Última modificação: 8 de agosto de 2023 | Versões anteriores
A Jibe e a contraparte que concorda com este adendo ("Parceiro") celebraram um contrato de prestação dos Serviços de Processador (com alterações periódicas, o "Contrato").
Este adendo de processamento de dados (incluindo os apêndices, "Adendo de processamento de dados") é firmado pela Jibe e pelo parceiro e complementa o Contrato. Este Adendo de Processamento de Dados vai entrar em vigor e substituir quaisquer termos anteriormente aplicáveis relacionados ao objeto em questão (incluindo os termos de segurança e de processamento de dados relacionados aos Serviços de Processador) a partir do Início da Vigência dos Termos.
Se você estiver aceitando este Adendo de processamento de dados em nome do Parceiro, você garante que: (a) tem autoridade legal para sujeitar o Parceiro a este Adendo de processamento de dados; (b) leu e entendeu este Adendo de processamento de dados; e (c) concorda com este Adendo de processamento de dados em nome do Parceiro. Se você não tiver autoridade legal para vincular o Parceiro, não aceite este Adendo de Processamento de Dados.
1. Introdução
Este adendo de Processamento de Dados reflete o acordo das partes sobre os termos que regem o processamento e a segurança de determinados dados em relação à Legislação Europeia de Proteção de Dados e à Legislação de Proteção de Dados não europeia.
2. Definições e Interpretação
2.1 Neste adendo sobre processamento de dados:
"Produto Adicional" significa um produto, serviço ou aplicativo fornecido pela Jibe ou por um terceiro que: (a) não faz parte dos Serviços de Processador; e (b) está acessível para uso na interface do usuário dos Serviços de Processador ou está integrado a eles.
"Termos Adicionais para Legislações de Proteção de Dados Não Europeias": os termos adicionais mencionados no Apêndice 3, que refletem o acordo entre as partes sobre os termos que regem o processamento de determinados dados em relação a certas Legislações de Proteção de Dados Não Europeias.
"País Adequado" significa:
(a) para dados processados sujeitos ao GDPR da UE: o EEE ou um país ou território que respeita a proteção de dados de acordo com o GDPR da UE.
(b) Para dados processados sujeitos ao GDPR do Reino Unido: o Reino Unido ou um país ou território reconhecido como garantindo a proteção de dados adequada de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; e/ou
(c) Para dados processados sujeitos à FDPA da Suíça: Suíça ou um país ou território (i) incluído na lista de estados cuja legislação garante um nível adequado de proteção, conforme publicado pelo Comissário Federal de Proteção de Dados e Informações da Suíça, ou (ii) reconhecido como garantindo proteção de dados adequada pelo Conselho Federal da Suíça de acordo com a FDPA da Suíça, em cada caso, com base em um sistema opcional de proteção de dados.
Solução de Transferência Alternativa significa uma solução, diferente das SCCs, que permite a transferência legal de dados pessoais para um terceiro país de acordo com a legislação europeia de proteção de dados, por exemplo, um framework de proteção de dados reconhecido como garantia de que as entidades locais participantes oferecem proteção adequada.
"Incidente de dados" significa uma violação da segurança da Jibe que leva a destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a dados pessoais do parceiro em sistemas gerenciados ou controlados pela Jibe. "Incidentes de dados" não incluem atividades ou tentativas malsucedidas que não comprometem a segurança dos Dados Pessoais do parceiro, incluindo tentativas de login malsucedidas, pings, varreduras de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.
Ferramenta de titular de dados significa uma ferramenta (se houver) disponibilizada por uma entidade da Jibe a titulares de dados que permita à Jibe responder diretamente e de maneira padronizada a determinadas solicitações de titulares de dados em relação a dados pessoais do parceiro (por exemplo, configurações de publicidade on-line ou um plug-in de navegador de recusa).
"EEE" significa Espaço Econômico Europeu.
"GDPR da UE" é o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/CE.
"Legislação Europeia de Proteção de Dados" significa, conforme aplicável: (a) o GDPR; e/ou (b) a FDPA da Suíça.
"Leis Europeias": conforme aplicável, (a) a legislação da UE ou de um Estado-Membro da UE, caso o GDPR da UE seja aplicável ao processamento de Dados Pessoais do Parceiro; e/ou (b) a legislação do Reino Unido ou de uma parte do Reino Unido, caso o GDPR do Reino Unido seja aplicável ao processamento de Dados Pessoais do Parceiro.
GDPR significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR Britânico.
"Jibe" significa a entidade Jibe que é parte do Contrato.
Entidade da Jibe significa Jibe Mobile, Inc., Jibe Mobile Limited ou qualquer outra entidade que controle direta ou indiretamente, seja controlada ou esteja sob controle comum com a Jibe Mobile, Inc.
Certificação ISO 27001 significa a certificação ISO/IEC 27001:2013 ou uma certificação equivalente para os Serviços de Processador.
"Novo Subprocessador" tem o significado definido na Seção 11.1 (Consentimento para envolvimento de Subprocessadores).
Legislação Não Europeia de Proteção de Dados significa as leis de proteção ou privacidade de dados em vigor fora do EEE, da Suíça e do Reino Unido.
Endereço de e-mail para Notificação significa o endereço de e-mail (se houver) (i) fornecido pelo Parceiro à Jibe ou (ii) designado pelo Parceiro, pela interface do usuário dos Serviços de Processador ou por outros meios fornecidos pela Jibe, para receber determinadas notificações da Jibe relacionadas a este Aditivo de Processamento de Dados. Para maior clareza, é responsabilidade do parceiro fornecer um endereço de e-mail de notificação a Jibe e informar sobre qualquer atualização.
Dados pessoais do parceiro são dados pessoais processados pela Jibe em nome do parceiro ao fornecer os Serviços de Processador.
"SCCs do parceiro" significa SCCs (entre Controlador e Operador), SCCs (entre Operador e Controlador) e/ou SCCs (entre Operador e Operador), conforme aplicável.
"Serviços de Processador" significa serviços de RCS Business Messaging, conforme descrito em developers.google.com/business-communications/rcs-business-messaging.
SCCs são os SCCs do parceiro e/ou de processador para processador (processador para processador, exportador Jibe), conforme aplicável.
"SCCs (entre Controlador e Operador)" refere-se aos termos em business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCCs (processador para controlador)" se refere aos termos em business.safety.google/gdprprocessorterms/sccs/p2c.
"SCCs (entre processadores)" refere-se aos termos em business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"SCCs (processador para processador, exportador da Jibe)" refere-se aos termos em business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
"Documentação de segurança" significa a Certificação ISO 27001 e qualquer outra certificação ou documentação de segurança que a Jibe possa disponibilizar em conexão com os Serviços de Processador.
"Medidas de Segurança" tem o significado dado na Seção 7.1.1 (Medidas de Segurança da Jibe).
Subprocessadores são terceiros autorizados por este apêndice de processamento de dados a ter acesso lógico e processar dados pessoais do parceiro para fornecer partes dos serviços de processador e qualquer suporte técnico relacionado.
Autoridade Supervisora significa, conforme aplicável: (a) uma "autoridade supervisora" conforme definição no GDPR da UE; e/ou (b) o "Comissário" conforme definição no GDPR do Reino Unido e/ou na FDPA da Suíça.
"FDPA da Suíça" é a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).
"Vigência" significa o período entre o Início da Vigência dos Termos e o final do fornecimento dos Serviços de Processador pela Jibe de acordo com o Contrato.
Início da Vigência dos Termos significa a data de início da vigência do Contrato.
"GDPR do Reino Unido" significa o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018, e a legislação secundária aplicável de acordo com essa Lei.
2.2 Os termos "controlador", "titular dos dados", "dados pessoais", "processamento" e "operador", conforme usados neste apêndice sobre o processamento de dados, têm os significados definidos no GDPR. Os termos "importador de dados" e "exportador de dados" têm os significados definidos nas SCCs aplicáveis.
2.3 As palavras "incluir" e "incluindo" significam "incluindo, mas sem se limitar a". Todos os exemplos neste Adendo de Processamento de Dados são ilustrativos e não são os únicos exemplos de um conceito específico.
2.4 Qualquer referência a um enquadramento legal, estatuto ou outro ato legislativo é uma referência a ele conforme alterado ou promulgado novamente de forma periódica.
2.5 Em caso de inconsistência entre a tradução e a versão em inglês deste Adendo de Processamento de Dados, a versão em inglês terá precedência.
3. Duração deste adendo sobre processamento de dados
Este apêndice de processamento de dados vai entrar em vigor no Início da Vigência dos Termos e, independentemente de o Prazo ter expirado, vai permanecer em vigor até a exclusão de todos os Dados Pessoais do Parceiro, conforme descrito neste apêndice de processamento de dados.
4. Aplicação deste adendo sobre processamento de dados
4.1 Aplicação da Legislação Europeia de Proteção de Dados. As seções 5 (Processamento de dados) a 12 (Contato com a Jibe; Registros de processamento) serão aplicadas somente na medida em que a Legislação Europeia de Proteção de Dados se aplicar ao processamento de Dados Pessoais do Parceiro, inclusive se:
(a) o processamento estiver no contexto das atividades de um estabelecimento do parceiro no EEE ou no Reino Unido; e/ou
(b) Dados Pessoais do Parceiro são dados pessoais relacionados a titulares de dados no EEE ou no Reino Unido e o processamento se refere à oferta de bens ou serviços a esses titulares dos dados ou ao monitoramento do comportamento deles no EEE ou no Reino Unido.
4.2 Aplicação aos Serviços de Processador. Este Adendo de Processamento de Dados só se aplica aos Serviços de Processador para os quais as partes concordaram com este Adendo de Processamento de Dados. Por exemplo: (a) os Serviços de Processador para os quais o parceiro clicou para aceitar este Adendo de Processamento de Dados; ou (b) se o Contrato incorporar este Adendo de Processamento de Dados por referência, os Serviços de Processador que são o objeto do Contrato.
4.3 Incorporação dos Termos Adicionais da Legislação de Proteção de Dados Não Europeia. Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam este Aditivo sobre Processamento de Dados.
5. Processamento de Dados
5.1 Funções e conformidade regulatória; Autorização.
5.1.1 Responsabilidades do processador e do controlador. As partes confirmam e concordam que:
(a) o Apêndice 1 descreve o objeto em questão e os detalhes do processamento de Dados Pessoais do Parceiro;
(b) a Jibe é um processador de Dados Pessoais do Parceiro de acordo com a Legislação Europeia de Proteção de Dados;
(c) o Parceiro é um controlador ou processador, conforme aplicável, de Dados Pessoais do Parceiro, de acordo com a Legislação Europeia de Proteção de Dados; e
(d) cada parte cumprirá as obrigações aplicáveis de acordo com a Legislação Europeia de Proteção de Dados no que diz respeito ao processamento de Dados Pessoais do Parceiro.
5.1.2 Parceiros de processadores. Se o parceiro for um processador:
(a) O Parceiro garante, de maneira contínua, que o controlador relevante autorizou (i) as instruções, (ii) a designação do Parceiro de Jibe como outro operador e (iii) o envolvimento de Jibe com Subprocessadores, conforme descrito na Seção 11 (Subprocessadores);
(b) O Parceiro encaminhará imediatamente ao controlador relevante qualquer notificação enviada pela Jibe de acordo com as Seções 5.4 (Notificações de Instrução), 7.2.1 (Notificação de Incidente), 11.4 (Oportunidade de Contestar Mudanças de Subprocessador) ou que se refira a SCCs; e
(c) O Parceiro pode disponibilizar ao controlador relevante qualquer informação disponibilizada pela Jibe de acordo com as Seções 7.4 (Certificação de Segurança), 10.5 (Informações do Data Center) e 11.2 (Informações sobre Subprocessadores).
5.2 Instruções do parceiro. Ao aceitar este Aditivo de Processamento de Dados, o Parceiro instrui a Jibe a processar os Dados Pessoais do Parceiro apenas de acordo com a legislação aplicável: (a) para fornecer os Serviços de Processador e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso dos Serviços de Processador pelo Parceiro (incluindo nas configurações e em outras funcionalidades dos Serviços de Processador) e qualquer suporte técnico relacionado; (c) conforme documentado na forma do Contrato, incluindo este Aditivo de Processamento de Dados; e (d) conforme documentado em outras instruções por escrito dadas pelo Parceiro e reconhecidas pela Jibe como instruções para fins deste Aditivo de Processamento de Dados (coletivamente, as "Instruções").
5.3 Conformidade da Jibe com as Instruções. A Jibe vai obedecer às instruções, a menos que seja proibida pela legislação europeia.
5.4 Notificações de Instrução. A Jibe vai notificar imediatamente o parceiro se, na opinião da Jibe, (a) as leis europeias proibirem a Jibe de obedecer a uma instrução; (b) uma instrução não estiver em conformidade com a legislação europeia de proteção de dados; ou (c) a Jibe não puder obedecer a uma instrução, em cada caso, a menos que essa notificação seja proibida pela legislação europeia. Esta Seção 5.4 (Notificações de Instrução) não reduz os direitos e as obrigações de nenhuma das partes definidos em outras seções do Contrato.
5.5 Produtos adicionais. Se o parceiro usar qualquer Produto Adicional, os Serviços de Processador poderão permitir que esse produto acesse os Dados Pessoais do parceiro, conforme necessário para a interoperabilidade do Produto Adicional com os Serviços de Processador. Conforme necessário, as partes vão celebrar termos de processamento de dados separados para abordar como o Produto Adicional vai processar os Dados Pessoais do Parceiro.
6. Exclusão de Dados
6.1 Exclusão durante o período.
6.1.1 Serviços de Processador com Funcionalidade de Exclusão. Durante o Período, se:
(a) a funcionalidade dos Serviços de Processador incluir a opção para o Parceiro excluir os Dados Pessoais do Parceiro;
(b) o Parceiro usar os Serviços de Processador para excluir determinados Dados Pessoais do Parceiro; e
(c) os Dados Pessoais do Parceiro excluídos não puderem ser recuperados pelo Parceiro (por exemplo, da "lixeira"), o Jibe vai excluir esses Dados Pessoais do Parceiro dos sistemas assim que razoavelmente possível, a menos que as Leis Europeias exijam o armazenamento.
6.1.2 Serviços de Processador sem Funcionalidade de Exclusão. Durante o Período, se a funcionalidade dos Serviços de Processador não incluir a opção para o Parceiro excluir Dados Pessoais do Parceiro, a Jibe vai obedecer a qualquer solicitação razoável do Parceiro para facilitar essa exclusão, na medida em que isso seja possível, considerando a natureza e a funcionalidade dos Serviços de Processador e exceto se a legislação europeia exigir o armazenamento. A Jibe poderá cobrar uma taxa (com base nos custos razoáveis da Jibe) por qualquer exclusão de dados de acordo com esta Seção 6.1.2 (Serviços de Processador sem funcionalidade de exclusão). A Jibe vai fornecer ao parceiro mais detalhes sobre as taxas aplicáveis e a base de cálculo delas antes de qualquer exclusão de dados desse tipo.
6.2 Exclusão quando o período expira. Quando o Período expirar, o Parceiro vai instruir a Jibe a excluir todos os Dados Pessoais do Parceiro (incluindo cópias) dos sistemas da Jibe de acordo com a legislação aplicável. A Jibe vai obedecer a essa instrução assim que razoavelmente possível, a menos que a legislação europeia exija o armazenamento.
7. Segurança de dados
7.1 Medidas e assistência de segurança da Jibe.
7.1.1 Medidas de segurança da Jibe. A Jibe vai implementar e manter medidas técnicas e organizacionais para proteger os Dados Pessoais do Parceiro contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal, conforme descrito no Apêndice 2 (as Medidas de Segurança). Conforme descrito no Apêndice 2, as Medidas de segurança incluem: (a) criptografar dados pessoais; (b) ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Jibe; (c) ajudar a restaurar o acesso a dados pessoais após um incidente; e (d) para testes regulares de eficácia. A Jibe pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.
7.1.2 Acesso e Compliance. A Jibe (a) vai autorizar os funcionários, os contratados e os subprocessadores a acessar os dados pessoais do Parceiro apenas na medida estritamente necessária para cumprir as instruções; (b) vai tomar as medidas adequadas para garantir o cumprimento das medidas de segurança pelos funcionários, contratados e subprocessadores na medida aplicável ao escopo de desempenho; e (c) vai garantir que todas as pessoas autorizadas a processar os dados pessoais do Parceiro se comprometam com a confidencialidade ou estejam sob obrigação legal adequada de confidencialidade.
7.1.3 Assistência de Segurança da Jibe. Considerando a natureza do processamento de dados pessoais do parceiro e as informações disponíveis para a Jibe, a Jibe vai ajudar o parceiro a garantir a conformidade com as obrigações do parceiro (ou, se o parceiro for um operador, do controlador relevante) em relação à segurança de dados pessoais e violações de dados pessoais, incluindo as obrigações do parceiro (ou, se o parceiro for um operador, do controlador relevante) nos artigos 32 a 34 (inclusive) do GDPR, da seguinte forma:
(a) implementação e manutenção das Medidas de Segurança de acordo com a Seção 7.1.1 (Medidas de Segurança do Jibe);
(b) cumprimento dos termos da Seção 7.2 (Incidentes de Dados); e
(c) Fornecer ao Parceiro a Documentação de Segurança de acordo com a Seção 7.5.1 (Análises de Documentação de Segurança) e as informações contidas neste Adendo sobre Processamento de Dados.
7.2 Incidentes de dados.
7.2.1 Notificação de incidentes. Se a Jibe tomar conhecimento de um Incidente de Dados, ela (a) vai notificar o parceiro sobre o Incidente de Dados imediatamente e sem atrasos indevidos; e (b) vai tomar medidas razoáveis para minimizar danos e proteger os Dados Pessoais do parceiro.
7.2.2 Detalhes do incidente de dados. As notificações feitas de acordo com a Seção 7.2.1 (Notificação de Incidentes) vão descrever: a natureza do Incidente de Dados, incluindo os recursos do Parceiro afetados; as medidas que a Jibe tomou ou planeja tomar para resolver o Incidente de Dados e reduzir o risco potencial; as medidas, se houver, que a Jibe recomenda que o Parceiro tome para resolver o Incidente de Dados; e detalhes de um ponto de contato onde mais informações podem ser encontradas. Se não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial da Jibe vai conter as informações disponíveis no momento, e mais detalhes serão fornecidos sem atrasos indevidos assim que estiverem disponíveis.
7.2.3 Envio da notificação. A Jibe vai enviar a notificação sobre um Incidente de Dados ao Endereço de E-mail para Notificação ou, a critério da Jibe (inclusive se o Parceiro não tiver fornecido esse endereço), por outra comunicação direta (por exemplo, por telefone ou pessoalmente). O parceiro é o único responsável por fornecer o Endereço de E-mail para Notificação e garantir que esse endereço esteja atualizado e seja válido.
7.2.4 Notificações a terceiros. O parceiro é o único responsável por obedecer às leis de notificação de incidentes aplicáveis ao parceiro e cumprir todas as obrigações de notificação de terceiros relacionadas a Incidentes de Dados.
7.2.5 Nenhum reconhecimento de falha por parte da Jibe. A notificação ou resposta da Jibe a um Incidente de Dados nos termos desta Seção 7.2 (Incidentes de Dados) não será interpretada como um reconhecimento por parte da Jibe de qualquer falha ou responsabilidade em relação ao Incidente de Dados.
7.3 Responsabilidades e avaliação de segurança do parceiro.
7.3.1 Responsabilidades de segurança do parceiro. O Parceiro concorda que, sem prejuízo às obrigações da Jibe nas Seções 7.1 (Medidas e Assistência de Segurança da Jibe) e 7.2 (Incidentes de Dados):
(a) O Parceiro é responsável pelo uso que fizer dos Serviços de Processador, incluindo:
(i) uso apropriado dos Serviços de Processador a fim de garantir um nível de segurança adequado ao risco relativo aos Dados Pessoais do Parceiro; e
(ii) proteger as credenciais de autenticação de contas, sistemas e dispositivos que o parceiro usa para acessar os Serviços de Processador; e
(b) A Jibe não tem a obrigação de proteger os Dados Pessoais do Parceiro que o Parceiro escolher armazenar ou transferir fora dos sistemas da Jibe e dos Subprocessadores dela.
7.3.2 Avaliação de Segurança do Parceiro. O parceiro reconhece que as Medidas de Segurança implementadas e mantidas pela Jibe, conforme descrito na Seção 7.1.1 (Medidas de Segurança da Jibe), oferecem um nível de segurança adequado ao risco aos Dados Pessoais do Parceiro, considerando a natureza, o escopo, o contexto e as finalidades do processamento dos Dados Pessoais do Parceiro; o estado da arte; os custos de implementação; e os riscos para indivíduos.
7.4 Certificação de segurança. Para avaliar e ajudar a garantir a eficiência contínua das Medidas de Segurança, a Jibe vai manter a Certificação ISO 27001 ou outras medidas adequadas para demonstrar a eficácia das Medidas de Segurança.
7.5 Análises e auditorias de compliance.
7.5.1 Análises da Documentação de Segurança. Para demonstrar a conformidade da Jibe com as obrigações dela de acordo com este Adendo sobre o Processamento de Dados, a Jibe vai disponibilizar a Documentação de Segurança para análise do Parceiro.
7.5.2 Direitos de auditoria do parceiro.
(a) A Jibe permitirá que o parceiro ou um auditor terceirizado indicado pelo parceiro realize auditorias (incluindo inspeções) para verificar a conformidade da Jibe com as obrigações de acordo com este Adendo de Processamento de Dados, conforme previsto na Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias). Durante as auditorias, a Jibe vai disponibilizar todas as informações necessárias para demonstrar a conformidade e contribuir com as auditorias conforme descrito na Seção 7.4 (Certificação de segurança) e nesta Seção 7.5 (Análises e auditorias de compliance).
(b) Se as SCCs forem aplicáveis de acordo com a Seção 10.2 (Transferências Restritas na Europa), a Jibe permitirá que o parceiro (ou um auditor terceirizado nomeado pelo parceiro) realize auditorias conforme descrito nas SCCs aplicáveis e, durante essas auditorias, disponibilizará todas as informações exigidas por essas SCCs, cada uma de acordo com a Seção 7.5.3 (Termos comerciais adicionais para auditorias).
(c) O parceiro também pode realizar uma auditoria para verificar a conformidade da Jibe com as obrigações segundo este Adendo de Processamento de Dados analisando os certificados emitidos para a Jibe por qualquer auditor terceirizado (por exemplo, uma Certificação ISO 27001, se houver).
7.5.3 Termos comerciais adicionais para auditorias.
(a) O Parceiro enviará ao Jibe qualquer solicitação para uma auditoria de acordo com as Seções 7.5.2(a) ou 7.5.2(b), conforme descrito na Seção 12.1 (Contato com o Jibe).
(b) Após o recebimento de uma solicitação de acordo com a Seção 7.5.3(a) pela Jibe, a Jibe e o parceiro vão discutir e concordar com antecedência sobre a data de início, o escopo e a duração razoáveis, bem como os controles de segurança e confidencialidade aplicáveis a qualquer auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b).
(c) A Jibe poderá cobrar uma taxa, com base nos custos razoáveis que tenha, para qualquer auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b). A Jibe vai fornecer ao parceiro mais detalhes sobre qualquer taxa aplicável e a base de cálculo antes de qualquer auditoria. O Parceiro será responsável pelas taxas cobradas por um auditor terceirizado indicado pelo Parceiro para realizar a auditoria.
(d) A Jibe poderá se opor a qualquer auditor terceirizado indicado pelo Parceiro para realizar qualquer auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b) se, segundo a opinião razoável da Jibe, o auditor não estiver devidamente qualificado ou independente, for um concorrente da Jibe ou for claramente inadequado. Qualquer objeção desse tipo feita pela Jibe exigirá que o parceiro indique outro auditor ou realize a auditoria por conta própria.
(e) Nada neste apêndice de processamento de dados exige que a Jibe divulgue ao parceiro ou ao auditor terceirizado ou permita que o parceiro ou o auditor terceirizado acesse:
(i) dados de qualquer outro parceiro ou cliente de uma entidade da Jibe;
(ii) qualquer informação contábil ou financeira interna de uma Entidade da Jibe;
(iii) qualquer segredo comercial de uma entidade da Jibe;
(iv) qualquer informação que, na opinião razoável da Jibe, possa: (A) comprometer a segurança de qualquer sistema ou local da entidade da Jibe; ou (B) causar a violação das obrigações da entidade da Jibe de acordo com a legislação europeia de proteção de dados ou as obrigações de segurança e/ou privacidade da Jibe para o parceiro ou qualquer terceiro; ou
(v) Qualquer informação que o parceiro ou o auditor terceirizado tente acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do parceiro de acordo com a legislação europeia de proteção de dados.
8. Avaliações de Impacto e Consultas
Considerando a natureza do processamento e as informações disponíveis para a Jibe, ela vai ajudar o parceiro a garantir a conformidade com as obrigações do parceiro (ou, quando o parceiro for um operador, do controlador relevante) em relação às avaliações de impacto da proteção de dados e à consulta prévia, incluindo (se aplicável) as obrigações do parceiro ou do controlador relevante nos artigos 35 e 36 do GDPR, da seguinte forma:
(a) fornecimento da Documentação de Segurança previsto na Seção 7.5.1 (Análises de Documentação de Segurança);
(b) fornecer as informações contidas neste Aditivo sobre Processamento de Dados; e
(c) Fornecer ou disponibilizar, de acordo com as práticas padrão da Jibe, outros materiais referentes à natureza dos Serviços de Processador e ao processamento de Dados Pessoais do Parceiro (por exemplo, materiais da Central de Ajuda).
9. Direitos do titular dos dados
9.1 Respostas a solicitações de titulares de dados. Se a Jibe receber uma solicitação de um titular de dados em relação aos dados pessoais do parceiro, o parceiro autoriza a Jibe a e a Jibe notifica o parceiro de que vai:
(a) responder diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão da Ferramenta de Titulares de Dados, se a solicitação tiver sido feita por essa ferramenta; ou
(b) aconselhar o titular dos dados a enviar uma solicitação ao Parceiro, que será responsável pela resposta, caso a solicitação não seja feita por uma Ferramenta de Titulares de Dados.
9.2 Assistência a Solicitações de Titulares de Dados da Jibe. A Jibe vai ajudar o parceiro (ou, se o parceiro for um operador, o controlador relevante) a cumprir suas obrigações de acordo com o GDPR para responder a solicitações de exercício dos direitos do titular dos dados, em todos os casos, levando em conta a natureza do processamento dos dados pessoais do parceiro e, se aplicável, o artigo 11 do GDPR, incluindo (se aplicável):
(a) fornecimento da funcionalidade dos Serviços de Processador;
(b) cumprimento dos compromissos da Seção 9.1 (Respostas a solicitações de titulares de dados); e
(c) Disponibilização das Ferramentas de Titulares de Dados, se aplicável aos Serviços de Processador.
9.3 Retificação. Se o Parceiro descobrir que os Dados Pessoais do Parceiro estão incorretos ou desatualizados, ele será responsável por retificar ou excluir esses dados, se exigido pela Legislação Europeia de Proteção de Dados, inclusive (quando disponível) usando a funcionalidade dos Serviços de Processamento.
10. Transferências de Dados
10.1 Instalações de armazenamento e processamento de dados. Sujeito ao restante desta Seção 10 (Transferências de dados), a Jibe pode processar Dados Pessoais do Parceiro em qualquer país em que a Jibe ou qualquer um dos Subprocessadores dela mantenha instalações.
10.2 Transferências Restritas na Europa. As partes reconhecem que a Legislação Europeia de Proteção de Dados não exige as SCCs nem uma solução alternativa de transferência para processar os Dados Pessoais do Parceiro ou transferi-los para um País Adequado.
Se os Dados Pessoais do Parceiro forem transferidos para qualquer outro país e a Legislação Europeia de Proteção de Dados se aplicar a essas transferências ("Transferência Restrita Europeia"), então:
(a) se a Jibe adotar uma Solução Alternativa de Transferência para as Transferências Restritas na Europa, a Jibe vai informar o parceiro sobre a solução relevante e garantir que essas Transferências Restritas na Europa sejam feitas de acordo com essa solução; e/ou
(b) Se a Jibe não tiver adotado ou informado ao parceiro que não vai mais adotar uma Solução Alternativa de Transferência para as Transferências Restritas na Europa, então:
(i) Se o endereço da Jibe estiver em um País Adequado:
(A) as SCCs (processador para processador, exportador da Jibe) serão aplicadas em relação a essas Transferências Restritas na Europa da Jibe para subprocessadores; e
(B) Além disso, se o endereço do parceiro não estiver em um País Adequado, as SCCs (processador para controlador) serão aplicadas em relação às Transferências Restritas Europeias entre a Jibe e o parceiro, independentemente de o parceiro ser um controlador e/ou um processador; ou
(ii) Se o endereço da Jibe não estiver em um País Adequado:
as SCCs (controlador para processador) e/ou as SCCs (processador para processador) serão aplicadas (se o parceiro for um controlador e/ou processador) com relação às Transferências Restritas Europeias entre o parceiro e a Jibe; e
(c) As referências à Google LLC ou ao Google e a você em qualquer uma das SCCs serão à Jibe e ao parceiro, respectivamente.
10.3 Informações e medidas complementares. A Jibe vai fornecer ao Parceiro informações relevantes sobre transferências europeias restritas, incluindo informações sobre medidas suplementares para proteger os dados pessoais do Parceiro, conforme descrito na Seção 7.5.1 (Análises de Documentação de Segurança), no Apêndice 2 (Medidas de segurança) e em outros materiais relacionados à natureza dos Serviços de Processador e ao processamento dos Dados Pessoais do Parceiro (por exemplo, artigos da Central de Ajuda).
10.4 Rescisão. Se o Parceiro concluir, com base no uso atual ou pretendido dos Serviços do Operador, que a Solução de Transferência Alternativa e/ou as Cláusulas Contratuais Modelo, conforme aplicável, não oferecem proteções adequadas para os Dados Pessoais do Parceiro, ele poderá rescindir o Contrato imediatamente por conveniência notificando a Jibe por escrito.
10.5 Informações do data center. Informações sobre os locais dos data centers da Google LLC estão disponíveis em www.google.com/about/datacenters/locations/index.html.
11. Subprocessadores
11.1 Consentimento para o Envolvimento de Subprocessadores. O parceiro autoriza especificamente o envolvimento dos Subprocessadores listados na Seção 11.2 (Informações sobre Subprocessadores) a partir do Início da Vigência dos Termos. Além disso, o Parceiro geralmente autoriza o envolvimento de outros terceiros como Subprocessadores ("Novos Subprocessadores"), sujeito à Seção 11.4 (Oportunidade para Alterações entre Objeto e Subprocessador).
11.2 Informações sobre Subprocessadores. A pedido do Parceiro por escrito, a Jibe vai fornecer informações sobre os subprocessadores e os locais deles. Todas essas solicitações precisam ser enviadas à Jibe usando os detalhes de contato definidos na Seção 12.1 (Como entrar em contato com a Jibe).
11.3 Requisitos para o envolvimento de Subprocessadores. Ao envolver qualquer Subprocessador, a Jibe:
(a) garantirá, por meio de um contrato por escrito, que:
(i) o Subprocessador só acesse e use os Dados Pessoais do Parceiro conforme o necessário para cumprir as obrigações subcontratadas e o faça de acordo com o Contrato, incluindo este Adendo de Processamento de Dados; e
(ii) se o processamento de Dados Pessoais do Parceiro estiver sujeito à Legislação Europeia de Proteção de Dados, as obrigações de proteção de dados neste Apêndice de Processamento de Dados (conforme referido no Artigo 28(3) do GDPR, se aplicável) serão impostas ao Subprocessador; e
(b) permanecer totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões do Subprocessador.
11.4 Oportunidade para alterações entre Objeto e Subprocessador.
(a) Se qualquer novo subprocessador for contratado durante o período, pelo menos 30 dias antes que o novo subprocessador processe quaisquer dados pessoais do Parceiro, a Jibe vai informar o Parceiro sobre o contrato (incluindo o nome e o local do subprocessador relevante e as atividades que ele vai realizar) enviando um e-mail para o endereço de e-mail de notificação.
(b) O Parceiro poderá se opor a qualquer novo Subprocessador rescindindo unilateralmente o Contrato imediatamente mediante notificação por escrito ao Jibe, desde que o Parceiro forneça essa notificação em até 90 dias após ter sido informado sobre o envolvimento do novo Subprocessador, conforme descrito na Seção 11.4(a).
12. Contato com a Jibe; Processamento de registros
12.1 Como entrar em contato com a Jibe. Ao exercer os direitos previstos neste apêndice de processamento de dados, o parceiro pode entrar em contato com a Jibe pelo contato de proteção de dados RCS da Jibe, que pode ser acessado em issuetracker.google.com ou por outros meios fornecidos pela Jibe.
12.2 Registros de Processamento da Jibe. A Jibe vai manter uma documentação apropriada das próprias atividades de processamento, conforme exigido pelo GDPR. O parceiro reconhece que, de acordo com o GDPR, a Jibe é obrigada a: (a) coletar e manter registros de determinadas informações, incluindo: (i) o nome e os detalhes de contato de cada operador e/ou controlador em nome de quem a Jibe está agindo e (se aplicável) do representante local e do encarregado de proteção de dados desse operador ou controlador e (ii) se aplicável de acordo com as SCCs relevantes, a autoridade supervisora do parceiro; e (b) disponibilizar essas informações a qualquer autoridade supervisora. Portanto, quando solicitado e conforme aplicável, o Parceiro vai fornecer essas informações à Jibe pela interface do usuário dos Serviços do Processador ou por outros meios que possam ser fornecidos pela Jibe e vai usar essa interface do usuário ou outros meios para garantir que todas as informações fornecidas sejam mantidas precisas e atualizadas.
12.3 Solicitações de Controlador. Se a Jibe receber uma solicitação ou instrução de um terceiro que se apresente como controlador dos Dados Pessoais do Parceiro, a Jibe orientará o terceiro a entrar em contato com o Parceiro.
13. Responsabilidade
Se o Contrato for regido pela legislação de:
(a) um estado dos Estados Unidos da América, então, independentemente de qualquer outra coisa no Contrato, a responsabilidade total de uma das partes em relação à outra no presente Addendum de Processamento de Dados será limitada ao valor monetário ou baseado em pagamento máximo em que a responsabilidade dessa parte é limitada de acordo com o Contrato (e, portanto, qualquer exclusão de reivindicações de confidencialidade ou indenização da limitação de responsabilidade do Contrato não se aplica a reivindicações do Contrato relacionadas à legislação europeia de proteção de dados ou à legislação não europeia de proteção de dados); ou
(b) uma jurisdição que não seja um estado dos Estados Unidos da América, nesse caso, a responsabilidade total combinada das partes e das afiliadas delas em relação a este Aditivo de Processamento de Dados estará sujeita ao Contrato.
14. Efeito deste Aditivo sobre o tratamento de dados
14.1 Ordem de precedência. Em caso de conflito ou inconsistência entre as SCCs, os Termos Adicionais para Legislação de Proteção de Dados Não Europeia, este Adendo de Processamento de Dados e o restante do Contrato, será aplicada a seguinte ordem de precedência:
(a) as SCCs;
(b) os Termos Adicionais da Legislação de Proteção de Dados Não Europeia;
(c) o restante deste Aditivo sobre Processamento de Dados; e
(d) o restante deste Contrato.
Sujeito às alterações neste Aditivo de Processamento de Dados, o Contrato permanece vigente.
14.2 Nenhuma modificação nas SCCs. Nenhuma disposição no Contrato (incluindo este Addendum sobre Processamento de Dados) tem o objetivo de modificar ou contradizer as SCCs nem reduzir os direitos ou as liberdades fundamentais dos titulares dos dados de acordo com a Legislação Europeia de Proteção de Dados.
14.3 Os Termos do Controlador não são afetados. Este apêndice de processamento de dados não vai afetar os termos separados entre a Jibe e o parceiro que reflitam uma relação controlador-controlador para um serviço diferente dos Serviços de Processador.
14.4 SCCs legadas do Reino Unido. A partir de 21 de setembro de 2022 ou da data de vigência do Contrato, o que for mais recente, os termos suplementares das SCCs para transferência do GDPR do Reino Unido serão aplicados e substituirão e encerrarão quaisquer cláusulas contratuais padrão aprovadas de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018 e anteriormente aceitas pelo parceiro e pela Jibe (CSCs legados do Reino Unido). Esta Seção 14.4 (SCCs legadas do Reino Unido) não afetará os direitos das partes nem quaisquer direitos do titular dos dados coletados de acordo com as SCCs legadas do Reino Unido enquanto elas estavam em vigor.
15. Mudanças neste Adendo sobre processamento de dados
15.1 Alterações de URLs. Periodicamente, a Jibe pode mudar qualquer URL mencionado neste Adendo sobre Processamento de Dados e o conteúdo de qualquer URL. No entanto, a Jibe só pode mudar as SCCs de acordo com as Seções 15.2(b) a 15.2(d) (Mudanças no Adendo sobre Processamento de Dados) ou incorporar qualquer nova versão das SCCs que possam ser adotadas de acordo com a Legislação Europeia de Proteção de Dados, em cada caso, de uma maneira que não afete a validade da SCC de acordo com a Legislação Europeia de Proteção de Dados.
15.2 Mudanças no adendo sobre processamento de dados. A Jibe poderá mudar este Adendo de Processamento de Dados se a mudança:
(a) for expressamente permitida por este Adendo sobre Processamento de Dados, inclusive conforme descrito na Seção 15.1 (Alterações de URLs);
(b) refletir uma alteração no nome ou na forma de uma entidade legal;
(c) for necessária para obedecer a uma lei ou regulamentação aplicável, a um mandado ou a uma orientação emitida por um órgão regulador ou agência do governo, ou refletir a adoção de uma Solução Alternativa de Transferência pela Jibe; ou
(d) não (i) resultar em uma degradação da segurança geral dos Serviços do Operador; (ii) ampliar o escopo ou remover quaisquer restrições em, (x) no caso dos Termos Adicionais para a Legislação de Proteção de Dados não europeus, os direitos da Jibe de usar ou processar os dados no escopo dos Termos Adicionais para a Legislação de Proteção de Dados não europeus ou (y) no caso do restante deste Aditivo de Processamento de Dados, o processamento da Jibe de Dados Pessoais do Parceiro, conforme descrito na Seção 5.3 (Compliance da Jibe com Instruções); e (iii) de outra forma, ter um impacto adverso material nos direitos do Parceiro de acordo com este Aditivo de Processamento de Dados, conforme determinado de forma razoável pela Jibe.
15.3 Notificação de alterações. Se a Jibe pretende mudar este Aditivo de Processamento de Dados de acordo com a Seção 15.2(c) ou (d), a Jibe vai informar o Parceiro com pelo menos 30 dias (ou um período menor, se necessário, para obedecer à legislação aplicável, a um mandado judicial ou a uma orientação emitida por um regulador ou agência governamental) antes da mudança entrar em vigor, enviando um e-mail para o Endereço de e-mail de Notificação ou alertando o Parceiro pela interface do usuário dos Serviços do Processador. Se o Parceiro se opor a qualquer uma dessas mudanças, ele poderá rescindir o Contrato por conveniência enviando uma notificação por escrito à Jibe até 90 dias após ter sido informado pela Jibe sobre a mudança.
Apêndice 1: Objeto em Questão e Detalhes do Processamento de Dados
Objeto em questão
Prestação dos Serviços de Processador e de qualquer suporte técnico relacionado pelo Jibe ao parceiro.
Duração do processamento
O Período mais o período entre o fim do Prazo e a exclusão de todos os Dados Pessoais do Parceiro pela Jibe de acordo com este adendo de Processamento de Dados.
Natureza e finalidade do processamento
A Jibe vai processar os Dados Pessoais do Parceiro, incluindo (conforme aplicável à natureza dos Serviços de Processador e das Instruções) a coleta, a gravação, a organização, a estruturação, o armazenamento, a alteração, a recuperação, o uso, a divulgação, a combinação, a exclusão e a destruição dos Dados Pessoais do Parceiro para fornecer os Serviços de Processador e qualquer suporte técnico relacionado ao Parceiro de acordo com este apêndice de processamento de dados.
Tipos de dados pessoais
Dados pessoais relacionados a indivíduos fornecidos à Jibe pelos Serviços de Processamento, pelo Parceiro ou pelos usuários finais do Parceiro.
Categorias de titulares dos dados
Os titulares dos dados incluem os indivíduos sobre os quais os dados são fornecidos à Jibe por meio dos Serviços de Processador pelo Parceiro ou por orientação deste.
Apêndice 2: Medidas de Segurança
A partir do Início da Vigência dos Termos, a Jibe vai implementar e manter as Medidas de Segurança neste Apêndice 2. A Jibe pode atualizar ou modificar essas Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.
1. Segurança de Redes e Data Centers
(a) Data centers.
Infraestrutura. A Jibe mantém data centers distribuídos geograficamente. A Jibe armazena todos os dados de produção em data centers fisicamente seguros.
Redundância. Os sistemas de infraestrutura foram projetados para eliminar pontos únicos de falha e minimizar o impacto de riscos ambientais previstos. Circuitos duplos, switches, redes ou outros dispositivos necessários ajudam a fornecer essa redundância. Os Serviços de Processador foram criados para permitir que a Jibe realize determinados tipos de manutenção preventiva e corretiva sem interrupção. Todos os equipamentos e instalações ambientais documentaram procedimentos de manutenção preventiva que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva e corretiva dos equipamentos do data center é programada por um processo padrão, de acordo com procedimentos documentados.
Energia. Os sistemas de energia elétrica dos data centers são projetados para serem redundantes e poderem passar por manutenção sem afetar as operações contínuas, 24 horas por dia, 7 dias por semana. Na maioria dos casos, é fornecida uma fonte de energia principal e outra alternativa, cada uma com capacidade igual, para componentes essenciais da infraestrutura do data center. A energia de reserva é fornecida por vários mecanismos, como baterias de fonte de alimentação ininterrupta (UPS, na sigla em inglês), que oferecem proteção elétrica consistentemente confiável durante blecautes parciais da concessionária de serviços públicos, blecautes, sobretensão/subtensão e condições de frequência fora da tolerância. Se a energia for interrompida, a alimentação de reserva é projetada para fornecer energia provisoriamente ao data center, em plena capacidade, por até 10 minutos, até que os sistemas de gerador de reserva sejam acionados. Os geradores podem ser inicializados de forma automática em segundos para fornecer energia elétrica de emergência suficiente para alimentar o data center na capacidade total normalmente por um período de dias.
Sistemas operacionais de servidores. Os servidores do Jibe usam sistemas operacionais protegidos, personalizados para as necessidades exclusivas dos servidores da empresa. Os dados são armazenados usando algoritmos proprietários para aumentar a segurança e redundância desses dados. A Jibe emprega um processo de análise de código para aumentar a segurança do código usado para prestar os Serviços de Processador e aprimorar os produtos de segurança em ambientes de produção.
Continuidade dos negócios. O Jibe replica dados em vários sistemas para ajudar a proteger contra destruição ou perda acidental. A Jibe desenvolveu e planeja e testa regularmente seus programas de continuidade de negócios/recuperação de desastres.
Tecnologias de criptografia. As políticas de segurança da Jibe exigem criptografia em repouso para todos os dados do usuário, incluindo dados pessoais. Os dados geralmente são criptografados em vários níveis na pilha de armazenamento de produção da Jibe em data centers, inclusive no nível do hardware, sem exigir nenhuma ação por parte de parceiros ou clientes. O uso de várias camadas de criptografia oferece proteção redundante aos dados e permite que a Jibe selecione a abordagem ideal com base nos requisitos do aplicativo. Todos os dados pessoais são criptografados no nível do armazenamento, geralmente usando AES256. A Jibe usa bibliotecas criptográficas comuns que incorporam o módulo validado FIPS 140-2 da Jibe para implementar a criptografia de forma consistente nos Serviços de Processador.
(b) Redes e transmissão.
Transmissão de Dados. Os data centers geralmente são conectados por links particulares de alta velocidade para fornecer transferência de dados segura e rápida entre eles. Isso foi desenvolvido para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante o transporte eletrônico. O Jibe transfere dados por meio de protocolos padrão da Internet.
Superfície de ataque externa. A Jibe emprega várias camadas de dispositivos de rede e detecção de invasão para proteger a superfície de ataque externa. O Jibe considera vetores de ataque em potencial e incorpora tecnologias específicas criadas para sistemas externos.
Detecção de intrusões. A detecção de invasão tem por objetivo fornecer insights sobre atividades de ataque em andamento e oferecer informações adequadas para responder a incidentes. A detecção de intrusões da Jibe envolve:
Controle rígido do tamanho e da composição da superfície de ataque da Jibe por meio de medidas preventivas;
empregar controles inteligentes de detecção nos pontos de entrada de dados; e
Empregar tecnologias que resolvam automaticamente certas situações perigosas.
Resposta a incidentes. A Jibe monitora uma variedade de canais de comunicação para incidentes de segurança, e a equipe de segurança da Jibe reagirá prontamente a incidentes conhecidos.
Tecnologias de criptografia. A Jibe disponibiliza criptografia HTTPS, também chamada de conexão TLS. Os servidores do Jibe são compatíveis com a troca de chaves criptográficas Diffie Hellman de curva elíptica efêmera assinada com RSA e ECDSA. Esses métodos de perfect forward secrecy (PFS) ajudam a proteger o tráfego e minimizam o impacto de uma chave comprometida ou de uma inovação criptográfica.
2. Controles de acesso e local
(a) Controles do local.
Operação de segurança no data center local. Os data centers da Jibe mantêm operações de segurança no local responsáveis por todas as funções de segurança do data center físico, 24 horas por dia, 7 dias por semana. A equipe de operações de segurança no local monitora câmeras de circuito fechado de TV ("CCTV") e todos os sistemas de alarme. O pessoal da operação de segurança no local realiza regularmente patrulhas internas e externas do data center.
Procedimentos de acesso ao data center. A Jibe mantém procedimentos formais de acesso para permitir o acesso físico aos data centers. Os data centers ficam em instalações que exigem acesso por chave eletrônica, com alarmes que são vinculados à operação de segurança local. Todos os participantes do data center precisam se identificar e mostrar um comprovante de identidade para a equipe de operações de segurança no local. Somente funcionários, prestadores de serviços e visitantes autorizados podem entrar nos data centers. Somente funcionários e prestadores de serviços autorizados têm permissão para solicitar acesso por chave eletrônica a essas instalações. As solicitações de acesso por chave eletrônica precisam ser feitas com antecedência e por escrito e exigem autorização da equipe autorizada do data center. Todos os outros participantes que precisam de acesso temporário ao data center precisam: (i) receber a aprovação antecipada dos gerentes do data center para o data center específico e as áreas internas que eles querem visitar; (ii) fazer login nas operações de segurança no local; e (iii) referenciar um registro de acesso aprovado do data center que identifique o indivíduo como aprovado.
Dispositivos de segurança local dos data centers. Os data centers da Jibe empregam uma chave de cartão eletrônico e um sistema biométrico para controle de acesso vinculado a um alarme do sistema. O sistema de controle de acesso monitora e registra a chave de cartão eletrônico de cada indivíduo e quando ele acessa as portas do perímetro, a área de envio/recebimento e outras áreas críticas. Atividades não autorizadas e tentativas de acesso com falha são registradas pelo sistema de controle de acesso e investigadas, conforme adequado. O acesso autorizado às operações comerciais e aos data centers é restrito de acordo com as zonas e as responsabilidades profissionais do indivíduo. As portas corta-fogo nos data centers são equipadas com alarmes. As câmeras de CFTV ficam em operação dentro e fora dos data centers. O posicionamento das câmeras foi projetado para cobrir áreas estratégicas, incluindo, entre outras, o perímetro, as portas para o prédio dos data centers e as áreas de envio/recebimento. A equipe de operações de segurança local gerencia os equipamentos de monitoramento, gravação e controle de CCTV. Cabos seguros em todos os data centers conectam os equipamentos de CCTV. Câmeras gravam o local por meio de filmadoras digitais 24 horas por dia, 7 dias por semana. Os registros de vigilância são mantidos por pelo menos sete dias, dependendo da atividade.
(b) Controle de acesso.
Pessoal de segurança de infraestrutura. A Jibe tem e mantém uma política de segurança para a equipe e exige treinamento de segurança como parte do pacote de treinamento para a equipe. A equipe de segurança da infraestrutura da Jibe é responsável pelo monitoramento contínuo da infraestrutura de segurança da Jibe, pela análise dos Serviços de Processador e por responder a incidentes de segurança.
Controle de acesso e gerenciamento de privilégios. Os administradores e usuários do parceiro precisam se autenticar usando um sistema de autenticação central ou um sistema de logon único para usar os Serviços de Processador.
Processos e Políticas de Acesso a Dados Internos - Política de Acesso. As políticas e os processos internos de acesso a dados da Jibe são projetados para evitar que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas usados para processar dados pessoais. A Jibe busca criar sistemas para: (i) permitir que apenas pessoas autorizadas acessem os dados que elas têm consentimento para acessar; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, alterados ou removidos sem autorização durante o processamento, uso e após a gravação. Os sistemas são desenvolvidos para detectar qualquer acesso inadequado. A Jibe usa um sistema de gerenciamento de acesso centralizado para controlar o acesso da equipe aos servidores de produção e só concede acesso a um número limitado de pessoas autorizadas. O LDAP, o Kerberos e um sistema proprietário que utiliza certificados digitais são desenvolvidos para fornecer à Jibe mecanismos de acesso seguros e flexíveis. Esses mecanismos são projetados para conceder apenas direitos de acesso aprovados a hosts, registros, dados e informações de configuração do site. A Jibe exige o uso de IDs de usuário exclusivos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar o potencial de uso não autorizado da conta. A concessão ou modificação de direitos de acesso se baseia nas responsabilidades da função, nos requisitos das obrigações profissionais necessárias para realizar tarefas autorizadas e na necessidade de saber da equipe autorizada. A concessão ou modificação de direitos de acesso também precisa estar de acordo com as políticas e o treinamento de acesso a dados internos da Jibe. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso a sistemas é registrado para criar uma trilha de auditoria para prestação de contas. Sempre que as senhas são empregadas para autenticação (por exemplo, no login em estações de trabalho), são implementadas políticas de senha que seguem pelo menos as práticas padrão do setor. Esses padrões incluem restrições sobre reutilização e nível de segurança das senhas.
3. Dados
(a) Armazenamento, isolamento e autenticação de dados.
A Jibe armazena dados em um ambiente multilocatário em servidores da Google LLC. Os dados, o banco de dados dos Serviços de Processador e a arquitetura do sistema de arquivos são replicados entre vários data centers dispersos geograficamente. A Jibe isola logicamente os dados de cada parceiro ou cliente. Um sistema de autenticação central é usado em todos os Serviços de Processador para aumentar a segurança uniforme dos dados.
(b) Discos Desativados e Orientações para Destruição de Discos.
Alguns discos com dados podem apresentar problemas de desempenho, erros ou falhas de hardware que os levam a ser desativados (“Disco Desativado”). Cada disco desativado está sujeito a uma série de processos de destruição de dados (as diretrizes de destruição de dados) antes de sair das instalações da Jibe para reutilização ou destruição. Os Discos Desativados são apagados em um processo de várias etapas e verificados por pelo menos dois validadores independentes. Os resultados da limpeza são registrados pelo número de série do Disco Desativado para rastreamento. Por fim, o Disco Desativado apagado é liberado para o inventário para reutilização e reimplantação. Se, devido a uma falha de hardware, o Disco Desativado não puder ser apagado, ele será armazenado com segurança até que possa ser destruído. Cada instalação é auditada regularmente para monitorar a conformidade com as Orientações para a Destruição de Dados.
(c) Dados pseudônimos.
Os dados de publicidade on-line geralmente são associados a identificadores on-line que são considerados "pseudônimos", ou seja, não podem ser atribuídos a um indivíduo específico sem o uso de informações adicionais. A Jibe tem um conjunto robusto de políticas e controles técnicos e organizacionais para garantir a separação entre dados pseudônimos e informações de identificação pessoal do usuário, ou seja, informações que podem ser usadas isoladamente para identificar, contatar ou localizar com precisão um indivíduo, como os dados da conta Jibe de um usuário. As políticas da Jibe só permitem fluxos de informações entre dados pseudônimos e de identificação pessoal em circunstâncias estritamente limitadas.
(d) Análises de lançamento.
A Jibe realiza análises antes do lançamento de novos produtos e recursos. Isso inclui uma análise de privacidade realizada por engenheiros de privacidade especializados. Nas análises de privacidade, os engenheiros confirmam se todas as políticas e diretrizes aplicáveis do Jibe foram seguidas, incluindo, mas não se limitando a, políticas relacionadas à pseudonimização e à retenção e exclusão de dados.
4. Segurança da Equipe
A equipe da Jibe precisa se comportar de maneira consistente com as diretrizes da empresa em relação a confidencialidade, ética nos negócios, uso adequado e padrões profissionais. A Jibe realiza investigações de histórico para contratação razoavelmente apropriadas na medida do permitido legalmente e de acordo com a legislação trabalhista e os regulamentos estatutários locais aplicáveis.
A equipe precisa assinar um contrato de confidencialidade e confirmar o recebimento e a conformidade com as políticas de privacidade e confidencialidade da Jibe. A equipe recebe treinamento de segurança. Aqueles que lidam com Dados Pessoais do Parceiro precisam satisfazer outros requisitos adequados à respectiva função. A equipe da Jibe não processará Dados Pessoais do Parceiro sem autorização.
5. Segurança do Subprocessador
Antes da integração dos Subprocessadores, a Jibe realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que eles ofereçam um nível de segurança e privacidade adequado ao acesso deles a dados e ao escopo dos serviços que precisam prestar. Depois que a Jibe avalia os riscos apresentados pelo Subprocessador, este precisa assinar os termos de contratos de segurança, confidencialidade e privacidade adequados, sempre sujeito aos requisitos da Seção 11.3 (Requisitos para o Envolvimento de Subprocessadores).
Apêndice 3: Termos Adicionais para Legislação de Proteção de Dados Não Europeia
Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia a seguir complementam este apêndice de processamento de dados:
- Adendo do Processador da LGPD em business.safety.google/processorterms/lgpd (27 de agosto de 2020)
- Confira o adendo das leis estaduais dos EUA em business.safety.google/processorterms/us-state-laws (datado em 12 de dezembro de 2022)
As referências à Google LLC ou ao Google no Adendo do Processador da LGPD e no Adendo da Lei Estadual dos EUA serão para a Jibe.
Adendo sobre processamento de dados da Jibe, versão 4.0