Última modificação: 8 de agosto de 2023 | Versões anteriores
A Jibe e a contraparte que concorda com este adendo ("Parceiro") celebraram um contrato de prestação de Serviços de Processador (com alterações periódicas, o "Contrato").
Este Adendo sobre Processamento de Dados (incluindo os apêndices, "Adendo de Processamento de Dados") é firmado pela Jibe e pelo Parceiro e complementa o Contrato. Este Adendo sobre processamento de dados entrará em vigor e substituirá quaisquer termos aplicáveis anteriormente em relação ao objeto em questão (incluindo quaisquer termos de segurança e processamento de dados relacionados aos Serviços de Processador) a partir do Início da Vigência dos Termos.
Ao aceitar este Adendo sobre processamento de dados em nome do Parceiro, você garante que: (a) tem total autoridade legal para sujeitar o Parceiro a este Adendo sobre o Processamento de Dados; (b) leu e entendeu este Adendo sobre o Processamento de Dados; e (c) concorda com este Adendo sobre o Processamento de Dados. Se você não tiver autoridade legal para sujeitar o Parceiro, não aceite este Adendo sobre processamento de dados.
1. Introdução
Este Adendo sobre processamento de dados reflete o contrato entre as partes sobre os termos que regem o processamento e a segurança de determinados dados em relação à Legislação Europeia de Proteção de Dados e à Legislação Não Europeia de Proteção de Dados.
2. Definições e Interpretação
2.1 Neste Adendo sobre processamento de dados:
"Produto Adicional" refere-se a um produto, serviço ou aplicativo fornecido pela Jibe ou por um terceiro que: (a) não faz parte dos Serviços de Processador; e (b) está acessível para uso na interface do usuário dos Serviços de Processador ou, de outra forma, está integrado aos Serviços de Processador.
"Termos Adicionais para Legislação de Proteção de Dados Não Europeia" significa os termos adicionais mencionados no Apêndice 3, que refletem o acordo entre as partes sobre os termos que regem o processamento de determinados dados em relação a certas Legislações de Proteção de Dados Não Europeias.
"País Adequado" significa:
(a) para dados processados sujeitos ao GDPR da UE: o EEE ou um país ou território reconhecido como responsável pela proteção de dados adequada de acordo com o GDPR da UE;
(b) Para dados processados sujeitos ao GDPR do Reino Unido: é o Reino Unido ou um país ou território reconhecido como responsável pela proteção de dados adequada de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; e/ou
(c) para dados processados sujeitos à FDPA da Suíça: a Suíça ou um país ou território que esteja (i) incluído na lista dos estados cuja legislação garante um nível adequado de proteção, conforme publicado pelo Comissário Federal de Proteção e Informação de Dados da Suíça, ou (ii) reconhecido como assegurando a proteção de dados adequada pelo Conselho Federal da Suíça, de acordo com a FDPA da Suíça, em cada caso, exceto em uma base opcional.
"Solução de Transferência Alternativa" significa uma solução, diferente das SCCs, que permite a transferência legal de dados pessoais para um país terceiro de acordo com a Legislação Europeia de Proteção de Dados, por exemplo, uma estrutura de proteção de dados reconhecida como garantindo que as entidades locais participantes forneçam a proteção adequada.
"Incidente de Dados" significa uma violação da segurança do Jibe que gera destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais do Parceiro em sistemas gerenciados ou controlados pelo Jibe. "Incidentes de Dados" não incluem atividades ou tentativas malsucedidas que não comprometem a segurança dos Dados Pessoais do Parceiro, incluindo tentativas malsucedidas de login, pings, verificações de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.
"Ferramenta de Titulares de Dados" significa uma ferramenta (se houver) disponibilizada por uma Entidade de Jibe a titulares de dados que permite que a Jibe responda diretamente e de maneira padronizada a determinadas solicitações de titulares de dados em relação aos Dados Pessoais do Parceiro (por exemplo, configurações de publicidade on-line ou um plug-in de navegador para desativação).
"Espaço Econômico Europeu" é o Espaço Econômico Europeu.
"GDPR da UE" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas com relação ao processamento de dados pessoais e sobre a livre circulação desses dados, revogando a Diretiva 95/46/EC.
"Legislação Europeia de Proteção de Dados" significa, conforme aplicável: (a) o GDPR; e/ou (b) a FDPA da Suíça.
"Legislação Europeia" significa, conforme aplicável: (a) a legislação da UE ou de um Estado-membro da UE (se o GDPR da UE se aplicar ao processamento de Dados Pessoais do Parceiro); e/ou (b) a lei do Reino Unido ou de uma parte do Reino Unido (se o GDPR do Reino Unido se aplicar ao processamento de Dados Pessoais do Parceiro).
"GDPR" significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR Britânico.
"Jibe" significa a Entidade Jibe que é uma parte do Contrato.
"Jibe Entity" significa Jibe Mobile, Inc, Jibe Mobile Limited ou qualquer outra entidade que controle direta ou indiretamente, é controlada ou está sob o controle comum da Jibe Mobile, Inc.
"Certificação ISO 27001" significa uma certificação ISO/IEC 27001:2013 ou uma certificação comparável para os Serviços de Processador.
"Novo Subprocessador" tem o significado definido na Seção 11.1 (Consentimento para envolvimento de Subprocessadores).
"Legislação de Proteção de Dados Não Europeia" significa as leis de proteção ou privacidade de dados em vigor fora do EEE, da Suíça e do Reino Unido.
"Endereço de E-mail de Notificação" significa o endereço de e-mail (se houver): (i) fornecido pelo Parceiro ao Jibe ou (ii) designado pelo Parceiro, por meio da interface do usuário dos Serviços de Processador ou outros meios fornecidos pelo Jibe, para receber determinadas notificações do Jibe relacionadas a este Adendo de Processamento de Dados. Para maior clareza, é responsabilidade do Parceiro fornecer ao Jibe um Endereço de E-mail para Notificação e informar ao Jibe de todas as atualizações no Endereço de E-mail de Notificação.
"Dados Pessoais do Parceiro" significa dados pessoais processados pela Jibe em nome do Parceiro na prestação dos Serviços de Processador da Jibe.
"SCCs do Parceiro" significa as SCCs (Controlador para Processador), as SCCs (Processador para Controlador) e/ou as SCCs (Processador para Processador), conforme aplicável.
"Serviços de Processador" significa os serviços do RCS Business Messaging, conforme descrito em developers.google.com/business-communications/rcs-business-messaging.
"SCCs" significa as SCCs do Parceiro e/ou SCCs (Processador para Processador, Exportador de Jibe), conforme aplicável.
"SCCs (controlador para processador)" significa os termos disponíveis em business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa (em inglês).
"SCCs (processador para controlador)" significa os termos disponíveis em business.safety.google/gdprprocessorterms/sccs/p2c (em inglês).
"SCCs (processador para processador)" significa os termos em business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa (em inglês).
"SCCs (processador para processador, Jibe Exporter)" significa os termos em business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group (links em inglês).
"" significa a Certificação ISO 27001 e quaisquer outras certificações de segurança ou documentação que a Jibe possa disponibilizar em conexão com os Serviços de Processador.
"Medidas de Segurança" tem o significado dado na Seção 7.1.1 (Medidas de Segurança da Jibe).
"Subprocessadores" significa terceiros autorizados por este Adendo de Processamento de Dados que têm acesso lógico e processam Dados Pessoais do Parceiro para fornecer partes dos Serviços de Processador e qualquer suporte técnico relacionado.
"Autoridade Supervisora" significa, conforme aplicável: (a) uma "autoridade supervisora" conforme definição no GDPR da UE; e/ou o "Comissário", conforme definido no GDPR Britânico e/ou na FDPA da Suíça.
"FDPA da Suíça" significa a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).
"" representa o período entre o Início da Vigência dos Termos e o final do fornecimento dos Serviços de Processador pelo Jibe sob o Contrato.
"Início da Vigência dos Termos" significa o início da vigência do Contrato.
"GDPR Britânico" significa o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com a Lei de Saída do Reino Unido da União Europeia de 2018, e a legislação secundária aplicável de acordo com essa lei.
2.2 Os termos "controlador", "titular dos dados", "dados pessoais", "processamento" e "processador", conforme usados neste Adendo sobre processamento de dados, têm os significados atribuídos no GDPR, e os termos "importador de dados" e "exportador de dados" têm os significados atribuídos nas SCCs aplicáveis.
2.3 As palavras "incluir" e "incluindo" significam "incluindo, mas não se limitando a". Todos os exemplos neste Adendo de Processamento de Dados são ilustrativos, e não exemplos únicos de um conceito específico.
2.4 Qualquer referência a um enquadramento legal, estatuto ou outro ato legislativo é uma referência a ele conforme alterado ou promulgado novamente de forma periódica.
2.5 Se qualquer versão traduzida deste Adendo de Processamento de Dados for inconsistente com a versão em inglês, a versão em inglês prevalecerá.
3. Duração deste Adendo sobre processamento de dados
Este Adendo de Processamento de Dados entrará em vigor no Início da Vigência dos Termos e, independentemente de o Período expirar, permanecerá em vigor até a expiração de todos os Dados Pessoais do Parceiro, conforme descrito neste Adendo.
4. Aplicação deste Adendo sobre Processamento de Dados
4.1 Aplicação da Legislação Europeia de Proteção de Dados. As Seções 5 (Processamento de Dados) a 12 (Contato com Jibe; Registros de Processamento) serão aplicáveis apenas na medida em que a Legislação Europeia de Proteção de Dados se aplicar ao processamento de Dados Pessoais do Parceiro, incluindo se:
(a) o processamento estiver no contexto das atividades de um estabelecimento de Parceiro no EEE ou no Reino Unido; e/ou
(b) Dados Pessoais do Parceiro são dados pessoais relacionados a titulares dos dados no EEE ou no Reino Unido e o processamento está relacionado à oferta de bens ou serviços a eles ou ao monitoramento do comportamento deles no EEE ou no Reino Unido.
4.2 Aplicação aos Serviços de Processador. Este Adendo de Processamento de Dados se aplicará apenas aos Serviços de Processador para os quais as partes concordaram a este Adendo de Processamento de Dados (por exemplo: (a) os Serviços de Processador para os quais o Parceiro clicou para aceitar este Adendo de Processamento de Dados; ou (b) se o Contrato incorpora este Adendo de Processamento de Dados por referência, os Serviços de Processador que são objeto desse Contrato.
4.3 Incorporação de Termos Adicionais para Legislação de Proteção de Dados Não Europeia. Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam este Adendo sobre Processamento de Dados.
5. Processamento de Dados
5.1 Funções e conformidade regulatória; Autorização.
5.1.1 Responsabilidades do processador e do controlador. As partes reconhecem e concordam que:
(a) o Apêndice 1 descreve o objeto em questão e os detalhes do processamento de Dados Pessoais do Parceiro;
(b) a Jibe é uma processadora de Dados Pessoais do Parceiro de acordo com a Legislação Europeia de Proteção de Dados;
(c) o Parceiro é um controlador ou processador, conforme aplicável, de Dados Pessoais do Parceiro, de acordo com a Legislação Europeia de Proteção de Dados; e
(d) cada parte cumprirá as obrigações aplicáveis nos termos da Legislação Europeia de Proteção de Dados com relação ao processamento de Dados Pessoais do Parceiro.
5.1.2 Parceiros Processadores. Se o parceiro for um processador:
(a) o Parceiro garante continuamente que o controlador relevante autorizou (i) as instruções, (ii) a nomeação do Parceiro para a Jibe como outro processador e (iii) o envolvimento do Jibe com Subprocessadores, conforme descrito na Seção 11 (Subprocessadores);
(b) O Parceiro encaminhará imediatamente ao controlador relevante qualquer aviso fornecido pela Jibe de acordo com as Seções 5.4 (Notificações de Instrução), 7.2.1 (Notificação de Incidentes), 11.4 (Oportunidade para Alterações de Subprocessadores) ou que se refira a qualquer SCC;
(c) O Parceiro poderá disponibilizar ao controlador relevante quaisquer informações disponibilizadas pelo Jibe de acordo com as Seções 7.4 (Certificação de Segurança), 10.5 (Informações do Centro de Dados) e 11.2 (Informações sobre Subprocessadores).
5.2 Instruções do Parceiro. Ao celebrar este Adendo sobre processamento de dados, o Parceiro instrui o Jibe a processar os Dados Pessoais do Parceiro apenas de acordo com a legislação aplicável: (a) fornecer os Serviços de Processador e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso do Parceiro dos Serviços de Processador (incluindo nas configurações e outras funções técnicas relacionadas) e qualquer suporte técnico relacionado; conforme documentado no documento do Contrato, de acordo com as instruções deste
5.3 Conformidade do Jibe com as instruções. O Jibe obedecerá às Instruções, a menos que seja proibido pela Legislação Europeia.
5.4 Notificações de instrução. O Jibe notificará imediatamente o Parceiro se, na opinião do Jibe: (a) as leis europeias proibirem o Jibe de cumprir uma instrução; (b) uma instrução não estiver em conformidade com a legislação europeia de proteção de dados; ou (c) o Jibe não puder obedecer a uma instrução, em cada caso, a menos que tal aviso seja proibido pela legislação europeia. Esta Seção 5.4 (Notificações de Instrução) não reduz os direitos e obrigações de nenhuma das partes em outras partes do Contrato.
5.5 Produtos Adicionais. Se o Parceiro usar qualquer Produto Adicional, os Serviços de Processador poderão permitir que tal produto acesse Dados Pessoais do Parceiro conforme necessário para a interoperação do Produto Adicional com os Serviços de Processador. Conforme necessário, as partes celebrarão Termos de Processamento de Dados separados para tratar de como o Produto Adicional processará os Dados Pessoais do Parceiro.
6. Exclusão de Dados
6.1 Exclusão durante o Período.
6.1.1 Serviços de Processador com funcionalidade de exclusão. Durante o Período, se:
(a) a funcionalidade dos Serviços de Processador incluir a opção para o Parceiro excluir os Dados Pessoais do Parceiro;
(b) o Parceiro usa os Serviços de Processador para excluir determinados Dados Pessoais do Parceiro; e
(c) os Dados Pessoais do Parceiro excluídos não puderem ser recuperados pelo Parceiro (por exemplo, da "Lixeira"), a Jibe excluirá esses Dados Pessoais do Parceiro dos sistemas assim que razoavelmente possível, a menos que a Legislação Europeia exija o armazenamento.
6.1.2 Serviços de Processador sem Funcionalidade de Exclusão. Durante o Período, se a funcionalidade dos Serviços de Processador não incluir a opção para o Parceiro excluir Dados Pessoais do Parceiro, o Jibe obedecerá a qualquer solicitação razoável do Parceiro para facilitar essa exclusão, na medida em que isso seja possível dadas a natureza e a funcionalidade dos Serviços de Processador e a menos que a Legislação Europeia exija o armazenamento. A Jibe pode cobrar uma taxa, com base em custos razoáveis, por qualquer exclusão de dados de acordo com a Seção 6.1.2 (Serviços de Processador sem Funcionalidade de Exclusão). O Jibe fornecerá ao Parceiro mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes de qualquer exclusão de dados desse tipo.
6.2 Exclusão quando o Período expirar. Quando o Período expirar, o Parceiro informará ao Jibe para excluir todos os Dados Pessoais do Parceiro (incluindo cópias) dos sistemas do Jibe de acordo com a legislação aplicável. O Jibe obedecerá a essa instrução assim que razoavelmente possível, a menos que a legislação europeia exija o armazenamento.
7. Segurança de dados
7.1 Medidas e assistência de segurança da Jibe.
7.1.1 Medidas de segurança da Jibe. A Jibe implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Parceiro contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal, conforme descrito no Apêndice 2 (as "Medidas de Segurança"). Conforme descrito no Apêndice 2, as Medidas de Segurança incluem medidas: (a) criptografar dados pessoais; (b) ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços da Jibe; (c) ajudar a restaurar o acesso oportuno a dados pessoais após um incidente; e (d) testar regularmente a eficácia. A Jibe pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.
7.1.2 Acesso e conformidade. A Jibe (a) autorizará os funcionários, prestadores de serviços e Subprocessadores a acessar os Dados Pessoais do Parceiro somente quando estritamente necessário para obedecer às Instruções; (b) tomar as medidas apropriadas para garantir a conformidade com as Medidas de Segurança por seus funcionários, contratados e Subprocessadores na medida aplicável ao escopo de desempenho; e (c) garantir que todas as pessoas autorizadas a processar Dados Pessoais do Parceiro tenham se confirmado autoconfiança
7.1.3 Assistência de segurança da Jibe. Considerando a natureza do processamento de Dados Pessoais do Parceiro e as informações disponíveis para Jibe, o Jibe ajudará o Parceiro a garantir a conformidade com as obrigações do Parceiro (ou, onde o Parceiro for o processador e o controlador relevante) em relação à segurança de dados pessoais e violações de dados pessoais, incluindo as obrigações do Parceiro (ou, quando o Parceiro for um processador, as obrigações do controlador relevante) nos termos dos Artigos 32 de 3:
(a) implementar e manter as Medidas de Segurança de acordo com a Seção 7.1.1 (Medidas de Segurança da Jibe);
(b) cumprimento dos termos da Seção 7.2 (Incidentes de Dados); e
(c) fornecimento ao Parceiro da Documentação de Segurança de acordo com a Seção 7.5.1 (Análises de Documentação de Segurança) e às informações contidas neste Adendo de Processamento de Dados.
7.2 Incidentes de dados.
7.2.1 Notificação de incidentes. Se a Jibe souber de um Incidente de Dados, ela: (a) notificará o Parceiro imediatamente e sem atrasos; e (b) tomará providências razoáveis imediatas para minimizar os danos e proteger os Dados Pessoais do Parceiro.
7.2.2 Detalhes do incidente de dados. As notificações feitas de acordo com a Seção 7.2.1 (Notificação de incidentes) descreverão: a natureza do incidente de dados, incluindo os recursos do parceiro afetados, as medidas que o Jibe tomou (ou planeja tomar) para lidar com o incidente de dados e mitigar o risco em potencial, as medidas (se houver) que o Parceiro recomenda para solucionar o incidente e detalhes de um ponto de contato em que mais informações possam ser obtidas. Se não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial de Jibe conterá as informações disponíveis e outras informações serão fornecidas sem atraso indevido assim que elas forem disponibilizadas.
7.2.3 Envio da notificação. A Jibe enviará a notificação sobre um Incidente de Dados ao Endereço de E-mail para Notificações ou, a critério do Jibe (incluindo se o Parceiro não forneceu um Endereço de E-mail de Notificação), por outra comunicação direta (por exemplo, por chamada telefônica ou reunião presencial). O Parceiro é o único responsável por fornecer o Endereço de E-mail para Notificação e garantir que esse endereço esteja atualizado e seja válido.
7.2.4 Notificações a terceiros. O Parceiro é o único responsável por obedecer às leis de notificação de incidentes aplicáveis ao Parceiro e cumprir todas as obrigações de notificação a terceiros relacionadas a Incidentes de Dados.
7.2.5 Não reconhecimento de falha pela Jibe. A notificação ou resposta a um incidente de dados nos termos desta Seção 7.2 (Incidentes de dados) não será interpretada como um reconhecimento por parte da Jibe de qualquer falha ou responsabilidade em relação ao incidente de dados.
7.3 Responsabilidades e avaliação de segurança do Parceiro.
7.3.1 Responsabilidades de segurança do Parceiro. O Parceiro concorda que, sem prejuízo das obrigações do Jibe de acordo com as Seções 7.1 (Medidas e Assistência de Segurança do Jibe) e 7.2 (Incidentes de Dados):
(a) O Parceiro é responsável pelo uso que fizer dos Serviços de Processador, incluindo:
(i) fazer uso apropriado dos Serviços de Processador a fim de garantir um nível de segurança apropriado ao risco para os Dados Pessoais do Parceiro; e
(ii) proteger as credenciais, os sistemas e os dispositivos de autenticação de contas que o Parceiro usa para acessar os Serviços de Processador; e
(b) A Jibe não tem a obrigação de proteger Dados Pessoais do Parceiro que o Parceiro opta por armazenar ou transferir fora dos sistemas da Jibe e de seus Subprocessadores.
7.3.2 Avaliação de Segurança do Parceiro. O Parceiro reconhece as Medidas de Segurança implementadas e mantidas pela Jibe conforme descrito na Seção 7.1.1 (Medidas de Segurança do Jibe) fornecem um nível de segurança apropriado ao risco aos Dados Pessoais do Parceiro, considerando a natureza, o escopo, o contexto e as finalidades do processamento de Dados Pessoais do Parceiro, o estado da arte, os custos de implementação e os riscos para indivíduos.
7.4 Certificação de segurança. Para avaliar e ajudar a garantir a eficácia contínua das Medidas de Segurança, a Jibe manterá a Certificação ISO 27001 ou outras medidas apropriadas para demonstrar a eficácia das Medidas de Segurança.
7.5 Análises e auditorias de conformidade.
7.5.1 Análises da Documentação de Segurança. Para demonstrar a conformidade do Jibe com as obrigações dele de acordo com este Adendo de Processamento de Dados, o Jibe disponibilizará a Documentação de Segurança para análise pelo Parceiro.
7.5.2 Direitos de Auditoria do Parceiro.
(a) O Jibe permitirá que o Parceiro ou um auditor terceirizado indicado pelo Parceiro conduza auditorias (incluindo inspeções) para verificar a conformidade do Jibe com suas obrigações de acordo com este Adendo de Processamento de Dados de acordo com a Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias). Durante as auditorias, a Jibe disponibilizará todas as informações necessárias para demonstrar tal conformidade e contribuir com as auditorias, conforme descrito na Seção 7.4 (Certificação de segurança) e nesta Seção 7.5 (Análises e auditorias de conformidade).
(b) Se as SCCs se aplicarem à Seção 10.2 (Transferências Restritas na Europa), o Jibe permitirá que o Parceiro (ou um auditor terceirizado indicado por ele) realize auditorias conforme descrito nas SCCs aplicáveis e, durante essas auditorias, disponibilize todas as informações exigidas por elas, de acordo com a Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias).
(c) O Parceiro também pode realizar uma auditoria para verificar a conformidade do Jibe com as obrigações dele de acordo com este Adendo de Processamento de Dados analisando quaisquer certificados emitidos para o Jibe por qualquer auditor terceirizado (por exemplo, uma certificação ISO 27001, se houver).
7.5.3 Termos comerciais adicionais para auditorias.
(a) O Parceiro enviará ao Japão qualquer solicitação de auditoria, conforme as Seções 7.5.2(a) ou 7.5.2(b), conforme descrito na Seção 12.1 (Contato com o Jibe).
(b) Após o recebimento de uma solicitação pela Jibe de acordo com a Seção 7.5.3(a), a Jibe e o Parceiro discutirão e chegarão a um acordo prévio sobre a data de início, o escopo e a duração razoáveis, bem como os controles de segurança e confidencialidade aplicáveis a qualquer auditoria prevista na Seção 7.5.2(a) ou 7.5.2(b).
(c) A Jibe pode cobrar uma taxa (com base nos custos razoáveis) por qualquer auditoria prevista na Seção 7.5.2(a) ou 7.5.2(b). O Jibe fornecerá ao Parceiro mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes de qualquer auditoria. O Parceiro será responsável por quaisquer taxas cobradas por um auditor terceirizado indicado por ele para executar a auditoria.
(d) O Jibe pode opor-se a qualquer auditor terceirizado indicado pelo Parceiro para realizar auditorias previstas na Seção 7.5.2(a) ou 7.5.2(b) se, segundo opinião razoável do Jibe, não for adequadamente qualificado ou independente, um concorrente do Jibe ou de outra forma claramente inadequado. Qualquer objeção feita por Jibe exigirá que o Parceiro indique outro auditor ou conduza a auditoria por conta própria.
(e) Nada neste Adendo sobre processamento de dados exigirá que a Jibe divulgue ao Parceiro ou ao auditor terceirizado ou permita que eles acessem:
(i) quaisquer dados de qualquer outro parceiro ou cliente de uma Entidade do Jibe;
(ii) informações financeiras ou contábeis internas de qualquer Entidade do Jibe;
(iii) qualquer segredo comercial de uma Entidade do Jibe;
(iv) quaisquer informações que, na opinião razoável do Jibe, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Jibe; ou (B) fazer com que qualquer Entidade do Jibe viole suas obrigações de acordo com a Legislação Europeia de Proteção de Dados ou suas obrigações de segurança e/ou privacidade para Parceiro ou qualquer terceiro; ou
(v) qualquer informação que o Parceiro ou o auditor terceirizado tente acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Parceiro nos termos da Legislação Europeia de Proteção de Dados.
8. Avaliações e consultas de impacto
Considerando a natureza do processamento e as informações disponíveis para o Jibe, o Jibe ajudará o Parceiro a garantir a conformidade com as obrigações do Parceiro (ou quando o Parceiro for um processador e o controlador relevante) em relação a avaliações de impacto de proteção de dados e consulta prévia, incluindo, se aplicável, as obrigações do Parceiro ou do controlador relevante de acordo com os Artigos 35 e 36 do GDPR, por meio de:
(a) fornecendo a Documentação de Segurança de acordo com a Seção 7.5.1 (Análises de Documentação de Segurança);
(b) fornecendo as informações contidas neste Adendo de Processamento de Dados; e
(c) Fornecimento ou disponibilização, de acordo com práticas padrão da Jibe, de outros materiais referentes à natureza dos Serviços de Processador e ao processamento de Dados Pessoais do Parceiro (por exemplo, materiais da Central de Ajuda).
9. Direitos do titular dos dados
9.1 Respostas a Solicitações de Titulares de Dados. Se a Jibe receber uma solicitação de um titular de dados relativa aos Dados Pessoais do Parceiro, o Parceiro autoriza a Jibe e, por meio dela, notifica o Parceiro que:
(a) responder diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão da Ferramenta de Titulares de Dados, se a solicitação tiver sido feita por meio dessa ferramenta; ou
(b) aconselhar o titular dos dados a enviar a solicitação ao Parceiro, e o Parceiro será responsável por responder a essa solicitação (se a solicitação não for feita por meio de uma Ferramenta de Titulares de Dados).
9.2 Assistência para solicitação do titular dos dados do Jibe. A Jibe ajudará o Parceiro (ou, onde o Parceiro for um processador, o controlador relevante) a cumprir suas obrigações no âmbito do GDPR para responder a solicitações de exercício dos direitos do titular dos dados, em todos os casos levando em conta a natureza do processamento de Dados Pessoais do Parceiro e, se aplicável, o Artigo 11 do GDPR, incluindo, se aplicável:
(a) fornecimento da funcionalidade dos Serviços de Processador;
(b) cumprimento dos compromissos na Seção 9.1 (Respostas a Solicitações de Titulares de Dados); e
(c) Se aplicável aos Serviços de Processador, disponibilizando as Ferramentas de Titulares de Dados.
9.3 Retificação. Se o Parceiro tomar conhecimento de que Dados Pessoais do Parceiro estão imprecisos ou desatualizados, ele será responsável por retificar ou excluir esses dados se exigido pela Legislação Europeia de Proteção de Dados, incluindo (quando disponível) usando a funcionalidade dos Serviços de Processador.
10. Transferências de Dados
10.1 Instalações de armazenamento e processamento de dados. Sujeito ao restante desta Seção 10 (Transferências de Dados), a Jibe pode processar Dados Pessoais do Parceiro em qualquer país em que a Jibe ou qualquer um dos Subprocessadores dela mantenha instalações.
10.2 Transferências Restritas na Europa. As partes reconhecem que a Legislação Europeia de Proteção de Dados não exige as SCCs ou uma Solução de Transferência Alternativa para processar Dados Pessoais do Parceiro ou transferi-los para um País Adequado.
Se os Dados Pessoais do Parceiro forem transferidos para qualquer outro país e a Legislação Europeia de Proteção de Dados se aplicar a essas transferências ("Transferência Europeia Restrita"), será necessário:
(a) se a Jibe adotar uma Solução de Transferência Alternativa para qualquer Transferência Restrita da Europa, o Jibe informará o Parceiro sobre a solução relevante e garantirá que essas Transferências Restritas na Europa sejam feitas de acordo com essa solução; e/ou
(b) Se a Jibe não adotou ou informou o Parceiro que não está mais adotando uma Solução de Transferência Alternativa para quaisquer Transferências Restritas na Europa, então:
(i) se o endereço de Jibe estiver em um País Adequado:
(A) as SCCs (processador para processador, Exportador de Jibe) serão aplicadas em relação a essas Transferências Restritas Europeias de Jibe para Subprocessadores; e
(B) Além disso, se o endereço do Parceiro não for em um País Adequado, as SCCs (processador para controlador) serão aplicadas em relação às Transferências Restritas entre a Jibe e o Parceiro (independentemente de o Parceiro ser um controlador e/ou processador); ou
(ii) se o endereço de Jibe não for em um País Adequado:
as SCCs (controlador para processador) e/ou as SCCs (processador para processador) serão aplicadas (se o Parceiro for um controlador e/ou processador) com relação às Transferências Restritas entre o Parceiro e a Jibe; e
(c) As referências à Google LLC ou ao Google e a Você em qualquer uma das SCCs serão à Jibe e ao Parceiro, respectivamente.
10.3 Medidas e informações complementares. A Jibe fornecerá ao Parceiro informações relevantes sobre Transferências Restritas na Europa, incluindo informações sobre medidas complementares para proteger os Dados Pessoais do Parceiro, conforme descrito na Seção 7.5.1 (Análises de Documentação de Segurança), Apêndice 2 (Medidas de Segurança) e outros materiais relativos à natureza dos Serviços de Processador e ao processamento de Dados Pessoais do Parceiro (por exemplo, artigos da Central de Ajuda).
10.4 Rescisão. Se o Parceiro concluir, com base no uso atual ou pretendido dos Serviços de Processador, que a Solução de Transferência Alternativa e/ou as SCCs, conforme aplicável, não fornecem proteções apropriadas para os Dados Pessoais do Parceiro, o Parceiro poderá rescindir imediatamente o Contrato por conveniência, notificando a Jibe por escrito.
10.5 Informações de data centers. Informações sobre os locais dos data centers LLC do Google estão disponíveis em www.google.com/about/datacenters/locations/index.html.
11. Subprocessadores
11.1 Consentimento para envolvimento de Subprocessadores. O Parceiro autoriza especificamente o envolvimento dos Subprocessadores listados na Seção 11.2 (Informações sobre Subprocessadores) a partir do Início da Vigência dos Termos. Além disso, o parceiro geralmente autoriza o envolvimento de outros terceiros como Subprocessadores ("Novos Subprocessadores"), sujeito à Seção 11.4 (Oportunidade para Alterações entre Objeto).
11.2 Informações sobre Subprocessadores. A pedido do Parceiro por escrito, a Jibe fornecerá informações sobre os Subprocessadores e os locais deles. Todas essas solicitações precisam ser enviadas ao Jibe usando os detalhes de contato definidos na Seção 12.1 (Contato com o Jibe).
11.3 Requisitos para o envolvimento de Subprocessadores. Ao interagir com qualquer Subprocessador, a Jibe:
(a) garantirá, por meio de um contrato por escrito, que:
(i) o Subprocessador só acesse e use os Dados Pessoais do Parceiro quando necessário para cumprir as obrigações subcontratadas e o faça de acordo com o Contrato (incluindo este Adendo de Processamento de Dados); e
(ii) se o processamento de Dados Pessoais do Parceiro estiver sujeito à Legislação Europeia de Proteção de Dados, as obrigações de proteção de dados neste Adendo de Processamento de Dados (conforme mencionado no Artigo 28(3) do GDPR, se aplicável) serão impostas ao Subprocessador; e
(b) permanecerá totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões por parte do Subprocessador.
11.4 Oportunidade para alterações entre Objeto e Subprocessador.
(a) Se qualquer Novo Subprocessador for engajado durante o Período, pelo menos 30 dias antes de o Novo Subprocessador processar os Dados Pessoais do Parceiro, a Jibe informará ao Parceiro do engajamento (incluindo o nome e o local do subprocessador relevante e as atividades que ele realizará) enviando um e-mail para o Endereço de E-mail de Notificação.
(b) O Parceiro poderá se opor a qualquer Novo Subprocessador rescindindo o Contrato imediatamente mediante notificação por escrito à Jibe, sob a condição de fornecer essa notificação em um prazo de 90 dias após ter sido informado sobre o envolvimento do Novo Subprocessador, conforme descrito na Seção 11.4(a).
12. Contato com a Jibe
12.1 Contato com a Jibe. Ao exercer os direitos previstos neste Adendo de processamento de dados, o Parceiro pode entrar em contato com a Jibe por meio do contato de proteção de dados RCS da Jibe, que pode ser contatado por meio de issuetracker.google.com, ou por outros meios que possam ser disponibilizados pela Jibe.
12.2 Registros de processamento do Jibe. O Jibe manterá a documentação apropriada das atividades de processamento conforme exigido pelo GDPR. O Parceiro reconhece que, de acordo com o GDPR, o Jibe é obrigado a: (a) coletar e manter registros de determinadas informações, incluindo: (i) o nome e os detalhes de contato de cada processador e/ou controlador em nome de quem a Jibe está agindo e, se aplicável, do representante local e diretor de proteção de dados do controlador e (ii) se aplicável conforme as SCCs relevantes, a Supervisora do Parceiro e a Supervisora; Assim, quando solicitado e conforme aplicável, o Parceiro fornecerá essas informações ao Jibe por meio da interface do usuário dos Serviços de Processador ou por outros meios que possam ser fornecidos pelo Jibe, e usará tal interface do usuário ou outros meios para garantir que todas as informações fornecidas sejam mantidas corretas e atualizadas.
12.3 Solicitações de controladores. Se a Jibe receber uma solicitação ou instrução de um terceiro alegando ser um controlador de Dados Pessoais do Parceiro, a Jibe aconselhará o terceiro a entrar em contato com o Parceiro.
13. Responsabilidade
Se o Contrato for regido pela legislação de:
(a) um estado dos Estados Unidos da América, então, independentemente de qualquer outra coisa no Contrato, a responsabilidade total de qualquer parte perante a outra de acordo com este Adendo de Processamento de Dados será limitada ao valor máximo monetário ou baseado em pagamento em que a responsabilidade dessa parte é limitada pelo Contrato (e, portanto, qualquer exclusão de declarações de confidencialidade ou indenização do Contrato, de acordo com a limitação de responsabilidade, de acordo com a Lei de Dados
(b) uma jurisdição que não seja um estado dos Estados Unidos, a responsabilidade combinada total das partes e suas afiliadas de acordo com este Adendo de Processamento de Dados estará sujeita ao Contrato.
14. Efeito deste Adendo sobre Processamento de Dados
14.1 Ordem de precedência. Em caso de qualquer conflito ou inconsistência entre as SCCs, os Termos Adicionais da Legislação de Proteção de Dados Não Europeia, este Adendo de Processamento de Dados e o restante do Contrato, será aplicada a seguinte ordem de precedência:
(a) as SCCs;
(b) os Termos Adicionais da Legislação de Proteção de Dados Não Europeia;
(c) o restante deste Adendo sobre Processamento de Dados; e
(d) o restante do Contrato.
Sujeito às alterações contidas neste Adendo sobre processamento de dados, o Contrato permanece vigente.
14.2 Nenhuma modificação nas SCCs. Nada no Contrato (incluindo este Adendo de Processamento de Dados) visa modificar ou contradizer qualquer SCC ou reduzir os direitos ou liberdades fundamentais dos titulares dos dados de acordo com a Legislação Europeia de Proteção de Dados.
14.3 Nenhum efeito sobre os Termos entre controladores. Este Adendo sobre Processamento de Dados não afetará quaisquer termos separados entre a Jibe e o Parceiro que reflitam uma relação controlador-controlador para um serviço diferente dos Serviços de Processador.
14.4 SCCs legadas do Reino Unido. A partir de 21 de setembro de 2022 ou a partir da data de vigência do Contrato, o que for posterior, os termos complementares das SCCs para transferência do GDPR do Reino Unido serão aplicados e substituirão e rescindirão quaisquer cláusulas contratuais padrão aprovadas de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018 e anteriormente firmadas pelo Parceiro e pela Jibe ("SCCs legadas do Reino Unido"). Esta Seção 14.4 (SCCs legadas do Reino Unido) não afetará os direitos de nenhuma das partes, ou os direitos de titular dos dados, que possam ter sido acumulados de acordo com as SCCs legadas do Reino Unido enquanto elas estivessem em vigor.
15. Alterações neste Adendo sobre processamento de dados
15.1
15.2 Alterações no Adendo sobre Processamento de Dados. O Jibe pode alterar este Adendo sobre processamento de dados se a alteração:
(a) for expressamente permitida por este Adendo sobre Processamento de Dados, inclusive conforme descrito na Seção 15.1 (Alterações de URLs);
(b) refletir uma alteração no nome ou na forma de uma entidade legal;
(c) for necessária para obedecer a uma lei ou regulamentação aplicável, a um mandado ou a uma orientação expedida por um órgão regulador ou agência do governo, ou refletir a adoção do Jibe por uma Solução de Transferência Alternativa; ou
(d) não (i) resultar em uma degradação da segurança geral dos Serviços de Processador; (ii) ampliar o escopo ou remover quaisquer restrições, (x) no caso dos Termos Adicionais para Legislação de Proteção de Dados Não Europeia, os direitos de Jibe de usar ou processar os dados no escopo dos Termos Adicionais para Legislação de Proteção de Dados Não Europeia ou (i) nos seus casos em que este for o caso
15.3 Notificação de alterações. Se a Jibe quiser alterar este Adendo de Processamento de Dados de acordo com a Seção 15.2(c) ou (d), a Jibe informará ao Parceiro pelo menos 30 dias (ou um período mais curto que seja necessário para obedecer à legislação aplicável, a um regulamento, a um mandado ou a uma orientação emitida por um órgão regulador ou agência governamental) antes que a alteração entre em vigor: (a) enviando um e-mail para o Endereço de e-mail de notificação do Parceiro ou Caso o Parceiro se oponha a qualquer uma dessas alterações, ele poderá rescindir o Contrato por conveniência, enviando uma notificação por escrito à Jibe até 90 dias após ter sido informado de tal alteração.
Apêndice 1: Objeto em Questão e Detalhes do Processamento de Dados
Objeto em questão
o fornecimento dos Serviços de Processador e de qualquer suporte técnico relacionado à Jibe ao Parceiro.
Duração do processamento
O Período, mais o período entre o fim dele e a exclusão de todos os Dados Pessoais do Parceiro pelo Jibe, de acordo com este Adendo sobre Processamento de Dados.
Natureza e finalidade do processamento
A Jibe processará os Dados Pessoais do Parceiro, incluindo (conforme aplicável à natureza dos Serviços de Processador e as Instruções) a coleta, registro, organização, estruturação, armazenamento, alteração, recuperação, uso, divulgação, combinação, exclusão e destruição de Dados Pessoais do Parceiro com a finalidade de fornecer os Serviços de Processador e qualquer suporte técnico relacionado ao Parceiro de acordo com este Adendo de Processamento de Dados.
Tipos de dados pessoais
Dados pessoais relacionados a indivíduos fornecidos ao Jibe por meio dos Serviços de Processamento, por (ou por instrução do) Parceiro ou por usuários finais do Parceiro.
Categorias de titulares dos dados
Os titulares dos dados incluem os indivíduos sobre os quais os dados são fornecidos ao Jibe por meio dos Serviços de Processador pelo Parceiro (ou por instrução dele).
Apêndice 2: Medidas de Segurança
A partir do Início da Vigência dos Termos, a Jibe implementará e manterá as Medidas de Segurança neste Apêndice 2. A Jibe pode atualizar ou modificar tais Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.
1. data center e segurança de rede
(a) Data centers.
Infraestrutura. A Jibe mantém data centers distribuídos geograficamente. O Jibe armazena todos os dados de produção em data centers fisicamente seguros.
Redundância. Os sistemas de infraestrutura foram projetados para eliminar pontos únicos de falha e minimizar o impacto de riscos ambientais previstos. Circuitos duplos, comutadores, redes ou outros dispositivos necessários ajudam a fornecer essa redundância. Os Serviços de Processador foram projetados para permitir que a Jibe realize certos tipos de manutenção preventiva e corretiva sem interrupção. Todos os equipamentos e instalações ambientais documentaram procedimentos de manutenção preventiva que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva e corretiva dos equipamentos do data center é programada por meio de um processo padrão, de acordo com procedimentos documentados.
Energia. Os sistemas de energia elétrica dos data centers são projetados para serem redundantes e poderem passar por manutenção sem afetar as operações contínuas, 24 horas por dia, 7 dias por semana. Na maioria dos casos, são fornecidas uma fonte de energia principal e outra alternativa, cada uma com a mesma capacidade, para componentes críticos de infraestrutura no data center. A energia de backup é fornecida por vários mecanismos, como baterias de fonte de alimentação ininterrupta (UPS, na sigla em inglês), que fornecem proteção de energia consistentemente confiável durante blecautes de energia, blecautes, sobretensão, subtensão e condições de frequência fora da tolerância. Se a energia da rede elétrica for interrompida, ela é projetada para fornecer energia transitiva ao centro de dados, com capacidade total, por até 10 minutos, até que os sistemas de geradores de backup assumam o controle. Os geradores podem ser inicializados automaticamente em segundos para fornecer energia elétrica de emergência suficiente para executar o centro de dados com capacidade total normalmente por um período de dias.
Sistemas operacionais de servidores. Os servidores Jibe usam sistemas operacionais protegidos, personalizados para as necessidades exclusivas do servidor da empresa. Os dados são armazenados usando algoritmos reservados para aumentar a segurança e a redundância de dados. A Jibe emprega um processo de revisão de código para aumentar a segurança do código usado para fornecer os serviços de processador e aprimorar os produtos de segurança em ambientes de produção.
Continuidade dos negócios. O Jibe replica dados em vários sistemas para ajudar na proteção contra destruição ou perda acidentais. A Jibe desenvolveu e planeja e testa regularmente programas de planejamento de continuidade dos negócios/recuperação de desastres.
Tecnologias de criptografia. As políticas de segurança do Jibe exigem criptografia em repouso para todos os dados do usuário, incluindo dados pessoais. Os dados geralmente são criptografados em vários níveis na pilha de armazenamento de produção da Jibe em data centers, inclusive no nível do hardware, sem exigir nenhuma ação de parceiros ou clientes. O uso de várias camadas de criptografia adiciona proteção redundante aos dados e permite que a Jibe selecione a abordagem ideal com base nos requisitos do aplicativo. Todos os dados pessoais são criptografados no nível de armazenamento, geralmente usando AES256. A Jibe usa bibliotecas criptográficas comuns que incorporam o módulo validado FIPS 140-2 da Jibe para implementar a criptografia de forma consistente nos Serviços de Processador.
(b) Redes e transmissão.
Transmissão de Dados. Os data centers geralmente são conectados por links privados de alta velocidade para fornecer transferência de dados segura e rápida entre eles. Isso foi projetado para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante o transporte eletrônico. O Jibe transfere dados por meio de protocolos padrão da Internet.
Superfície de ataque externa. O Jibe emprega várias camadas de dispositivos de rede e detecção de intrusões para proteger a superfície de ataque externa. O Jibe considera possíveis vetores de ataque e incorpora tecnologias de finalidade adequada em sistemas externos.
Detecção de intrusões. A detecção de intrusões fornece informações sobre atividades de ataque em andamento e informações adequadas para responder a incidentes. A detecção de intrusões de Jibe envolve:
controlar rigidamente o tamanho e a composição da superfície de ataque do Jibe por meio de medidas preventivas;
empregar controles de detecção inteligentes em pontos de entrada de dados; e
empregar tecnologias que resolvem automaticamente certas situações perigosas;
Resposta a incidentes. O Jibe monitora uma variedade de canais de comunicação para incidentes de segurança, e a equipe de segurança do Jibe reagirá prontamente a incidentes conhecidos.
Tecnologias de criptografia. O Jibe disponibiliza criptografia HTTPS (também chamada de conexão TLS). Os servidores Jibe são compatíveis com a troca de chaves criptográficas Diffie Hellman via curvas elípticas efêmeras assinadas com RSA e ECDSA. Esses métodos de confidencialidade perfeita (PFS, na sigla em inglês) ajudam a proteger o tráfego e minimizam o impacto de uma chave comprometida ou de uma inovação criptográfica.
2. acesso e controles do site
(a) Controles do site.
Operação de segurança local de data centers. Os data centers da Jibe mantêm as operações de segurança no local responsáveis por todas as funções de segurança do data center físico 24 horas por dia, 7 dias por semana. A equipe de operações de segurança no local monitora câmeras de circuito fechado de TV (CCTV, na sigla em inglês) e todos os sistemas de alarme. A equipe de operações de segurança local realiza patrulhas internas e externas do data center regularmente.
Procedimentos de acesso aos data centers. O Jibe mantém procedimentos formais para permitir o acesso físico aos data centers. Os data centers estão abrigados em instalações que exigem acesso a chave de cartão eletrônico, com alarmes vinculados à operação de segurança no local. Todos os participantes do data center precisam se identificar e mostrar um comprovante de identidade para as operações de segurança no local. Somente funcionários, prestadores de serviços e visitantes autorizados têm permissão para entrar nos data centers. Somente funcionários e prestadores de serviços autorizados têm permissão para solicitar acesso por chave eletrônica a essas instalações. As solicitações de acesso por chave eletrônica precisam ser feitas com antecedência e por escrito e exigir a aprovação da equipe autorizada do data center. Todos os outros participantes que necessitam de acesso temporário ao data center precisam: (i) receber aprovação prévia dos gerentes do data center para o data center específico e as áreas internas que desejam visitar; (ii) fazer login em operações de segurança local; e (iii) apresentar um registro de acesso ao data center aprovado, identificando o indivíduo como aprovado.
Dispositivos de segurança local dos data centers. Os data centers de Jibe usam uma chave de cartão eletrônico e um sistema de controle de acesso biométrico que está vinculado a um alarme do sistema. O sistema de controle de acesso monitora e registra a chave eletrônica de cada indivíduo e quando acessa as portas do perímetro, a entrega e o recebimento e outras áreas críticas. As atividades não autorizadas e as tentativas de acesso com falha são registradas pelo sistema de controle de acesso e investigadas, conforme apropriado. O acesso autorizado em todas as operações de negócios e centros de dados é restrito com base nas zonas e nas responsabilidades de trabalho do indivíduo. As portas corta-fogo nos data centers são equipadas com alarmes. As câmeras de CCTV estão em operação dentro e fora dos data centers. O posicionamento das câmeras foi projetado para cobrir áreas estratégicas, incluindo, entre outras, o perímetro, as portas para o edifício do data center e o envio/recebimento. A equipe de operações de segurança local gerencia o equipamento de monitoramento, gravação e controle de CCTV. Cabos seguros em todos os data centers conectam o equipamento de CCTV. As câmeras gravam no local por meio de gravadores de vídeo digital 24 horas por dia, 7 dias por semana. Os registros de vigilância são mantidos por pelo menos sete dias com base na atividade.
(b) Controle de acesso.
Pessoal de segurança de infraestrutura. A Jibe tem e mantém uma política de segurança para a equipe e exige treinamento de segurança como parte do pacote de treinamento. A equipe de segurança da infraestrutura do Jibe é responsável pelo monitoramento contínuo da infraestrutura de segurança, pela avaliação dos Serviços de Processador e por responder a incidentes de segurança.
Controle de acesso e gerenciamento de privilégios. Os administradores e usuários do parceiro precisam se autenticar usando um sistema de autenticação central ou um sistema de logon único para usar os serviços de processador.
Processos e Políticas de Acesso a Dados Internos - Política de Acesso. As políticas e os processos internos de acesso a dados do Jibe são projetados para evitar que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas usados para processar dados pessoais. O objetivo do Jibe é projetar os sistemas para: (i) permitir que apenas pessoas autorizadas tenham acesso aos dados que elas têm acesso; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, alterados ou removidos sem autorização durante o processamento, uso e após a gravação. Os sistemas são projetados para detectar qualquer acesso inadequado. A Jibe emprega um sistema de gerenciamento de acesso centralizado para controlar o acesso de funcionários aos servidores de produção e fornece acesso apenas a um número limitado de pessoas autorizadas. O LDAP, o Kerberos e um sistema proprietário que utiliza certificados digitais são projetados para fornecer ao Jibe mecanismos de acesso seguros e flexíveis. Esses mecanismos foram projetados para conceder apenas direitos de acesso aprovados a hosts, registros, dados e informações de configuração do site. O Jibe requer o uso de IDs de usuário exclusivos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar o potencial de uso não autorizado da conta. A concessão ou modificação de direitos de acesso se baseia nas responsabilidades do trabalho, nos requisitos das obrigações profissionais necessárias para realizar tarefas autorizadas e na necessidade de saber da equipe autorizada. A concessão ou modificação de direitos de acesso também precisa estar de acordo com as políticas e o treinamento de acesso a dados internos do Jibe. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso aos sistemas é registrado para criar uma trilha de auditoria para responsabilidade. Quando são usadas senhas para autenticação (por exemplo, login em estações de trabalho), as políticas de senha que seguem pelo menos as práticas padrão do setor são implementadas. Esses padrões incluem restrições sobre a reutilização e o nível de segurança das senhas.
3. Dados
(a) Armazenamento, isolamento e autenticação de dados.
A Jibe armazena dados em um ambiente multilocatário em servidores pertencentes à Google LLC. Os dados, o banco de dados dos Serviços de Processador e a arquitetura do sistema de arquivos são replicados entre vários data centers dispersos geograficamente. O Jibe isola logicamente os dados de cada parceiro ou cliente. Um sistema de autenticação central é usado em todos os Serviços de Processador para aumentar a segurança uniforme dos dados.
(b) Discos Desativados e Orientações para Destruição de Discos.
Alguns discos que contêm dados podem apresentar problemas de desempenho, erros ou falha de hardware que os levam a ser desativados ("Disco desativado"). Cada Disco Desativado está sujeito a uma série de processos de destruição de dados (as Diretrizes de Destruição de Dados) antes de sair das instalações do Jibe para reutilização ou destruição. Os discos desativados são apagados em um processo de várias etapas e verificados por pelo menos dois validadores independentes. Os resultados da limpeza são registrados pelo número de série do Disco Desativado para rastreamento. Por fim, o Disco Desativado apagado é liberado para o inventário para reutilização e reimplantação. Se, devido a uma falha de hardware, o Disco Desativado não puder ser apagado, ele será armazenado com segurança até que possa ser destruído. Cada instalação é auditada regularmente para monitorar a conformidade com as Diretrizes de Destruição de Dados.
(c) Dados pseudônimos.
Os dados de publicidade on-line geralmente são associados a identificadores on-line que são considerados "pseudônimos", ou seja, não podem ser atribuídos a um indivíduo específico sem o uso de informações adicionais. O Jibe tem um conjunto robusto de políticas e controles técnicos e organizacionais em vigor para garantir a separação entre dados pseudônimos e informações de identificação pessoal do usuário, ou seja, informações que possam ser usadas para identificar, contatar ou localizar com precisão um indivíduo diretamente, como os dados da conta do Jibe. As políticas do Jibe só permitem fluxos de informações entre dados pseudônimos e dados de identificação pessoal em circunstâncias estritamente limitadas.
(d) Lançar avaliações.
A Jibe realiza avaliações de lançamento para novos produtos e recursos antes do lançamento. Isso inclui uma análise de privacidade conduzida por engenheiros de privacidade especialmente treinados. Nas revisões de privacidade, os engenheiros de privacidade garantem que todas as políticas e diretrizes aplicáveis do Jibe sejam seguidas, incluindo, mas não se limitando a, políticas relacionadas à pseudonimização e retenção e exclusão de dados.
4. Segurança da Equipe
A equipe da Jibe precisa se comportar de maneira consistente com as diretrizes da empresa relativas a confidencialidade, ética nos negócios, uso apropriado e padrões profissionais. O Jibe realiza investigações de histórico para contratação adequadas, dentro do legalmente permitido e de acordo com a legislação trabalhista e os regulamentos estatutários aplicáveis.
A equipe precisa assinar um contrato de confidencialidade e confirmar o recebimento e a conformidade com as políticas de confidencialidade e privacidade da Jibe. A equipe recebe treinamento de segurança. A equipe que lida com dados pessoais de parceiros precisa atender a requisitos adicionais apropriados ao papel dela. A equipe da Jibe não processará Dados Pessoais do Parceiro sem autorização.
5. Segurança do Subprocessador
Antes de integrar Subprocessadores, a Jibe realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que eles forneçam um nível de segurança e privacidade apropriado ao acesso deles a dados e ao escopo dos serviços que estão comprometidos em fornecer. Depois que Jibe avalia os riscos apresentados pelo Subprocessador, este precisa assinar termos de contratos de segurança, confidencialidade e privacidade adequados, sujeitos aos requisitos da Seção 11.3 (Requisitos para o Envolvimento de Subprocessadores).
Apêndice 3: Termos Adicionais para Legislação de Proteção de Dados Não Europeia
Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam este Adendo sobre Processamento de Dados:
- Adendo do Processador da LGPD em business.safety.google/processorterms/lgpd (em inglês, 27 de agosto de 2020)
- Adendo da Lei Estadual dos EUA em business.safety.google/processorterms/us-state-laws (em inglês, 12 de dezembro de 2022).
As referências à Google LLC ou ao Google no Adendo do Processador da LGPD e no Adendo da Lei Estadual dos EUA serão para Jibe.
Adendo do Jibe Data Processing, versão 4.0