Pular para o conteúdo

DPA – Cliente

 

Adendo de Processamento de Dados
(Dezembro de 2022)

Este Adendo de Processamento de Dados (“DPA”) é incorporado por referência e faz parte do acordo ou Pedido para o qual o Cliente obtém o direito ou licença de assinatura para usar o Software e os Serviços BigID, e é feito por e entre o Cliente e a BigID (tal acordo e quaisquer Pedidos relacionados coletivamente o “Acordo”).

Este DPA complementa o Contrato e estabelece os termos aplicáveis quando Dados Pessoais (definidos abaixo) são Processados (definidos abaixo) pela BigID nos termos do Contrato. O objetivo do DPA é garantir que tal Processamento seja conduzido em conformidade com as leis aplicáveis e com o devido respeito aos direitos e liberdades dos indivíduos cujos Dados Pessoais são Processados.

O Cliente entende, reconhece e concorda que este DPA se aplica a si mesmo e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, às suas Afiliadas Autorizadas, se e na medida em que a BigID processar Dados Pessoais para os quais tais Afiliadas Autorizadas se qualifiquem como Controladora. Para os fins deste DPA apenas, e exceto quando indicado de outra forma, o termo "Cliente" incluirá o Cliente e as Afiliadas Autorizadas. Todos os termos em letras maiúsculas não definidos aqui terão o significado estabelecido no Contrato.

No curso do fornecimento do Software e dos Serviços ao Cliente de acordo com o Contrato, a BigID pode Processar Dados Pessoais em nome do Cliente, e as Partes concordam em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais, cada uma agindo de forma razoável e de boa-fé.

Termos de Processamento de Dados

1. Definições

  1. Afiliado“significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão enquanto o controle existir.Controlar”, para fins desta definição, significa propriedade ou controle direto ou indireto de mais de 50% dos interesses de voto da entidade em questão.
  2. Leis de proteção de dados aplicáveis" significa a Lei de Proteção de Dados dos EUA e o GDPR que são aplicáveis ao processamento de Dados Pessoais do Cliente sob este DPA.
  3. Afiliado Autorizado" significa uma Afiliada do Cliente que tem permissão para usar o Software e os Serviços de acordo com o Contrato entre o Cliente e a BigID, mas não assinou seu próprio Pedido com a BigID.
  4. Afiliado Europeu Autorizado" significa um Afiliado Autorizado que está sujeito às leis e regulamentos de proteção de dados da Europa (conforme definido abaixo).
  5. BigID" significa a entidade BigID que é parte do Contrato e deste DPA, que pode ser a BigID, Inc., uma empresa constituída no Estado de Delaware.
  6. Controlador" significa uma entidade que determina as finalidades e os meios do Processamento de Dados Pessoais.
  7. Cliente" significa a entidade que executou o Contrato, juntamente com suas Afiliadas Autorizadas (enquanto permanecerem Afiliadas Autorizadas) que têm acesso ao Software e aos Serviços.
  8. Dados do cliente" significa quaisquer dados, informações ou materiais originados pelo Cliente que o Cliente envia à BigID, coleta por meio do uso do Software e dos Serviços ou fornece à BigID no decorrer do uso do Software e dos Serviços.
  9. Titular dos dados" significa a pessoa identificada ou identificável à qual os Dados Pessoais se referem.
  10. Dados desidentificados" significa dados que não podem ser razoavelmente vinculados a uma pessoa física identificada ou identificável, ou a um dispositivo vinculado a tal pessoa, desde que o Cliente ou a BigID possuam tais dados.
  11. "Europa" significa o Espaço Econômico Europeu (que constitui os estados-membros da União Europeia e a Noruega, Islândia e Liechtenstein), bem como, para os fins deste DPA, o Reino Unido e/ou a Suíça.
  12. GDPR” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (o “RGPD da UE”), bem como, para os fins deste DPA, (i) o Regulamento Geral de Proteção de Dados do Reino Unido, conforme faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte em virtude da seção 3 da Lei de Retirada da União Europeia de 2018 (o “RGPD do Reino Unido”); e (ii) a Lei Federal Suíça de Proteção de Dados aprovada em 25 de setembro de 2020 (a “Autoridade de Proteção de Dados Suíça”).
  13. Dados Pessoais" significa qualquer informação relacionada a: (i) uma pessoa física identificada ou identificável e, (ii) uma entidade legal identificada ou identificável (onde tais informações são protegidas de forma semelhante aos dados pessoais ou informações pessoalmente identificáveis sob as Leis de Proteção de Dados aplicáveis, onde para cada (i) ou (ii), tais dados são Dados do Cliente.
  14. Processamento" significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, seja por meios automáticos ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou qualquer outra forma de disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
  15. Processador" significa uma entidade que processa dados pessoais em nome de um controlador, incluindo, conforme aplicável, qualquer "provedor de serviços", conforme o termo é definido pelas leis de proteção de dados dos EUA.
  16. Dados pseudônimos" significa dados pessoais que não podem ser atribuídos a uma pessoa física específica sem o uso de informações adicionais, desde que tais informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizacionais apropriadas para garantir que os dados pessoais não sejam atribuídos a uma pessoa física identificada ou identificável.
  17. Incidente de segurança" significa qualquer violação de segurança confirmada que leve à destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilegal aos Dados Pessoais do Cliente processados pela BigID e/ou seus Subprocessadores em conexão com a prestação do Serviço. "Incidente de Segurança" não inclui tentativas malsucedidas ou atividades que não comprometam a segurança dos dados pessoais, incluindo tentativas malsucedidas de login, pings, varreduras de portas, ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.
  18. Serviços" significa o fornecimento de produtos e serviços pela BigID ao Cliente de acordo com o Contrato.
  19. Cláusulas contratuais padrão” significa o módulo dois das cláusulas contratuais padrão anexadas à Convenção da Comissão Europeia decisão (UE) 2021/914, de 4 de junho de 2021, sobre cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme alterado ou substituído periodicamente, e complementado com os detalhes estabelecidos no Anexo 2 deste APD. Na data deste APD, as Cláusulas Contratuais-Tipo estão disponíveis. aqui.
  20. Subprocessador" significa qualquer Processador contratado pela BigID para auxiliar no cumprimento de suas obrigações com relação ao fornecimento dos Serviços de acordo com o Contrato ou este DPA, onde tal entidade processa Dados Pessoais do Cliente.
  21. Autoridade Supervisora" significa (i) na UE, uma autoridade pública independente estabelecida por um Estado-Membro da UE de acordo com o RGPD da UE, (ii) no Reino Unido, o UK Information Commissioner's Office e (iii) na Suíça, o Swiss Federal Data Protection and Information Commissioner.
  22. Adendo do Reino Unido" significa o Adendo do Reino Unido às Cláusulas Contratuais Padrão emitido de acordo com a Seção 119A da Lei de Proteção de Dados de 2018, conforme alterado ou substituído periodicamente, e complementado com os detalhes estabelecidos no Anexo 2 deste DPA. Na data deste DPA, o Adendo do Reino Unido está disponível [aqui]).
  23. Leis de proteção de dados dos EUA” significa a Lei de Privacidade do Consumidor da Califórnia (“CCPA”) e, uma vez implementada, a Lei de Direitos de Privacidade da Califórnia (“CPRA”), Lei de Proteção de Dados do Consumidor da Virgínia (“VCDPA”), Lei de Privacidade do Colorado (“ColCPA”), Lei de Privacidade de Utah (“UCPA”), Lei de Privacidade de Dados de Connecticut (“CTDPA”) e quaisquer outras leis estaduais ou federais relacionadas à privacidade ou proteção de dados e seus respectivos regulamentos de implementação.

2. Processamento de Dados Pessoais

  1. Papel das Partes. As partes reconhecem e concordam que, com relação ao Processamento de Dados Pessoais sob o Contrato, o Cliente é o Controlador, a BigID é o Processador e a BigID contratará Subprocessadores de acordo com os requisitos estabelecidos na Seção 6 “Subprocessadores” abaixo.
  2. Processamento de dados pessoais pelo cliente. O Cliente deverá, ao utilizar o Software e os Serviços, Processar Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis, incluindo qualquer requisito aplicável para notificar os Titulares dos Dados sobre o uso da BigID como Processadora. Para evitar dúvidas, as instruções do Cliente para o Processamento de Dados Pessoais deverão estar em conformidade com as Leis de Proteção de Dados Aplicáveis. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais os Dados Pessoais foram obtidos.
  3. Processamento de Dados Pessoais pela BigIDA BigID processará Dados Pessoais em nome e somente de acordo com as instruções documentadas do Cliente, inclusive para os fins estabelecidos no Anexo 1 (Detalhes do Processamento) deste DPA, a menos que seja obrigada a processar Dados Pessoais para outros fins pela legislação aplicável. Nesse caso, a BigID notificará o Cliente com antecedência, a menos que a legislação aplicável proíba a notificação. Quando o Cliente estiver localizado na União Europeia, as referências à legislação nesta seção 2.3 serão restritas às leis da União Europeia ou de um Estado-Membro da União Europeia. A BigID informará o Cliente se considerar que, em sua opinião, as instruções do Cliente violariam as Leis de Proteção de Dados Aplicáveis. Nesse caso, o Cliente concorda que a BigID não será obrigada a realizar tal Processamento.
  4. Detalhes do ProcessamentoO objeto do Processamento de Dados Pessoais pela BigID é o fornecimento do Software e a execução dos Serviços de acordo com o Contrato. A duração do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares de Dados Processados sob este DPA são especificados com mais detalhes no Anexo 1 (Detalhes do Processamento) deste DPA.
  5. Segurança do cliente. A BigID implementará medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados Pessoais do Cliente, em conformidade com os padrões de segurança da BigID descritos no Anexo 3 (“Medidas de Segurança”). O Cliente reconhece que as Medidas de Segurança estão sujeitas ao progresso e desenvolvimento técnico e que a BigID poderá atualizá-las ou modificá-las periodicamente, desde que tais atualizações e modificações não prejudiquem ou diminuam a segurança geral dos Serviços.
  6. Termos adicionais de processamento dos Estados Unidos. Quando o Cliente divulga Dados Pessoais sujeitos às Leis de Proteção de Dados dos EUA, as seguintes disposições se aplicam com relação ao processamento de Dados Pessoais relacionados a quaisquer “consumidores” ou “famílias” conforme definido abaixo:
    1. Como Processador do Cliente, a BigID não reterá, usará ou divulgará Dados Pessoais além do estabelecido no Contrato ou conforme permitido pelas Leis de Proteção de Dados dos EUA de maneira consistente com um Processador ou “Provedor de Serviços” (conforme esse termo é definido no CCPA/CPRA).
    2. O Cliente não deverá instruir a BigID a processar ou divulgar Dados Pessoais além do estabelecido para a finalidade comercial explícita de executar os serviços descritos no Contrato, DPA e conforme acordado entre as Partes.
    3. A BigID não deve “vender” (conforme definido pelas Leis de Proteção de Dados dos EUA) ou “compartilhar” (conforme definido pela CPRA) Dados Pessoais fornecidos à BigID em sua função como Processadora.
    4. Exceto quando exigido ou permitido pelas Leis de Proteção de Dados dos EUA, a BigID não deverá liberar, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar Dados Pessoais a terceiros, exceto aos Subprocessadores da BigID que estejam vinculados por termos consistentes com aqueles estabelecidos neste DPA.

3. Direitos dos titulares dos dados

  1. Solicitação do Titular dos Dados. A BigID deverá, na medida legalmente permitida, notificar prontamente o Cliente se a BigID receber especificamente uma solicitação de um Titular dos Dados com relação aos Dados Pessoais para exercer o direito de acesso do Titular dos Dados, direito de retificação, restrição de Processamento, exclusão (“direito de ser esquecido”), portabilidade de dados, objeção ao Processamento ou seu direito de não estar sujeito a uma tomada de decisão individual automatizada, cada solicitação sendo uma “Solicitação do Titular dos Dados”. Levando em consideração a natureza do Processamento, a BigID auxiliará o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder a uma Solicitação do Titular dos Dados, de acordo com o GDPR e as Leis de Proteção de Dados dos EUA. Além disso, caso o Cliente, ao utilizar o Software ou os Serviços, não tenha condições de atender a uma Solicitação do Titular dos Dados, a BigID, mediante solicitação do Cliente, envidará esforços comercialmente razoáveis para auxiliá-lo a responder a tal Solicitação do Titular dos Dados, na medida em que a BigID esteja legalmente autorizada a fazê-lo e a resposta a tal Solicitação do Titular dos Dados seja exigida pelo GDPR e pelas Leis de Proteção de Dados dos EUA. Na medida em que for legalmente permitido, o Cliente será responsável por quaisquer custos decorrentes da prestação de tal assistência pela BigID.

4. Disposições Específicas Europeias

  1. ConformidadeA BigID, como Processadora, cumpriu e continuará a cumprir todas as leis aplicáveis de privacidade e proteção de dados, incluindo, entre outras, a [Legislação de Proteção de Dados da UE]. O Cliente, como Controlador, será responsável por garantir que, em relação aos Dados Pessoais e ao fornecimento do Software e dos Serviços ao Cliente:
    1. Cumpriu e continuará a cumprir todas as leis aplicáveis de privacidade e proteção de dados, incluindo o RGPD; e
    2. Ela tem e continuará a ter o direito de transferir ou fornecer acesso aos Dados Pessoais à BigID para processamento de acordo com os termos do Contrato, incluindo este DPA.
  2. Avaliação de Impacto da Proteção de DadosMediante solicitação do Cliente, a BigID fornecerá ao Cliente a cooperação e a assistência razoáveis necessárias para cumprir sua obrigação, nos termos do GDPR, de realizar uma avaliação de impacto sobre a proteção de dados relacionada ao uso do Software e dos Serviços pelo Cliente, na medida em que o Cliente não tenha acesso às informações relevantes e na medida em que tais informações estejam disponíveis para a BigID. A BigID fornecerá assistência razoável ao Cliente na cooperação ou consulta prévia com uma Autoridade Supervisora no desempenho de suas tarefas relacionadas à Seção 4.2 deste DPA, na medida exigida pelo GDPR.
  3. Segurança do Cliente. Mediante solicitação do Cliente, a BigID fornecerá ao Cliente cooperação e assistência razoáveis necessárias para cumprir as obrigações de segurança do Cliente sob o GDPR e as Leis de Proteção de Dados dos EUA.
  4. Autoridades de Supervisão. A BigID deverá, na medida legalmente permitida, notificar o Cliente sem demora injustificada se uma Autoridade Supervisora ou autoridade policial fizer qualquer consulta ou solicitação de divulgação referente a Dados Pessoais.
  5. Entrada nas Cláusulas Contratuais Padrão: As Cláusulas Contratuais Padrão e os termos adicionais especificados nesta Seção são incorporados a este DPA por referência e se aplicam às transferências de Dados Pessoais para a BigID de (i) o Cliente, se estiver sujeito às leis e regulamentos de proteção de dados da Europa, e (ii) suas Afiliadas Europeias Autorizadas. Na medida em que tal transferência de Dados Pessoais seja:
    1. sujeito ao RGPD do Reino Unido e não ao RGPD da UE, então as Cláusulas Contratuais Padrão serão alteradas de acordo com o Adendo do Reino Unido, ou
    2. sujeito ao GDPR do Reino Unido e ao GDPR da UE, a BigID e o Cliente deverão cumprir as Cláusulas Contratuais Padrão (a) como estão, e (b) paralelamente, conforme alteradas pelo Adendo do Reino Unido, mas apenas na medida em que a transferência de Dados Pessoais esteja sujeita ao GDPR do Reino Unido e sem prejuízo de suas obrigações sob as Cláusulas Contratuais Padrão.

Para efeitos das Cláusulas Contratuais Padrão (incluindo o Adendo do Reino Unido, quando aplicável), o Cliente e quaisquer Afiliadas Europeias Autorizadas serão considerados, cada um, um “exportador de dados”, e a BigID será considerada a “importadora de dados”.

5. Pessoal BigID

  1. Confidencialidade. A BigID garantirá que seu pessoal envolvido no Processamento de Dados Pessoais seja informado sobre a natureza sensível dos Dados Pessoais, tenha recebido treinamento apropriado sobre suas responsabilidades e tenha executado acordos de confidencialidade por escrito.
  2. Confiabilidade. A BigID tomará medidas comercialmente razoáveis para garantir a confiabilidade de qualquer funcionário da BigID envolvido no Processamento de Dados Pessoais.
  3. Limitação de acesso. A BigID garantirá que o acesso da BigID aos Dados Pessoais seja limitado ao pessoal que fornece o Software e executa os Serviços de acordo com o Contrato.
  4. Encarregado da Proteção de Dados. A BigID tem uma entidade estabelecida na UE, onde um representante da UE pode ser contatado em [email protected].

6. Subprocessamento

  1. Subprocessadores. O Cliente reconhece e concorda que a BigID pode contratar Subprocessadores em conexão com o fornecimento do Software e dos Serviços em nome do Cliente. Os Subprocessadores atualmente contratados pela BigID e autorizados pelo Cliente estão listados em https://bigid.com/sub-processors/ (“Lista de subprocessadores”) que incluirá as identidades e os detalhes desses Subprocessadores. A BigID: (i) celebrará um contrato por escrito com cada Subprocessador, impondo termos de proteção de dados que exijam que o Subprocessador proteja os Dados Pessoais do Cliente de acordo com o padrão exigido pelas Leis de Proteção de Dados Aplicáveis e não menos protetivos do que aqueles neste Contrato com relação à proteção de Dados Pessoais, na medida aplicável à natureza dos serviços prestados por tal Subprocessador; e (ii) permanecerá responsável perante o Cliente pelo cumprimento das obrigações de proteção de dados de tal Subprocessador sob tais termos.
  2. Alterações nos Subprocessadores. Periodicamente, a BigID poderá precisar adicionar ou fazer alterações em nossa Lista de Subprocessadores. O Cliente poderá se opor à nomeação de Subprocessadores adicionais dentro de quinze (15) dias corridos a partir de tal notificação, com base em motivos razoáveis relacionados ao Processamento de Dados Pessoais, caso em que a BigID terá o direito de sanar a objeção por meio de uma das seguintes opções (a serem selecionadas a critério exclusivo da BigID): (a) a BigID cancelará seus planos de usar o Subprocessador com relação aos Dados Pessoais ou oferecerá uma alternativa para fornecer o Software e os Serviços sem tal Subprocessador; ou (b) a BigID tomará as medidas corretivas solicitadas pelo Cliente em sua objeção (que removem a objeção do Cliente) e prosseguirá com o uso do Subprocessador com relação aos Dados Pessoais; ou (c) se nenhuma das opções acima estiver razoavelmente disponível e a objeção não tiver sido resolvida para satisfação mútua razoável das partes dentro de um período de trinta (30) dias corridos após o recebimento da objeção do Cliente pela BigID, qualquer uma das partes poderá rescindir o Contrato e o Cliente terá direito a um reembolso proporcional pelas taxas pagas antecipadamente pelo Software e Serviços não executados até a data da rescisão.
  3. Substituição de emergênciaA BigID poderá substituir um Subprocessador se a necessidade da alteração for urgente e necessária para o fornecimento do Software e dos Serviços, e o motivo da alteração estiver além do controle razoável da BigID. Nesse caso, a BigID atualizará a Lista de Subprocessadores online assim que for razoavelmente possível, e o Cliente se reserva o direito de se opor à substituição do Subprocessador, de acordo com a Seção 6.3 acima.
  4. Responsabilidade. A BigID será responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que seria responsável se executasse os serviços de cada Subprocessador diretamente sob os termos deste DPA, exceto conforme estabelecido de outra forma no Contrato.

7. Segurança

  1. Controles para a Proteção de Dados Pessoais. A BigID fará esforços comercialmente razoáveis para proteger os Dados Pessoais contra qualquer Incidente de Segurança e manterá um programa de segurança da informação que inclua medidas administrativas, físicas e técnicas projetadas para garantir um nível de segurança apropriado ao risco associado à atividade de Processamento, incluindo (conforme aplicável) as medidas mencionadas no Artigo 32 do GDPR.
  2. Confidencialidade do Processamento. A BigID garantirá que qualquer pessoa que ela autorize a processar os Dados Pessoais (incluindo sua equipe, agentes, subcontratados e subprocessadores) estará sujeita a um dever de confidencialidade que sobreviverá ao término de seu emprego e/ou relacionamento contratual.
  3. Incidente de segurançaAo tomar conhecimento de um Incidente de Segurança, a BigID notificará o Cliente sem demora injustificada e de acordo com os termos do Contrato, mas em no máximo setenta e duas (72) horas, e fornecerá as informações oportunas que o Cliente razoavelmente exigir para que ele possa cumprir quaisquer obrigações de comunicação de violação de dados previstas na legislação aplicável. A BigID tomará medidas para investigar e remediar imediatamente a causa de tal Incidente de Segurança. A BigID disponibilizará todas as informações que o Cliente razoavelmente exigir para fins de comprovação de conformidade com suas obrigações previstas no GDPR e nas Leis de Proteção de Dados dos EUA.
  4. Certificações e auditorias de terceiros. Mediante solicitação por escrito do Cliente em intervalos razoáveis e sujeita às obrigações de confidencialidade estabelecidas no Contrato, a BigID responderá à avaliação razoável de risco de terceiros do Cliente e disponibilizará a um Cliente que não seja um concorrente da BigID (ou auditor terceirizado independente do Cliente que não seja um concorrente da BigID) uma cópia das auditorias ou certificações de terceiros mais recentes da BigID, conforme aplicável, para demonstrar sua conformidade com este DPA.
  5. Exclusão de Dados. Após a rescisão ou expiração do Contrato, a BigID deverá, de acordo com os termos do Contrato e mediante solicitação do Cliente, excluir todos os Dados Pessoais relevantes em posse da BigID, exceto na medida em que a BigID seja obrigada por qualquer lei aplicável a reter alguns ou todos os Dados Pessoais. Se o Cliente optar por Quando a BigID for obrigada por lei aplicável a reter alguns ou todos os Dados Pessoais, a BigID estenderá as proteções do Contrato e deste DPA a tais Dados Pessoais e limitará qualquer Processamento adicional de tais Dados Pessoais apenas às finalidades limitadas que exigem a retenção, enquanto a BigID reter os Dados Pessoais. Quando o Cliente estiver localizado na União Europeia, as referências à lei nesta seção 7.5 serão restritas às leis da União Europeia ou de um Estado-Membro da União Europeia.

8. Diversos

  1. Exceto conforme alterado por este DPA, o Contrato permanecerá em pleno vigor e efeito.
  2. Se houver conflito entre o Contrato e este DPA, os termos deste DPA prevalecerão.
  3. Quaisquer reclamações apresentadas sob este DPA estarão sujeitas aos termos e condições do Contrato, incluindo, mas não se limitando às exclusões e limitações nele incluídas.
  4. Este DPA entra em vigor na data do Contrato e permanecerá em vigor até a expiração ou rescisão do mesmo, momento em que será rescindido automaticamente.

ANEXO 1 – DETALHES DO PROCESSAMENTO

Natureza e finalidade do processamento

A BigID (e quaisquer Subprocessadores que ela contrate) Processará Dados Pessoais conforme necessário para fornecer o Software e executar os Serviços de acordo com o Contrato e conforme as instruções adicionais do Cliente em seu uso do Software e dos Serviços. Isso inclui:

  1. Fornecer o Software e os Serviços ao Cliente.
  2. Para que o Cliente possa usar o Software e os Serviços, incluindo qualquer Processamento iniciado pelos Usuários do Cliente no uso do Software e dos Serviços.
  3. Para cumprir instruções razoáveis documentadas fornecidas pelo Cliente (por exemplo, via e-mail), quando tais instruções forem consistentes com os termos do Contrato.
  4. Executar o Contrato e as Ordens aplicáveis, este DPA e/ou outros contratos executados pelas Partes.
  5. Prestar suporte e manutenção técnica, se acordado no Contrato.
  6. Resolução de disputas.
  7. Fazer cumprir o Contrato, este DPA e/ou defender os direitos da BigID.
  8. Gestão do Contrato, do DPA e/ou outros contratos executados pelas Partes, incluindo pagamento de taxas, administração de contas, contabilidade, impostos, gestão, litígios.
  9. Cumprir as leis e regulamentações aplicáveis, inclusive cooperar com autoridades fiscais locais e estrangeiras, prevenir fraudes, lavagem de dinheiro e financiamento do terrorismo.
  10. Todas as tarefas relacionadas a qualquer uma das opções acima.

Duração e frequência do processamento e período durante o qual os dados pessoais serão retidos

Sujeito à Seção 7.5 do DPA, a BigID processará Dados Pessoais continuamente durante a vigência do Contrato, a menos que acordado de outra forma por escrito.

Categorias de titulares de dados

O Cliente pode enviar Dados Pessoais ao Software e aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado a Dados Pessoais relacionados às seguintes categorias de titulares de dados:

  • Usuários finais ou consumidores e/ou clientes do cliente
  • Usuários do Cliente autorizados pelo Cliente a usar o Software e os Serviços
  • Prospectos, clientes, parceiros comerciais e fornecedores do cliente (que são pessoas físicas)
  • Funcionários, agentes, consultores, fornecedores, freelancers de Clientes (que são pessoas físicas) ou pessoas de contato de clientes potenciais, clientes, parceiros comerciais e fornecedores do Cliente
  • Funcionários, agentes, consultores, freelancers do Cliente (que sejam pessoas físicas)

Tipo de Dados Pessoais

O Cliente pode enviar Dados Pessoais ao Software e aos Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado às seguintes categorias de Dados Pessoais:

  • Primeiro e último nome
  • Título
  • Posição
  • Empregador
  • Informações de contato (e-mail, telefone, endereço físico)
  • Dados de identificação
  • Dados da vida profissional
  • Dados de vida pessoal
  • Dados de localização

ANEXO 2 – INFORMAÇÕES SOBRE TRANSFERÊNCIAS INTERNACIONAIS

Quando as Cláusulas Contratuais Padrão se aplicam:

  • O Anexo IA é completado com os nomes, endereços e pessoas de contato das partes, conforme estabelecido no Acordo.
  • As assinaturas de cada parte e a data do Acordo são consideradas inseridas.
  • A função do Cliente é especificada como “controlador” e a função do BigID é especificada como “processador”.
  • O Anexo IB é completado com as informações estabelecidas no Anexo 1 deste DPA, bem como os detalhes das restrições e salvaguardas estabelecidas no Anexo 3 deste DPA que, levando em consideração a natureza dos dados e os riscos envolvidos, se aplicam a todos os Dados Pessoais transferidos, incluindo dados sensíveis.
  • O Anexo II é completado com os detalhes das medidas técnicas e organizacionais estabelecidas no Anexo 3 deste DPA.
  • O Anexo IC é completado da seguinte forma:
    • Quando o processamento de Dados Pessoais pelo Cliente não se enquadra no escopo do GDPR da UE, o Information Commissioner's Office do Reino Unido é inserido como a autoridade supervisora competente, conforme o Adendo do Reino Unido.
    • Quando o processamento de Dados Pessoais pelo Cliente estiver dentro do escopo do GDPR da UE, a autoridade supervisora competente será (i) a autoridade supervisora no estado-membro da UE em que o Cliente estiver estabelecido, ou (ii) (se o Cliente não estiver estabelecido na UE) o estado-membro da UE em que o Cliente tiver nomeado seu representante na UE, ou (iii) (se o Cliente não estiver estabelecido na UE e não tiver nomeado um representante na UE) a Comissão Irlandesa de Proteção de Dados.
  • A Opção 1 é excluída da cláusula 9(a) e o prazo relevante será o estabelecido nas Seções 6.3 e 6.4 acima. A “lista acordada” mencionada nesta disposição será a Lista de Subprocessadores mencionada na Seção 6.2 deste DPA.
  • A redação opcional da cláusula 11(a) é excluída.
  • A opção 2 é eliminada da cláusula 17, e:
    • quando o processamento dos Dados Pessoais pelo Cliente não se enquadrar no âmbito do RGPD da UE, a lei aplicável será a lei da Inglaterra e do País de Gales; mas
    • quando o processamento dos Dados Pessoais pelo Cliente estiver dentro do escopo do GDPR da UE, a lei aplicável será a lei da República da Irlanda.
  • A cláusula 18(b) é completada da seguinte forma:
    • Quando o processamento dos Dados Pessoais pelo Cliente não se enquadra no âmbito do RGPD da UE, com as palavras “Inglaterra e País de Gales”; ou
    • Quando o processamento dos Dados Pessoais pelo Cliente estiver dentro do escopo do GDPR da UE, com as palavras “República da Irlanda”.

Quando o Adendo do Reino Unido se aplicar, além das informações relacionadas às Cláusulas Contratuais Padrão estabelecidas neste Anexo acima:

  • A Tabela 1 é preenchida com a data de início sendo a data do Contrato, e os nomes legais e comerciais, endereço principal, número de registro oficial, nome do contato principal, cargo e informações de contato (incluindo endereço de e-mail) das Partes, conforme estabelecido no Contrato. As assinaturas de cada parte são consideradas inseridas no Contrato principal.
  • As Tabelas 2 e 3 são preenchidas com as informações sobre as Cláusulas Contratuais Padrão estabelecidas neste Anexo acima, aplicáveis conforme pertinente a uma transferência de acordo com a Cláusula 4.5 deste DPA. A primeira opção na Tabela 2 é selecionada, e essa tabela é preenchida com a data do Contrato.
  • A Tabela 4 é preenchida para que qualquer uma das Partes possa rescindir o Adendo do Reino Unido se o Adendo do Reino Unido for alterado pelo Escritório do Comissário de Informações do Reino Unido, e as Partes concordam que, uma vez que o Adendo do Reino Unido tenha terminado, o Cliente não transferirá mais dados pessoais sujeitos ao GDPR do Reino Unido para a BigID sob o Contrato e este DPA, a menos que uma salvaguarda de transferência alternativa tenha sido colocada em prática para satisfação razoável da BigID.

ANEXO 3 – MEDIDAS DE SEGURANÇA

I. DEFINIÇÕES; APLICABILIDADE

Este Anexo 3, Medidas de Segurança (“Medidas de segurança”), é incorporado por referência e faz parte do Contrato de Processamento de Dados (“DPA”). Todos os termos em letras maiúsculas não definidos nestas Medidas de Segurança ou no APD terão o significado estabelecido no Contrato. O Cliente reconhece e concorda que estas Medidas de Segurança podem ser utilizadas para uma implantação de software BigID local ou uma implantação de software BigID hospedado; desde que, no entanto, no caso de uma implantação de software BigID local, apenas a Seção 2 (“Certificações e Auditorias de Segurança”), a Seção 3 (“Treinamento de Segurança, Obrigações de Confidencialidade e Verificações de Antecedentes”) e a Seção 12 (“Práticas de Codificação Segura”) do Artigo III destas Medidas de Segurança sejam aplicáveis.

  • “Software hospedado” significa software e serviços BigID disponibilizados para acesso e uso ao Cliente sob demanda pela Internet.

II. CONTROLES DE SEGURANÇA DE DADOS DO FORNECEDOR DE NUVEM

O BigID usa um subprocessador para fornecer o ambiente de infraestrutura para executar o software hospedado (o “Fornecedor de nuvem”). Consequentemente, o Software Hospedado opera dentro da estrutura de segurança do Fornecedor de Nuvem. A BigID reserva-se o direito de mudar para um Fornecedor de Nuvem diferente, de acordo com os termos do DPA e do Contrato, ou para um data center operado pela BigID ou sua afiliada; desde que os arranjos de segurança de dados sejam, no mínimo, consistentes com os padrões vigentes do setor e as disposições destas Medidas de Segurança não sejam substancialmente reduzidas. As certificações de segurança atuais do Fornecedor de Nuvem incluem ISO 27001 e SOC2, que podem ser modificadas periodicamente pelo Fornecedor de Nuvem ou caso a BigID mude de Fornecedor de Nuvem. Como parte do processo de obtenção e manutenção dessas certificações, o Fornecedor de Nuvem implementou diversos procedimentos, incluindo: (a) verificação de antecedentes de pessoal e treinamento de conscientização sobre segurança; (b) salvaguardas de controle de acesso físico e lógico; (c) planos de resposta a incidentes; e (d) planos de recuperação de desastres e continuidade de negócios.

1. VISÃO GERAL

Embora nenhuma empresa possa impedir todos os possíveis ataques de hackers ou outras condutas criminosas, a BigID mantém um programa de segurança com medidas administrativas, físicas e técnicas, juntamente com o programa de segurança e as certificações de segurança do Fornecedor de Nuvem, que foi criado para proteger os Dados Pessoais contra qualquer Incidente de Segurança e garantir um nível de segurança apropriado ao risco associado à atividade de Processamento.

Sem limitar o exposto acima, o programa de segurança da BigID, que é adicional ao programa de segurança do Fornecedor de Nuvem, atualmente inclui os elementos descritos nas Seções 2 a 17 abaixo.

2. CERTIFICAÇÕES E AUDITORIAS DE SEGURANÇA
A BigID manterá um certificado emitido por uma autoridade certificadora terceirizada de renome, comprovando sua conformidade com a norma ISO/IEC 27001:2013 ou qualquer norma sucessora. A BigID também obterá e manterá um relatório de auditoria SSAE18 SOC 2, Tipo II, abrangendo qualquer sistema ou processo utilizado no Processamento de Dados Pessoais e qualquer sistema que possa representar um risco para tais sistemas e processos. Imediatamente após receber solicitações por escrito do Cliente, até uma vez por ano, a BigID fornecerá uma cópia de sua certificação ISO ou resumo de auditoria de terceira parte mais recente, ou relatório de auditoria SSAE18 SOC 2, Tipo II, ou quaisquer atestados ou resumos recentes de testes de penetração de terceira parte.

3. TREINAMENTO DE SEGURANÇA, OBRIGAÇÕES DE CONFIDENCIALIDADE E VERIFICAÇÕES DE ANTECEDENTES
A BigID fornece um programa obrigatório de conscientização e treinamento em segurança e privacidade para todos os funcionários e contratados da BigID (exceto Subprocessadores) que podem ter acesso a Dados Pessoais no desempenho de seus serviços (coletivamente, “Trabalhadores com acesso”). Todos os Trabalhadores com Acesso também estão sujeitos às obrigações de confidencialidade estabelecidas no Contrato. Além disso, a BigID realiza verificações de antecedentes consistentes com as práticas vigentes para empresas similares em relação à contratação ou contratação de todos os Trabalhadores com Acesso. A BigID não contratará ou contratará nenhum Trabalhador com Acesso se a verificação de antecedentes comprovar que o indivíduo foi condenado por crime envolvendo roubo, desonestidade, fraude ou crimes cibernéticos; desde que, no entanto, os compromissos da BigID com relação às verificações de antecedentes estejam sujeitos, em todos os momentos, às Leis Aplicáveis relativas a tais verificações de antecedentes.

4. PROGRAMAS DE CRIPTOGRAFIA

  • Política de criptografia.  O BigID tem uma política de criptografia de segurança documentada que determina o uso da criptografia, os padrões de criptografia aplicáveis e a força da criptografia.
  • Criptografia em trânsito.  Criptografia em trânsito utilizando tecnologia de criptografia padrão (por exemplo, Transport Layer Security (TLS), IPSec e SMB).
  • Criptografia em repouso.  Todos os Dados Pessoais em repouso são criptografados usando criptografia simétrica padrão do setor.

5. SERVIÇOS ANTI-MALWARE
O BigID utiliza serviços de programas antimalware de terceiros destinados a proteger contra malware que afeta serviços e funções do sistema, conforme descrito abaixo:

  • A BigID fornece, oferece suporte e mantém um serviço antimalware que fornece proteção em tempo de execução contra executáveis maliciosos.

6. SEGURANÇA FÍSICA
A BigID usará esforços comercialmente razoáveis para confirmar que o Fornecedor de Nuvem mantém controles de segurança de acesso físico para o data center, incluindo camadas de segurança de defesa em profundidade que incluem cercas de perímetro, câmeras de vídeo, pessoal de segurança, entradas seguras e redes de comunicação em tempo real.

7. ELIMINAÇÃO DE DADOS
Após a rescisão ou expiração do Contrato, a BigID deverá, mediante solicitação do Cliente, excluir todos os Dados Pessoais relevantes em posse da BigID, de acordo com os termos do DPA e do Contrato; no entanto, a BigID poderá reter cópias dos Dados do Cliente em conformidade com os mesmos. Exclusão significa que os Dados Pessoais se tornam inacessíveis, indecifráveis ou de outra forma irrecuperáveis.

8. OUTROS CONTROLES DE ACESSO
Conforme descrito na Seção 9 (“Política de Controle de Acesso e Gerenciamento de Senhas”), a BigID possui políticas, procedimentos e controles lógicos projetados para limitar o acesso ao Software Hospedado a pessoal devidamente autorizado, mediante solicitação, para impedir que pessoas que não deveriam ter acesso obtenham acesso e para remover o acesso de pessoas em tempo hábil em caso de mudança nas responsabilidades ou no status do cargo. Para Trabalhadores com Acesso, os procedimentos operacionais padrão da BigID limitam ainda mais esse acesso à resolução de problemas com componentes do sistema, em vez da visualização de quaisquer Dados Pessoais (exceto em situações em que a visualização incidental de Dados Pessoais possa ser necessária em conexão com a resolução de um problema ou resposta a uma solicitação do Cliente).

9. POLÍTICA DE CONTROLE DE ACESSO E GERENCIAMENTO DE SENHAS

  • Requisitos gerais de senha. A BigID possui uma Política de Controle de Acesso e Gerenciamento de Senhas, além de um sistema automatizado de gerenciamento de senhas para garantir a aplicação dos requisitos da política. A política abrange todos os sistemas, aplicativos e bancos de dados aplicáveis. Há classes de uso de senhas nos ambientes corporativos e de software hospedado da BigID, conforme detalhado abaixo. As práticas de senhas padrão do setor são implementadas para proteger contra o uso não autorizado de senhas, incluindo: (a) comprimento mínimo da senha; (b) complexidade da senha; (c) histórico de senhas; (d) bloqueio de senha para tentativas de senha malsucedidas; e (e) senhas iniciais geradas aleatoriamente.
  • Gerenciamento de identidade e senhas do BigID Enterprise. A empresa BigID usa um serviço de autenticação multifator de logon único para autenticar todos os indivíduos na organização e para autenticar o acesso aos sistemas que oferecem suporte e operam o Software Hospedado (o “Back-end”).
    • Acesso front-end. O BigID emprega os seguintes métodos em relação ao acesso à interface do usuário (o “Front-End”):
      • O Cliente controla os logins do Front-End em sua Geo por meio de um sistema de gerenciamento de senhas que utiliza o provedor de autenticação de usuário, como o Active Directory. O Cliente controla as políticas de senha do Front-End para seus Usuários Autorizados e pode escolher entre qualquer provedor de autenticação compatível no Software Hospedado, incluindo requisitos de duração, expiração, reutilização e complexidade, além de opções de bloqueio e redefinição.
      • O BigID oferece suporte à integração com seu serviço de autenticação multifator de logon único para que os clientes restrinjam o acesso por meio do front-end.
    • Acesso de back-end. O BigID emprega os seguintes métodos em relação ao acesso ao Back-End:
      • Todas as conexões com recursos de back-end são intermediadas por meio de uma solução de gerenciamento de acesso privilegiado, que registra o ID de usuário exclusivo que criou as conexões. Somente membros específicos do BigID podem acessar contas de back-end por meio da solução de gerenciamento de acesso privilegiado, e todo acesso a essa solução requer autenticação por meio de um serviço de autenticação multifator de logon único.

10. PLANOS DE RECUPERAÇÃO DE DESASTRES E CONTINUIDADE DE NEGÓCIOS

O Fornecedor de Nuvem e a BigID possuem planos de recuperação de desastres e continuidade de negócios em vigor. Esses planos incluem um data center de backup separado e uma estrutura formal pela qual um evento não planejado será gerenciado para minimizar a perda de recursos vitais. A estrutura formal inclui uma política de backup definida e procedimentos associados, incluindo políticas e procedimentos documentados projetados para: (a) restaurar aplicativos e sistemas operacionais; e (b) demonstrar testes periódicos de restauração a partir do local de backup. Se a BigID fizer backups em fita ou outra mídia removível, todos esses backups deverão ser criptografados em conformidade com os requisitos de criptografia estabelecidos acima.

11. RESPONSABILIDADE DE SEGURANÇA ATRIBUÍDA
A BigID atribui responsabilidade pelo desenvolvimento, implementação e manutenção de seu programa de segurança, incluindo:

  • designar um responsável pela segurança com responsabilidade geral;
  • definir funções de segurança para indivíduos com responsabilidades de segurança; e
  • realizar avaliações de risco do BigID e do Software Hospedado pelo menos uma vez por ano e sempre que ocorrerem grandes mudanças nos sistemas ou processos.

12. PRÁTICAS DE CODIFICAÇÃO SEGURAS
Todos os desenvolvedores do BigID devem realizar um curso de conscientização sobre segurança e codificação segura, e os padrões de codificação do BigID possuem um forte componente de segurança. Entre outras coisas, as Diretrizes de Referência Rápida de Práticas de Codificação Segura da OWASP estão integradas aos padrões de codificação do BigID. Os padrões de codificação são revisados anualmente e mantidos pelas equipes de engenharia e segurança para que permaneçam atualizados e apliquem os padrões vigentes. Alterações no código-fonte de produção padrão passam por um fluxo de trabalho de solicitação de pull para garantir a revisão por pares da qualidade do código e a aderência aos padrões de codificação. Cada confirmação em uma base de código do BigID requer a aprovação de outro engenheiro. O aprovador analisa a conformidade com os padrões de codificação do BigID antes de aceitar qualquer alteração no código. Para novos recursos, é necessária a conclusão de um processo de revisão estruturado com a equipe de segurança do BigID. Durante esse processo, cada projeto recebe uma classificação de risco com base em critérios de classificação de risco. Quanto maior a classificação de risco, maior o escrutínio de segurança a que o projeto está sujeito durante seu ciclo de vida.

13. TESTES DE SEGURANÇA
A BigID testa regularmente os principais controles, sistemas e procedimentos de seu programa de segurança para validar se estão devidamente implementados e são eficazes no enfrentamento das ameaças e riscos identificados. Os testes atualmente incluem:

  • Avaliações de risco internas
  • Utilização de especialistas em segurança interna e/ou terceirizados para conduzir avaliações de segurança em nível de aplicações web. Essas avaliações geralmente testam para o OWASP Top 10, que pode incluir o seguinte:
    • Falsificação de solicitação entre sites;
    • Tratamento inadequado de entrada (por exemplo, script entre sites, injeção de SQL, injeção de XML, flashing entre sites);
    • Ataques XML e SOAP;
    • Gerenciamento de sessão fraco;
    • Falhas de validação de dados e inconsistências de restrições do modelo de dados;
    • Autenticação insuficiente;
    • Autorização insuficiente;
    • Teste de penetração em aplicações web:
      • Durante os testes de penetração em aplicações web, uma equipe dedicada de testes de penetração procura por suspeitas de segurança, como XSS, Cross Site Request Forgery, problemas de autenticação e autorização. O BigID utiliza testes padrão da indústria juntamente com testes especializados, às vezes personalizados para novos recursos. A equipe de testes de penetração também utiliza outras técnicas de teste de penetração com base em suas diferentes experiências e conhecimento do Software Hospedado.
      • Anualmente, a BigID contrata uma empresa externa de testes de penetração para um teste abrangente que abrange a funcionalidade do Software Hospedado, incluindo testes padrão da indústria, como os do OWASP, e testes adicionais que a empresa de testes de penetração considera necessários à medida que explora o aplicativo; e
      • Mediante solicitação, a BigID fornecerá ao Cliente uma carta de atestado de teste de penetração anual.

14. MONITORAMENTO DE SEGURANÇA E VERIFICAÇÕES AUTOMATIZADAS DE VULNERABILIDADES
O BigID monitora sistemas de rede e produção, incluindo logs de erros em servidores, discos e eventos de segurança, em busca de atividades suspeitas ou maliciosas. O monitoramento geralmente inclui:

  • Providenciar varreduras automatizadas de vulnerabilidades em quaisquer ativos implantados no Software Hospedado, a serem realizadas periodicamente para identificar, mitigar ou remediar quaisquer vulnerabilidades. Ativos incluem servidores, aplicativos e, se aplicável, endpoints e dispositivos de rede.
  • Assinar serviços de inteligência sobre vulnerabilidades ou avisos de segurança da informação e outras fontes relevantes que fornecem informações atualizadas sobre vulnerabilidades do sistema.
  • Revisar mudanças que afetam sistemas que lidam com autenticação, autorização e auditoria.
  • É apropriado revisar o acesso privilegiado de back-end ao software hospedado para validar o acesso privilegiado.
  • Contratação de terceiros para realizar avaliações de vulnerabilidade de rede e testes de penetração anualmente.
  • Manter registros de eventos padrão do setor para servidores, aplicativos e equipamentos de rede para facilitar o gerenciamento de incidentes e eventos de segurança. A BigID mantém esses registros por pelo menos um (1) ano.
  • Classificar vulnerabilidades de acordo com metodologias de classificação de risco padrão do setor (por exemplo, Common Vulnerability Scoring System, OWASP ou NIST).
  • Mitigar e/ou corrigir vulnerabilidades na infraestrutura ou aplicativos do Software Hospedado que possam permitir acesso direto não autorizado aos Dados Pessoais, seja aplicando um patch disponível ou tomando outras ações razoáveis nos seguintes prazos:

15. GERENCIAMENTO DE MUDANÇAS E CONFIGURAÇÕES
A BigID mantém políticas e procedimentos para gerenciar alterações no Software Hospedado. As políticas e procedimentos incluem:

  • um processo para documentar, testar e aprovar a promoção de mudanças na produção; e
  • um processo de aplicação de patches de segurança que exige a aplicação de patches nos sistemas em tempo hábil com base em uma análise de risco.

16. RESPOSTAS A INCIDENTES DE SEGURANÇA

  • Equipe de Operações Cibernéticas. A BigID possui uma Equipe de Operações Cibernéticas que: (a) é capaz de se reunir em curto prazo para tratar de quaisquer incidentes; e (b) se concentra no desenvolvimento e aprimoramento contínuos dos procedimentos a serem seguidos em caso de qualquer Incidente de Segurança envolvendo Dados Pessoais ou qualquer Incidente de Segurança envolvendo qualquer aplicativo ou sistema diretamente associado ao Processamento de Dados Pessoais. Os procedimentos atualmente incluem:
    • Funções e responsabilidades: A equipe cibernética da BigID atuará em coordenação com recursos adicionais de segurança e engenharia durante todo o processo de resposta a incidentes;
    • Investigação: avaliar o risco que o incidente representa e determinar quem pode ser afetado de acordo com a DPA;
    • Comunicação: relatórios internos, bem como o processo de notificação de incidentes de segurança estabelecido no DPA e abaixo;
    • Manutenção de registros: manter um registro permanente do que foi feito e por quem, para facilitar análises posteriores de acordo com a DPA; e
    • Auditoria: conduzir e documentar análises de causa raiz e planos de remediação de acordo com o DPA.
  • Resposta a incidentes de segurança
    • Notificação de um incidente de segurança.  A menos que a notificação seja atrasada ou proibida pela Lei Aplicável ou pelas ações ou demandas de uma agência de segurança pública, a BigID relatará um Incidente de Segurança ao contato de segurança do Cliente designado à BigID de acordo com o DPA e o Contrato.
    • Resposta do BigID. A BigID tomará medidas razoáveis para mitigar prontamente a causa de qualquer Incidente de Segurança, implementará qualquer protocolo de monitoramento apropriado e identificará as circunstâncias que permitiram a ocorrência do Incidente de Segurança para facilitar a prevenção de quaisquer Incidentes de Segurança semelhantes (a menos que o Incidente de Segurança tenha sido causado por atos ou omissões do Cliente ou de qualquer um de seus Usuários Autorizados, caso em que o Cliente tomará tais medidas). A BigID poderá trabalhar com investigadores forenses, escritórios de advocacia e agências de segurança pública para ajudar a determinar a natureza, a extensão e a origem de qualquer Incidente de Segurança e poderá fazer quaisquer divulgações de registros de segurança, logs de segurança e outras informações que a BigID considere apropriadas ou seja obrigada a fazer de acordo com as Leis Aplicáveis; desde que, quaisquer divulgações de Dados do Cliente exijam o consentimento prévio por escrito do Cliente na medida permitida pela Lei Aplicável, exceto se a BigID correr o risco de multas, penalidades ou outras sanções ou responsabilidades (ou aumento de multas, penalidades ou outras sanções ou responsabilidades) pela retenção das informações. Se a BigID fizer qualquer declaração sobre um Incidente de Segurança sem a aprovação do Cliente, a BigID não divulgará que o Cliente ou os Dados do Cliente estavam envolvidos, a menos que tal divulgação seja exigida pela Lei Aplicável.
    • Cooperação com o cliente. Mediante solicitação do Cliente, a BigID cooperará com o Cliente (e com os reguladores e seguradoras do Cliente) para investigar o Incidente de Segurança e buscar identificar os Dados específicos do Cliente envolvidos no Incidente de Segurança (sem custos, exceto na medida em que o Incidente de Segurança tenha sido causado ou contribuído por atos ou omissões do Cliente ou de seus Usuários Autorizados). A menos que proibido pela Legislação Aplicável, a BigID: (a) fornecerá informações sobre a natureza e as consequências do Incidente de Segurança à medida que tais informações forem coletadas ou de outra forma se tornarem disponíveis para a BigID; e (b) auxiliará o Cliente de outra forma, de forma razoável, a notificar os indivíduos, agências governamentais, reguladores e/ou agências de crédito afetados; desde que as partes concordem que o Cliente é o único responsável por determinar se deve notificar os proprietários afetados dos Dados do Cliente e se os órgãos reguladores ou comissões de fiscalização aplicáveis ao Cliente ou aos Dados do Cliente precisam ser notificados, e por fornecer tais notificações.
    • Credenciais de acesso. Para maior clareza, o Cliente é responsável por proteger suas credenciais de acesso de acordo com o Contrato; qualquer violação dessa obrigação constituirá uma violação do Contrato.

17. AJUSTE A ESTES TERMOS DE SEGURANÇA DE DADOS
A BigID monitora e avalia seu programa de segurança regularmente e pode ajustá-lo, bem como estas Medidas de Segurança, de tempos em tempos, conforme apropriado, à luz de: (a) práticas predominantes; (b) quaisquer mudanças relevantes na tecnologia e quaisquer ameaças internas ou externas à BigID ou aos Dados do Cliente; e (c) os próprios acordos comerciais mutáveis da BigID, como fusões e aquisições, alianças e joint ventures, acordos de terceirização e mudanças nos sistemas de informação.

Liderança no setor