Adendo Suplementar de Processamento de Dados DocuSign

COMO EXECUTAR ESTE DPA

1. Este DPA Suplementar consiste em duas partes: o corpo principal do DPA Suplementar e os Anexos 1, 2, 3, 4 e 5.
2. Este DPA Suplementar foi pré-assinado em nome da Own.
3. Para preencher este DPA Suplementar, o Cliente deve:
   a. Preencha a seção Nome do cliente e Endereço do cliente.
   b. Preencha as informações na caixa de assinatura e assine.
   c. Verifique se as informações do Anexo 3 (“Detalhes do Tratamento”) refletem com precisão os assuntos e categorias de dados a serem tratados.
   d. Envie o DPA Suplementar preenchido e assinado para Own em privacidade@owndata.com.

Após o recebimento pela Own do DPA Suplementar validamente preenchido neste endereço de e-mail, este DPA Suplementar se tornará juridicamente vinculativo.

A assinatura deste DPA Suplementar na página 3 será considerada como assinatura e aceitação das Cláusulas Contratuais Padrão (incluindo seus Apêndices) e do Adendo do Reino Unido, ambos aqui incorporados por referência.

COMO ESTE DPA SE APLICA

Se a entidade do Cliente que assina este APD Suplementar for parte do Contrato, este APD Suplementar será um adendo e fará parte do Contrato ou do APD Existente. Nesse caso, a própria entidade que é parte do Contrato ou DPA Existente é parte deste DPA.

Se a entidade do Cliente que assina este DPA Suplementar tiver executado um Formulário de Pedido com a Own ou sua Afiliada de acordo com o Contrato ou DPA Existente, mas não for parte do Contrato ou DPA Existente, este DPA Suplementar será um adendo a esse Formulário de Pedido e Formulários de Pedido de renovação aplicáveis, e a própria entidade que é parte de tal Formulário de Pedido é parte deste DPA Suplementar.

Se a entidade do Cliente que assina este APD Suplementar não for parte de um Formulário de Pedido, nem do Contrato ou APD Existente, este APD Suplementar não será válido e não será juridicamente vinculativo. Essa entidade deverá solicitar que a entidade do Cliente que é parte do Contrato ou do DPA Existente execute este DPA Suplementar.

Se a entidade do Cliente que assina o DPA Suplementar não for parte de um Formulário de Pedido nem de um Contrato Principal de Assinatura ou DPA Existente diretamente com a Own, mas for um cliente indiretamente por meio de um revendedor autorizado de serviços próprios, este DPA Suplementar não será válido e será não é juridicamente vinculativo. Essa entidade deverá entrar em contato com o revendedor autorizado para discutir se é necessária uma alteração ao seu contrato com esse revendedor.

No caso de qualquer conflito ou inconsistência entre este DPA Suplementar e qualquer outro acordo entre o Cliente e a Own (incluindo, sem limitação, o Contrato ou DPA Existente), os termos deste DPA Suplementar prevalecerão e prevalecerão.

Este Adendo Suplementar de Processamento de Dados, incluindo seus Cronogramas e Apêndices, (“DPA Suplementar”) faz parte do Adendo de Processamento de Dados existente identificado acima (“DPA Existente”) entre a OwnBackup Inc. (“Própria”) e o Cliente. A combinação deste APD Suplementar e do APD Existente formará o contrato completo de processamento de dados (o “APD”) para documentar o acordo das partes em relação ao Processamento de Dados Pessoais. Se tal entidade do Cliente e a Own não tiverem celebrado um Contrato, este DPA será nulo e sem efeito legal.

A entidade Cliente mencionada acima celebra este DPA Suplementar por si mesma e, se alguma de suas Afiliadas atuar como Controladora de Dados Pessoais, em nome dessas Afiliadas Autorizadas. Todos os termos em letras maiúsculas não definidos neste documento terão o significado estabelecido no Contrato.

No decorrer do fornecimento dos Serviços SaaS ao Cliente nos termos do Contrato, a Own poderá processar Dados Pessoais em nome do Cliente. As partes concordam com os seguintes termos suplementares com relação a tal Processamento.

1. DEFINIÇÕES
   “Lei da Protecção Civil” significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civil. Código § 1798.100 et. seq., conforme alterado pela Lei de Direitos de Privacidade da Califórnia de 2020 e juntamente com quaisquer regulamentos de implementação.
   "Controlador" significa a entidade que determina as finalidades e meios do Processamento de Dados Pessoais e considera-se que também se refere a um “negócio”, conforme definido na CCPA.
   "Cliente" significa a entidade nomeada acima e suas Afiliadas.
   “Leis e Regulamentos de Proteção de Dados” significa todas as leis e regulamentos da União Europeia e seus
   estados membros, o Espaço Económico Europeu e os seus estados membros, o Reino Unido, a Suíça, os Estados Unidos, o Canadá, a Nova Zelândia e a Austrália, e as respetivas subdivisões políticas, aplicáveis ​​ao Processamento de Dados Pessoais. Estes incluem, mas não estão limitados a, o seguinte, na medida aplicável: o GDPR, a Lei de Proteção de Dados do Reino Unido, a CCPA, a Lei de Proteção de Dados do Consumidor da Virgínia (“VCDPA”), a Lei de Privacidade do Colorado e regulamentos relacionados (“CPA ”), a Lei de Privacidade do Consumidor de Utah (“UCPA”) e a Lei de Connecticut Relativa à Privacidade de Dados Pessoais e Monitoramento Online (a “CPDPA”).
   “Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem e incluem "consumidor" conforme definido nas Leis e Regulamentos de Proteção de Dados. "Europa" significa a União Europeia, o Espaço Económico Europeu, a Suíça e o Reino Unido. Disposições adicionais aplicáveis ​​às transferências de Dados Pessoais da Europa estão contidas no Anexo 5. Caso o Anexo 5 seja removido, o Cliente garante que não processará Dados Pessoais sujeitos às Leis e Regulamentos de Proteção de Dados da Europa.
   "O PIB é" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46 /CE (Regulamento Geral de Proteção de Dados).
   “Grupo Próprio” significa a Own e suas Afiliadas envolvidas no Tratamento de Dados Pessoais.
   “Dados Pessoais” significa qualquer informação relativa a (i) uma pessoa física identificada ou identificável e, (ii) uma entidade legal identificada ou identificável (onde tais informações são protegidas de forma semelhante a dados pessoais, informações pessoais ou informações pessoalmente identificáveis ​​sob as Leis e Regulamentos de Proteção de Dados aplicáveis ), onde para cada (i) ou (ii), tais dados são Dados do Cliente.
   “Serviços de Tratamento de Dados Pessoais” significa os Serviços SaaS listados no Anexo 2, para os quais a Own pode processar Dados Pessoais.
   "Em processamento" significa qualquer operação ou conjunto de operações realizadas com Dados Pessoais, seja ou não por meios automáticos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
   “Processador” significa a entidade que Processa Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, qualquer “provedor de serviços”, conforme esse termo é definido pela CCPA.
   “Cláusulas Contratuais Padrão” significa o anexo da decisão de execução da Comissão Europeia
   (UE) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho da União Europeia e sujeito às alterações exigidas para os Estados Unidos Reino Unido e Suíça descritos mais detalhadamente no Anexo 5.
   “Subprocessador” significa qualquer Processador contratado pela Own, por um membro do Grupo Own ou por outro Subprocessador.
   “Autoridade Fiscalizadora” significa um órgão regulador governamental ou licenciado pelo governo com autoridade legal vinculativa sobre o Cliente.
   “Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE (disponível em 21 de março de 2022 em https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), concluído conforme descrito no Anexo 5.
   “Lei de Proteção de Dados do Reino Unido” significa o Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, uma vez que faz parte da legislação de Inglaterra e País de Gales, Escócia e Norte Irlanda em virtude da seção 3 da Lei (Retirada) da União Europeia de 2018, conforme alterada periodicamente pelas Leis e Regulamentos de Proteção de Dados do Reino Unido.
2. ORDEM DE PRECEDÊNCIA
   a. Com exceção das Cláusulas Contratuais Padrão aqui incorporadas, que terão precedência, no caso de qualquer inconsistência entre este DPA Suplementar e o DPA Existente, os termos do DPA Existente prevalecerão.
3. LIMITAÇÃO DE RESPONSABILIDADE
   a. Na medida permitida pelas Leis e Regulamentos de Proteção de Dados, a responsabilidade de cada parte e de todas as suas Afiliadas, tomadas em conjunto no agregado, decorrente ou relacionada a este DPA Suplementar, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeito às cláusulas de “Limite de Responsabilidade” e outras cláusulas que excluem ou limitam a responsabilidade do Contrato, e qualquer referência nessas cláusulas à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas.
4. ALTERAÇÕES NOS MECANISMOS DE TRANSFERÊNCIA
   a. No caso de um mecanismo de transferência atual em que as partes se baseiam para facilitar as transferências de Dados Pessoais para um ou mais países que não garantem um nível adequado de proteção de dados na aceção das Leis e Regulamentos de Proteção de Dados for invalidado, será alterado , ou substituídas, as partes trabalharão de boa-fé para promulgar tal mecanismo de transferência alternativo para permitir o processamento contínuo de Dados Pessoais contemplado pelo Contrato. A utilização de tal mecanismo de transferência alternativo estará sujeita ao cumprimento, por cada parte, de todos os requisitos legais para a utilização de tal mecanismo de transferência.

Os signatários autorizados das partes assinaram devidamente este Contrato, incluindo todos os Cronogramas, Anexos e Apêndices aplicáveis ​​aqui incorporados.

Lista de Horários

Anexo 1: Lista atual de subprocessadores
Anexo 2: Serviços SaaS aplicáveis ​​ao processamento de dados pessoais
Anexo 3: Detalhes do Processamento
Anexo 4: Controles de segurança próprios
Anexo 5: Disposições Europeias

ANEXO 1 Lista Atual de Subprocessadores

Nome do Subprocessador	Endereço do subprocessador	Natureza do Processamento	Duração do Processamento	Local de processamento
OwnBackup Limitado	3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israel	Suporte e manutenção ao cliente	Durante a vigência do Contrato.	Israel
Amazon Web Serviços, Inc.*	410 Terry Avenue North, Seattle, Washington 98109, EUA	Hospedagem de aplicativos e armazenamento de dados	Durante a vigência do Contrato.	Estados Unidos, Canadá, Alemanha, Reino Unido ou Austrália
Corporação Microsoft (Azure)*	One Microsoft Way, Redmond, Washington 98052, EUA	Hospedagem de aplicativos e armazenamento de dados	Durante a vigência do Contrato.	Holanda ou Estados Unidos
Elasticsearch, Inc.**	800 West El Camino Real, Suíte 350, Montanha View, Califórnia 94040, EUA	Indexação e pesquisa	Durante a vigência do Contrato.	Holanda ou Estados Unidos

*O cliente pode escolher Amazon Web Serviços ou Microsoft (Azure) e seu Local de Processamento desejado durante a configuração inicial dos Serviços SaaS pelo Cliente.
** Aplica-se apenas a clientes do Archive que optam por implantar na nuvem Microsoft (Azure).

ANEXO 2 Serviços SaaS aplicáveis ​​ao processamento de dados pessoais

• Recuperar para ServiceNow
• Recuperar para Dynamics
• Recuperar para Salesforce
• Governança Plus para Salesforce
• Arquivo
• Traga seu próprio gerenciamento de chaves
• Acelerar

ANEXO 3 Detalhes do Processamento

Exportador de dados

Nome Legal Completo: Nome do cliente conforme especificado acima
Endereço principal: Endereço do cliente conforme especificado acima
Contato: Salvo disposição em contrário, este será o contato principal na conta do Cliente.
E-mail de contato: Salvo disposição em contrário, este será o endereço de e-mail de contato principal na conta do Cliente.

Importador de dados 

Nome legal completo: Empresa: OwnBackup Inc.
Endereço principal: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, EUA
Contato: Responsável pela Privacidade
E-mail de contato: privacidade@owndata.com

Natureza e Finalidade do Processamento

A Own Processará Dados Pessoais conforme necessário para executar os Serviços SaaS de acordo com o Contrato e os Pedidos, e conforme instruções adicionais do Cliente no uso dos Serviços SaaS.

Duração do Processamento

A Own processará Dados Pessoais durante a vigência do Contrato, salvo acordo em contrário por escrito.

Retenção

A Own reterá os Dados Pessoais nos Serviços SaaS durante a vigência do Contrato, salvo acordo em contrário por escrito, sujeito ao período máximo de retenção especificado na Documentação.

Frequência de Transferência

Conforme determinado pelo Cliente através do uso dos Serviços SaaS.

Transferências para subprocessadores 

Conforme necessário para executar os Serviços SaaS de acordo com o Contrato e os Pedidos e conforme descrito mais detalhadamente no Anexo 1.

Categorias de Titulares de Dados

O Cliente poderá enviar Dados Pessoais aos Serviços SaaS, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, Dados Pessoais relacionados às seguintes categorias de titulares de dados:

• Clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas)
• Funcionários ou pessoas de contato de clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente
• Funcionários, agentes, consultores, freelancers do Cliente (que são pessoas físicas) Usuários do Cliente autorizados pelo Cliente a usar os Serviços SaaS

Tipo de dados pessoais

O Cliente poderá enviar Dados Pessoais aos Serviços SaaS, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, as seguintes categorias de Dados Pessoais:

• Primeiro e último nome
• Título
• Posição
• Empregador
• Informações de contato (empresa, e-mail, telefone, endereço comercial físico)
• Dados de identificação
• Dados da vida profissional
• Dados pessoais
• Dados de localização

Categorias especiais de dados (se apropriado)

O Cliente pode enviar categorias especiais de Dados Pessoais aos Serviços SaaS, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério e que, por uma questão de clareza, pode incluir o processamento de dados genéticos, dados biométricos para fins exclusivos identificação de uma pessoa singular ou dados relativos à saúde. Consulte as medidas no Anexo 4 para saber como a Own protege categorias especiais de dados e outros dados pessoais.

ANEXO 4 Controles de Segurança Próprios 3.3

1. Introdução
   1. Os próprios aplicativos de software como serviço (serviços SaaS) foram projetados desde o início com a segurança em mente. Os serviços SaaS são projetados com uma variedade de controles de segurança em vários níveis para lidar com uma série de riscos de segurança. Esses controles de segurança estão sujeitos a alterações; no entanto, quaisquer alterações manterão ou melhorarão a postura geral de segurança.
   2. As descrições dos controles abaixo se aplicam às implementações do serviço SaaS na Amazon Web Plataformas de Serviços (AWS) e Microsoft Azure (Azure) (conjuntamente denominadas nossos Provedores de Serviços de Nuvem, ou CSPs), exceto conforme especificado na seção Criptografia abaixo. Estas descrições de controles não se aplicam ao software RevCult, exceto conforme fornecido em “Desenvolvimento Seguro de Software” abaixo.
2. Auditorias e Certificações
   1. Os Serviços SaaS são certificados pela ISO/IEC 27001:2013 (Sistema de Gestão de Segurança da Informação) e ISO/IEC 27701:2019 (Sistema de Gestão de Informação de Privacidade).
   2. A Own passa por uma auditoria anual SOC2 Tipo II sob SSAE-18 para verificar de forma independente a eficácia de suas práticas, políticas, procedimentos e operações de segurança da informação para os seguintes critérios de serviços de confiança: segurança, disponibilidade, confidencialidade e integridade de processamento.
   3. A Own utiliza regiões CSP globais para sua computação e armazenamento para os serviços SaaS. AWS e Azure são instalações de primeira linha com vários credenciamentos, incluindo SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 e HIPAA.
3. Web Controles de segurança de aplicativos
   1. O acesso do Cliente aos Serviços SaaS é apenas via HTTPS (TLS1.2+), estabelecendo a criptografia dos dados em trânsito entre o usuário final e a aplicação e entre a Própria e a fonte de dados de terceiros (ex.: Salesforce).
   2. Os administradores do Serviço SaaS do cliente podem provisionar e desprovisionar usuários do Serviço SaaS e acesso associado, conforme necessário.
   3. Os serviços SaaS fornecem controles de acesso baseados em funções para permitir que os clientes gerenciem permissões de várias organizações.
   4. Os administradores do serviço SaaS do cliente podem acessar trilhas de auditoria, incluindo nome de usuário, ação, horárioampe campos de endereço IP de origem. Os registros de auditoria podem ser vieweditados e exportados pelo administrador do Serviço SaaS do cliente conectado aos Serviços SaaS, bem como por meio da API dos Serviços SaaS.
   5. O acesso aos Serviços SaaS pode ser restrito pelo endereço IP de origem.
   6. Os Serviços SaaS permitem que os clientes habilitem a autenticação multifator para acessar contas de Serviços SaaS utilizando senhas de uso único baseadas em tempo.
   7. Os serviços SaaS permitem que os clientes habilitem o logon único por meio de provedores de identidade SAML 2.0.
   8. Os Serviços SaaS permitem que os clientes habilitem políticas de senha personalizáveis ​​para ajudar a alinhar as senhas do Serviço SaaS às políticas corporativas.
4. Criptografia
   1. A Own oferece as seguintes opções de serviço SaaS para criptografia de dados em repouso:
      1. Oferta padrão.
         • Os dados são criptografados usando criptografia AES-256 no lado do servidor por meio de um sistema de gerenciamento de chaves validado sob FIPS 140-2.
         • A criptografia de envelope é utilizada de forma que a chave mestra nunca saia do Módulo de Segurança de Hardware (HSM).
         • As chaves de criptografia são alternadas pelo menos a cada dois anos.
      2. Opção de gerenciamento avançado de chaves (AKM).
         • Os dados são criptografados em um contêiner de armazenamento de objetos dedicado com uma chave mestra de criptografia (CMK) fornecida pelo cliente.
         • O AKM permite o arquivamento futuro da chave e sua rotação com outra chave mestra de criptografia.
         • O cliente pode revogar chaves mestras de criptografia, resultando na inacessibilidade imediata dos dados.
      3. Opção Traga seu próprio sistema de gerenciamento de chaves (KMS) (disponível apenas na AWS).
         • As chaves de criptografia são criadas na conta do próprio cliente, adquirida separadamente, utilizando o AWS KMS.
         • O cliente define a política de chave de criptografia que permite que a conta do serviço SaaS do cliente na AWS acesse a chave do próprio AWS KMS do cliente.
         • Os dados são criptografados em um contêiner de armazenamento de objetos dedicado gerenciado pela Own e configurado para usar a chave de criptografia do cliente.
         • O cliente pode revogar instantaneamente o acesso aos dados criptografados, revogando o acesso da Own à chave de criptografia, sem interagir com a Own.
         • Os próprios funcionários não têm acesso às chaves de criptografia em nenhum momento e não acessam o KMS diretamente.
         • Todas as atividades de uso de chaves são registradas no KMS do cliente, incluindo a recuperação de chaves pelo armazenamento de objetos dedicado.
      4. A criptografia em trânsito entre os Serviços SaaS e a fonte de dados de terceiros (por exemplo, Salesforce) utiliza HTTPS com TLS 1.2+ e OAuth 2.0.
5. Rede
   1. Os Serviços SaaS utilizam controles de rede CSP para restringir a entrada e saída da rede.
   2. Grupos de segurança com estado são empregados para limitar a entrada e saída da rede para endpoints autorizados.
   3. Os serviços SaaS usam uma arquitetura de rede multicamadas, incluindo múltiplas Amazon Virtual Private Clouds (VPCs) ou Azure Virtual Networks (VNets) separadas logicamente, aproveitando zonas privadas, DMZs e não confiáveis ​​dentro da infraestrutura CSP.
   4. Na AWS, as restrições do VPC S3 Endpoint são usadas em cada região para permitir o acesso somente dos VPCs autorizados.
6. Monitoramento e Auditoria
   1. Os sistemas e redes do Serviço SaaS são monitorados quanto a incidentes de segurança, integridade do sistema, anormalidades de rede e disponibilidade.
   2. Os Serviços SaaS usam um sistema de detecção de intrusão (IDS) para monitorar a atividade da rede e alertar a Own sobre comportamento suspeito.
   3. O uso dos serviços SaaS web firewalls de aplicativos (WAFs) para todos os públicos web serviços.
   4. Próprio registra eventos de aplicativo, rede, usuário e sistema operacional em um servidor syslog local e um SIEM específico da região. Esses logs são analisados ​​automaticamente e reviewed por atividades suspeitas e ameaças. Quaisquer anomalias são escaladas conforme apropriado.
   5. A Own utiliza sistemas de gerenciamento de eventos e informações de segurança (SIEM), fornecendo análise de segurança contínua das redes e do ambiente de segurança dos Serviços SaaS, alerta de anomalias do usuário, reconhecimento de ataque de comando e controle (C&C), detecção automatizada de ameaças e relatórios de indicadores de comprometimento (IOC). ). Todos esses recursos são administrados pela equipe de segurança e operações da Own.
   6. A equipe de resposta a incidentes da Own monitora o segurança@owndata.com alias e responde de acordo com o Plano de Resposta a Incidentes (IRP) da empresa, quando apropriado.
7. Isolamento entre contas
   1. Os serviços SaaS usam sandboxing Linux para isolar os dados das contas dos clientes durante o processamento. Isto ajuda a garantir que qualquer anomalia (por ex.amp(ou seja, devido a um problema de segurança ou a um bug de software) permanece confinado a uma única conta própria.
   2. O acesso aos dados do locatário é controlado por usuários exclusivos do IAM com dados tagging que impede que usuários não autorizados acessem os dados do locatário.
8. Recuperação de Desastres
   1. Own usa armazenamento de objetos CSP para armazenar dados criptografados de clientes em várias zonas de disponibilidade.
   2. Para dados de clientes armazenados em armazenamento de objetos, a Own usa controle de versão de objetos com envelhecimento automático para dar suporte à conformidade com as políticas de recuperação de desastres e backup da Own. Para esses objetos, os sistemas da Own são projetados para suportar um objetivo de ponto de recuperação (RPO) de 0 horas (ou seja, a capacidade de restaurar qualquer versão de qualquer objeto conforme existia no período anterior de 14 dias).
   3. Qualquer recuperação necessária de uma instância de computação é realizada reconstruindo a instância com base na automação de gerenciamento de configuração da Own.
   4. O Plano de Recuperação de Desastres da Own foi projetado para suportar um objetivo de tempo de recuperação (RTO) de 4 horas.
9. Gestão de Vulnerabilidades
   1. Próprio realiza periodicamente web avaliações de vulnerabilidade de aplicativos, análise de código estático e avaliações dinâmicas externas como parte de seu programa de monitoramento contínuo para ajudar a garantir que os controles de segurança de aplicativos sejam aplicados corretamente e operem de maneira eficaz.
   2. Semestralmente, a Own contrata testadores de penetração terceirizados independentes para realizar testes de rede e web avaliações de vulnerabilidade. O escopo dessas auditorias externas inclui a conformidade com o Open Web Top 10 do Projeto de Segurança de Aplicativos (OWASP) Web Vulnerabilidades (www.owasp.org).
   3. Os resultados da avaliação de vulnerabilidades são incorporados ao ciclo de vida de desenvolvimento de software próprio (SDLC) para remediar vulnerabilidades identificadas. Vulnerabilidades específicas são priorizadas e inseridas no próprio sistema interno de tickets para acompanhamento até a resolução.
10. Resposta a incidentes
    1. No caso de uma possível violação de segurança, a Equipe Própria de Resposta a Incidentes realizará uma avaliação da situação e desenvolverá estratégias de mitigação apropriadas. Se uma possível violação for confirmada, a Own agirá imediatamente para mitigar a violação e preservar as evidências forenses, e notificará os principais pontos de contato dos clientes afetados sem demora injustificada para informá-los sobre a situação e fornecer atualizações do status da resolução.
11. Desenvolvimento de software seguro
    1. A Own emprega práticas de desenvolvimento seguras para aplicativos de software Own e RevCult durante todo o ciclo de vida de desenvolvimento de software. Essas práticas incluem análise de código estático, segurança do Salesforceview para aplicativos RevCult e para aplicativos próprios instalados em instâncias Salesforce dos clientes, peer review de alterações de código, restringindo o acesso ao repositório de código-fonte com base no princípio de privilégio mínimo e registrando o acesso e as alterações ao repositório de código-fonte.
12. Equipe de segurança dedicada
    1. A Own possui uma equipe de segurança dedicada com mais de 100 anos de experiência combinada multifacetada em segurança da informação. Além disso, os membros da equipe mantêm diversas certificações reconhecidas pelo setor, incluindo, entre outras, CISM, CISSP e Auditores Líderes ISO 27001.
13. Privacidade e Proteção de Dados
    1. A Own fornece suporte nativo para solicitações de acesso do titular dos dados, como o direito ao apagamento (direito ao esquecimento) e anonimato, para apoiar a conformidade com os regulamentos de privacidade de dados, incluindo o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e Lei de Privacidade do Consumidor da Califórnia (CCPA). A Own também fornece um Adendo de Processamento de Dados para abordar as leis de privacidade e proteção de dados, incluindo requisitos legais para transferências internacionais de dados.
14. Verificações de antecedentes
    1. A Own realiza um painel de verificações de antecedentes, incluindo verificações de antecedentes criminais, de seu pessoal que possa ter acesso aos dados dos clientes, com base nas jurisdições de residência do funcionário durante os sete anos anteriores, sujeito à legislação aplicável.
15. Seguro
    A Own mantém, no mínimo, as seguintes coberturas de seguros: (a) seguro contra acidentes de trabalho de acordo com toda a legislação aplicável; (b) seguro de responsabilidade civil automóvel para veículos não próprios e alugados, com um limite único combinado de US$ 1,000,000; (c) seguro de responsabilidade civil geral comercial (responsabilidade pública) com cobertura de limite único de US$ 1,000,000 por ocorrência e US$ 2,000,000 de cobertura geral agregada; (d) seguro contra erros e omissões (indenização profissional) com um limite de US$ 20,000,000 por evento e US$ 20,000,000 agregados, incluindo camadas primárias e excedentes, e incluindo responsabilidade cibernética, tecnologia e serviços profissionais, produtos de tecnologia, segurança de dados e rede, resposta a violações, regulamentação defesa e penalidades, extorsão cibernética e responsabilidades de recuperação de dados; e (e) seguro contra desonestidade/crime de funcionários com cobertura de US$ 5,000,000. A Own fornecerá ao Cliente provas de tal seguro mediante solicitação.

ANEXO 5 Disposições Europeias

Este cronograma se aplicará apenas a transferências de Dados Pessoais (incluindo transferências posteriores) da Europa que, na ausência da aplicação destas disposições, fariam com que o Cliente ou a Própria violassem as Leis e Regulamentos de Proteção de Dados aplicáveis.

1. Mecanismo de transferência para transferências de dados.
   a) As Cláusulas Contratuais Padrão se aplicam a quaisquer transferências de Dados Pessoais sob este APD Suplementar da Europa para países que não garantam um nível adequado de proteção de dados na acepção das Leis e Regulamentos de Proteção de Dados de tais territórios, na medida em que tais transferências estejam sujeitas a tais Leis e Regulamentos de Proteção de Dados. A Own entra nas Cláusulas Contratuais Padrão como importadora de dados. Os termos adicionais deste Anexo também se aplicam a tais transferências de dados.
2. Transferências Sujeitas às Cláusulas Contratuais Padrão.
   a) Clientes abrangidos pelas Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão e os termos adicionais especificados neste Anexo aplicam-se ao (i) Cliente, na medida em que o Cliente esteja sujeito às Leis e Regulamentos de Proteção de Dados da Europa e, (ii) às suas Afiliadas Autorizadas. Para efeitos das Cláusulas Contratuais Padrão e deste Anexo, tais entidades são “exportadoras de dados”.
   b) Módulos. As Partes concordam que, quando módulos opcionais puderem ser aplicados dentro das Cláusulas Contratuais Padrão, somente aqueles rotulados como “MÓDULO DOIS: Transferência do controlador para o processador” serão aplicados.
   c) Instruções. As Partes concordam que o uso dos Serviços de Processamento de Dados Pessoais pelo Cliente de acordo com o Contrato e o DPA Existente são considerados instruções do Cliente para processar Dados Pessoais para os fins da Cláusula 8.1 das Cláusulas Contratuais Padrão.
   d) Nomeação de novos subprocessadores e lista de subprocessadores atuais. De acordo com a OPÇÃO 2 da Cláusula 9(a) das Cláusulas Contratuais Padrão, o Cliente concorda que a Own pode contratar novos Subprocessadores conforme descrito no DPA Existente e que as Afiliadas da Own podem ser retidas como Subprocessadores, e a Own e as Afiliadas da Own podem contratar Subprocessadores terceirizados em conexão com o fornecimento dos Serviços de Processamento de Dados. A lista atual de Subprocessadores conforme anexada no Anexo 1.
   e) Contratos de Subprocessador. As partes concordam que as transferências de dados para Subprocessadores podem contar com um mecanismo de transferência diferente das Cláusulas Contratuais Padrão (por ex.ampou seja, regras corporativas vinculativas), e que os acordos da Own com tais Subprocessadores podem, portanto, não incorporar ou espelhar as Cláusulas Contratuais Padrão, não obstante qualquer disposição em contrário na cláusula 9 (b) das Cláusulas Contratuais Padrão. No entanto, qualquer acordo desse tipo com um Subprocessador deverá conter obrigações de proteção de dados não menos protetoras do que aquelas neste DPA Suplementar em relação à proteção dos Dados do Cliente, na medida aplicável aos serviços prestados por tal Subprocessador. Cópias dos contratos de Subprocessador que devem ser fornecidas pela Own ao Cliente de acordo com a Cláusula 9(c) das Cláusulas Contratuais Padrão serão fornecidas pela Own somente mediante solicitação por escrito do Cliente e podem conter todas as informações comerciais ou cláusulas não relacionadas a as Cláusulas Contratuais Padrão ou equivalentes, previamente retiradas pela Own.
   f) Auditorias e Certificações. As partes concordam que as auditorias descritas na Cláusula 8.9 e na Cláusula 13(b) das Cláusulas Contratuais Padrão serão realizadas de acordo com os termos do DPA Existente.
   g) Apagamento de dados. As partes concordam que o apagamento ou devolução de dados contemplados pela Cláusula 8.5 ou Cláusula 16(d) das Cláusulas Contratuais Padrão será feito de acordo com os termos do DPA Existente e qualquer certificação de exclusão será fornecida pela Own somente mediante solicitação do Cliente. solicitar.
   h) Beneficiários Terceiros. As partes concordam que, com base na natureza dos Serviços SaaS, o Cliente fornecerá toda a assistência necessária para permitir que a Own cumpra suas obrigações para com os titulares dos dados nos termos da Cláusula 3 das Cláusulas Contratuais Padrão.
   i) Avaliação impactante. De acordo com a Cláusula 14 das Cláusulas Contratuais Padrão, as partes realizaram uma análise, no contexto das circunstâncias específicas da transferência, das leis e práticas do país de destino, bem como das especificações contratuais, organizacionais e técnicas suplementares específicas. salvaguardas aplicáveis ​​e, com base em informações razoavelmente conhecidas por eles no momento, determinaram que as leis e práticas do país de destino não impedem as partes de cumprir as obrigações de cada parte sob as Cláusulas Contratuais Padrão.
   j) Lei Aplicável e Fórum. As partes concordam, no que diz respeito à OPÇÃO 2 da Cláusula 17, que no caso de o Estado-Membro da UE em que o exportador de dados está estabelecido não permitir direitos de terceiros beneficiários, as Cláusulas Contratuais Padrão serão regidas pela lei de Irlanda. De acordo com a Cláusula 18, os litígios associados às Cláusulas Contratuais Padrão serão resolvidos pelos tribunais especificados no Contrato, a menos que tal tribunal não esteja localizado num Estado-Membro da UE, caso em que o foro para tais litígios serão os tribunais da Irlanda. .
   k) Anexos. Para fins de execução das Cláusulas Contratuais Padrão, o Anexo 3: Detalhes do Processamento será incorporado como ANEXO IA e IB, Anexo 4: Controles de Segurança Próprios (que poderá ser atualizado periodicamente em https://www.owndata.com/trust/) será incorporado como ANEXO II e Anexo 1: Lista Atual de Subprocessadores (conforme pode ser atualizado periodicamente em  https://www.owndata.com/legal/sub-p/) será incorporado como ANEXO III.
   l) Interpretação. Os termos deste Anexo têm como objetivo esclarecer e não modificar as Cláusulas Contratuais Padrão. No caso de qualquer conflito ou inconsistência entre o corpo deste Anexo e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.
3. Disposições aplicáveis ​​às transferências da Suíça As partes concordam que, para fins de aplicabilidade das Cláusulas Contratuais Padrão para facilitar transferências de Dados Pessoais da Suíça, serão aplicadas as seguintes disposições adicionais: (i) Quaisquer referências ao Regulamento (UE) 2016/679 serão interpretadas como referência às disposições correspondentes da Lei Federal Suíça sobre Proteção de Dados e outras leis de proteção de dados da Suíça (“Leis Suíças de Proteção de Dados”), (ii) Quaisquer referências a “Estado-Membro” ou “Estado-Membro da UE” ou “UE” serão interpretadas como uma referência à Suíça e (iii) Quaisquer referências à Autoridade Supervisora ​​serão interpretadas como se referindo ao Comissário Federal Suíço de Proteção de Dados e Informação.
4. a) Tabela 1: As partes, seus dados e seus contatos são os constantes do Anexo 3.
   b) Tabela 2: as “Cláusulas Contratuais Padrão da UE Aprovadas” serão as Cláusulas Contratuais Padrão conforme estabelecido neste Anexo 5.
   c) Tabela 3: Os Anexos I(A), I(B) e II são preenchidos conforme estabelecido na seção 2(k) deste Anexo 5.
   d) Tabela 4: A Own pode exercer o direito opcional de rescisão antecipada descrito na Seção 19 do Adendo do Reino Unido.

Documentos / Recursos

Adendo Suplementar de Processamento de Dados DocuSign [pdf] Instruções Adendo Suplementar de Processamento de Dados, Adendo de Processamento de Dados, Adendo de Processamento, Adendo

Referências

• Manual do usuário