas autorizadas a processar Dados Pessoais do Cliente tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade, conforme descrito no Apêndice 2 deste DPA.
5.4 Assistência de segurança Selzy. O Cliente concorda que a Selzy auxiliará o Cliente a garantir a conformidade com quaisquer obrigações do Cliente em relação à segurança de dados pessoais e violações de dados pessoais, incluindo (se aplicável) as obrigações do Cliente de acordo com os Artigos 32 a 34 (inclusive) do GDPR, ao:
- implementar e manter as Medidas de Segurança de acordo com o Apêndice 2 deste DPA; e
- cumprir com os termos da Seção 7 (Incidentes de Dados).
6. SUBPROCESSADORES
6.1 Consentimento para envolvimento do subprocessador. O Cliente autoriza especificamente que a Selzy contrate uma série de Subprocessadores terceirizados em conexão com o fornecimento do Serviço também acessível na Política de Privacidade da Selzy.
A Selzy celebrou um acordo com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que aquelas neste DPA com relação à proteção de Dados do Cliente na medida aplicável à natureza dos Serviços fornecidos por tal Subprocessador.
6.2 Lista de Subprocessadores atuais e notificação de novos Subprocessadores. A Selzy disponibiliza ao Cliente a lista atual de Subprocessadores. Essa lista de Subprocessadores inclui as identidades desses Subprocessadores, disponíveis para o Cliente no Site da Selzy, também acessível na Política de Privacidade da Selzy. A Selzy não tem obrigação de notificar o Cliente sobre a contratação de novos Subprocessadores e confia na capacidade do Cliente de verificar as atualizações da Política de Privacidade da Selzy.
6.3 Requisitos para envolvimento de Subprocessadores. Ao contratar qualquer Subprocessador, a Selzy garantirá por meio de um contrato que:
- o Subprocessador acessa e usa os Dados Pessoais do Cliente apenas na medida necessária para executar as obrigações subcontratadas a ele, e o faz de acordo com o Contrato (incluindo este DPA); e
- se o GDPR se aplicar ao processamento de Dados Pessoais do Cliente, as obrigações de proteção de dados estabelecidas no Artigo 28(3) do GDPR serão impostas ao Subprocessador.
6.4 Direito de objeção para novos subprocessadores.
O cliente pode se opor a qualquer novo Subprocessador notificando a Selzy por escrito. Caso o Cliente se oponha a um novo Subprocessador, a Selzy envidará esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou uso dos Serviços pelo Cliente para evitar o Processamento de Dados Pessoais pelo novo Subprocessador objetado, sem sobrecarregar injustificadamente o Cliente. Se a Selzy não puder disponibilizar tal alteração dentro de um período de tempo razoável, que não deverá exceder trinta (30) dias, o Cliente poderá rescindir o Pedido aplicável com relação apenas aos Serviços que não podem ser fornecidos pela Selzy sem o uso do novo Subprocessador objetado, mediante notificação por escrito à Selzy.
7. INCIDENTES DE DADOS
7.1 Notificação de Incidentes. Se a Selzy tomar conhecimento de um Incidente de Dados, a Selzy irá: (a) notificar o Cliente sobre o Incidente de Dados prontamente e sem demora injustificada (dentro de 72 horas após tomar conhecimento do incidente); e (b) tomar imediatamente medidas razoáveis para minimizar os danos e proteger os Dados Pessoais do Cliente.
7.2 Detalhes do Incidente de Dados. As notificações descreverão, na medida do possível, detalhes da violação de dados, incluindo as medidas tomadas para mitigar os riscos potenciais e as medidas que a Selzy recomenda que o Cliente tome para resolver o incidente de dados.
7.3 Entrega de Notificação. A Selzy enviará sua notificação de qualquer Incidente de Dados para o Endereço de E-mail de Notificação ou, a critério da Selzy (inclusive se o Cliente não tiver fornecido um Endereço de E-mail de Notificação), por outra comunicação direta (por exemplo, por telefone ou reunião presencial). O cliente é o único responsável por fornecer o Endereço de E-mail de Notificação e garantir que ele esteja atualizado e válido.
7.4 Notificações de terceiros. O Cliente é o único responsável por cumprir as leis de notificação de violação aplicáveis ao Cliente e cumprir quaisquer obrigações de notificação de terceiros relacionadas a qualquer Incidente de Dados.
8. INSPEÇÕES DE CONFORMIDADE
8.1 Para demonstrar a conformidade da Selzy com suas obrigações sob este DPA, e mediante solicitação do Cliente, a Selzy fornecerá informações mais detalhadas sobre as medidas de segurança descritas no Apêndice 2 deste DPA.
8.2 Mediante solicitação do Cliente, e sujeito às obrigações de confidencialidade estabelecidas neste DPA, a Selzy disponibilizará ao Cliente que não seja um concorrente da Selzy (ou ao auditor independente terceirizado do Cliente que não seja um concorrente da Selzy) informações sobre a conformidade da Selzy com as obrigações estabelecidas neste DPA e as medidas de segurança conforme descrito no Apêndice 2 deste DPA.
9. AVALIAÇÃO DE IMPACTO NA PROTEÇÃO DE DADOS
Mediante solicitação do Cliente, a Selzy auxiliará o Cliente a garantir a conformidade com quaisquer obrigações do Cliente em relação às avaliações de impacto de proteção de dados e consulta prévia, incluindo (se aplicável) as obrigações do Cliente de acordo com os Artigos 35 e 36 do GDPR, na medida em que o Cliente não tenha acesso às informações relevantes e na medida em que tais informações estejam disponíveis para a Selzy. A Selzy fornecerá assistência razoável ao Cliente na cooperação ou consulta prévia com a Autoridade Supervisora no desempenho de suas tarefas.
10. TRANSFERÊNCIAS DE DADOS
10.1 Na maioria dos casos, os Dados do Cliente são processados pela ECOMZ HOLDING LIMITED registrada na República de Chipre, dentro do Espaço Econômico da União Europeia e hospedada na União Europeia, na Alemanha ou na Letônia, pelos data centers da Amazon Web Services ou TET (Lattelecom), que são totalmente conformes com o GDPR.
10.2 Transferências internacionais. A Selzy pode processar Dados Pessoais do Cliente nos Estados Unidos da América ou na Federação Russa, sujeito às salvaguardas apropriadas nos termos do artigo 46 do GDPR (consulte a cláusula 10.3).
10.3 Quando o Cliente estiver localizado nos Estados Unidos da América, os Dados Pessoais do Cliente poderão ser hospedados pela Selzy nos Estados Unidos da América pela Amazon Web Services em data centers totalmente conformes com o GDPR. Quando o Cliente estiver localizado na Federação Russa, os Dados Pessoais do Cliente poderão ser transferidos para processamento pela Selzy para o centro de dados seguro na Federação Russa. As atividades de processamento de dados na Federação Russa são protegidas por salvaguardas apropriadas sob o artigo 46 GDPR, especificamente pelas cláusulas padrão de proteção de dados adotadas pela Comissão Europeia de acordo com o procedimento de exame. Para transferências de dados de controladores na UE para processadores estabelecidos fora da UE, as medidas de segurança são descritas no Apêndice 2 deste DPA. A Comissão Europeia decidiu que as cláusulas contratuais padrão oferecem salvaguardas suficientes sobre proteção de dados para que os dados sejam transferidos internacionalmente. Você tem o direito de solicitar informações sobre essas salvaguardas contratuais (entre em contato com nosso Diretor de Proteção de Dados).
11. DURAÇÃO DESTE DPA
11.1 Este DPA entrará em vigor na Data de Vigência e, não obstante o término do Prazo, permanecerá em vigor até que todos os Dados Pessoais do Cliente sejam excluídos pela Selzy, conforme descrito neste DPA, e expirará automaticamente após a exclusão.
12. LEI APLICÁVEL
12.1 Este DPA (incluindo quaisquer questões e obrigações não contratuais decorrentes ou associadas a ele) será regido e interpretado de acordo com as leis da República de Chipre.
12.2 Qualquer disputa, controvérsia, processo ou reclamação entre as Partes relacionadas a este Contrato (incluindo quaisquer questões e obrigações não contratuais decorrentes ou associadas a ele) será da competência dos tribunais da República de Chipre.
12.3 Para transferências de dados fora do EEE listadas na cláusula 10.3 protegidas por salvaguardas apropriadas sob o artigo 46 do GDPR, especificamente pelas cláusulas padrão de proteção de dados adotadas pela Comissão de acordo com o procedimento de exame de controladores na UE para processadores estabelecidos fora da UE e Clientes quando o processamento estiver no contexto das atividades de um estabelecimento de países do EEE diferentes da República de Chipre e/ou Clientes que oferecem serviços a titulares de dados que estão em países do EEE diferentes da República de Chipre, a autoridade supervisora principal é a República de Chipre sob o artigo 56 do GDPR.
A autoridade supervisora da República de Chipre dentro do EEE é competente para atuar como autoridade supervisora principal para o processamento transfronteiriço realizado por esse processador de acordo com o procedimento previsto no Artigo 60 do GDPR sob este DPA.
13. ALTERAÇÕES A ESTE DPA
13.1 A Selzy pode alterar este DPA se a alteração:
- for expressamente permitida por este DPA;
- refletir uma mudança no nome ou na forma de uma entidade legal;
- for obrigatória para cumprir a lei aplicável, a regulamentação aplicável, uma ordem judicial ou orientação emitida por um regulador ou agência governamental; ou
- não: (i) resultar em degradação da segurança geral dos Serviços; (ii) expandir o escopo ou remover quaisquer restrições ao processamento de Dados Pessoais do Cliente pela Selzy; e (iii) tiver de outra forma um impacto material adverso nos direitos do Cliente sob este DPA, conforme razoavelmente determinado pela Selzy.
13.2 Notificação de alterações. Se a Selzy pretender alterar este DPA, a Selzy informará o Cliente com pelo menos 30 dias de antecedência (ou um período menor que seja necessário para cumprir com a lei aplicável, regulamentação aplicável, uma ordem judicial ou orientação emitida por um regulador ou agência governamental) antes que a alteração entre em vigor: (a) enviando um e-mail para o Endereço de E-mail de Notificação; ou (b) alertando o Cliente por meio da interface do usuário dos Serviços. Caso o Cliente se oponha a qualquer alteração, ele poderá rescindir o Contrato mediante notificação por escrito à Selzy no prazo de 30 dias após ser informado pela Selzy sobre a alteração.
Apêndice 1
OBJETO E DETALHES DO PROCESSAMENTO DE DADOS
1. Natureza e finalidade do processamento
A Selzy processará os Dados Pessoais do Cliente conforme necessário para fornecer os Serviços de acordo com o Contrato, conforme instruído pelo Cliente em seu uso dos Serviços.
2. Duração do Processamento
Sujeito à Seção 11 do DPA, a Selzy processará Dados Pessoais durante a vigência do Contrato, a menos que acordado de outra forma por escrito.
3. Categorias de Titulares de Dados
O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado a Dados Pessoais relacionados às seguintes categorias de titulares de dados:
- Prospectos, clientes, parceiros comerciais e fornecedores do Cliente (que são pessoas físicas)
- Funcionários ou pessoas de contato de clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente
- Funcionários, agentes, consultores, freelancers do Cliente (que sejam pessoas físicas)
- Usuários do Cliente autorizados pelo Cliente a usar os Serviços
4. Tipos de Dados Pessoais
O Cliente pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado às seguintes categorias de Dados Pessoais:
- Nome e sobrenome
- Título
- País
- Número de telefone
- Endereço postal
- Função
- Empregador
- Informações de contato (empresa, e-mail, telefone, endereço comercial físico)
- Dados do ID
- Endereço(s) IP e nome de domínio
- Dados de localização
5. Categorias especiais de dados (se apropriado):
N/A
6. Operações de Processamento
Os dados pessoais estarão sujeitos às seguintes atividades básicas de processamento (especifique):
- Serviços de TI, digitais, de tecnologia ou de telecomunicações, incluindo o fornecimento de produtos ou serviços de tecnologia, serviços de telecomunicações e rede, serviços digitais, hospedagem, serviços de nuvem e suporte ou licenciamento de software. Incluindo, mas não limitado a:
- Coletar, registrar, organizar, estruturar, armazenar, recuperar, usar, divulgar, apagar e destruir Dados Pessoais do Cliente com a finalidade de fornecer os Serviços e qualquer suporte técnico relacionado ao Cliente de acordo com este Contrato de Processamento de Dados. Os serviços incluem o seguinte: Serviço de marketing SaaS por e-mail/SMS/Viber, serviço de e-mails transacionais, serviços de marketing por e-mail, etc.
Apêndice 2:
MEDIDAS DE SEGURANÇA
A Selzy implementará e manterá as Medidas de Segurança estabelecidas neste Apêndice 2. A Selzy pode atualizar ou modificar tais Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços.
1. PRINCÍPIOS-CHAVE DA PROTEÇÃO DE DADOS DA SELZY
1.1 Todos os sistemas de TI da Selzy são protegidos contra acesso não autorizado.
1.2 Todos os sistemas de TI da Selzy são usados somente em conformidade com as políticas relevantes da empresa.
1.3 Todos os funcionários da Selzy e quaisquer terceiros autorizados a usar os Sistemas de TI, incluindo sem limitação os subprocessadores, devem garantir que estejam familiarizados com estas Políticas e devem cumpri-las em todos os momentos.
1.4 Todos os gerentes de linha garantem que todos os funcionários e subprocessadores sob seu controle e direção cumpram estas Políticas em todos os momentos, conforme exigido no parágrafo 2.3.
1.5 Todos os dados armazenados em Sistemas de TI são gerenciados com segurança em conformidade com todas as partes relevantes do Regulamento Geral de Proteção de Dados da UE 2016/679 (“GDPR”) e todas as outras leis que regem a proteção de dados, estejam em vigor agora ou no futuro.
1.6 Todos os dados armazenados nos Sistemas de TI são classificados adequadamente. Todos os dados assim classificados são tratados adequadamente de acordo com sua classificação.
1.7 Todos os dados armazenados nos Sistemas de TI estão disponíveis apenas para os Usuários com necessidade legítima de acesso.
1.8 Todos os dados armazenados nos Sistemas de TI são protegidos contra acesso e processamento não autorizados.
1.9 Todos os dados armazenados em sistemas de TI são protegidos contra perda e corrupção.
1.10 Todas as violações de segurança relativas aos Sistemas de TI ou quaisquer dados armazenados neles são relatadas e posteriormente investigadas pelo Departamento de TI.
2. MEDIDAS DE SEGURANÇA DE SOFTWARE
2.1 Todos os softwares em uso nos Sistemas de TI (incluindo, sem limitação, sistemas operacionais, aplicativos de software individuais e firmware) são mantidos atualizados e todas e quaisquer atualizações de software, patches, correções e outras versões intermediárias relevantes são aplicadas.
2.2 Sempre que qualquer falha de segurança for identificada em qualquer software, essa falha será corrigida imediatamente ou o software poderá ser retirado dos Sistemas de TI até que a falha de segurança possa ser efetivamente corrigida.
2.3 Nenhum funcionário da Selzy pode instalar qualquer software próprio, seja ele fornecido em mídia física ou baixado, sem a aprovação do Gerente de TI. Qualquer software deve ser aprovado pelo Gerente de TI e só pode ser instalado quando não representar nenhum risco de segurança para os Sistemas de TI e quando não violar nenhum contrato de licença ao qual o software possa estar sujeito.
3. MEDIDAS DE SEGURANÇA ANTIVÍRUS
3.1 Os sistemas de TI da Selzy (incluindo todos os computadores e servidores) são protegidos com antivírus, firewall e outros softwares de segurança de internet adequados. Todos esses softwares são mantidos atualizados com as últimas atualizações e definições de software.
3.2 Todos os sistemas de TI da Selzy protegidos por software antivírus estão sujeitos a uma verificação completa do sistema pelo menos uma vez por semana.
3.3 Todas as mídias físicas (por exemplo, pen drives ou discos de qualquer tipo) usadas pelos funcionários para transferir arquivos devem ser verificadas quanto à presença de vírus antes que qualquer arquivo possa ser transferido. Essas verificações de vírus são realizadas pelo Gerente de Equipe de TI.
3.4 Os funcionários da Selzy estão autorizados a transferir arquivos usando sistemas de armazenamento em nuvem somente com a aprovação do Gerente de TI. Todos os arquivos baixados de qualquer sistema de armazenamento em nuvem são verificados em busca de vírus durante o processo de download.
3.5 Todos os arquivos enviados a terceiros fora da Empresa, seja por e-mail, em mídia física ou por outros meios (por exemplo, armazenamento em nuvem compartilhado), são verificados em busca de vírus antes de serem enviados ou como parte do processo de envio.
4. MEDIDAS DE SEGURANÇA DE HARDWARE
4.1 Os sistemas de TI locais da Selzy estão localizados em salas trancadas com segurança (com acesso concedido aos usuários autorizados por meio de um cartão inteligente).
4.2 Todos os Sistemas de TI locais não destinados ao uso normal pelos Usuários (incluindo, sem limitação, servidores, equipamentos de rede e infraestrutura de rede) estão localizados em salas seguras e com controle de temperatura em armários trancados que podem ser acessados apenas por membros designados do Departamento de TI.
4.3 Todos os dispositivos móveis (incluindo, sem limitação, laptops, tablets e smartphones) fornecidos pela Empresa são sempre transportados com segurança e manuseados com cuidado.
5. SEGURANÇA DE ACESSO
5.1 Os privilégios de acesso para todos os Sistemas de TI são determinados com base nos níveis de autoridade dos funcionários dentro da estrutura organizacional da Selzy Company e nos requisitos de suas funções. Os funcionários não têm acesso a nenhum sistema de TI ou dados eletrônicos que não sejam razoavelmente necessários para o cumprimento de suas funções.
5.2 Todos os sistemas de TI (e em particular dispositivos móveis, incluindo, sem limitação, laptops, tablets e smartphones) são protegidos com uma senha ou código de acesso seguro, ou qualquer outra forma de sistema de login seguro que o Departamento de TI considere apropriado e aprove.
5.3 Todas as senhas são cobertas pelas seguintes medidas de segurança:
- Têm pelo menos 8 caracteres;
- Contém uma combinação de letras maiúsculas e minúsculas, números e símbolos;
- Trocadas pelo menos a cada 90 dias;
- Diferentes da senha anterior;
- Não são óbvias ou facilmente adivinhadas (por exemplo, aniversários ou outras datas memoráveis, nomes, eventos ou lugares memoráveis, etc.); e
- Criadas por usuários individuais.
5.4 Todos os sistemas de TI com monitores e dispositivos de entrada do usuário (por exemplo, mouse, teclado, tela sensível ao toque etc.) são protegidos com um protetor de tela protegido por senha que será ativado após 5 minutos de inatividade.
6. SEGURANÇA DE ARMAZENAMENTO DE DADOS
6.1 Todos os dados, e em particular os dados pessoais, são armazenados com segurança usando senhas.
6.2 Nenhum dado pessoal é armazenado em nenhum dispositivo móvel (incluindo, sem limitação, laptops, tablets e smartphones), seja tal dispositivo pertencente à Selzy ou não.
6.3 Nenhum dado, e em particular dados pessoais, é transferido para qualquer computador ou dispositivo pertencente pessoalmente a um funcionário, a menos que o funcionário em questão seja um subprocessador trabalhando em nome da Selzy e esse funcionário tenha concordado em cumprir integralmente a Política de Proteção de Dados da Empresa e o GDPR.
7. PROTEÇÃO DE DADOS
7.1 Todos os dados pessoais (conforme definido no GDPR) coletados, mantidos e processados pela Selzy são coletados, mantidos e processados estritamente de acordo com os princípios do GDPR, as disposições do GDPR e a Política de Proteção de Dados da Empresa.
7.2 Todos os Usuários que manipulam dados para e em nome da Selzy estão sujeitos e devem cumprir as disposições da Política de Proteção de Dados da Empresa em todos os momentos. Em particular, o seguinte será aplicável:
- Todos os e-mails que contêm dados pessoais confidenciais ou sigilosos são criptografados usando o protocolo TLS SSL;
- Todos os e-mails que contenham dados pessoais confidenciais ou sigilosos são marcados como “confidenciais”;
- Dados pessoais confidenciais e sensíveis podem ser transmitidos somente por redes seguras; a transmissão por redes não seguras não é permitida em nenhuma circunstância;
- Todos os dados pessoais confidenciais e sensíveis a serem transferidos fisicamente, incluindo aqueles em mídia eletrônica removível, são transferidos em um recipiente adequado marcado como “confidencial”.
- Quando quaisquer dados pessoais confidenciais ou sigilosos estiverem sendo visualizados na tela do computador e o computador em questão for deixado sem supervisão por qualquer período de tempo, o funcionário deverá bloquear o computador e a tela antes de se afastar.
7.3 Quaisquer questões relacionadas com a proteção de dados devem ser encaminhadas para o nosso Diretor de Proteção de Dados ([email protected]).
8. DATA CENTERS E SEGURANÇA DE REDE DO PROVEDOR DE HOSPEDAGEM
A Selzy usa o Amazon Web Services para armazenar e analisar dados, incluindo a infraestrutura da AWS Cloud nas regiões Europa (Alemanha) e Europa (Letônia).
9. DISPONIBILIDADE
A AWS identificou componentes críticos do sistema necessários para manter a disponibilidade do nosso sistema e recuperar o serviço em caso de interrupção. Os componentes críticos do sistema são armazenados em backup em vários locais isolados, conhecidos como Zonas de Disponibilidade. Cada Zona de Disponibilidade é projetada para operar de forma independente com alta confiabilidade. As Zonas de Disponibilidade são conectadas para permitir que você arquitete facilmente aplicativos que fazem failover automaticamente entre Zonas de Disponibilidade sem interrupção. Sistemas altamente resilientes e, portanto, disponibilidade de serviço, são uma função do design do sistema. Por meio do uso de Zonas de Disponibilidade e replicação de dados, os clientes da AWS podem atingir objetivos de tempo de recuperação e ponto de recuperação extremamente curtos, bem como os mais altos níveis de disponibilidade de serviço.
10. MANUTENÇÃO DE INFRAESTRUTURA
Manutenção de equipamentos. A AWS monitora e realiza manutenção preventiva de equipamentos elétricos e mecânicos para manter a operabilidade contínua dos sistemas dentro dos data centers da AWS. Os procedimentos de manutenção do equipamento são realizados por pessoas qualificadas e concluídos de acordo com um cronograma de manutenção documentado.
Gestão ambiental. A AWS monitora sistemas e equipamentos elétricos e mecânicos para permitir a identificação imediata de problemas. Isso é feito utilizando ferramentas de auditoria contínua e informações fornecidas por meio de nossos Sistemas de Gerenciamento de Edifícios e Monitoramento Elétrico. A manutenção preventiva é realizada para manter a operacionalidade contínua do equipamento.
11. GOVERNANÇA E RISCO
Gerenciamento de riscos do data center. O AWS Security Operations Center realiza análises regulares de ameaças e vulnerabilidades dos data centers. A avaliação e a mitigação contínuas de potenciais vulnerabilidades são realizadas por meio de atividades de avaliação de risco do data center. Essa avaliação é realizada em adição ao processo de avaliação de risco em nível empresarial usado para identificar e gerenciar riscos apresentados ao negócio como um todo. Esse processo também leva em consideração os riscos regulatórios e ambientais regionais.
Atestado de segurança de terceiros. Os testes de terceiros dos data centers da AWS, conforme documentados em nossos relatórios de terceiros, garantem que a AWS implementou adequadamente as medidas de segurança alinhadas às regras estabelecidas necessárias para obter as certificações de segurança. Dependendo do programa de conformidade e seus requisitos, auditores externos podem realizar testes de descarte de mídia, revisar imagens de câmeras de segurança, observar entradas e corredores em um data center, testar dispositivos de controle de acesso eletrônico e examinar equipamentos do data center.
Redes e Transmissão.
Transmissão de dados. Os datacenters da Selzy são conectados por meio de links privados protegidos por firewalls de rede da AWS para fornecer transferência segura de dados. Isso foi criado para proteger a confidencialidade, integridade e disponibilidade da rede e evitar que dados sejam lidos, copiados, alterados ou removidos sem autorização durante a transferência eletrônica.
Resposta à violação de dados. A Selzy monitora uma variedade de canais de comunicação em busca de violações de segurança, e a equipe de segurança da Selzy reagirá prontamente a incidentes conhecidos.
Superfície de ataque externa. A Selzy considera potenciais vetores de ataque e incorpora tecnologias proprietárias apropriadas e específicas em sistemas voltados para o exterior.
Tecnologias de criptografia. A Selzy usa criptografia HTTPS (também conhecida como conexão SSL ou TLS).
12. SEGURANÇA DO SUBPROCESSADOR
Antes de integrar os Subprocessadores, a Selzy realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que eles forneçam um nível de segurança e privacidade apropriado ao seu acesso aos dados e ao escopo dos serviços que estão contratados para fornecer. Depois que a Selzy tiver avaliado os riscos apresentados pelo Subprocessador, sujeito sempre aos requisitos estabelecidos na Seção 6 do DPA, o Subprocessador deverá celebrar termos contratuais apropriados de segurança, confidencialidade e privacidade.