Acordo de Proteção de Dados (DPA)

Versão 1 – Data de atualização: 16 de agosto de 2024.

Este Acordo de Tratamento de Dados (“DPA”) é parte integrante do contrato de serviços da SINCH (“Contrato Principal”) entre a SINCH e o Cliente e está sujeito aos termos do Contrato Principal.

1. DEFINIÇÕES

A) Para os fins deste DPA, os termos em maiúscula terão os seguintes significados:

a) “Dados Pessoais do Cliente” significa quaisquer dados pessoais que são tratados pela SINCH em nome do Cliente para executar os Serviços de acordo com o Contrato Principal;

b) “Leis de Proteção de Dados Aplicáveis” significa todas as leis aplicáveis à coleta, armazenamento, tratamento e utilização dos Dados Pessoais do Cliente, que podem incluir a GDPR, conforme transposto para a legislação nacional de cada Estado-Membro da União Europeia (e do Reino Unido) e conforme alterado, substituído ou suplantado de tempos em tempos, e as leis e/ou regulamentações que implementam, substituem ou complementam a GDPR e todas as legislações aplicáveis à coleta, armazenamento, tratamento e utilização dos Dados Pessoais do Cliente, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018, Cód. Civ. Cal. § 1798.100 et seq. (“CCPA”);

c) “GDPR” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 referente à proteção das pessoas físicas em relação ao tratamento de dados pessoais e à livre circulação destes;

d) “Infraestrutura da SINCH” significa (i) as instalações físicas da SINCH; (ii) infraestrutura de hospedagem em nuvem; (iii) a rede corporativa da SINCH e a rede interna não pública, além de softwares e hardwares necessários para prestar os Serviços e que são controlados pela SINCH em cada caso, na medida utilizada para prestar os Serviços;

e) “Transferência Restrita” significa uma transferência dos Dados Pessoais do Cliente entre a SINCH e um suboperador, na qual tal transferência seria proibida pelas Leis de Proteção de Dados Aplicáveis (ou pelos termos dos acordos de transferência de dados estabelecidos para lidar com as restrições de transferência de dados das Leis de Proteção de Dados Aplicáveis) na ausência de proteções apropriadas exigidas para tais transferências;

f) “Serviços” significa os serviços prestados ao Cliente pela SINCH de acordo com o Contrato Principal;

g) “Cláusulas Contratuais Padrão” significa a versão mais recente das cláusulas contratuais padrão para a transferência de dados pessoais destinadas para os operadores de dados estabelecidos em países terceiros nos termos da GDPR (destaca-se que a versão atual na data deste DPA é conforme anexado à Decisão da Comissão Europeia 2021/914 (UE), de 4 de junho de 2021);

h) “Adendo do Reino Unido” significa o Adendo do Reino Unido (Adendo à Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da União Europeia) atualmente disponibilizada no link: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

i) Os termos “consentimento”, “controlador”, “titular dos dados”, “Estado-Membro”, “dados pessoais”, “violação de dados pessoais”, “operador”, “suboperador”, “tratamento”, “autoridade supervisora” e “terceiro” terão os significados que lhes são atribuídos no artigo 4º da GDPR ou da CCPA, nos casos em que a CCPA seja aplicável.

B) Termos em letras maiúsculas utilizados e não definidos neste DPA terão os significados que lhes são atribuídos no Contrato Principal.

2. CONFORMIDADE COM AS LEIS DE PROTEÇÃO DE DADOS APLICÁVEIS

a) A SINCH e o Cliente deverão cumprir as disposições e obrigações impostas pelas Leis de Proteção de Dados Aplicáveis e deverão providenciar que seus funcionários e suboperadores observem as disposições das Leis de Proteção de Dados Aplicáveis.

3. DETALHES E ESCOPO DO TRATAMENTO

a) O tratamento dos Dados Pessoais do Cliente no escopo do Contrato Principal deverá ser efetuado de acordo com os requisitos abaixo e conforme exigido pelo artigo 28(3), da GDPR. As partes podem alterar essas informações de tempos em tempos, conforme possam razoavelmente considerar necessário para atendê-las.

(i) Objeto e duração do tratamento dos dados pessoais: o objeto e a duração do tratamento dos dados pessoais estão definidos no Contrato Principal. (ii) Natureza e a finalidade do tratamento dos dados pessoais: de acordo com o Contrato Principal, a SINCH presta ao Cliente determinados serviços, como mensageria, e-mail, chamadas de voz e outros serviços de comunicação, conforme detalhado no Contrato Principal, os quais envolvem o tratamento de dados pessoais. Sujeito à Cláusula 3.1 (iv) abaixo, tais atividades de tratamento incluem (a) a prestação dos Serviços; (b) a detecção, prevenção e resolução de questões técnicas e de segurança; e (c) o atendimento às solicitações de suporte do Cliente. (iii) Tipos de dados pessoais a serem tratados: os dados pessoais enviados à rede da SINCH, cuja extensão é determinada e controlada pelo Controlador a seu exclusivo critério, podem incluir nome, e-mail, números de telefone, endereço IP e outros dados pessoais incluídos nas listas de contatos e no conteúdo das mensagens ou chamadas. (iv) Exclusão do Controlador de Dados Independente: não obstante qualquer outra disposição contida neste DPA, ao tratar os dados pessoais no decurso da prestação de serviços de comunicação como parte dos Serviços, incluindo a transmissão e troca de SMS através de redes de telecomunicações e outras mensagens e comunicações, incluindo e-mails, voz e outros meios através de outras plataformas de comunicação, independentemente de o Cliente atuar como controlador ou operador, a SINCH atua como um controlador de dados independente, e não como controlador conjunto, para fornecer os seus serviços de comunicações e realizar suas funções e negócios necessários como um provedor de serviços de comunicação, incluindo as medidas necessárias para prevenir spam e fraude e o controle, segurança e manutenção de sua rede, gerenciamento de seus negócios e funções de conformidade, de acordo com suas obrigações nos termos das legislações aplicáveis. (v) Categorias de titulares de dados a quem os dados pessoais se referem: remetentes e destinatários de mensagens de e-mail e SMS, chamadas de voz ou outras formas de comunicação.

b) A SINCH somente tratará os Dados Pessoais do Cliente (i) para os fins de cumprimento das suas obrigações nos termos do Contrato Principal e (ii) de acordo com as instruções documentadas descritas neste DPA ou conforme de outra forma instruído pelo Cliente de tempos em tempos. As instruções do Cliente devem ser documentadas no pedido aplicável, descrição dos serviços, ticket de suporte, outra comunicação escrita ou conforme orientado pelo Cliente usando os Serviços (como por exemplo através de uma API ou painel de controle).

c) Quando a SINCH entender razoavelmente que uma instrução do Cliente é contrária às disposições do Contrato Principal ou deste DPA, ou que infringe a GDPR ou quaisquer outras disposições de proteção de dados aplicáveis, deverá informar o Cliente sem demora. Nestes casos, a SINCH estará autorizada em adiar a execução da respectiva instrução até que tenha sido alterada pelo Cliente, ou seja, mutuamente acordada pelo Cliente e pela SINCH.

d) O Cliente é exclusivamente responsável pela utilização e gestão dos dados pessoais submetidos ou transmitidos pelos Serviços, incluindo: (i) verificar as informações do destinatário, como número de telefone ou endereço, e garantir que sejam inseridas corretamente nos Serviços; (ii) notificar de forma clara e razoável os destinatários sobre a natureza insegura do e-mail ou das mensagens como meio de transmissão de dados pessoais (conforme aplicável), (iii) limitar razoavelmente a quantidade ou o tipo de informações divulgadas através dos Serviços (iv) criptografar quaisquer dados pessoais transmitidos através dos Serviços, quando apropriado ou exigido pela lei aplicável (como por exemplo através do uso de anexos criptografados, conjuntos de ferramentas PGP ou S/MIME). Quando o Cliente decidir não configurar a criptografia obrigatória, o Cliente reconhece que os Serviços podem incluir a transmissão de e-mails não criptografados em texto simples pela Internet pública e redes abertas. As informações carregadas nos Serviços, inclusive o conteúdo da mensagem, são armazenadas em um formato criptografado quando processadas pela Infraestrutura da SINCH.

e) Desvios (regras específicas com base na legislação nacional aplicável):

(i) para Clientes e contratos no Brasil, além do que está acordado neste DPA, as obrigações estabelecidas adotarão as seguintes redações e diretrizes:

a) As definições destacadas abaixo deverão substituir as definições utilizadas no presente DPA:

1. “Categorias Especiais de Dados Pessoais” significa “Dados Pessoais Sensíveis”: que devem ser interpretados como dados relativos à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a organizações sindicais ou religiosas, filosóficas ou políticas, dados relativos à saúde ou à vida sexual de uma pessoa física, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

2. “Tratamento de Dados” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração

b) As disposições contidas na Cláusula 13(b) não serão aplicáveis.

(ii) para Clientes e contratos na Colômbia, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais:

“O Controlador reconhece que o Operador pode tratar, transferir, armazenar e processar dados pessoais para territórios fora da Colômbia, onde estarão sujeitos às leis das jurisdições estrangeiras em que estes são mantidos. O Controlador reconhece que possui todas as autorizações prévias necessárias dos titulares dos dados e dos registros de bancos de dados que permitiriam ao Operador tratar os dados pessoais e transferi-los e/ou transmiti-los para países que atendam, no mínimo, ao mesmo padrão de proteção de dados pessoais (nível adequado de proteção) previstos nas regulamentações colombianas, tais como, mas não se limitando, a Lei Estatutária 1581 de 2012, ao Decreto Regulamentar 1377 de 2013, ao Decreto 90 de 2018, a Circular Única da Superintendência da Indústria e Comércio, a Circular Externa Nº 005 de 2017 da Superintendência da Indústria e Comércio e outros regulamentos que modificam, substituem ou complementam o acima exposto.”

(iii) para Clientes e contratos na Argentina, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais: as partes concordam em celebrar as seguintes Cláusulas Contratuais Padrão da Argentina para a transferência internacional caso o Controlador dos dados pessoais seja da Argentina e/ou as Leis de Proteção de Dados Aplicáveis e/ou a autoridade de proteção de dados da Argentina exija que essas cláusulas sejam compridas.

Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, “el exportador de datos”) y, por la otra, ____________________________ (nombre), __________ (dirección y país), (“en adelante, el importador de datos”), en conjunto “las partes”, convienen el presente contrato de transferencia internacional de datos personales para la prestación de servicios, sometiéndola a los términos y condiciones que se detallan a continuación. (iv) para Clientes e contratos no México, as obrigações estabelecidas nas seções 13(b) não são aplicáveis.

4. CONTROLADOR E OPERADOR

a) Para os fins deste DPA, o Cliente é o controlador dos Dados Pessoais do Cliente e a SINCH é o operador de tais dados, exceto quando o Cliente atuar como um operador dos Dados Pessoais do Cliente, sendo que neste caso a SINCH será considerada um suboperador.

b) A SINCH sempre deverá ter um representante que seja responsável por ajudar o Cliente (i) a responder a perguntas relativas ao tratamento de dados pessoais recebidos dos titulares dos dados; e, (ii) no preenchimento de todas as informações legais e requisitos de divulgação que se aplicam e/ou estejam associados ao tratamento de dados pessoais. Essa assistência deve ser solicitada em dpo@sinch.com.

c) O Cliente garante que:

(i) o tratamento dos Dados Pessoais do Cliente é baseado em fundamentos legais para o tratamento, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, bem como que detém e deverá manter durante toda a vigência do Contrato Principal todos os direitos, permissões, registros e consentimentos necessários conforme exigido pelas Leis de Proteção de Dados Aplicáveis com relação ao tratamento pela SINCH de Dados Pessoais do Cliente sob este DPA e o Contrato Principal; (ii) tem todos os direitos, permissões e consentimentos necessários para transferir os Dados Pessoais do Cliente para a SINCH e, de outra forma, permitir que a SINCH trate os Dados Pessoais do Cliente em seu nome, para que a SINCH possa usar, tratar e transferir legalmente os Dados Pessoais do Cliente para prestar os Serviços e executar os outros direitos e obrigações da SINCH nos termos deste DPA e o Contrato Principal; (iii) informará aos titulares de dados sobre a utilização dos operadores de dados no tratamento dos seus dados pessoais, na medida exigida nos termos das Leis de Proteção de Dados Aplicáveis; e (iv) responderá de forma e em prazo razoável às consultas dos titulares dos dados sobre o tratamento de seus dados pessoais, bem como dará instruções apropriadas à SINCH em tempo hábil.

5. CONFIDENCIALIDADE

a) A SINCH deverá garantir que cada um dos seus colaboradores e suboperadores que estejam autorizados a tratar os Dados Pessoais do Cliente estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade, bem como estejam treinados em relação aos respectivos requisitos de segurança e proteção de dados.

6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS

a) A SINCH deverá, em relação aos Dados Pessoais do Cliente, (a) tomar e documentar medidas razoáveis e apropriadas, conforme descrito no Anexo 2 do DPA, em relação à segurança da Infraestrutura da SINCH e das plataformas usadas para prestar os Serviços, conforme descrito no Contrato Principal, e (b) mediante solicitação razoável, às custas do Cliente, ajudar o Cliente a garantir o cumprimento das obrigações do Cliente de acordo com o Artigo 32 da GDPR.

b) Os procedimentos operacionais internos da SINCH devem cumprir os requisitos específicos de uma gestão eficaz de proteção de dados.

7. SOLICITAÇÕES DO TITULAR DOS DADOS

a) A SINCH fornece ferramentas específicas para ajudar o Cliente a responder às solicitações recebidas dos titulares dos dados, como por exemplo as APIs da SINCH e interfaces para pesquisar dados de eventos, supressões e/ou recuperar o conteúdo das mensagens. Quando a SINCH recebe uma reclamação, consulta ou solicitação (incluindo solicitações feitas por titulares de dados para exercer seus direitos de acordo com as Leis de Proteção de Dados Aplicáveis) relacionadas aos Dados Pessoais do Cliente diretamente dos titulares dos dados, a SINCH notificará o Cliente. Considerando a natureza do tratamento, a SINCH deverá prestar assistência ao Cliente, através de medidas técnicas e organizacionais adequadas, na medida do razoavelmente possível, para o cumprimento da obrigação do Cliente de responder às solicitações para exercer os direitos de tais titulares de dados.

8. VIOLAÇÕES DE DADOS PESSOAIS

a) A SINCH deverá notificar o Cliente sem demora injustificada assim que tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A SINCH deverá, tendo em consideração a natureza do tratamento e as informações disponíveis, envidar os esforços comercialmente razoáveis para fornecer ao Cliente informações suficientes para permitir que o Cliente, à custa do Cliente, cumpra quaisquer obrigações de comunicar ou informar as autoridades reguladoras, titulares de dados e outras entidades em relação a tal violação de dados pessoais na medida exigida pelas Leis de Proteção de Dados Aplicáveis.

9. AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

a) A SINCH deverá, tendo em consideração a natureza do tratamento e as informações disponíveis, prestar assistência razoável ao Cliente, às custas do Cliente, com quaisquer avaliações de impacto à proteção de dados e consultas prévias com as autoridades de supervisão ou outras autoridades reguladoras competentes, conforme necessário para que o Cliente cumpra as suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis.

10. AUDITORIAS

a) A SINCH deverá disponibilizar ao Cliente, mediante solicitação, as informações que sejam razoavelmente necessárias para demonstrar a conformidade com este DPA.

b) O Cliente, ou um auditor terceirizado mandatado, pode, mediante solicitação por escrito, realizar uma inspeção em relação ao tratamento pela SINCH dos Dados Pessoais do Cliente e na medida necessária de acordo com as Leis de Proteção de Dados Aplicáveis, sem interromper as operações comerciais da SINCH, e garantindo a confidencialidade.

c) O direito de auditoria, conforme descrito na Cláusula 10(b) acima, se tornará aplicável ao Cliente, caso a SINCH não tenha fornecido evidências suficientes de sua conformidade com as disposições deste DPA. Evidências suficientes incluem o fornecimento de: (i) uma certificação da conformidade com a norma ISO 27001 ou outras normas aplicadas pela SINCH (âmbito conforme definido no certificado); ou (ii) um relatório de auditoria ou atestado de um terceiro independente. Qualquer auditoria conforme descrita nesta Cláusula 10 deverá ser realizada às custas e despesas do Cliente.

11. DEVOLUÇÃO OU DESTRUIÇÃO DOS DADOS PESSOAIS DO CLIENTE

a) O Cliente pode, mediante notificação por escrito à SINCH, sendo o mais tardar no momento da rescisão do Contrato Principal, solicitar a devolução e/ou certificado de exclusão de todas as cópias dos Dados Pessoais do Cliente sob o controle ou posse da SINCH e suboperadores. A SINCH deverá fornecer uma cópia dos Dados do Cliente em um formulário que possa ser lido e processado posteriormente.

b) No prazo de noventa (90) dias após o encerramento da conta, a SINCH deverá eliminar todos os dados pessoais tratados nos termos deste DPA, a menos que o Cliente solicite a devolução dos dados pessoais conforme descrito na Cláusula 11(a) acima. Esta disposição não deverá afetar os potenciais deveres estatutários das partes de preservar os registros durante os períodos de conservação fixados por lei, estatuto ou contrato.

c) Qualquer custo adicional que surja em conexão com a devolução dos dados pessoais após a rescisão ou expiração do Contrato Principal está a cargo do Cliente.

12. TRANSFERÊNCIAS DE DADOS

a) Nos casos em que a SINCH atue como importadora de dados e o Cliente como exportador de dados da União Europeia, do Espaço Económico Europeu e/ou dos seus Estados-Membros, da Suíça e do Reino Unido, as Cláusulas Contratuais Padrão e, se necessário, o Adendo do Reino Unido, serão incorporadas como parte deste DPA. Caso o acordo da SINCH com um suboperador envolver uma Transferência Restrita, a SINCH deverá garantir que as disposições de transferência subsequente das Cláusulas Contratuais Padrão e/ou o Adendo do Reino Unido sejam incorporadas ao Contrato Principal ou de outra forma celebradas entre a SINCH e o suboperador. O Cliente concorda em exercer seu direito de auditoria nas Cláusulas Contratuais Padrão, instruindo a SINCH a conduzir a auditoria estabelecida na Cláusula 10.

b) O Cliente reconhece e concorda que, em conexão com o desempenho dos Serviços sob o Contrato Principal, a SINCH pode transferir dados pessoais dentro de seu grupo de empresas. Essas transferências são necessárias para prestar os Serviços globalmente.

c) Para transferências de dados pessoais da União Europeia, do Espaço Económico Europeu e/ou dos seus Estados-Membros, da Suíça e do Reino Unido para países que não assegurem um nível adequado de proteção de dados nos termos das leis de proteção de dados dos territórios mencionados anteriormente, na medida em que tais transferências estejam sujeitas às leis e regulamentos de proteção de dados e a fim de implementar salvaguardas adequadas, as seguintes medidas deverão ser tomadas: (1) Cláusulas Contratuais Padrão de acordo com a Decisão da Comissão Europeia 2021/914/UE, de 4 de junho de 2021; (2) Adendo do Reino Unido e (3) salvaguardas adicionais com relação as medidas de segurança, incluindo a criptografia de dados, agregação de dados, separação de controles de acesso e princípios de minimização de dados.

13. SUBOPERADORES

a) Pelo presente instrumento o Cliente concede uma autorização geral à SINCH para nomear suboperadores de acordo com esta Cláusula 13 e Anexo 1. A SINCH garantirá que os suboperadores estejam vinculados por contratos escritos que exijam que eles forneçam pelo menos o nível de proteção de dados exigido da SINCH por este DPA. O Cliente também concede à SINCH uma autorização específica para continuar a usar os suboperadores já contratados na data deste DPA, conforme mencionado na seção (b) abaixo.

b) Os suboperadores atuais para os Serviços são definidos em https://sinch.com/data-protection-agreement/sub-processors/ (“Lista de Suboperadores”). Desde que o Cliente subscreva notificações de novos suboperadores através do mecanismo de subscrição encontrado em https://sinch.com/data-protection-agreement/sub-processors/, a SINCH deverá notificar o Cliente, através do referido mecanismo, com trinta (30) dias de antecedência de quaisquer alterações pretendidas relativas à adição ou substituição de qualquer suboperador. Caso, no prazo de dez (10) dias úteis a contar do recebimento dessa notificação, o Cliente notificar a SINCH por escrito de quaisquer objeções por motivos razoáveis à nomeação proposta, a SINCH não deverá nomear esse suboperador proposto até que tenham sido tomadas medidas razoáveis para resolver as objeções levantadas pelo Cliente e o Cliente tenha recebido uma explicação razoável por escrito das medidas tomadas. Caso a SINCH e o Cliente não forem capazes de resolver a nomeação de um suboperador dentro de um período razoável, qualquer uma das partes deverá ter o direito de rescindir o Contrato Principal por justa causa.

c) A SINCH deverá ser responsável pelos atos e omissões de quaisquer suboperadores como é para o Cliente por seus próprios atos e omissões em relação aos assuntos previstos neste DPA.

14. LEI APLICÁVEL E JURISDIÇÃO

a) As partes deste DPA submetem-se à escolha de jurisdição estipulada no Contrato Principal com relação a quaisquer disputas ou reivindicações decorrentes deste DPA, incluindo as disputas relativas à sua existência, validade ou rescisão ou às consequências de sua nulidade.

b) Este DPA e todas as obrigações não contratuais ou outras decorrentes ou em conexão com este deverão ser regidas pelas leis do país ou território estipulado no Contrato Principal para este fim.

c) Sem prejuízo do mencionado anteriormente nos termos das Cláusula 14 (a) e (b) acima, todas as obrigações decorrentes ou relacionadas com as Cláusulas Contratuais Padrão eventualmente incorporadas o presente DPA deverão ser regidas pelas leis do Estado-Membro da UE especificadas no Anexo 1, conforme exigido para a validade dessas Cláusulas Contratuais Padrão nos termos da Decisão da Comissão Europeia 2021/914/UE de 4 de junho de 2021.

15. ORDEM DE PRECEDÊNCIA

a) Com relação ao objeto deste DPA, e exceto quando explicitamente acordado de outra forma por escrito e assinado em nome das partes, em caso de inconsistências entre as disposições deste DPA e quaisquer outros acordos entre as partes, incluindo o Contrato Principal e incluindo acordos celebrados ou supostamente celebrados após a data deste DPA, as disposições deste DPA deverão prevalecer.

16. DISPOSIÇÕES INDEPENDENTES

a) Caso qualquer disposição deste DPA for declarada inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deverá ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o mais estreitamente possível ou, se isso não for possível, (ii) deverá ser interpretada de forma como se a parte inválida ou inexequível nunca tivesse sido contida no presente instrumento.

17. TÉRMINO

a) Com o término do Contrato Principal, este DPA e as Cláusulas Contratuais Padrão serão também considerados encerrados após o cumprimento da obrigação da SINCH de excluir os dados pessoais em tratamento de acordo com a Cláusula 11.

ANEXO 1 – CLÁUSULAS CONTRATUAIS PADRÃO

Com relação às Cláusulas Contratuais Padrão, as partes acordam que:

a) O Módulo 2 (Controlador para Operador) será aplicado onde a SINCH atua como operador de dados do Cliente; o Módulo 3 (Operador para Operador) será aplicado onde a SINCH atua como suboperador do Cliente. Para cada Módulo, quando aplicável:

b) A cláusula 7ª (Clausula de Adesão) está incorporada;

c) Para os fins da Cláusula 9.a) (Uso de Suboperadores), a Opção 2: aplica-se a autorização geral por escrito. O importador de dados tem a autorização geral do exportador de dados para a contratação de suboperadores a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito de quaisquer alterações pretendidas a essa lista através da adição ou substituição de suboperadores com pelo menos trinta (30) dias de antecedência;

d) A redação opcional da Cláusula 11 (Retificação) relativa aos órgãos de resolução independentes não está incorporada;

e) Para efeitos da Cláusula 13 (Supervisão), o IMY, a Autoridade Sueca de Proteção de Dados (Integritetsskyddsmyndigheten) deverá atuar como a autoridade fiscalizadora competente;

f) A Opção 1 da Cláusula 17 (Lei Aplicável) deverá ser aplicada e as leis da Suécia deverão reger as Cláusulas Contratuais Padrão;

g) Para os fins da Cláusula 18 (Escolha do Foro e Jurisdição), os tribunais da Suécia resolverão qualquer disputa decorrente das Cláusulas Contratuais Padrão;

h) O Anexo IA (Lista das Partes) e o Anexo IB (Descrição da Transferência) deverão ser preenchidos utilizando as informações e detalhes especificados no Contrato Principal e enumerados na Seção 3 do DPA;

i) O Anexo IB (Descrição da Transferência) deve ser concluído especificando que não serão transferidos dados sensíveis. A frequência da transferência deve ser contínua. No caso de transferências para suboperadores, o objeto, a natureza e a duração do tratamento devem ser os mesmos que os do importador de dados;

j) Para efeitos do Anexo IC, a autoridade fiscalizadora competente nos termos da Cláusula 13 é a IMY, a Autoridade Sueca de Proteção de Dados (Integritetsskyddsmyndigheten);

k) Para efeitos do Anexo II, as medidas técnicas e organizacionais estão descritas no Anexo 2 do DPA;

l) Para efeitos do Anexo III, a Lista de Suboperadores está incluída no Anexo 3 do DPA;

m) Onde a Transferência Restrita estiver sujeita ao Regulamento, uma vez que faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte (GDPR do Reino Unido), as Cláusulas Contratuais Padrão deverão incorporar o Adendo do Reino Unido concluído da seguinte forma: (i) Para efeitos da Tabela 1, a data de início é a data da assinatura do DPA e os dados das partes devem ser preenchidos utilizando as informações e detalhes especificados no Contrato Principal; (ii) Para efeitos da Tabela 2, a versão das Cláusulas Contratuais Padrão da UE aprovadas à qual o Adendo do Reino Unido é anexado será a das Cláusulas Contratuais Padrão, conforme concluído em conformidade com o presente Anexo 1, sendo a data de vigência aquela do presente Adendo; (iii) Para os efeitos da Tabela 3, as Informações do Apêndice são as descritas nos parágrafos (h)-(l) do presente Anexo 1; e (iv) Para efeitos da Tabela 4, a entidade SINCH que atua como importador pode rescindir o Adendo do Reino Unido quando o Adendo Aprovado for alterado.

ANEXO 2 – SEGURANÇA DA INFORMAÇÃO – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

As medidas técnicas e organizacionais incluídas neste Anexo são medidas aplicáveis aos Serviços prestados pela SINCH. Se necessário, para o Serviço, a SINCH pode incluir outras medidas técnicas e organizacionais na Ordem de Serviço ou Serviço.

1. Inventário de informações e outros ativos associados

Um inventário de informações e outros ativos associados, incluindo proprietários, é desenvolvido e mantido. Um proprietário de ativo foi designado para cada ativo dentro do inventário de acordo com a política de marcação de ativos.

2. Informações de autenticação

A alocação e a gestão das informações de autenticação são controladas por um processo de gerenciamento, que inclui aconselhar os colaboradores sobre o tratamento apropriado das informações de autenticação.

Em particular, a SINCH:

Não limita os caracteres permitidos que podem ser usados
Senha mínima de 16 caracteres
Não usa perguntas secretas como um único requisito de redefinição de senha
Exige a verificação por e-mail de uma solicitação de alteração de senha
Exige a senha atual além da nova senha durante a alteração de senha
Verifica as senhas recém-criadas em listas de senhas comuns ou bancos de dados de senhas vazadas
Verifica regularmente as senhas de usuário existentes para comprometimento
Os segredos memorizados devem ter salt e hash usando uma função de derivação de chave unidirecional adequada
Aplica o bloqueio de conta apropriado e a proteção de força bruta no acesso à conta de no máximo 5 logins com falha e, em seguida, bloqueia por 30 minutos
As últimas 24 senhas não devem ser reutilizadas
Alteração de senha por 365 dias
As senhas de rede convidada, quando de risco baixo podem ser definidas para nunca expirar se seguir o requisito de comprimento da senha (mínimo de 16 caracteres)
MFA (autenticação multifatorial) e SSO (login único) usados em todos os casos de uso

3. Direitos de acesso

Os direitos de acesso às informações e outros ativos associados são provisionados, revisados, modificados e removidos de acordo com a política específica de tópicos e regras de controle de acesso da organização.

Em particular, na SINCH:

Os direitos de acesso são analisados trimestralmente
Contas de usuário inativas há mais de 90 dias são desativadas
Revisões trimestrais de acesso devem ser realizadas para todos os sistemas de acesso de escritórios para verificar se os direitos de acesso dos usuários ainda estão válidos

4. Prontidão das TICs para a continuidade dos negócios

A preparação das TICs (Tecnologias de Informação e Comunicação) é planejada, implementada, mantida e testada com base nos objetivos de continuidade dos negócios e nos requisitos de continuidade das TICs.

Em particular, na SINCH:

Todas as unidades de negócios têm um ou mais planos de recuperação de desastres especificamente alinhados com a oferta de produtos
O plano de recuperação de desastres é testado anualmente através do uso de simulação de incidentes

5. Conscientização, formação e treinamento em segurança da informação

Os colaboradores da organização e as respectivas partes interessadas recebem conscientização, formação e treinamento apropriados em segurança da informação e atualizações regulares da política de segurança da informação da organização, políticas e procedimentos específicos de tópicos, conforme relevante para sua função de trabalho.

Em particular, na SINCH:

Todos os funcionários concluem o treinamento dentro de 3 semanas da data de início
Todos os funcionários realizaram treinamento ISA (Information Security Awareness) nos últimos 12 meses
O conteúdo do treinamento ISA é atualizado a cada 12 meses

6. Gestão de capacidade

A utilização dos recursos é monitorizada e ajustada de acordo com as necessidades de capacidade atuais e previstas.

7. Proteção contra malware

A proteção contra malware é implementada e apoiada por meio da conscientização adequada dos usuários. Todos os dispositivos de endpoint devem ter detecção de endpoint (EDR – Endpoint Detection and Response).

8. Gestão de vulnerabilidades técnicas

Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso são obtidas, a exposição da SINCH a tais vulnerabilidades é avaliada e medidas apropriadas são tomadas.

Em particular, na SINCH:

Realiza varredura de vulnerabilidade a cada 7 dias
Aplica patches de segurança a todos os componentes da pilha de aplicativos com pontuação de gravidade maior que “Média”, conforme determinado pelo emissor do patch dentro de um mês (30 dias) após o lançamento
Teste de intrusão a cada 12 meses na caixa preta manual

9. Gestão de configuração

As configurações, incluindo as configurações de segurança, de hardware, software, serviços e redes são estabelecidas, documentadas, implementadas, monitoradas e revisadas de acordo com os seguintes padrões: NIST 800-53 e Controles CIS.

10. Backup de informações

Cópias de backup de informações, software e sistemas são mantidas e testadas regularmente de acordo com a política de backup específica acordada por tópico.

A rotina de backup pelo menos especifica:

Intervalos de backup (mínimo semanal)
Requisitos de retenção
Local para armazenamento de backup
Extensão do backup (por exemplo, dados, configurações, backup completo do sistema)
Estratégia de backup (por exemplo, online versus offline, número de backups, relação entre backup completo e incremental)
Os testes de restauração de backup devem ser realizados pelo menos trimestralmente para sistemas críticos para os negócios e, pelo menos, anualmente para todos os outros e os testes

11. Atividades de monitoramento

Redes, sistemas e aplicativos são monitorados quanto a comportamentos anômalos e ações apropriadas são tomadas para avaliar possíveis incidentes de segurança da informação. Redes, sistemas e aplicativos são monitorados quanto a comportamentos anômalos e maliciosos, a fim de detectar possíveis incidentes de segurança.

12. Segurança de rede

Redes e dispositivos de rede são protegidos, gerenciados e controlados para proteger informações em sistemas e aplicativos.

Por exemplo, a SINCH:

Criptografa os dados em repouso em servidores, aplicativos e bancos de dados (Mínimo AES256). Criptografa os dados em trânsito (TLS 1.2 ou superior)
Registra e monitora adequadamente para permitir o registro e a detecção de ações que podem afetar ou são relevantes para a segurança da informação, incluindo EDR
O proprietário do produto deve manter a documentação atualizada, incluindo diagramas de rede e arquivos de configuração de dispositivos (por exemplo, roteadores, switches).
Restringe e filtra a conexão dos sistemas com a rede, tanto de entrada quanto de saída, por exemplo, usando firewalls para minimizar os ativos expostos, tanto interna quanto externamente
Protege os dispositivos de rede
Segrega os canais de administração de rede de outro tráfego de rede
Isola temporariamente sub-redes críticas (por exemplo, com pontes levadiças) se a rede estiver sob um ataque

13. Gestão do ciclo de vida do sistema

Regras para o desenvolvimento seguro de software e sistemas são estabelecidas e aplicadas.

Por exemplo, na SINCH:

O sistema é projetado de forma segura, utilizando modelagem de ameaças, conforme
Há um plano para manter o sistema alinhado com o controle de gestão de vulnerabilidades
Há um proprietário do sistema
Há um plano para substituir o sistema (política de legado zero)

14. Testes de segurança no desenvolvimento e aceitação

Os processos de teste de segurança são definidos e implementados no ciclo de vida de desenvolvimento.

SAST e vulnerabilidades e varreduras de detecção de segredos em pipelines CICD. Se possível DAST
Nenhuma vulnerabilidade crítica ou alta corrigida antes de estar disponível para os clientes
Gerencia com segurança a infraestrutura de rede
Todos os projetos seguem as verificações de segurança da versão do produto

15. Medidas para garantir a segurança física dos locais de tratamento de dados pessoais

Medidas de segurança física e ambiental foram implementadas dentro da SINCH.

Por exemplo, na SINCH:

Os perímetros de segurança são definidos e usados para proteger áreas que contêm informações e outros ativos associados
As áreas seguras são protegidas por controles de entrada e pontos de acesso apropriados
A segurança física para escritórios, salas e instalações é projetada e implementada
As instalações são continuamente monitoradas quanto a acessos físicos não autorizados
A proteção contra ameaças físicas e ambientais, como desastres naturais e outras ameaças físicas intencionais ou não intencionais à infraestrutura, está projetada e implementada
Medidas de segurança para trabalhar em áreas seguras são projetadas e implementadas
Regras claras de mesa para papéis e mídias de armazenamento removíveis e regras de tela clara para instalações de processamento de informações são definidas e aplicadas adequadamente
O equipamento está posicionado de forma segura e protegida
Os ativos externos são protegidos
A mídia de armazenamento é gerenciada através de seu ciclo de vida de aquisição, uso, transporte e descarte de acordo com o esquema de classificação e os requisitos de manuseio da organização
As instalações de processamento de informações estão protegidas contra falhas de energia e outras interrupções causadas por falhas nas concessionárias de suporte
Os cabos que transportam energia, dados ou serviços de informação de apoio estão protegidos contra intercepção, interferência ou danos
Os equipamentos são mantidos corretamente para garantir a disponibilidade, integridade e confidencialidade das informações
Os itens de equipamento que contêm mídia de armazenamento são verificados para garantir que quaisquer dados confidenciais e software licenciado tenham sido removidos ou substituídos com segurança antes do descarte ou reutilização

A SINCH também aplicou um Sistema de Gestão de Segurança da Informação (SGSI), de acordo com a ISO/IEC 27001:2022.

16. Medidas para garantir uma retenção limitada de dados

Foram implementadas medidas para garantir uma retenção limitada dos dados pessoais.

Por exemplo, a SINCH:

Estabeleceu uma política de retenção de dados, que define claramente os tipos específicos de dados que serão coletados, por quanto tempo serão retidos e quando serão excluídos
Implementou processos automatizados de deleção
Revisa e atualiza regularmente a política de retenção
Limita a coleta de dados apenas ao necessário para a finalidade comercial específica
Treina os funcionários sobre a retenção de dados
Revisa e monitora regularmente a retenção de dados
Usa a criptografia para proteger os dados retidos, para reduzir o risco de acesso ou divulgação não autorizados

17. Medidas para assegurar a responsabilização

Foram implementadas medidas técnicas e organizacionais adequadas para satisfazer os requisitos de responsabilização.

Por exemplo, a SINCH:

Adotou e implementou políticas de proteção de dados
Adotou uma abordagem de ‘proteção de dados por design e default’
Estabeleceu contratos escritos com organizações que processam dados pessoais em nome da SINCH
Documentou suas atividades de processamento
Realizou avaliações de impacto sobre a proteção de dados
Nomeou um DPO do Grupo

18. Medidas para permitir a portabilidade dos dados e garantir a eliminação

Medidas para permitir o exercício dos direitos dos titulares de dados são implementadas dentro da SINCH.

Por exemplo, a SINCH:

Apaga dados pessoais de sistemas de backup, bem como sistemas em tempo real, quando necessário, e diz claramente ao indivíduo o que acontecerá com seus dados
Entra em contato com cada destinatário para informá-los sobre a eliminação dos dados, se os dados pessoais forem divulgados a terceiros, a menos que isso seja impossível ou envolva esforço desproporcional. Se os dados pessoais se tornarem públicos em um ambiente online, a organização toma medidas razoáveis para informar outros controladores, se estiverem tratando os dados, para apagarem links, cópias ou replicação desses dados
Informa ao titular dos dados quais terceiros receberam os dados pessoais sempre que solicitado
Fornece dados pessoais em um formato estruturado, comumente usados e legível por máquina, quando solicitado. Sempre que possível e se um indivíduo o solicitar, a organização pode transmitir diretamente a informação à outra organização.

19. Medidas para garantir a minimização dos dados

Medidas para minimizar a quantidade de dados tratados são implementadas.

Por exemplo, para cada atividade de processamento a SINCH:

Implementou medidas que garantem que a coleta de dados pessoais é adequada, relevante e estritamente limitada ao necessário em relação às finalidades para as quais são tratados
Avaliou que não pode atingir os objetivos da sua atividade de tratamento com dados menos invasivos em termos de privacidade (por exemplo, trabalhando com dados menos granulares) ou processos intrusivos (ou seja, utilizando meios menos intrusivos)
Documentou o requisito para cada campo de dados em relação à finalidade

Categoria

Terms and Conditions Policies & Statements Legal Compliance

Cookie Statement Política de Segurança da Informação Aviso de Privacidade

Termos e Condições Suplementares dos Serviços Customizados Messaging Compliance Sub-Processors

Subgrupo de cookies	Cookies	Cookies usados
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Primeira Parte
community.sinch.com	AWSALB , LiSESSIONID	Primeira Parte
appengage.sinch.com	dd_cookie_test_	Primeira Parte
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Primeira Parte
cockpit2.sinch.com	SESSION	Primeira Parte
engage.sinch.com	instapage-variant-xxxxxxxx	Primeira Parte
dashboard.sinch.com	cookietest	Primeira Parte
brand.sinch.com	PHPSESSID , AWSALBCORS	Primeira Parte
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Primeira Parte
mediabrief.com	__cf_bm	Terceiros
recaptcha.net	_GRECAPTCHA	Terceiros
cision.com	__cf_bm	Terceiros
techtarget.com	__cf_bm	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
community.sinch.com	ValueSurveyVisitorCount	Primeira Parte
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Primeira Parte
appengage.sinch.com	_dd_s	Primeira Parte
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Primeira Parte
brand.sinch.com	AMP_TEST	Primeira Parte
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Primeira Parte
www.sinch.com	d-a8e6 , s-9da4	Primeira Parte
nr-data.net	JSESSIONID	Terceiros
sinch-en.newsroom.cision.com	_ga, _gid	Terceiros
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	Terceiros
terminus.services	terminustb	Terceiros
g.fastcdn.co	instap-spses.85bb	Terceiros
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	Terceiros
www.googletagmanager.com	userId	Terceiros
hello.learn.mailgun.com	visitor_id#####, visitor_id	Terceiros
dev.visualwebsiteoptimizer.com	_vwo_ssm	Terceiros
box.com	box_visitor_id	Terceiros
app.box.com	z, cn	Terceiros
sinch-tfn.paperform.co	laravel_session	Terceiros
go.sinch.in	visitor_id#####, visitor_id	Terceiros
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Subgrupo de cookies	Cookies	Cookies usados
investors.sinch.com	visitor_id	Primeira Parte
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Primeira Parte
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Primeira Parte
go.latam.sinch.com	visitor_id##### , pardot	Primeira Parte
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	Terceiros
pi.pardot.com	lpv151751, pardot	Terceiros
hsforms.com	_cfuvid	Terceiros
google.com	CONSENT	Terceiros
sinch.in	_gclxxxx, _gcl_au	Terceiros
www.linkedin.com	bscookie	Terceiros
bing.com	MUID, MSPTC	Terceiros
www.facebook.com		Terceiros
hello.learn.mailgun.com	pardot	Terceiros
www.youtube.com	TESTCOOKIESENABLED	Terceiros
dev.visualwebsiteoptimizer.com	uuid	Terceiros
g2crowd.com	__cf_bm	Terceiros
pardot.com	visitor_id#####, visitor_id	Terceiros
tracking.g2crowd.com	_session_id	Terceiros
hubspot.com	__cf_bm, _cfuvid	Terceiros
doubleclick.net	test_cookie, IDE	Terceiros
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	Terceiros
go.sinch.in	pardot	Terceiros
liadm.com	lidid	Terceiros
www.google.com	_GRECAPTCHA	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
portal.sinch.com	pnctest	Primeira Parte
partner.appengage.sinch.com	_dd_s	Primeira Parte
investors.sinch.com	Primeira Parte
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Primeira Parte
tickets.sinch.com	selectedidp	Primeira Parte
engage.sinch.com	ln_or	Primeira Parte
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Primeira Parte
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Primeira Parte
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Primeira Parte
www.recaptcha.net	_GRECAPTCHA	Terceiros
boxcdn.net	__cf_bm	Terceiros
d2oeshgsx64tgz.cloudfront.net	cookietest	Terceiros
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	Terceiros
vimeo.com	__cf_bm, vuid	Terceiros
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	Terceiros
box.com	site_preference	Terceiros
app.box.com	bv	Terceiros
sinch-tfn.paperform.co	XSRF-TOKEN	Terceiros
cision.com	cf_clearance	Terceiros

Subgrupo de cookies	Cookies	Cookies usados
community.sinch.com	ln_or	Primeira Parte
sinch.in	_fbp	Terceiros
youtube-nocookie.com	CONSENT	Terceiros
youtube.com	YSC	Terceiros

ACORDO DE TRATAMENTO DE DADOS – “DATA PROCESSING AGREEMENT” (“DPA”)

1. DEFINIÇÕES

2. CONFORMIDADE COM AS LEIS DE PROTEÇÃO DE DADOS APLICÁVEIS

3. DETALHES E ESCOPO DO TRATAMENTO

4. CONTROLADOR E OPERADOR

5. CONFIDENCIALIDADE

6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS

7. SOLICITAÇÕES DO TITULAR DOS DADOS

8. VIOLAÇÕES DE DADOS PESSOAIS

9. AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

10. AUDITORIAS

11. DEVOLUÇÃO OU DESTRUIÇÃO DOS DADOS PESSOAIS DO CLIENTE

12. TRANSFERÊNCIAS DE DADOS

13. SUBOPERADORES

14. LEI APLICÁVEL E JURISDIÇÃO

15. ORDEM DE PRECEDÊNCIA

16. DISPOSIÇÕES INDEPENDENTES

17. TÉRMINO

ANEXO 1 – CLÁUSULAS CONTRATUAIS PADRÃO

ANEXO 2 – SEGURANÇA DA INFORMAÇÃO – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

1. Inventário de informações e outros ativos associados

2. Informações de autenticação

3. Direitos de acesso

4. Prontidão das TICs para a continuidade dos negócios

5. Conscientização, formação e treinamento em segurança da informação

6. Gestão de capacidade

7. Proteção contra malware

8. Gestão de vulnerabilidades técnicas

9. Gestão de configuração

10. Backup de informações

11. Atividades de monitoramento

12. Segurança de rede

13. Gestão do ciclo de vida do sistema

14. Testes de segurança no desenvolvimento e aceitação

15. Medidas para garantir a segurança física dos locais de tratamento de dados pessoais

16. Medidas para garantir uma retenção limitada de dados

17. Medidas para assegurar a responsabilização

18. Medidas para permitir a portabilidade dos dados e garantir a eliminação

19. Medidas para garantir a minimização dos dados

Legal and Compliance

Privacy Notices

Other