Pular para o conteúdo

DPA – Cliente

 

Adendo de Processamento de Dados
(Dezembro de 2022)

Este Adendo de Processamento de Dados (“DPAO presente documento é incorporado por referência e faz parte integrante do contrato ou Pedido pelo qual o Cliente obtém o direito ou a licença de assinatura para usar o Software e os Serviços da BigID, e é celebrado entre o Cliente e a BigID (tal contrato e quaisquer Pedidos relacionados são coletivamente denominados “o presente documento”).Acordo”).

Este DPA complementa o Acordo e estabelece os termos que se aplicam quando os Dados Pessoais (definidos abaixo) são processados (definidos abaixo) pela BigID ao abrigo do Acordo. O objetivo do DPA é garantir que esse processamento seja realizado em conformidade com as leis aplicáveis e com o devido respeito pelos direitos e liberdades dos indivíduos cujos Dados Pessoais são processados.

O Cliente compreende, reconhece e concorda que este DPA se aplica a si próprio e, na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, às suas Afiliadas Autorizadas, caso a BigID processe Dados Pessoais para os quais tais Afiliadas Autorizadas se qualifiquem como Controladoras. Para os fins deste DPA, e exceto quando indicado de outra forma, o termo “Cliente” incluirá o Cliente e as Afiliadas Autorizadas. Todos os termos em maiúsculas não definidos neste documento terão o significado estabelecido no Contrato.

No decorrer do fornecimento do Software e dos Serviços ao Cliente, nos termos do Contrato, a BigID poderá Processar Dados Pessoais em nome do Cliente, e as Partes concordam em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais, agindo cada uma de forma razoável e de boa-fé.

Termos de Processamento de Dados

1. Definições

  1. Afiliado“Significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão, enquanto esse controle existir.”ControlarPara efeitos desta definição, "propriedade ou controlo direto ou indireto de mais de 50% dos direitos de voto da entidade em causa".
  2. Leis de proteção de dados aplicáveis“DPA” significa a Lei de Proteção de Dados dos EUA e o GDPR aplicáveis ao processamento de Dados Pessoais do Cliente sob este DPA.
  3. Afiliado autorizado“Afiliada” significa uma Afiliada do Cliente que está autorizada a usar o Software e os Serviços de acordo com o Contrato entre o Cliente e a BigID, mas que não assinou seu próprio Pedido com a BigID.
  4. Afiliada Europeia Autorizada“Afiliado Autorizado” significa um Afiliado Autorizado que está sujeito às leis e regulamentos de proteção de dados da Europa (conforme definido abaixo).
  5. BigID“BigID” significa a entidade BigID que é parte tanto do Acordo quanto deste DPA, que pode ser a BigID, Inc., uma empresa constituída no Estado de Delaware.
  6. Controlador“Entidade” significa uma entidade que determina as finalidades e os meios do Tratamento de Dados Pessoais.
  7. Cliente““Afiliadas Autorizadas” significa a entidade que celebrou o Contrato, juntamente com suas Afiliadas Autorizadas (enquanto permanecerem Afiliadas Autorizadas) que têm acesso ao Software e aos Serviços.
  8. Dados do cliente“Significa quaisquer dados, informações ou materiais originados pelo Cliente que o Cliente submete à BigID, coleta através do uso do Software e dos Serviços, ou fornece à BigID durante o uso do Software e dos Serviços.”
  9. Titular dos dados“Dados Pessoais” significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem.
  10. Dados anonimizados"Dados que não podem ser razoavelmente vinculados a uma pessoa natural identificada ou identificável, ou a um dispositivo vinculado a essa pessoa, desde que o Cliente ou a BigID possuam tais dados."
  11. "Europa“Espaço Econômico Europeu” significa o Espaço Econômico Europeu (que constitui os Estados-Membros da União Europeia e a Noruega, Islândia e Liechtenstein), bem como, para os fins deste DPA, o Reino Unido e/ou a Suíça.
  12. RGPD“Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (o “Regulamento Geral sobre a Proteção de Dados”).Regulamento Geral sobre a Proteção de Dados da UE”), bem como, para efeitos da presente DPA, (i) o Regulamento Geral de Proteção de Dados do Reino Unido, tal como faz parte da legislação de Inglaterra e do País de Gales, da Escócia e da Irlanda do Norte, por força do artigo 3.º da Lei da União Europeia (Retirada) de 2018 (o “RGPD do Reino Unido”); e (ii) a Lei Federal Suíça de Proteção de Dados aprovada em 25 de setembro de 2020 (a “Autoridade Suíça de Proteção de Dados”).
  13. Dados pessoais““Dados do Cliente” significa qualquer informação relativa a: (i) uma pessoa singular identificada ou identificável e, (ii) uma pessoa coletiva identificada ou identificável (onde tais informações são protegidas de forma semelhante aos dados pessoais ou informações pessoalmente identificáveis ao abrigo das Leis de Proteção de Dados aplicáveis, sendo que para cada (i) ou (ii), tais dados são Dados do Cliente).
  14. Processamento“Operação” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição.
  15. Processador“Controlador” significa uma entidade que processa dados pessoais em nome de um controlador, incluindo, quando aplicável, qualquer “prestador de serviços”, conforme definido pelas leis de proteção de dados dos EUA.
  16. Dados pseudônimos“Dados pessoais” significa dados que não podem ser atribuídos a uma pessoa singular específica sem o recurso a informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizacionais adequadas para garantir que os dados pessoais não sejam atribuídos a uma pessoa singular identificada ou identificável.
  17. Incidente de segurança“Incidente de segurança” significa qualquer violação de segurança confirmada que leve à destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilegal aos Dados Pessoais do Cliente processados pela BigID e/ou seus Subprocessadores em conexão com a prestação do Serviço. “Incidente de segurança” não inclui tentativas malsucedidas ou atividades que não comprometam a segurança dos dados pessoais, incluindo tentativas de login malsucedidas, pings, varreduras de portas, ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.
  18. Serviços“Significa o fornecimento de produtos e serviços da BigID ao Cliente de acordo com o Contrato.”
  19. Cláusulas Contratuais Padrão“Significa o módulo dois das cláusulas contratuais padrão anexadas à Comissão Europeia.” decisão (UE) 2021/914, de 4 de junho de 2021, relativa às cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme alterado ou substituído periodicamente, e complementada com as informações constantes do Anexo 2 da presente Lei de Proteção de Dados. Na data da presente Lei de Proteção de Dados, as Cláusulas Contratuais-Tipo estão disponíveis. aqui.
  20. Subprocessador“Significa qualquer Processador contratado pela BigID para auxiliar no cumprimento de suas obrigações com relação à prestação dos Serviços de acordo com o Contrato ou este DPA, quando tal entidade processar Dados Pessoais do Cliente.”
  21. Autoridade Supervisora““autoridade pública independente” significa (i) na UE, uma autoridade pública independente estabelecida por um Estado-Membro da UE nos termos do RGPD da UE, (ii) no Reino Unido, o Gabinete do Comissário de Informação do Reino Unido e (iii) na Suíça, o Comissário Federal Suíço para a Proteção de Dados e Informação.
  22. Adendo do Reino Unido“Adendo do Reino Unido às Cláusulas Contratuais Padrão”, emitido nos termos da Seção 119A da Lei de Proteção de Dados de 2018, conforme alterada ou substituída periodicamente, e preenchido com os detalhes estabelecidos no Anexo 2 deste DPA. Na data deste DPA, o Adendo do Reino Unido está disponível [aqui]).
  23. Leis de proteção de dados dos EUA“significa a Lei de Privacidade do Consumidor da Califórnia (“CCPA”) e, uma vez implementada, a Lei de Direitos de Privacidade da Califórnia (“CPRA”), Lei de Proteção de Dados do Consumidor da Virgínia (“VCDPA”), Lei de Privacidade do Colorado (“ColCPA”), Lei de Privacidade de Utah (“UCPA”), Lei de Privacidade de Dados de Connecticut (“CTDPA”), e quaisquer outras leis estaduais ou federais relacionadas à privacidade ou à proteção de dados, e seus respectivos regulamentos de implementação.

2. Tratamento de Dados Pessoais

  1. Papel das PartesAs partes reconhecem e concordam que, no que diz respeito ao Processamento de Dados Pessoais nos termos do Contrato, o Cliente é o Controlador, a BigID é a Operadora e a BigID contratará Suboperadores de acordo com os requisitos estabelecidos na Seção 6 “Suboperadores” abaixo.
  2. Processamento de dados pessoais pelo clienteO Cliente deverá, ao utilizar o Software e os Serviços, processar os Dados Pessoais em conformidade com os requisitos das Leis de Proteção de Dados Aplicáveis, incluindo qualquer requisito aplicável de notificar os Titulares dos Dados sobre a utilização da BigID como Processadora. Para evitar dúvidas, as instruções do Cliente para o Processamento de Dados Pessoais deverão estar em conformidade com as Leis de Proteção de Dados Aplicáveis. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais os obteve.
  3. Processamento de dados pessoais pela BigIDA BigID processará os Dados Pessoais em nome do Cliente e somente de acordo com as instruções documentadas deste, incluindo para os fins estabelecidos no Anexo 1 (Detalhes do Processamento) deste DPA, a menos que seja obrigada a processar os Dados Pessoais para outros fins por força da legislação aplicável, caso em que a BigID notificará o Cliente previamente, a menos que a legislação aplicável proíba a notificação. Quando o Cliente estiver localizado na União Europeia, as referências à legislação nesta seção 2.3 serão restritas às leis da União Europeia ou de um Estado-Membro da União Europeia. A BigID informará o Cliente se considerar que, em sua opinião, as instruções do Cliente violariam as Leis de Proteção de Dados Aplicáveis, caso em que o Cliente concorda que a BigID não será obrigada a realizar esse Processamento.
  4. Detalhes do ProcessamentoO objeto do Processamento de Dados Pessoais pela BigID é o fornecimento do Software e a prestação dos Serviços nos termos do Contrato. A duração do Processamento, a natureza e a finalidade do Processamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados processados ao abrigo deste DPA estão especificados no Anexo 1 (Detalhes do Processamento) deste DPA.
  5. Segurança do cliente. A BigID implementará medidas técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados Pessoais do Cliente, em conformidade com os padrões de segurança da BigID descritos no Anexo 3 (“Medidas de Segurança”). O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso e desenvolvimento técnico e que a BigID poderá atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não comprometam ou diminuam a segurança geral dos Serviços.
  6. Termos adicionais de processamento dos Estados Unidos. Nos casos em que o Cliente divulgar Dados Pessoais sujeitos às Leis de Proteção de Dados dos EUA, as seguintes disposições se aplicam ao processamento de Dados Pessoais relativos a quaisquer “consumidores” ou “famílias”, conforme definidos nessas leis:
    1. Na qualidade de Processador de Dados do Cliente, a BigID não reterá, usará ou divulgará Dados Pessoais, exceto conforme estabelecido no Contrato ou permitido pelas Leis de Proteção de Dados dos EUA, de maneira consistente com um Processador de Dados ou "Prestador de Serviços" (conforme definido pela CCPA/CPRA).
    2. O Cliente não deverá instruir a BigID a processar ou divulgar Dados Pessoais, exceto para a finalidade comercial explícita de executar os serviços descritos no Contrato, no DPA e conforme acordado de outra forma entre as Partes.
    3. A BigID não deverá "vender" (conforme definido pelas Leis de Proteção de Dados dos EUA) nem "compartilhar" (conforme definido pela CPRA) os Dados Pessoais fornecidos à BigID em sua função de Processadora.
    4. Exceto quando exigido ou permitido pelas leis de proteção de dados dos EUA, a BigID não divulgará, revelará, disseminará, disponibilizará, transferirá ou comunicará de qualquer outra forma Dados Pessoais a terceiros, exceto aos Subprocessadores da BigID que estejam vinculados por termos consistentes com os estabelecidos neste DPA.

3. Direitos dos titulares dos dados

  1. Solicitação do titular dos dadosA BigID deverá, na medida em que a lei o permita, notificar prontamente o Cliente caso receba uma solicitação específica de um Titular dos Dados relativamente a Dados Pessoais, a fim de exercer o direito de acesso, o direito de retificação, a limitação do tratamento, o apagamento (“direito ao esquecimento”), a portabilidade dos dados, a oposição ao tratamento ou o direito de não ser sujeito a uma tomada de decisão individual automatizada, sendo cada uma dessas solicitações um “direito de acesso aos dados”.Solicitação do titular dos dadosConsiderando a natureza do Processamento, a BigID auxiliará o Cliente, por meio de medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder a uma Solicitação do Titular dos Dados, conforme o GDPR e as leis de proteção de dados dos EUA. Além disso, caso o Cliente, ao utilizar o Software ou os Serviços, não tenha a capacidade de atender a uma Solicitação do Titular dos Dados, a BigID, mediante solicitação do Cliente, envidará esforços comercialmente razoáveis para auxiliá-lo a responder a tal Solicitação do Titular dos Dados, desde que a BigID esteja legalmente autorizada a fazê-lo e a resposta a tal Solicitação do Titular dos Dados seja exigida pelo GDPR e pelas leis de proteção de dados dos EUA. Na medida em que a lei permitir, o Cliente será responsável por quaisquer custos decorrentes da prestação de tal assistência pela BigID.

4. Disposições Específicas Europeias

  1. ConformidadeA BigID, na qualidade de Processadora, cumpriu e continuará a cumprir todas as leis de privacidade e proteção de dados aplicáveis, incluindo, entre outras, a legislação de proteção de dados da UE. O Cliente, na qualidade de Controlador, será responsável por garantir que, em relação aos Dados Pessoais e ao fornecimento do Software e dos Serviços ao Cliente:
    1. A empresa cumpriu e continuará a cumprir todas as leis de privacidade e proteção de dados aplicáveis, incluindo o RGPD; e
    2. Tem, e continuará a ter, o direito de transferir, ou fornecer acesso aos, Dados Pessoais à BigID para processamento de acordo com os termos do Contrato, incluindo este DPA.
  2. Avaliação de impacto sobre a proteção de dadosA pedido do Cliente, a BigID prestará ao Cliente a cooperação e assistência razoáveis necessárias para cumprir a obrigação do Cliente, nos termos do RGPD, de realizar uma avaliação de impacto sobre a proteção de dados relacionada com a utilização do Software e dos Serviços pelo Cliente, na medida em que o Cliente não tenha acesso à informação relevante e na medida em que essa informação esteja disponível para a BigID. A BigID prestará assistência razoável ao Cliente na cooperação ou consulta prévia com uma Autoridade de Controlo no desempenho das suas funções relacionadas com a presente Secção 4.2 do presente DPA, na medida em que tal seja exigido pelo RGPD.
  3. Segurança do ClienteA pedido do Cliente, a BigID fornecerá ao Cliente a cooperação e a assistência razoáveis necessárias para cumprir as obrigações de segurança do Cliente de acordo com o RGPD e as leis de proteção de dados dos EUA.
  4. Autoridades de SupervisãoA BigID deverá, na medida em que a lei o permita, notificar o Cliente sem demora indevida caso uma Autoridade Supervisora ou autoridade policial faça qualquer consulta ou solicitação de divulgação relativa a Dados Pessoais.
  5. Entrada em vigor das Cláusulas Contratuais Padrão: As Cláusulas Contratuais Padrão e os termos adicionais especificados nesta Seção são incorporados a este DPA por referência e aplicam-se às transferências de Dados Pessoais para a BigID provenientes de (i) Cliente, se este estiver sujeito às leis e regulamentos de proteção de dados da Europa, e (ii) suas Afiliadas Europeias Autorizadas. Na medida em que tal transferência de Dados Pessoais seja:
    1. Sujeito ao RGPD do Reino Unido e não ao RGPD da UE, as Cláusulas Contratuais Padrão deverão ser alteradas de acordo com o Adendo do Reino Unido, ou
    2. Sujeito ao GDPR do Reino Unido e ao GDPR da UE, a BigID e o Cliente deverão cumprir as Cláusulas Contratuais Padrão (a) na sua forma atual e (b) em paralelo, conforme alteradas pelo Adendo do Reino Unido, mas apenas na medida em que a transferência de Dados Pessoais esteja sujeita ao GDPR do Reino Unido e sem prejuízo das suas obrigações ao abrigo das Cláusulas Contratuais Padrão.

Para efeitos das Cláusulas Contratuais Padrão (incluindo o Adendo do Reino Unido, quando aplicável), o Cliente e quaisquer Afiliadas Europeias Autorizadas serão considerados “exportadores de dados”, e a BigID será considerada a “importadora de dados”.

5. Equipe BigID

  1. ConfidencialidadeA BigID garantirá que seu pessoal envolvido no Processamento de Dados Pessoais esteja ciente da natureza sensível dos Dados Pessoais, tenha recebido treinamento adequado sobre suas responsabilidades e tenha assinado acordos de confidencialidade por escrito.
  2. ConfiabilidadeA BigID tomará medidas comercialmente razoáveis para garantir a confiabilidade de qualquer membro da equipe da BigID envolvido no Processamento de Dados Pessoais.
  3. Limitação de acessoA BigID garantirá que o acesso da BigID aos Dados Pessoais seja limitado aos funcionários que fornecem o Software e executam os Serviços de acordo com o Contrato.
  4. Encarregado da Proteção de DadosA BigID possui uma entidade estabelecida na UE, cujo representante pode ser contatado pelo endereço [email protected].

6. Subprocessamento

  1. Subprocessadores. O Cliente reconhece e concorda que a BigID poderá contratar Subcontratados para a prestação do Software e dos Serviços em nome do Cliente. Os Subcontratados atualmente contratados pela BigID e autorizados pelo Cliente estão listados em [inserir lista de Subcontratados]. https://bigid.com/sub-processors/ (“Lista de subprocessadores”) que incluirá as identidades e detalhes desses Subprocessadores. A BigID irá: (i) celebrar um contrato por escrito com cada Subprocessador, impondo termos de proteção de dados que exigem que o Subprocessador proteja os Dados Pessoais do Cliente de acordo com o padrão exigido pelas Leis de Proteção de Dados Aplicáveis e não menos protetivo do que o previsto neste Contrato em relação à proteção de Dados Pessoais, na medida em que for aplicável à natureza dos serviços prestados por tal Subprocessador; e (ii) permanecer responsável perante o Cliente pelo cumprimento das obrigações de proteção de dados de tal Subprocessador nos termos de tais termos.
  2. Alterações nos subprocessadoresPeriodicamente, a BigID poderá precisar adicionar ou alterar a nossa Lista de Subprocessadores. O Cliente poderá opor-se à nomeação de um Subprocessador adicional no prazo de quinze (15) dias corridos a contar da notificação, por motivos razoáveis relacionados com o Processamento de Dados Pessoais, caso em que a BigID terá o direito de sanar a objeção através de uma das seguintes opções (a serem selecionadas a critério exclusivo da BigID): (a) a BigID cancelará os seus planos de utilizar o Subprocessador no que diz respeito aos Dados Pessoais ou oferecerá uma alternativa para fornecer o Software e os Serviços sem esse Subprocessador; ou (b) a BigID tomará as medidas corretivas solicitadas pelo Cliente na sua objeção (que eliminam a objeção do Cliente) e procederá à utilização do Subprocessador no que diz respeito aos Dados Pessoais; ou (c) se nenhuma das opções acima estiver razoavelmente disponível e a objeção não tiver sido resolvida para a satisfação mútua razoável das partes dentro de um período de trinta (30) dias corridos após o recebimento da objeção do Cliente pela BigID, qualquer uma das partes poderá rescindir o Contrato e o Cliente terá direito a um reembolso proporcional das taxas pré-pagas pelo Software e Serviços não prestados até a data da rescisão.
  3. Substituição de emergênciaA BigID poderá substituir um Subprocessador caso a necessidade da alteração seja urgente e indispensável para o fornecimento do Software e dos Serviços, e o motivo da alteração esteja além do controle razoável da BigID. Nesse caso, a BigID atualizará a Lista de Subprocessadores online assim que for razoavelmente possível, e o Cliente manterá o direito de contestar o Subprocessador substituto, conforme a Seção 6.3 acima.
  4. ResponsabilidadeA BigID será responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que seria responsável se prestasse os serviços de cada Subprocessador diretamente nos termos deste DPA, exceto conforme disposto de outra forma no Contrato.

7. Segurança

  1. Controles para a Proteção de Dados PessoaisA BigID deverá envidar esforços comercialmente razoáveis para proteger os Dados Pessoais contra qualquer Incidente de Segurança e deverá manter um programa de segurança da informação que inclua medidas administrativas, físicas e técnicas concebidas para garantir um nível de segurança adequado ao risco associado à atividade de Tratamento, incluindo (conforme aplicável) as medidas referidas no Artigo 32 do RGPD.
  2. Confidencialidade do ProcessamentoA BigID garantirá que qualquer pessoa que autorize a processar os Dados Pessoais (incluindo seus funcionários, agentes, subcontratados e subprocessadores) esteja sujeita a um dever de confidencialidade que permanecerá em vigor mesmo após o término de seu vínculo empregatício e/ou relação contratual.
  3. Incidente de segurançaAo tomar conhecimento de um Incidente de Segurança, a BigID notificará o Cliente sem demora indevida e de acordo com os termos do Contrato, mas em no máximo setenta e duas (72) horas, e fornecerá as informações em tempo hábil que o Cliente possa razoavelmente exigir para que possa cumprir quaisquer obrigações de notificação de violação de dados de acordo com a legislação aplicável. A BigID tomará medidas para investigar e remediar imediatamente a causa de tal Incidente de Segurança. A BigID disponibilizará todas as informações que o Cliente possa razoavelmente exigir para fins de comprovação de conformidade com as obrigações do Cliente sob o GDPR e as Leis de Proteção de Dados dos EUA.
  4. Certificações e auditorias de terceiros. Mediante solicitação por escrito do Cliente em intervalos razoáveis, e sujeita às obrigações de confidencialidade estabelecidas no Contrato, a BigID responderá à avaliação de risco razoável de terceiros do Cliente e disponibilizará a um Cliente que não seja concorrente da BigID (ou ao auditor independente de terceiros do Cliente que não seja concorrente da BigID) uma cópia das auditorias ou certificações de terceiros mais recentes da BigID, conforme aplicável, para demonstrar sua conformidade com este DPA.
  5. Exclusão de dadosApós a rescisão ou expiração do Contrato, a BigID deverá, de acordo com os termos do Contrato e mediante solicitação do Cliente, excluir todos os Dados Pessoais relevantes em sua posse, exceto na medida em que a BigID seja obrigada por lei aplicável a reter alguns ou todos os Dados Pessoais. Caso o Cliente opte por reter os Dados Pessoais, a BigID estenderá as proteções do Contrato e deste DPA a tais Dados Pessoais e limitará qualquer Processamento adicional desses Dados Pessoais apenas às finalidades específicas que exigem a retenção, enquanto a BigID mantiver os Dados Pessoais. Quando o Cliente estiver localizado na União Europeia, as referências à legislação nesta seção 7.5 serão restritas às leis da União Europeia ou de um Estado-Membro da União Europeia.

8. Diversos

  1. Exceto pelas alterações introduzidas por este DPA, o Acordo permanecerá em pleno vigor e efeito.
  2. Em caso de conflito entre o Acordo e este DPA, os termos deste DPA prevalecerão.
  3. Quaisquer reclamações apresentadas ao abrigo deste DPA estarão sujeitas aos termos e condições do Acordo, incluindo, entre outros, as exclusões e limitações nele previstas.
  4. Este DPA entra em vigor na data de sua assinatura e permanecerá em vigor até sua expiração ou rescisão, momento em que será automaticamente rescindido.

ANEXO 1 – DETALHES DO PROCESSAMENTO

Natureza e Finalidade do Processamento

A BigID (e quaisquer subcontratados que ela contratar) processará os Dados Pessoais conforme necessário para fornecer o Software e executar os Serviços de acordo com o Contrato e conforme instruções adicionais do Cliente em relação ao uso do Software e dos Serviços. Isso inclui:

  1. Fornecer o software e os serviços ao cliente.
  2. Para que o Cliente possa utilizar o Software e os Serviços, incluindo qualquer Processamento iniciado pelos Usuários do Cliente durante o uso do Software e dos Serviços.
  3. Para cumprir as instruções razoáveis e documentadas fornecidas pelo Cliente (por exemplo, por e-mail), desde que tais instruções sejam consistentes com os termos do Contrato.
  4. Executando o Acordo e as Ordens aplicáveis, este DPA e/ou outros contratos celebrados pelas Partes.
  5. Fornecer suporte e manutenção técnica, conforme acordado no Contrato.
  6. Resolução de conflitos.
  7. Garantir o cumprimento do Acordo, deste DPA e/ou defender os direitos da BigID.
  8. Gestão do Acordo, do DPA e/ou de outros contratos celebrados pelas Partes, incluindo pagamento de taxas, administração de contas, contabilidade, impostos, gestão e litígios.
  9. Cumprir as leis e regulamentos aplicáveis, incluindo a cooperação com as autoridades fiscais locais e estrangeiras, e a prevenção de fraudes, lavagem de dinheiro e financiamento do terrorismo.
  10. Todas as tarefas relacionadas com qualquer um dos itens acima.

Duração e frequência do processamento, e período durante o qual os dados pessoais serão retidos.

Sujeito à Seção 7.5 da DPA, a BigID processará os Dados Pessoais de forma contínua durante a vigência do Contrato, a menos que seja acordado de outra forma por escrito.

Categorias de titulares de dados

O Cliente poderá submeter Dados Pessoais ao Software e aos Serviços, cuja extensão será determinada e controlada pelo Cliente a seu exclusivo critério, e que poderá incluir, entre outros, Dados Pessoais relativos às seguintes categorias de titulares de dados:

  • Usuários finais ou consumidores e/ou clientes do cliente
  • Usuários do Cliente autorizados pelo Cliente a usar o Software e os Serviços
  • Potenciais clientes, clientes atuais, parceiros comerciais e fornecedores do cliente (que sejam pessoas físicas)
  • Funcionários, agentes, consultores, fornecedores, freelancers dos Clientes (que sejam pessoas físicas) ou pessoas de contato dos potenciais clientes, clientes, parceiros comerciais e fornecedores dos Clientes.
  • Funcionários, agentes, consultores e freelancers do Cliente (que sejam pessoas físicas)

Tipo de dados pessoais

O Cliente poderá submeter Dados Pessoais ao Software e aos Serviços, cuja extensão será determinada e controlada pelo Cliente a seu exclusivo critério, e que poderá incluir, entre outras, as seguintes categorias de Dados Pessoais:

  • Nome e sobrenome
  • Título
  • Posição
  • Empregador
  • Informações de contato (e-mail, telefone, endereço físico)
  • Dados de identificação
  • Dados da vida profissional
  • Dados da vida pessoal
  • Dados de localização

ANEXO 2 – INFORMAÇÕES SOBRE TRANSFERÊNCIAS INTERNACIONAIS

Quando se aplicam as Cláusulas Contratuais Padrão:

  • O Anexo IA é preenchido com os nomes, endereços e pessoas de contato das partes, conforme estabelecido no Acordo.
  • Considera-se que as assinaturas de cada parte e a data do Acordo foram inseridas.
  • O papel do Cliente é especificado como “controlador” e o papel do BigID é especificado como “processador”.
  • O Anexo IB é preenchido com as informações estabelecidas no Anexo 1 desta DPA, bem como com os detalhes das restrições e salvaguardas estabelecidas no Anexo 3 desta DPA que, levando em consideração a natureza dos dados e os riscos envolvidos, aplicam-se a todos os Dados Pessoais transferidos, incluindo dados sensíveis.
  • O Anexo II é complementado com os detalhes das medidas técnicas e organizacionais estabelecidas no Anexo 3 deste DPA.
  • O Anexo IC está preenchido da seguinte forma:
    • Nos casos em que o processamento de Dados Pessoais pelo Cliente não se enquadre no âmbito do RGPD da UE, o Gabinete do Comissário de Informação do Reino Unido será indicado como a autoridade de supervisão competente, conforme o Adendo do Reino Unido.
    • Quando o processamento dos Dados Pessoais pelo Cliente se enquadra no âmbito do RGPD da UE, a autoridade de supervisão competente será (i) a autoridade de supervisão no Estado-Membro da UE em que o Cliente está estabelecido, ou (ii) (se o Cliente não estiver estabelecido na UE) o Estado-Membro da UE em que o Cliente nomeou o seu representante na UE, ou (iii) (se o Cliente não estiver estabelecido na UE e não tiver nomeado um representante na UE) a Comissão Irlandesa de Proteção de Dados.
  • A opção 1 é excluída da cláusula 9(a) e o período de tempo relevante será o estabelecido nas Seções 6.3 e 6.4 acima. A “lista acordada” mencionada nesta disposição será a Lista de Subprocessadores mencionada na Seção 6.2 deste DPA.
  • A redação opcional na cláusula 11(a) é eliminada.
  • A opção 2 foi excluída da cláusula 17, e:
    • Caso o processamento dos Dados Pessoais pelo Cliente não se enquadre no âmbito do RGPD da UE, a lei aplicável será a da Inglaterra e do País de Gales;
    • Nos casos em que o processamento dos Dados Pessoais pelo Cliente se enquadre no âmbito do RGPD da UE, a lei aplicável será a da República da Irlanda.
  • A cláusula 18(b) é preenchida da seguinte forma:
    • Quando o processamento dos Dados Pessoais pelo Cliente não se enquadra no âmbito do RGPD da UE, com as palavras “Inglaterra e País de Gales”; ou
    • Nos casos em que o processamento dos Dados Pessoais pelo Cliente se enquadra no âmbito do RGPD da UE, com a menção "República da Irlanda".

Quando o Adendo do Reino Unido se aplica, além das informações relativas às Cláusulas Contratuais Padrão estabelecidas neste Anexo acima:

  • A Tabela 1 é preenchida com a data de início correspondente à data do Contrato, e com os nomes legais e comerciais, endereço principal, número de registro oficial, nome do contato principal, cargo e dados de contato (incluindo endereço de e-mail) das Partes, conforme estabelecido no Contrato. As assinaturas de cada parte são consideradas inseridas no Contrato principal.
  • As tabelas 2 e 3 são preenchidas com as informações sobre as Cláusulas Contratuais Padrão estabelecidas neste Anexo acima, aplicáveis a uma transferência de acordo com a Cláusula 4.5 deste DPA. A primeira opção da Tabela 2 é selecionada e a tabela é preenchida com a data do Contrato.
  • A Tabela 4 está preenchida para que qualquer uma das Partes possa rescindir o Adendo do Reino Unido caso este seja alterado pelo Gabinete do Comissário de Informação do Reino Unido, e as Partes concordam que, uma vez rescindido o Adendo do Reino Unido, o Cliente não transferirá mais dados pessoais sujeitos ao RGPD do Reino Unido para a BigID ao abrigo do Contrato e deste DPA, a menos que uma salvaguarda de transferência alternativa tenha sido implementada de forma satisfatória para a BigID.

ANEXO 3 – MEDIDAS DE SEGURANÇA

I. DEFINIÇÕES; APLICABILIDADE

Este Anexo 3, Medidas de Segurança (“Medidas de segurança”), é incorporado por referência e faz parte do Acordo de Processamento de Dados (“DPATodos os termos em maiúsculas não definidos nestas Medidas de Segurança ou no DPA terão o significado estabelecido no Contrato. O Cliente reconhece e concorda que estas Medidas de Segurança podem ser utilizadas para uma implementação de software BigID local ou uma implementação de software BigID hospedada; contudo, no caso de uma implementação de software BigID local, apenas a Seção 2 (“Certificações e Auditorias de Segurança”), a Seção 3 (“Treinamento de Segurança, Obrigações de Confidencialidade e Verificações de Antecedentes”) e a Seção 12 (“Práticas de Codificação Segura”) do Artigo III destas Medidas de Segurança serão aplicáveis.

  • “Software hospedado” Significa o software e os serviços da BigID disponibilizados para acesso e uso sob demanda pelo Cliente via Internet.

II. CONTROLES DE SEGURANÇA DE DADOS DO FORNECEDOR DE NUVEM

A BigID utiliza um subprocessador para fornecer o ambiente de infraestrutura necessário para executar o software hospedado (o “Fornecedor de nuvem”). Consequentemente, o Software Hospedado opera dentro da estrutura de segurança do Fornecedor de Nuvem.. A BigID reserva-se o direito de mudar para um Fornecedor de Nuvem diferente, de acordo com os termos do DPA e do Contrato, ou para um centro de dados operado pela BigID ou por uma de suas afiliadas; contanto que as medidas de segurança de dados sejam, no mínimo, consistentes com os padrões vigentes do setor e que as disposições destas Medidas de Segurança não sejam materialmente reduzidas. As certificações de segurança atuais do Fornecedor de Nuvem incluem ISO 27001 e SOC2, as quais podem ser modificadas periodicamente pelo Fornecedor de Nuvem ou caso a BigID mude de Fornecedor de Nuvem. Como parte do processo para obtenção e manutenção dessas certificações, o Fornecedor de Nuvem implementou diversos procedimentos, incluindo: (a) verificação de antecedentes de pessoal e treinamento de conscientização em segurança; (b) medidas de segurança de controle de acesso físico e lógico; (c) planos de resposta a incidentes; e (d) planos de recuperação de desastres e continuidade de negócios.

1. VISÃO GERAL

Embora nenhuma empresa possa impedir completamente todas as tentativas de invasão ou outras condutas criminosas, a BigID mantém um programa de segurança com medidas administrativas, físicas e técnicas, em conjunto com o programa de segurança e as certificações de segurança do fornecedor de nuvem, projetado para proteger os Dados Pessoais contra qualquer incidente de segurança e garantir um nível de segurança adequado ao risco associado à atividade de processamento.

Sem prejuízo do disposto anteriormente, o programa de segurança da BigID, que se soma ao programa de segurança do fornecedor de nuvem, inclui atualmente os elementos descritos nas Seções 2 a 17 abaixo.

2. CERTIFICAÇÕES E AUDITORIAS DE SEGURANÇA
A BigID manterá um certificado de uma autoridade certificadora terceirizada de renome, atestando sua conformidade com a norma ISO/IEC 27001:2013 ou qualquer norma sucessora. A BigID também obterá e manterá um relatório de auditoria SSAE18 SOC 2, Tipo II, abrangendo qualquer sistema ou processo utilizado no Processamento de Dados Pessoais e qualquer sistema que possa representar um risco para tais sistemas e processos. Imediatamente após receber solicitações por escrito do Cliente, até uma vez por ano, a BigID fornecerá uma cópia de sua certificação ISO ou resumo de auditoria terceirizada mais recente, ou relatório de auditoria SSAE18 SOC 2, Tipo II, ou quaisquer atestados ou resumos de testes de penetração terceirizados recentes.

3. TREINAMENTO DE SEGURANÇA, OBRIGAÇÕES DE CONFIDENCIALIDADE E VERIFICAÇÃO DE ANTECEDENTES
A BigID oferece um programa obrigatório de conscientização e treinamento em segurança e privacidade para todos os funcionários e contratados da BigID (exceto subcontratados) que possam ter acesso a Dados Pessoais no desempenho de seus serviços (coletivamente, “Trabalhadores com acessoTodos os Trabalhadores com Acesso também estão sujeitos às obrigações de confidencialidade estabelecidas no Contrato. Além disso, a BigID realiza verificações de antecedentes de acordo com as práticas vigentes em empresas similares, no que diz respeito à contratação ou ao engajamento de todos os Trabalhadores com Acesso. A BigID não contratará ou empregará nenhum Trabalhador com Acesso se a verificação de antecedentes mostrar que o indivíduo foi condenado por um crime envolvendo furto, desonestidade, fraude ou crimes cibernéticos; contudo, os compromissos da BigID com relação às verificações de antecedentes estão sempre sujeitos às Leis Aplicáveis pertinentes a tais verificações.

4. PROGRAMAS DE CRIPTOGRAFIA

  • Política de criptografia.  A BigID possui uma política de criptografia de segurança documentada que define o uso de criptografia, os padrões de criptografia aplicáveis e a força da criptografia.
  • Criptografia em trânsito.  Criptografia em trânsito utilizando tecnologia de criptografia padrão (por exemplo, Transport Layer Security (TLS), IPSec e SMB).
  • Criptografia em repouso.  Todos os dados pessoais armazenados são criptografados usando criptografia simétrica padrão do setor.

5. SERVIÇOS ANTIMALWARE
A BigID utiliza serviços de programas antimalware de terceiros destinados a proteger contra malware que afete os serviços e funções do sistema, conforme descrito abaixo:

  • A BigID fornece, dá suporte e mantém um serviço antimalware que oferece proteção em tempo de execução contra arquivos executáveis maliciosos.

6. SEGURANÇA FÍSICA
A BigID fará todos os esforços comercialmente razoáveis para confirmar que o fornecedor de nuvem mantém controles de segurança de acesso físico para o centro de dados, incluindo camadas de segurança em profundidade, como cercas perimetrais, câmeras de vídeo, pessoal de segurança, entradas seguras e redes de comunicação em tempo real.

7. DESCARTE DE DADOS
Após a rescisão ou expiração do Contrato, a BigID, mediante solicitação do Cliente, excluirá todos os Dados Pessoais relevantes em sua posse, de acordo com os termos do DPA e do Contrato; contudo, a BigID poderá reter cópias dos Dados do Cliente em conformidade com o referido contrato. Exclusão significa que os Dados Pessoais se tornam inacessíveis, indecifráveis ou irrecuperáveis de qualquer outra forma.

8. OUTROS CONTROLES DE ACESSO
Conforme descrito na Seção 9 (“Política de Controle de Acesso e Gerenciamento de Senhas”), a BigID possui políticas, procedimentos e controles lógicos projetados para limitar o acesso ao Software Hospedado a pessoal devidamente autorizado, com base na necessidade de conhecimento, para impedir que pessoas não autorizadas obtenham acesso e para revogar o acesso de funcionários em tempo hábil em caso de mudança de responsabilidades ou status no cargo. Para Funcionários com Acesso, os procedimentos operacionais padrão da BigID limitam ainda mais esse acesso à resolução de problemas com componentes do sistema, e não à visualização de Dados Pessoais (exceto em situações em que a visualização incidental de Dados Pessoais possa ser necessária para resolver um problema ou responder a uma solicitação do Cliente).

9. POLÍTICA DE CONTROLE DE ACESSO E GERENCIAMENTO DE SENHAS

  • Requisitos gerais para senhas. A BigID possui uma Política de Controle de Acesso e Gerenciamento de Senhas e um sistema automatizado de gerenciamento de senhas para garantir o cumprimento dos requisitos da política. A política abrange todos os sistemas, aplicativos e bancos de dados aplicáveis. Existem diferentes níveis de uso de senhas nos ambientes corporativos e de Software Hospedado da BigID, conforme detalhado abaixo. As práticas padrão do setor para senhas são implementadas para proteger contra o uso não autorizado de senhas, incluindo: (a) comprimento mínimo da senha; (b) complexidade da senha; (c) histórico de senhas; (d) bloqueio de senha em caso de tentativas incorretas; e (e) senhas iniciais geradas aleatoriamente.
  • BigID Enterprise: Gestão de Identidades e Senhas. A plataforma BigID Enterprise utiliza um serviço de autenticação multifator de login único para autenticar todos os indivíduos na organização e para autenticar o acesso aos sistemas que suportam e operam o Software Hospedado (o “Back-end”).
    • Acesso Front-End. A BigID utiliza os seguintes métodos para garantir o acesso à interface do usuário (o “Front-End”):
      • O cliente controla os logins de front-end em seu Geo por meio de um sistema de gerenciamento de senhas que utiliza o provedor de autenticação de usuários, como o Active Directory. O cliente controla as políticas de senha de front-end para seus usuários autorizados e pode escolher entre qualquer provedor de autenticação compatível com o software hospedado, incluindo requisitos de comprimento, expiração, reutilização e complexidade, além de opções de bloqueio e redefinição.
      • A BigID oferece suporte à integração com seu serviço de autenticação multifator de login único para que os clientes restrinjam o acesso por meio do Front-End.
    • Acesso ao painel administrativo. A BigID utiliza os seguintes métodos para garantir o acesso ao back-end:
      • Todas as conexões com os recursos de back-end são intermediadas por uma solução de gerenciamento de acesso privilegiado, que registra o ID de usuário exclusivo que criou as conexões. Somente membros específicos da BigID podem acessar as contas de back-end por meio da solução de gerenciamento de acesso privilegiado, e todo o acesso a essa solução requer autenticação por meio de um serviço de autenticação multifator de login único.

10. PLANOS DE RECUPERAÇÃO DE DESASTRES E CONTINUIDADE DE NEGÓCIOS

O fornecedor de nuvem e a BigID possuem planos de recuperação de desastres e continuidade de negócios em vigor. Esses planos incluem um data center de backup separado e uma estrutura formal para o gerenciamento de eventos não planejados, visando minimizar a perda de recursos vitais. A estrutura formal inclui uma política de backup definida e procedimentos associados, incluindo políticas e procedimentos documentados, elaborados para: (a) restaurar aplicativos e sistemas operacionais; e (b) demonstrar testes periódicos de restauração a partir do local de backup. Caso a BigID realize backups em fita ou outras mídias removíveis, todos esses backups deverão ser criptografados em conformidade com os requisitos de criptografia estabelecidos acima.

11. RESPONSABILIDADE DE SEGURANÇA ATRIBUÍDA
A BigID atribui a responsabilidade pelo desenvolvimento, implementação e manutenção de seu programa de segurança, incluindo:

  • Designar um funcionário de segurança com responsabilidade geral;
  • Definir funções de segurança para indivíduos com responsabilidades em segurança; e
  • Realizar avaliações de risco do BigID e do software hospedado pelo menos anualmente e sempre que ocorrerem alterações importantes nos sistemas ou processos.

12. PRÁTICAS DE CODIFICAÇÃO SEGURA
Todos os desenvolvedores da BigID são obrigados a fazer um curso de conscientização sobre segurança e programação segura, e os padrões de codificação da BigID possuem um forte componente de segurança. Entre outras coisas, as Diretrizes de Referência Rápida de Práticas de Codificação Segura da OWASP estão integradas aos padrões de codificação da BigID. Os padrões de codificação são revisados anualmente e mantidos pelas equipes de engenharia e segurança para permanecerem atualizados e garantir a aplicação dos padrões vigentes. Alterações padrão no código-fonte de produção passam por um fluxo de trabalho de pull request para garantir a revisão por pares quanto à qualidade do código e à conformidade com os padrões de codificação. Cada commit em uma base de código da BigID requer a aprovação de outro engenheiro. O aprovador verifica a conformidade com os padrões de codificação da BigID antes de aceitar qualquer alteração de código. Para novos recursos, é necessário concluir um processo de revisão estruturado com a equipe de segurança da BigID. Durante esse processo, cada projeto recebe uma classificação de risco com base em critérios de classificação de risco. Quanto maior a classificação de risco, maior o escrutínio de segurança ao qual o projeto é submetido durante seu ciclo de vida.

13. TESTES DE SEGURANÇA
A BigID testa regularmente os principais controles, sistemas e procedimentos de seu programa de segurança para validar se estão implementados corretamente e se são eficazes no combate às ameaças e aos riscos identificados. Os testes atualmente incluem:

  • Avaliações internas de risco
  • Utilização de especialistas internos em segurança e/ou de terceiros para realizar avaliações de segurança em nível de aplicação web. Essas avaliações geralmente verificam os 10 principais problemas da OWASP, que podem incluir os seguintes:
    • Falsificação de solicitação entre sites;
    • Manipulação inadequada de entradas (por exemplo, cross-site scripting, injeção de SQL, injeção de XML, cross-site flashing);
    • Ataques XML e SOAP;
    • Gestão de sessão deficiente;
    • Falhas na validação de dados e inconsistências nas restrições do modelo de dados;
    • Autenticação insuficiente;
    • Autorização insuficiente;
    • Teste de penetração em aplicações web:
      • Durante os testes de penetração em aplicações web, uma equipe dedicada busca vulnerabilidades de segurança, como XSS (Cross-Site Request Forgery), problemas de autenticação e autorização. A BigID utiliza testes padrão do setor, além de testes especializados, por vezes personalizados para novas funcionalidades. A equipe de testes de penetração também se vale de outras técnicas, baseadas em sua vasta experiência e conhecimento do software hospedado.
      • Anualmente, a BigID contrata uma empresa externa de testes de penetração para realizar um teste abrangente que cobre a funcionalidade do Software Hospedado, incluindo testes padrão do setor, como os da OWASP, e testes adicionais que a empresa de testes de penetração julgar necessários à medida que explora a aplicação;
      • Mediante solicitação, a BigID fornecerá ao Cliente uma carta de atestado de teste de penetração anual.

14. MONITORAMENTO DE SEGURANÇA E VERIFICAÇÕES AUTOMATIZADAS DE VULNERABILIDADES
A BigID monitora redes e sistemas de produção, incluindo registros de erros em servidores, discos e eventos de segurança, em busca de atividades suspeitas ou maliciosas. O monitoramento geralmente inclui:

  • Providenciar a realização de varreduras automatizadas de vulnerabilidades em todos os ativos implantados no Software Hospedado, a serem executadas periodicamente para identificar, mitigar ou remediar quaisquer vulnerabilidades. Os ativos incluem servidores, aplicativos e, se aplicável, endpoints e dispositivos de rede.
  • Assinar serviços de inteligência de vulnerabilidades ou avisos de segurança da informação e outras fontes relevantes que forneçam informações atualizadas sobre vulnerabilidades do sistema.
  • Analisar as alterações que afetam os sistemas responsáveis pela autenticação, autorização e auditoria.
  • A revisão do acesso privilegiado ao back-end do software hospedado para validar se esse acesso é apropriado é necessária.
  • Contratar terceiros para realizar avaliações de vulnerabilidade de rede e testes de penetração anualmente.
  • Manter o registro de eventos padrão do setor para servidores, aplicativos e equipamentos de rede para facilitar o gerenciamento de incidentes e eventos de segurança. A BigID mantém esses registros por pelo menos um (1) ano.
  • Classificar vulnerabilidades de acordo com metodologias de avaliação de risco padrão do setor (por exemplo, o Common Vulnerability Scoring System, OWASP ou NIST).
  • Mitigar e/ou remediar vulnerabilidades na infraestrutura ou nos aplicativos do software hospedado que possam permitir acesso direto não autorizado a dados pessoais, seja aplicando uma correção disponível ou tomando outras medidas razoáveis, nos seguintes prazos:

15. GESTÃO DE MUDANÇAS E CONFIGURAÇÕES
A BigID mantém políticas e procedimentos para gerenciar alterações no software hospedado. As políticas e os procedimentos incluem:

  • um processo para documentar, testar e aprovar a implementação de alterações em produção; e
  • Um processo de aplicação de patches de segurança que exige a correção de sistemas em tempo hábil, com base em uma análise de risco.

16. RESPOSTAS A INCIDENTES DE SEGURANÇA

  • Equipe de Operações Cibernéticas. A BigID possui uma Equipe de Operações Cibernéticas que: (a) está apta a se reunir em curto prazo para lidar com quaisquer incidentes; e (b) concentra-se no desenvolvimento e aprimoramento contínuos dos procedimentos a serem seguidos em caso de qualquer Incidente de Segurança envolvendo Dados Pessoais ou qualquer Incidente de Segurança envolvendo qualquer aplicativo ou sistema diretamente associado ao Processamento de Dados Pessoais. Os procedimentos atuais incluem:
    • Funções e responsabilidades: A equipe de segurança cibernética da BigID atuará em coordenação com recursos adicionais de segurança e engenharia durante todo o processo de resposta a incidentes;
    • Investigação: Avaliar o risco que o incidente representa e determinar quem pode ser afetado, de acordo com a Lei de Proteção de Dados;
    • Comunicação: relatórios internos, bem como o processo de notificação de incidentes de segurança estabelecido no DPA e abaixo;
    • Registro de informações: Manter um registro permanente do que foi feito e por quem, para facilitar análises posteriores de acordo com a DPA; e
    • Auditoria: Realizar e documentar análises de causa raiz e planos de remediação de acordo com a DPA (Lei de Proteção de Dados).
  • Resposta a incidentes de segurança
    • Notificação de um incidente de segurança.  A menos que a notificação seja atrasada ou proibida pela legislação aplicável ou pelas ações ou exigências de uma agência de aplicação da lei, a BigID reportará um incidente de segurança ao contato de segurança do Cliente designado à BigID, de acordo com o DPA e o Contrato.
    • Resposta BigID. A BigID tomará medidas razoáveis para mitigar prontamente a causa de qualquer Incidente de Segurança, implementar qualquer protocolo de monitoramento apropriado e identificar as circunstâncias que permitiram a ocorrência do Incidente de Segurança, a fim de facilitar a prevenção de quaisquer outros Incidentes de Segurança semelhantes (a menos que o Incidente de Segurança tenha sido causado por atos ou omissões do Cliente ou de qualquer um de seus Usuários Autorizados, caso em que o Cliente deverá tomar tais medidas). A BigID poderá colaborar com investigadores forenses, escritórios de advocacia e órgãos de aplicação da lei para ajudar a determinar a natureza, a extensão e a origem de qualquer Incidente de Segurança e poderá divulgar registros de segurança, logs de segurança e outras informações que a BigID julgar apropriadas ou que seja obrigada a divulgar de acordo com as Leis Aplicáveis; contanto que, qualquer divulgação de Dados do Cliente exija o consentimento prévio por escrito do Cliente, na medida permitida pela Lei Aplicável, exceto se a BigID correr o risco de multas, penalidades ou outras sanções ou responsabilidades (ou aumento de multas, penalidades ou outras sanções ou responsabilidades) por reter as informações. Caso a BigID faça qualquer declaração sobre um incidente de segurança sem a aprovação do Cliente, a BigID não divulgará que o Cliente ou os Dados do Cliente estiveram envolvidos, a menos que tal divulgação seja exigida pela legislação aplicável.
    • Cooperação com o Cliente. A pedido do Cliente, a BigID cooperará com o Cliente (e com os órgãos reguladores e seguradoras do Cliente) para investigar o Incidente de Segurança e buscar identificar os Dados do Cliente específicos envolvidos no Incidente de Segurança (sem custos, exceto na medida em que o Incidente de Segurança tenha sido causado ou tenha contribuído para ele por atos ou omissões do Cliente ou de seus Usuários Autorizados). A menos que seja proibido pela legislação aplicável, a BigID: (a) fornecerá informações sobre a natureza e as consequências do Incidente de Segurança, conforme essas informações forem coletadas ou se tornarem disponíveis para a BigID; e (b) auxiliará o Cliente de forma razoável a notificar os indivíduos afetados, agências governamentais, órgãos reguladores e/ou bureaus de crédito; contanto que as partes concordem que o Cliente é o único responsável por determinar se deve notificar os proprietários afetados dos Dados do Cliente e se os órgãos reguladores ou comissões de fiscalização aplicáveis ao Cliente ou aos Dados do Cliente precisam ser notificados, bem como por fornecer tais notificações.
    • Credenciais de acesso. Para maior clareza, o Cliente é responsável por proteger suas credenciais de acesso conforme o Contrato; qualquer violação dessa obrigação constituirá uma violação do Contrato.

17. AJUSTE A ESTES TERMOS DE SEGURANÇA DE DADOS
A BigID monitora e avalia seu programa de segurança regularmente e pode ajustá-lo e estas Medidas de Segurança de tempos em tempos, conforme apropriado em vista de: (a) práticas prevalecentes; (b) quaisquer mudanças relevantes na tecnologia e quaisquer ameaças internas ou externas à BigID ou aos Dados do Cliente; e (c) mudanças nos próprios arranjos comerciais da BigID, como fusões e aquisições, alianças e joint ventures, acordos de terceirização e mudanças nos sistemas de informação.

Liderança do setor