Exemplo 1

OpenMethods

Termos de serviço

 

Estes Termos de Serviço (este “Contrato”) são um contrato vinculativo e regem o uso e o acesso aos Serviços por Você (o “Assinante” identificado no Zendesk SOW ao qual este Contrato é anexado), agentes e usuário final em conexão com uma Assinatura dos Serviços.

 

Com a execução do SOW da Zendesk ao qual este Contrato é anexado, você concorda em estar vinculado por este Contrato a partir da data desse acesso ou uso do Serviço (a “Data de Eficácia”). Se você está entrando neste Contrato em nome de uma empresa, organização ou outra entidade legal (uma "Entidade"), você concorda com este Contrato para essa Entidade e representa a OpenMethod que você tem autoridade para vincular essa Entidade e suas Afiliadas a este Contrato. Nesse caso, os termos "Assinante", "Você", "Seu" ou "Cliente" se referem a essa Entidade e suas Afiliadas. Se você não tiver essa autoridade ou não concordar com este Contrato, não deve usar ou autorizar qualquer uso dos Serviços.  Assinante e OpenMethods serão designados cada uma como uma “Parte” e coletivamente designados como as “Partes” para efeitos deste Contrato.

 

Em caso de qualquer inconsistência ou conflito entre os termos deste Contrato e os termos de qualquer Zendesk SOW, os termos do Zendesk SOW prevalecerão.

 

OpenMethods e Você concordam com o seguinte:

 

SERVICIOS.

 

1.  Uso dos Serviços. A OpenMethods concede ao Cliente o direito de acesso aos Serviços.

1.1.       Assinatura. Após a aceitação pelo OpenMethods de um SOW do Zendesk e sujeito aos termos deste Contrato, o OpenMethods concede ao Cliente uma Assinatura não exclusiva, não atribuível, gratuita e limitada a nível mundial para usar os Serviços exclusivamente para as operações comerciais do Cliente.  A OpenMethods fornecerá esses Serviços pela web a partir de seu ambiente de software como serviço baseado em nuvem (“SaaS”) ou do ambiente de SaaS baseado em nuvem de seus parceiros terceirizados autorizados (“Parceiros”).

1.2.       Este Contrato contempla um ou mais SOWs do Zendesk para os Serviços e cada SOW do Zendesk descreverá os Serviços pedidos e as taxas associadas com mais detalhes.

1.3.       As assinaturas expiram no final do período de pedido aplicável (definido abaixo) definido no SOW da Zendesk, a menos que seja renovado.

1.4.       Os funcionários, agentes e contratados do cliente (cada um "Usuário Final Autorizado") e os usuários finais do cliente (cada um "Usuário Final") podem usar os Serviços.  Cada usuário final autorizado deve ser registrado com um nome de usuário e senha exclusivos; nenhum usuário final autorizado pode se registrar ou usar os Serviços como o mesmo usuário final autorizado registrado, nem os usuários finais autorizados podem compartilhar o mesmo nome de usuário e senha. O cliente é responsável pela conformidade de cada usuário final autorizado e usuário final com o Contrato.

1.5.       O Cliente pode solicitar os Serviços para uso por seus afiliados e, nesse caso, a Assinatura concedida ao Cliente sob este Contrato se aplicará a esses afiliados, desde que apenas o Cliente tenha o direito de aplicar este Contrato contra a OpenMethods.  O cliente permanecerá responsável por todas as obrigações decorrentes deste Contrato e pela conformidade de seus afiliados com este Contrato e quaisquer SOWs da Zendesk aplicáveis.

1.6.       O OpenMethods se reserva todos os direitos não concedidos expressamente neste Contrato.  Nenhum direito será concedido ou implicado por renúncia ou estoppel.

1.7.       Obligações de serviços de suporte.

Support. A OpenMethods fornecerá, sem custos adicionais, o Support padrão do Assinante para os Serviços, conforme detalhado no Site e na Documentação aplicáveis. Se adquirido pelo Assinante, o OpenMethods fornecerá Support ou Support atualizado que inclua contratos de nível de serviço.

1.8.   OpenMethods representa e garante que os Serviços alcançarão uma porcentagem de disponibilidade mensal de pelo menos 99,9% em qualquer mês corrido (ou seja, tempo de inatividade máximo de quarenta e três (43) minutos por mês) durante o Período do Pedido. A manutenção/tempo de inatividade planejada deve ser limitada a menos de quatro (4) horas em um determinado mês e a OpenMethods fornecerá pelo menos sete (7) dias de aviso prévio por escrito (e-mail aceitável) ao Cliente de tal indisponibilidade.

1.9.   OpenMethods fornecerá ao Cliente pelo menos seis (6) meses de antecedência de qualquer fim de vida útil ou descontinuação do recurso.

 

2.  Responsabilidades do cliente. 

2.1.       Gerenciamento de login.  Na ausência de uma Assinatura escrita da OpenMethods que especifique expressamente o contrário, você concorda e reconhece que você não pode usar os Serviços, incluindo, mas não limitado à API, para contornar a exigência de um Acesso de Agente individual para cada indivíduo que (a) aproveite os Serviços para interagir com os Usuários Finais; (b) use dados relacionados a interações com os Usuários Finais nos Serviços; ou (c) use dados relacionados a interações originadas de um Serviço Não-OpenMethods que forneça funcionalidade semelhante à funcionalidade fornecida pelos Serviços e que, de acordo com este Contrato, exigiria um Agente de Acesso individual, se utilizar os Serviços para tal interação. Além disso, o cliente não deve usar a API ou quaisquer Serviços de forma a contornar as restrições de plano de serviço aplicáveis ou as restrições de licenças de agente que são aplicadas na interface do usuário do serviço. A OpenMethods reserva-se o direito de cobrar, e você concorda, em pagar, por qualquer uso excedente do Serviço em violação dos SOWs da Zendesk.

2.2.       Cumprimento Como entre Você e a OpenMethods, Você é responsável pelo cumprimento das disposições deste Contrato por Agentes e Usuários Finais e por todas e quaisquer atividades que ocorram em sua Conta, que a OpenMethods pode verificar de tempos em tempos. Sem limitar o que precede, você garantirá que seu uso dos Serviços esteja em conformidade com todas as leis e regulamentos aplicáveis, bem como quaisquer e todos os avisos de privacidade, acordos ou outras obrigações que você possa manter ou contrair com Agentes ou Usuários Finais.

2.3.       Conteúdo e Conduta Em Seu Uso dos Serviços Você concorda em não (a) modificar, adaptar ou hackear os Serviços ou de outra forma tentar obter acesso não autorizado aos Serviços ou sistemas ou redes relacionados; (b) tentar contornar ou quebrar qualquer mecanismo de segurança ou limitação de taxa de qualquer um dos Serviços ou usar os Serviços de qualquer forma que interfira ou perturbe a integridade, segurança ou desempenho dos Serviços e seus componentes; (c) tentar decifrar, descompilar, reverter engenharia ou de outra forma descobrir o código-fonte de qualquer software que compõe os Serviços; ou (d) na medida em que Você esteja sujeito à Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA de 1996 e suas regulamentações de execução (HIPAA), usar os Serviços para armazenar ou transmitir qualquer “informação de proteção de saúde” definida pela HIPAA,

2.4.       Requisitos do sistema Uma conexão de Internet de alta velocidade é necessária para o uso adequado dos Serviços. Você é responsável por fornecer e manter as conexões de rede que conectam Sua rede aos Serviços, incluindo, sem limitação, o software "navegador" que suporte os protocolos usados pela OpenMethods e estabelecidos na Documentação, incluindo o protocolo de Transport Layer Security (TLS) ou outros protocolos aceitos pela OpenMethods, além de seguir os procedimentos de acesso a serviços que suportam esses protocolos.  Não temos responsabilidade de notificar você, os Agentes ou Usuários Finais sobre quaisquer atualizações, correções ou aprimoramentos de qualquer desses softwares, nem sobre qualquer comprometimento de dados, incluindo os Dados do Serviço transmitidos através de redes de computadores ou recursos de telecomunicações (incluindo, sem limitação, a internet), os quais não são possuídos, operados ou controlados pela Parte Contratante da OpenMethods. A OpenMethods não assume nenhuma responsabilidade pela confiabilidade ou desempenho de quaisquer conexões, conforme descrito nesta Seção.

2.5.       Apenas para fins de negócios internos A menos que autorizado de outra forma pela OpenMethod neste Contrato ou expressamente concordado de outra forma por escrito pela OpenMethod, você não pode usar os Serviços de qualquer forma onde você atue como uma agência de serviços ou para fornecer quaisquer serviços de processos de negócios terceirizados em nome de mais de um (1) terceiros (exceto afiliados) através de uma única Conta. Esta disposição não se destina a impedir ou restringir o uso dos Serviços para fornecer Support comercial a vários Usuários Finais; no entanto, você concorda em não licenciar, sublicenciar, vender, terceirizar, alugar, arrendar, transferir, ceder, distribuir, compartilhar tempo ou de outra forma explorar ou revender comercialmente os Serviços a terceiros, exceto agentes e Usuários Finais autorizados, para promover seus propósitos comerciais internos conforme expressamente permitido por este Contrato. Sem limitar o exposto, Seu direito ao acesso e uso da API da OpenMethods está também sujeito às restrições e políticas implementadas pela OpenMethods periodicamente com relação à API, conforme estabelecido na Documentação ou comunicado a Você de acordo com este Contrato.

2.6.       Sem acesso competitivo Você não pode (i)reverter a engenharia dos Serviços, (ii) remover ou modificar qualquer marcação proprietária ou legendas restritivas nos Serviços, ou (iii) acessar os Serviços para criar um produto ou serviço competitivo, ou copiar qualquer recurso, função, interface do usuário ou gráficos dos Serviços. Você não pode aceder aos Serviços se for um concorrente da OpenMethods.

 

3.  Dados e privacidade do cliente.

3.1.       O cliente deve fornecer todos os dados (“Dados do cliente”) para o uso dos Serviços e a OpenMethods não é obrigada a modificar ou adicionar os Dados do cliente.  O cliente é o único responsável pela legalidade dos Dados do cliente.  A OpenMethods não armazenará nem arquivará quaisquer Dados do Cliente dos Serviços, portanto, é responsabilidade do Cliente armazenar e arquivar seus Dados do Cliente.

3.2.       Os Dados do Cliente pertencem ao Cliente e a OpenMethods não reivindica qualquer direito de propriedade neles.

3.3.       Subprocessadores. O OpenMethods utilizará subprocessadores que terão acesso ou processarão Dados do Cliente para ajudar a fornecer os Serviços a Você. Você confirma e fornece autorização geral para o uso da OpenMethods dos Subprocessadores listados em nossa Política de Subprocessadores em: https://www.openmethods.com/privacy. A OpenMethods será responsável pelos atos e omissões de membros do pessoal e subprocessadores da OpenMethods na mesma medida em que nós seríamos responsáveis se a OpenMethods realizasse os serviços de cada pessoal ou subprocessador da OpenMethods diretamente sob os termos deste Contrato. Você pode se cadastrar para receber notificações de quaisquer alterações em nossa Política de Subprocessadores na página da política.

3.4.       Fornecedores de serviços terceirizados. O OpenMethods pode usar provedores de serviços terceirizados que são utilizados pelo OpenMethods para ajudar a fornecer os Serviços a Você, mas não têm acesso aos Dados de Serviço. Quaisquer prestadores de serviços terceirizados utilizados pela OpenMethods estarão sujeitos a obrigações de confidencialidade que são substancialmente semelhantes aos termos de confidencialidade aqui.

3.5.       Proteções. A OpenMethods manterá salvaguardas administrativas, físicas e técnicas adequadas para proteger a segurança, a confidencialidade e a integridade dos Serviços de acordo com a nossa política de privacidade em: https://www.openmethods.com/privacy e os requisitos de segurança de informações estabelecidos na Parte A, anexada ao presente.

3.6.       Informações de contato do agente. A OpenMethods será um Processador de Dados de Informações de Contato do Agente e Processará essas Informações de Contato do Agente de acordo com o Nosso Aviso de Privacidade em: https://www.openmethods.com/privacy. Você é responsável por informar seus agentes sobre seus direitos descritos em Nosso Aviso de privacidade. Você declara e garante que obteve todos os consentimento, permissões e direitos relevantes e forneceu todos os avisos relevantes necessários de acordo com as Leis de Proteção de Dados Aplicáveis para o OpenMethods para processar legalmente as Informações de Contato do Agente.

3.7.       Contrato de Processamento de Dados. O Contrato de Processamento de Dados estabelecido no Exemplo B, anexado ao presente, e/ou quaisquer outros termos de privacidade fornecidos pela OpenMethods localizados em: https://www.OpenMethods.com/privacy serão incorporados por referência neste Contrato.

 

4.  Garantia de serviços.  A OpenMethods garante que: (i) os Serviços funcionarão substancialmente conforme descrito na Documentação; e (ii) a OpenMethods é proprietária ou tem o direito de fornecer os Serviços ao Cliente sob este Contrato.  As soluções descritas nesta Seção 4 são as soluções exclusivas do cliente para violação de qualquer garantia.

4.1.       Se os Serviços não funcionarem substancialmente de acordo com a Documentação, a OpenMethods deve, a seu critério, (i) modificar os Serviços para que estejam em conformidade com a Documentação ou (ii) fornecer uma solução alternativa que atenda razoavelmente às exigências do Cliente.  Se nenhuma dessas opções for comercialmente viável, qualquer uma das partes pode encerrar o SOW relevante do Zendesk sob este Contrato.

4.2.       Se a operação normal, a posse ou a utilização dos Serviços pelo Cliente for considerada uma violação dos direitos de propriedade intelectual de terceiros nos Estados Unidos ou se a OpenMethods acreditar que isso é provável, a OpenMethods deve, à sua escolha, (i) obter uma licença ou assinatura desse terceiro em benefício do Cliente; (ii) modificar os Serviços para que ele não infrinja mais; ou (iii) se nenhuma dessas opções for comercialmente viável, encerrar o SOW relevante do Zendesk sob este Contrato.

4.3.       No entanto, o OpenMethods não tem obrigações de garantia para:

4.3.1. a extensão em que os Serviços foram modificados pelo Cliente ou por qualquer terceiro;

4.3.2. problemas nos Serviços causados por qualquer software ou hardware de terceiros, por danos acidentais ou por outros assuntos fora do controle razoável da OpenMethods.

4.4.       Regularmente, o OpenMethods executará verificações de vulnerabilidade de rede internas e externas.  As vulnerabilidades identificadas serão corrigidas de maneira comercialmente razoável e com base na gravidade.

 

SERVIÇOS PROFISSIONAIS.

 

5.  Serviços profissionais. 

5.1 SOW.  Os resultados, as taxas, o pessoal, o escopo e outros termos de cada interação de serviços profissionais serão definidos no Zendesk SOW.  As interações de serviço profissional são faturadas no horário e nos materiais ou uma taxa fixa de acordo com o Zendesk SOW.

5.2 Garantias. O OpenMethods garante que (i) os Serviços Profissionais estarão substancialmente em conformidade com o SOW; e (ii) os Serviços Profissionais serão executados com habilidade, cuidado e diligência razoáveis. As soluções descritas nesta Seção 5 são as soluções exclusivas do cliente para violação de qualquer garantia.

5.2.1 Se os Serviços Profissionais não estiverem em conformidade com o SOW ou não forem executados com habilidade, cuidado e diligência razoáveis, a OpenMethods deverá reexecutar os Serviços Profissionais na medida necessária para corrigir o desempenho defeituoso.

5.3 Responsabilidades do Cliente.  O cliente deve fornecer à OpenMethods todas as informações, acesso e cooperação de boa-fé razoavelmente necessárias para permitir que a OpenMethods forneça os Serviços Profissionais e deve fazer qualquer coisa que seja identificada no SOW como responsabilidade do cliente.  Se o Cliente não fizer isso, a OpenMethods será isenta de suas obrigações na medida em que as obrigações dependam do desempenho do Cliente.

 

PROPRIEDADE INTELECTUAL.

 

6.  Propriedade intelectual.  OpenMethods é a única proprietária ou licenciou os direitos de propriedade intelectual nos Serviços e em qualquer coisa fornecida como parte dos Serviços Profissionais. A OpenMethods é responsável por todos os direitos de feedback, melhorias, aprimoramentos ou modificações dos Serviços.

 

GERAL

 

7.  Pagamentos.

7.1 Faturas. A Zendesk processará a cobrança de taxas para a compra pelo Cliente de Serviços OpenMethods ao abrigo deste Contrato. O cliente deve pagar as taxas listadas no SOW relevante do Zendesk e todas as informações de faturamento serão definidas no SOW do Zendesk. 

 

 

8.  Tempo, rescisão e suspensão.

8.1 Este Contrato continua durante a duração do SOW da Zendesk, até ser rescindido por uma parte, conforme descrito abaixo (“Termo”).  O termo para cada pedido (“Tempo do pedido”) será definido no SOW do Zendesk. Na data de término do Período do Pedido, os direitos do Cliente de acesso ou uso dos Serviços cessarão.

8.2 Qualquer uma das partes pode rescindir este Contrato imediatamente se o Cliente violar qualquer termo material deste Contrato e a violação não for resolvida dentro de 30 dias do aviso escrito. 

8.3 As Seções 2, 6, 7, 8, 9, 10, 11, 12 e 15.3 continuam após o término deste Contrato.

8.4 Se a OpenMethods rescindir este Contrato devido ao não pagamento pelo Cliente, todas as taxas não pagas pelo restante do Período do Pedido serão devidas imediatamente.

 

9.  Aviso de garantia.  EXCETO CONFORME EXPRESSAMENTE DISPOSTO NESTE CONTRATO, OS SERVIÇOS E SERVIÇOS PROFISSIONAIS NÃO SÃO FORNECIDOS COM NENHUMA OUTRA GARANTIA DE QUALQUER TIPO, E A OPENMETHODE DECLINA TODAS AS OUTRAS GARANTIAS, EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÃO, QUALQUER GARANTIA DE COMERCIALIZAÇÃO OU ADEQUAÇÃO PARA UM PROPÓSITO ESPECÍFICO. A OPENMETHODS NÃO GARANTIZA QUE O USO DOS SERVIÇOS OU SERVIÇOS PROFISSIONAIS SERÁ INTERRUPTO OU SEM ERROS.

 

10. Limitação de responsabilidade.  NENHUMA PARTE SERÁ RESPONSÁVEL DEFINIDO NESTE ACORDO PARA A OUTRA PARTE POR QUALQUER DANO INDIRECTO, ESPECIAL, INCIDENTAL, PENITIVO OU CONSECUENTIAL (INCLUIDO, SEM LIMITACIONAMENTO, DANOS POR PERDA DE BOA VONTADE, PARADA DO TRABALHO, FALHA DO COMPUTADOR OU FUNCIONAMENTO ERRADO, PERDA DE DADOS OU CORRUPÇÃO, PERDA DE GANHOS, PERDA DE NEGÓCIOS OU PERDA DE OPORTUNIDADE), OU QUALQUER OUTRO DANO SIMILAR DEFINIDO EM QUALQUER TEORIA DE RESPONSABILIDADE (SEJA EM CONTRATO, TRABALHO, RESPONSABILIDADE ESTRATA OUTERTA OUTRA), MESMO SE A OUTRA PARTE HAVER SIDO INFORMADA DA POSSIBILIDADE. A RESPONSABILIDADE TOTAL AGREGADA DE CADA PARTE POR QUALQUER PERDA DIRETA, COSTOS, RECLAMACÕES OU DANOS DE QUALQUER TIPO RELACIONADOS COM O ZENDESK SOW PERTINENTE NÃO EXCEDERÁ A QUANTIDADE DAS TAXAS PAGAS OU PAGÁRIAS POR O CLIENTE EM RELACIONAMENTO COM O ZENDESK SOW PERTINENTE DURANTE OS DOZE (12) MESES ANTES DO EVENTO QUE DÁ RAZÃO A TAL PERDA, COSTOS, RECLAMACÕES OU DANOS.  NO ENTANTO, NÃO EXISTE LIMITAÇÃO DE RESPONSABILIDADE PARA A INFRACÇÃO DO CLIENTE DOS DIREITOS DE PROPRIEDADE INTELECTUAL DA EMPRESA, PARA IMPENSOS DEVIDOS POR CLIENTE A MÉTODOS ABERTOS DE CONTRATO, OU EM RELACIONAMENTO COM OBLIGACÕES DE INDEMNIFICAÇÃO DE UMA PARTE.  ESTA LIMITAÇÃO DE RESPONSABILIDADE FUE E É PARTE EXPRESA DA NEGOCIAÇÃO ENTRE A EMPRESA E O CLIENTE E FUE UM FATOR DE CONTROLE NA FIXAÇÃO DAS TAXAS A PAGAR AOS MÉTODOS ABERTOS.

 

11. Confidencialidade.

11.1 Este Contrato e os Serviços, a Documentação e o Produto de Trabalho contêm segredos comerciais valiosos que são propriedade exclusiva da OpenMethods e o Cliente concorda em usar cuidados razoáveis para impedir que outras partes saibam desses segredos comerciais.  O cliente deve tomar cuidados razoáveis para evitar o acesso não autorizado ou a duplicação dos Serviços, Documentação e Produto de Trabalho, mas em nenhum caso menos do que o cliente usa para proteger suas próprias informações confidenciais e segredos comerciais.

11.2 Os Dados do Cliente e outros materiais marcados como “Confidenciais” pelo Cliente ou que devem ser razoavelmente reconhecidos como informações confidenciais e divulgados à OpenMethods podem incluir segredos comerciais valiosos que são de propriedade exclusiva do Cliente.  O OpenMethods deve tomar cuidados razoáveis para evitar que outras partes saibam sobre esses segredos comerciais, mas não menos do que o OpenMethods usa para proteger suas próprias informações confidenciais e segredos comerciais.

11.3 As Seções 12.1 e 12.2 não se aplicam a qualquer informação que (i) esteja, ou posteriormente se torne, por nenhum ato ou omissão da parte receptora (o “Recebedor”), geralmente conhecida ou disponível; (ii) seja conhecida pelo Recebedor no momento de receber tais informações, como evidenciado pelos registros do Recebedor; (iii) seja subsequentemente fornecida ao Recebedor por um terceiro, como uma questão de direito e sem restrição de divulgação; ou (iv) seja obrigada a ser divulgada por lei, desde que a parte à qual as informações pertencem seja previamente notificada por escrito de qualquer tal divulgação proposta.

11.4 Após a rescisão por qualquer motivo, a pedido da parte que divulga, a parte receptora devolverá imediatamente todas as Informações Confidenciais da parte que divulga, desde que nenhuma das partes esteja obrigada a devolver as Informações Confidenciais recebidas pela parte que divulga que estejam armazenadas no sistema de backup de rotina da parte receptora e, nesse caso, as obrigações de confidencialidade da parte receptora em relação a essas Informações Confidenciais sobreviverão indefinidamente.

 

12. Indemnização por OpenMethods.

12.1 A OpenMethods deve indemnizar e isentar o Cliente, suas afiliadas e seus diretores, funcionários e funcionários de quaisquer danos definitivamente concedidos ou acordados no acordo contra o Cliente (incluindo, sem limitação, custos razoáveis e honorários legais incorridos pelo Cliente) decorrentes de qualquer processo de terceiros, reclamação de terceiros ou outra ação legal de terceiros alegando que o uso dos Serviços, Documentação ou Produto de Trabalho pelo Cliente viola qualquer copyright, segredo comercial ou patente dos Estados Unidos, (“Acção Legal”).  Os OpenMethods também devem assumir a defesa da ação jurídica.

12.2 No entanto, a OpenMethods não terá nenhuma obrigação de indemnização por qualquer Acção Jurídica decorrente de: (i) uma combinação dos Serviços ou Produto de Trabalho com software ou produtos não fornecidos pela OpenMethods; (ii) qualquer reparo, ajuste, modificação ou alteração dos Serviços pelo Cliente ou por qualquer terceiro; ou (iii) qualquer recusa pelo Cliente de instalar e usar uma versão não infringente dos Serviços ou Produto de Trabalho oferecidos pela OpenMethods.  A seção 4.2(ii) e esta seção 12 estabelecem toda a responsabilidade da OpenMethods em relação a qualquer violação de propriedade intelectual pelos Serviços ou Produtos de Trabalho.

12.3 O cliente deve notificar a OpenMethods por escrito de qualquer ação legal no prazo de 30 dias após o primeiro recebimento da notificação de uma ação legal e deve fornecer à OpenMethods cópias de todas as comunicações, avisos e/ou outras ações relacionadas à ação legal.  O cliente deve dar à OpenMethods o controle exclusivo da defesa de qualquer ação jurídica, deve agir de acordo com as instruções razoáveis da OpenMethods e deve fornecer à OpenMethods a assistência que a OpenMethods solicita razoavelmente para defender ou resolver tal reivindicação. O OpenMethods deve conduzir sua defesa em todos os momentos de maneira que não seja prejudicial aos interesses do cliente. O cliente pode contratar seu próprio advogado para ajudá-lo com relação a qualquer reivindicação.  O cliente deve suportar todos os custos de engajar seu próprio consultor, a menos que seja necessário engajar um consultor devido a um conflito de interesses com o OpenMethods ou seu consultor ou porque o OpenMethods não assume o controle da defesa.  O cliente não pode resolver ou comprometer qualquer ação jurídica sem o consentimento expresso por escrito do OpenMethods. A OpenMethods será isenta da sua obrigação de indemnização sob a Seção 12 se o Cliente não cumprir materialmente a Seção 12.2.

 

13. Indemnização pelo Cliente.

13.1 O Cliente deve indemnizar e isentar a OpenMethods, suas afiliadas e seus diretores, funcionários e funcionários de quaisquer danos definitivamente concedidos ou acordados no acordo contra a OpenMethods (incluindo, sem limitação, custos razoáveis e honorários legais incorridos pelo Cliente) decorrentes de qualquer processo de terceiros, reclamação de terceiros ou outra ação legal de terceiros (incluindo, mas não limitado a quaisquer investigações, reclamações e ações governamentais) em conexão com o uso do Cliente dos Serviços ou Produto de Trabalho (coletivamente, a “Reivindicação Jurídica”).  O cliente também deve assumir a defesa da reivindicação jurídica.

13.2 A OpenMethods deve notificar por escrito o Cliente de qualquer reivindicação jurídica no prazo de 30 dias após o primeiro recebimento da notificação de uma reivindicação jurídica e deve fornecer ao Cliente cópias de todas as comunicações, avisos e/ou outras ações relacionadas à reivindicação jurídica.  O OpenMethods deve dar ao Cliente o controle exclusivo da defesa de qualquer reivindicação jurídica, deve agir de acordo com as instruções razoáveis do Cliente e deve fornecer ao Cliente a assistência que o Cliente solicite razoavelmente para defender ou resolver tal reivindicação. O cliente deve conduzir sua defesa sempre de maneira que não seja prejudicial aos interesses do OpenMethods. O OpenMethods pode contratar seu próprio advogado para ajudá-lo com relação a qualquer reivindicação.  O OpenMethods deve suportar todos os custos de engajar seu próprio consultor, a menos que seja necessário engajar um consultor devido a um conflito de interesses com o cliente ou seu consultor ou porque o cliente não assuma o controle da defesa.  O OpenMethods não pode resolver ou comprometer qualquer reivindicação jurídica sem o consentimento expresso por escrito do cliente. O cliente será isento da sua obrigação de indemnização sob a Seção 13 se o OpenMethods não cumprir materialmente a Seção 13.2.

 

14.         Publicidade.  A OpenMethods pode listar o Cliente como um cliente e usar o logotipo do Cliente no site da OpenMethods, nas listas de clientes disponíveis publicamente e em publicações de mídia.

 

15.         Diversos.

15.1 Este Contrato, juntamente com o SOW da Zendesk, representam todo o acordo das partes e substituem quaisquer entendimentos anteriores ou atuais, sejam eles escritos ou orais. 

15.2 Este Contrato não pode ser alterado ou renunciar a qualquer parte, exceto por escrito pelas partes.

15.3 Este Contrato será regido pelas leis da Califórnia. As partes concordam com o exercício de jurisdição exclusiva pelos tribunais estaduais ou federais do Estado da Califórnia para qualquer reivindicação relacionada a este Contrato.

15.4 O Cliente não pode ceder ou transferir quaisquer de seus direitos ou obrigações sob este Contrato sem o consentimento prévio por escrito da OpenMethods.  A OpenMethods não pode retirar esse consentimento no caso de uma cessão por parte do Cliente de seus direitos e obrigações a uma entidade que adquiriu todos ou substancialmente todos os ativos do Cliente, ou a uma cessão que faça parte de uma reestruturação corporativa genuína.  Qualquer atribuição que viole esta Seção é inválida.

15.5 Qualquer notificação dada em conformidade com este Contrato será feita por escrito e será feita por serviço pessoal ou por correio certificado dos Estados Unidos, recibo de devolução solicitado, pré-pago por correio ou por correio noturno reconhecido para o endereço indicado no início deste Contrato ou conforme alterado por notificação escrita para a outra parte. 

15.6 O cliente não pode exportar ou reexportar, direta ou indiretamente, quaisquer Serviços, Documentação, Produto de Trabalho ou informações confidenciais para qualquer país fora dos Estados Unidos, exceto conforme permitido pelos Estados Unidos. Regulamentos de administração de exportações do Departamento de Comércio.

15.7 Serviços, produtos de trabalho e documentação fornecidos aos EUA O governo é "Artigos Comerciais", conforme definido em 48 C.F.R. 2.101, que consiste em "Commercial Computer Software" e "Commercial Computer Software Documentation", na acepção de 48 C.F.R. 12.212 ou 48 C.F.R.227.7202, conforme aplicável. Correspondente a 48 C.F.R. 12.212 ou 48 C.F.R. 227.7202-1 a 227.7202-4, conforme aplicável, a documentação de software de computador comercial e o software de computador comercial estão sendo licenciados para os EUA. Os usuários finais governamentais (a) apenas como itens comerciais e (b) com apenas os direitos concedidos a todos os outros usuários finais de acordo com os termos e condições aqui descritos, conforme previsto em FAR 12.212, e DFARS 227.7202-1(a), 227.7202-3(a), 227.7202-4, conforme aplicável.

15.8 OpenMethods deve, por sua própria conta, adquirir e manter em plena vigor e efeito durante o período deste Contrato, as políticas de seguro, dos tipos e dos montantes mínimos a seguir, com transportadoras de seguros responsáveis devidamente qualificadas nos estados (locais) onde os Serviços serão executados, cobrindo as operações do OpenMethods, de acordo com este Contrato: responsabilidade geral comercial (US$ 2.000.000 por ocorrência, US$ 5.000.000 agregado); responsabilidade profissional (US$ 1.000.000 por ocorrência, US$ 2.000.000 agregado); compensação dos trabalhadores (limitações estatutárias) e responsabilidade dos empregadores (US$ 500.000 por acidente); e responsabilidade por omissão (e, cobertura da responsabilidade cibernética (US$ 2.000.000 agregado).  Essas políticas exigem que o cliente receba no mínimo trinta (30) dias úteis de aviso prévio por escrito sobre qualquer cancelamento ou alteração significativa.  A OpenMethods deve fornecer ao Cliente, a pedido, certificados de seguro que comprovem toda a cobertura acima.

 

DEFINIÇÕES.

 

16.         Glossário.

“Dados do cliente” significa nomes de usuário e extensões de agentes armazenados no banco de dados Serviços.

“Documentação” significa a documentação do usuário fornecida pela OpenMethods para uso com os Serviços, conforme atualizada periodicamente.

“Serviços” significa o software hospedado cuja funcionalidade é descrita no Zendesk SOW e na Documentação, quaisquer modificações do software hospedado feitas pela OpenMethods, e quaisquer feedback, melhorias ou aprimoramentos feitos ou sugeridos para o software hospedado, mas não inclui os Serviços Profissionais.

“Serviços Profissionais” significa a formação, consultoria, desenvolvimento e outros serviços profissionais identificados em um SOW, mas não incluem os Serviços.

“Zendesk” se refere à Zendesk, Inc., uma corporação de Delaware, e qualquer uma de suas afiliadas aplicáveis, que servirá como agente de faturamento para a(s) assinatura(s) do Assinante(s) do Serviço OpenMethods encomendada pelo Assinante da OpenMethods sob este Contrato em conformidade com um SOW do Zendesk executado entre o Cliente e a Zendesk.

“Zendesk SOW” se refere à declaração de trabalho ou documento de pedido semelhante emitido pela Zendesk ao Assinante que estabelece, sem limitação, o plano de Assinatura do Cliente, as taxas de Assinatura, a cobrança e o período de Assinatura sob este Contrato.

 

 

 

Exemplo A

Medidas de segurança da informação OpenMethods

 

1. Medidas de segurança da informação

OpenMethods garante e declara que usará esforços comercialmente razoáveis para implementar e manter as medidas de segurança detalhadas abaixo para manter todo o conteúdo, materiais, dados (incluindo dados pessoais) e informações não públicas fornecidas ou disponibilizadas pelo Assinante (coletivamente, “Dados”) seguros e proteger os Dados contra processamento não autorizado ou ilegal, perda acidental, destruição ou danos, conforme detalhado abaixo. Ao fazer isso, a OpenMethods agirá de boa fé e diligência, usando o cuidado e a habilidade razoáveis.

 

2. Definições

“Processamento” se refere a qualquer operação relacionada aos Dados, independentemente dos propósitos e meios aplicados, incluindo, sem limitação, acesso, coleta, retenção, armazenamento, transferência, divulgação, uso, exclusão, destruição e qualquer outra operação.

“Verificação” significa qualquer (a) Processamento não autorizado de Dados ou (b) qualquer ato ou omissão que comprometa ou comprometa as salvaguardas físicas, técnicas ou organizacionais implementadas pela OpenMethods em relação ao Processamento de Dados ou de outra forma implementadas para cumprir esses requisitos. Para evitar dúvidas, “Processamento não autorizado” inclui, mas não se limita a: uso indevido, perda, destruição, compromisso ou acesso não autorizado, coleta, retenção, armazenamento ou transferência.

“Incidente” significa qualquer prejuízo à segurança dos Dados, incluindo qualquer (i) ato que viole qualquer lei ou qualquer política de segurança da OpenMethods, (ii) interrupção não planejada do serviço que impeça o funcionamento normal dos Serviços, ou (iii) Violação.

 

3. Medidas: Medidas técnicas e organizacionais para o armazenamento, manipulação e eliminação de e Dados.
   • OpenMethods utilizará algoritmos de criptografia padrão do setor e principais pontos fortes para criptografar o seguinte:
   • Criptografar todos os Dados que estejam em forma eletrônica durante o trânsito por todas as redes públicas com fio (ou seja, Internet) e todas as redes sem fio.
   • Criptografar todos os Dados enquanto estão armazenados. “Em armazenamento” significa informações armazenadas em bancos de dados, em sistemas de arquivos e em várias formas de mídia online e offline (dispositivos móveis, laptops, DASD, fita, etc.) e também é comumente referida como “em repouso”.
   • A menos que proibido por lei, a OpenMethods removerá imediatamente os Dados após (a) a conclusão dos Serviços; ou (b) a solicitação do Assinante (ou da Zendesk, se aplicável) de serem removidos do ambiente da OpenMethods, e os destruirá dentro de um período de tempo razoável, mas em nenhum caso mais de vinte e um (21) dias após a data da solicitação ou cessação dos serviços. A OpenMethods fornecerá ao Assinante (e à Zendesk, quando aplicável) uma certificação escrita sobre tal remoção, destruição e/ou limpeza dentro de trinta (30) dias após tal ocorrência.

4. Medidas: Proteção contra código malicioso.
   • Todas as estações de trabalho e servidores (virtuais ou físicos) executarão a versão atual do software antivírus e/ou anti-malware padrão do setor com as atualizações mais recentes disponíveis em qualquer estação de trabalho ou servidor. As definições de vírus devem ser atualizadas imediatamente após a publicação pelo provedor do software antivírus. O OpenMethods configurará o equipamento e terá políticas de suporte para proibir que os usuários desativem o software antivírus, alterem as configurações de segurança ou desativem outras medidas de proteção implementadas para garantir a segurança dos Dados ou do ambiente de computação do OpenMethods.
   • OpenMethods analisará o conteúdo de entrada e saída em busca de código malicioso em todos os gateways para redes públicas, incluindo servidores de e-mail e proxy.
   • OpenMethods irá quarentene ou remover os arquivos que foram identificados como infectados e registrará o evento.

5. Medidas: Medidas técnicas e organizacionais para o controle de acesso, especialmente para controlar a legitimidade dos usuários autorizados nas instalações e sistemas onde os Dados podem ser acessados:
   • OpenMethods assegura que sejam tomadas medidas para proteger os locais (por exemplo, proteger entradas e saídas), bem como medidas dentro de seu edifício através do uso dos seguintes procedimentos:
   • a segurança e a criptografia de todos os computadores pessoais ou outros dispositivos móveis que possam acessar os Dados;
   • acesso limitado a funcionários e contratados, com exceção dos visitantes autorizados;
   • identificação das pessoas com autoridade de acesso;
   • restrição de chaves;
   • Livros de visitantes (incluindo horários); e
   • sistema de alarme de segurança ou outras medidas de segurança apropriadas.
   • O OpenMethods revogará o acesso a locais físicos, sistemas e aplicativos que contenham ou processem Dados dentro de vinte e quatro (24) horas após a cessação da necessidade desse agente autorizado de acessar o(s) sistema(s) ou aplicativo(s).

 

6. Medidas: Medidas técnicas (proteção por senha/senha) e organizacionais (registro principal do usuário) relacionadas à identificação e autenticação do usuário:

A OpenMethods informará ao Assinante, a pedido razoável, quais pessoas autorizadas estão encarregadas do acesso aos Dados.

O controlo do utilizador deve incluir as seguintes medidas:

• Perfil de VPN restrito;
• implementação da autenticação de dois fatores

O controle de acesso aos Dados inclui as seguintes medidas:

• medidas disciplinares eficazes e adequadas contra indivíduos que acessem dados sem autorização.

7. Medidas: Medidas técnicas e organizacionais relacionadas à segurança das redes (incluindo redes sem fio) utilizadas pela OpenMethods.

Todos os controlos de rede devem incluir as seguintes medidas:

• Em uma base regular, o OpenMethods executará verificações internas e externas de vulnerabilidade de rede. As vulnerabilidades identificadas serão corrigidas de forma comercialmente razoável e dentro de um período de tempo baseado na gravidade.
• A OpenMethods implantará uma tecnologia de firewall razoavelmente apropriada no funcionamento de suas redes.
• No mínimo, o OpenMethods analisará os conjuntos de regras de firewall trimestralmente para garantir que as regras legadas sejam removidas e as regras ativas sejam configuradas corretamente.
• OpenMethods implantará sistemas de detecção ou prevenção de intrusão para monitorar redes para atividades inadequadas.
• OpenMethods deve implantar uma solução de gerenciamento de registros e reter registros produzidos por firewalls e sistemas de detecção de intrusão por um período mínimo de um (1) ano.

Os controlos de rede sem fio devem incluir as seguintes medidas adicionais:

• O acesso à rede a redes sem fio deve ser restrito apenas aos autorizados.
• Os pontos de acesso devem ser segmentados a partir de uma LAN interna com fio utilizando um dispositivo de gateway.
• O identificador do conjunto de serviços (SSID), a ID do usuário do administrador, a senha e as chaves de criptografia devem ser alterados do valor padrão.
• A criptografia de todas as conexões sem fio será ativada usando algoritmos de criptografia padrão do setor. Os protocolos de criptografia serão baseados em “Acesso protegido sem fio” (WPA2) ou mais forte.

 

8. Medidas: O OpenMethods manterá uma função de resposta a incidentes capaz de identificar, mitigar os efeitos e evitar a recorrência de incidentes. Se ocorrer um Incidente, a OpenMethods (i) tomará imediatamente todas as medidas necessárias para evitar qualquer compromisso adicional dos Dados ou de quaisquer Incidentes futuros; (ii) notificará o Assinante dentro de vinte e quatro (24) horas após a identificação do Incidente e fornecerá um relatório escrito dentro de três (3) dias; e (iii) responderá prontamente a qualquer solicitação razoável do Assinante para obter informações detalhadas relacionadas ao Incidente. O aviso e o relatório do OpenMethods conterão uma descrição da natureza do Incidente, seu impacto e quaisquer ações investigativas, corretivas ou correctivas tomadas ou planejadas.

 

9. Medidas: Continuidade de negócios e recuperação de desastres. A OpenMethods forneceu ao Assinante um plano de continuidade comercial e padrão do setor para manter a disponibilidade do Serviço (o “Plano de Continuidade”). O plano de continuidade inclui, mas não está limitado a, elementos como (a) gerenciamento de crise, ativação do plano e da equipe, documentação do processo de eventos e comunicação; (b) gerenciamento de eventos, recuperação de negócios, localizações alternativas de localização e teste de árvore de chamada; e (c) detalhes da infraestrutura, tecnologia e sistema, atividades de recuperação e identificação das pessoas / equipes necessárias para essa recuperação. A OpenMethods manterá esse plano de continuidade durante toda a assinatura; desde que a OpenMethods tenha o direito de modificar ou alterar o plano de continuidade desde que tal modificação ou alteração não tenha um efeito negativo significativo na capacidade da OpenMethods de manter a disponibilidade do Serviço.

 

A pedido do Assinante, a OpenMethods deve fazer modificações comercialmente razoáveis em seu programa de segurança de informações ou nos procedimentos e práticas ao abrigo dele para atender aos requisitos de segurança de base do Assinante, conforme descrito em todos os exemplares aplicáveis ao Contrato e como eles existem de tempos em tempos. O Assinante fornecerá à OpenMethods a documentação dessas linhas de base, que fará parte das informações confidenciais do Assinante sob este Contrato. A OpenMethods desenvolverá um plano de segurança da informação escrito para o Assinante que contenha, no mínimo, os tópicos exigidos neste contrato.

 

Exemplo B

OpenMethods Data Processing Addendum

 

Este Suplemento de Processamento de Dados (“DPA”) é inserido entre a OpenMethods, Inc. (“OpenMethods” ou “importador de dados”) e a entidade identificada como o Assinante no Zendesk SOW (“Cliente” ou “exportador de dados”) e é anexado aos Termos de Serviço da OpenMethods (o “Contrato”). As partes concordam que este DPA será incorporado e fará parte do Acordo e sujeito às suas disposições, incluindo limitações de responsabilidade.

Este DPA estabelece os termos e condições sob os quais a OpenMethods pode receber e processar Dados Pessoais do Cliente do Cliente e incorpora as Cláusulas Contratuais Padrão. Se o cliente fizer qualquer exclusão ou revisão deste DPA, essas exclusões ou revisões serão rejeitadas e inválidas, a menos que acordado pelo OpenMethods. O assinante do cliente declara e garante que ele tem autoridade para vincular o cliente a este DPA. Este DPA será rescindido automaticamente na rescisão do Contrato, ou como anteriormente rescindido nos termos deste DPA.

Termos de Processamento de Dados

1. Definições

“Lei(s) de privacidade aplicável” significa todas as leis e regulamentos mundiais de proteção de dados e privacidade aplicáveis aos Dados Pessoais em questão, incluindo, quando aplicável, a Lei de Proteção de Dados da UE/Reino Unido.

“Dados Pessoais do Cliente” se refere a qualquer Conteúdo do Cliente que seja Dados Pessoais e protegido pelas Leis de Privacidade Aplicáveis.

“Lei de Proteção de Dados da UE/Reino Unido” significa: (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas singulares no que diz respeito ao Processamento de Dados Pessoais e sobre a livre circulação desses dados (Regulamento Geral de Proteção de Dados) (o “RGPD da UE”); (ii) o RGPD como incorporado na legislação do Reino Unido em virtude do artigo 3 da Lei da União Europeia do Reino Unido (Retirada) 2018 e da Lei de Proteção de Dados do Reino Unido 2018 (coletivamente, o “RGPD do Reino Unido”); (iii) a Directiva de Privacidade Eletrônica da UE (Directiva 2002/58/CE); (iv) a Lei Federal Suíça de Proteção de Dados (“Swiss DPA”), e (v) qualquer e todas as leis nacionais de proteção de dados aplicáveis feitas em conformidade com, em conformidade com ou que se aplicam em conjunto com qualquer alínea (i), (ii) (iii) ou (iv);

“Filial da OpenMethods” “Filial da OpenMethods” significa qualquer entidade que seja, direta ou indiretamente, controlada, controlada ou sob controle comum com a OpenMethods.

“Transferência restrita”: (i) quando o RGPD da UE se aplica, uma transferência de Dados Pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia; (ii) quando o RGPD do Reino Unido se aplica, uma transferência de Dados Pessoais do Reino Unido para qualquer outro país que não esteja sujeito a regulamentos de adequação nos termos da Seção 17A da Lei de Proteção de Dados do Reino Unido 2018; e (iii) quando o DPA suíço se aplica, uma transferência de Dados Pessoais da Suíça para qualquer outro país que não esteja determinado a fornecer proteção adequada de Dados Pessoais pela Comissão Federal de Proteção de Dados e Informação ou pelo Conselho Federal (se aplicável).

“Clausulas contratuais padrão” significa: (i) quando o RGPD da UE ou o DPA suíço for aplicável, as cláusulas contratuais anexadas à Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021 (“CCS da UE”); e (ii) quando o RGPD do Reino Unido for aplicável, cláusulas de proteção de dados padrão para processadores adotadas em conformidade com o artigo 46.o, n.o 2, alíneas c) ou d), do RGPD do Reino Unido (especificamente, o Suplemento Internacional de Transferência de Dados às Cláusulas contratuais padrão da Comissão Europeia) (“CCS do Reino Unido”), conforme aplicável em conformidade com a Seção 8 (Transferências de Dados).

“Incidente de Segurança” significa qualquer violação não autorizada ou ilegal da segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente. Um “Incidente de Segurança” não deve incluir tentativas ou atividades malsucedidas que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de entrada, pings, verificações de porta, ataques de denegação de serviço e outros ataques de rede em firewalls ou sistemas conectados.

“Subprocessador” se refere a qualquer terceiro (incluindo qualquer subsidiária da OpenMethods) contratado pela OpenMethods para processar quaisquer Dados Pessoais do Cliente (exceto funcionários ou contratados da OpenMethods).

Os termos “Controlador”, “Tipo de dados”, “Dados Pessoais”, “Processador” e “Processamento” têm os significados atribuídos a eles nas Leis de Privacidade Aplicáveis. Se e na medida em que a(s) Lei(s) de Privacidade Aplicável(s) não defina tais termos, então as definições dadas na Lei de Proteção de Dados da UE/Reino Unido se aplicam.

2. Função e escopo do processamento

2.1 As partes reconhecem que, no que diz respeito ao tratamento dos Dados Pessoais do Cliente, o Cliente será o Controlador e a OpenMethods tratará os Dados Pessoais do Cliente como um Processador em nome do Cliente.

2.2 OpenMethods processará os Dados Pessoais do Cliente apenas de acordo com as instruções documentadas do Cliente e não processará os Dados Pessoais do Cliente para seus próprios fins, exceto conforme estabelecido neste DPA ou quando exigido pela(s) lei(s) aplicável(s). O Contrato, incluindo este DPA, junto com a configuração do Cliente de quaisquer configurações ou opções nos Serviços (como o Cliente pode modificar de tempos em tempos), constituem as instruções completas e finais do Cliente para a OpenMethods sobre o Processamento de Dados Pessoais do Cliente, incluindo para os fins das Cláusulas Contratuais Padrão. Instruções adicionais fora do escopo dessas Instruções de Processamento (se houver) exigem um acordo prévio por escrito entre as partes.

2.3 Cada parte deve cumprir as suas obrigações sob a(s) Lei(s) de Privacidade Aplicável(s) em relação a quaisquer Dados Pessoais do Cliente que Processar ao abrigo ou em conexão com os Serviços ou este DPA. Sem prejuízo do que precede, o Cliente é responsável por determinar se os Serviços são adequados para o armazenamento e processamento de Dados Pessoais do Cliente de acordo com as Leis de Privacidade aplicáveis e pela precisão, qualidade e legalidade dos Dados Pessoais do Cliente e dos meios pelos quais adquiriu os Dados Pessoais do Cliente. O Cliente também concorda que forneceu aviso e obteve todos os consentimento, permissões e direitos necessários para que a OpenMethods e seus Subprocessadores processem legalmente os Dados Pessoais do Cliente para os fins previstos no Contrato (incluindo este DPA).

2.4 A OpenMethods notificará imediatamente o Cliente se determinar que as instruções do Cliente violam a(s) Lei(s) de Privacidade Aplicável(s) (mas sem obrigação de monitorar ativamente o cumprimento pelo Cliente da(s) Lei(s) de Privacidade Aplicável(s)) e, nesse caso, a OpenMethods não será obrigada a realizar tal Processamento até que o Cliente tenha atualizado as suas instruções de processamento e a OpenMethods tenha determinado que a incidência de não conformidade foi resolvida.

2.5 Detalhes do Processamento de Dados:

a) Assunto: O assunto do tratamento de dados ao abrigo deste DPA são os Dados Pessoais do Cliente.

b) Duração: Em relação ao Cliente e à OpenMethods, a duração do tratamento é a duração do Contrato mais qualquer período após a rescisão ou expiração do Contrato durante o qual a OpenMethods processará os Dados Pessoais do Cliente em conformidade com o Contrato.

(c) Finalidade: A OpenMethods processará os Dados Pessoais do Cliente conforme necessário para executar os Serviços de acordo com o Contrato, conforme instruído pelo Cliente no uso dos Serviços.

d) Natureza do tratamento: A prestação dos Serviços conforme descrito no Contrato e iniciado pelo Cliente de tempos em tempos.

(e) Tipos de Dados Pessoais do Cliente. Dados Pessoais do Cliente carregados nos Serviços sob a conta OpenMethods do Cliente.

f) Categorias de titulares de dados: Os titulares de dados podem incluir funcionários do Cliente, consultores, agentes e terceiros autorizados a usar os Serviços como “Usuários” sob a conta do Cliente OpenMethods e quaisquer outros titulares de dados cujos dados pessoais sejam enviados ao OpenMethods pelo Cliente através dos Serviços.

 

3. Subprocessamento

3.1 O Cliente concede à OpenMethods uma autorização geral para subcontratar o processamento dos Dados Pessoais do Cliente a um Subprocessador, incluindo os Subprocessadores listados em https://OpenMethods.com/static/legal/OpenMethods-Current-Subprocessors-List.pdf (ou tal outra URL sucessora) (“Lista de Subprocessadores”).

3.2 Se o OpenMethods interagir com um Subprocessador novo ou substituído, o OpenMethods:

a) atualizar a Lista de subprocessadores;

(b) impor substancialmente as mesmas condições de proteção de dados a qualquer Subprocessador que contrate conforme contidas neste DPA (incluindo disposições de transferência de dados, se aplicável); e

(c) continuará a ser responsável perante o Cliente por qualquer violação deste DPA causada por um ato, erro ou omissão desse Subprocessador.

3.3 Se o Cliente optar por ser notificado por escrito 10 dias antes da OpenMethods contratar um Subprocessador novo ou substituído, o Cliente deverá assinar essas notificações através do portaal de notificação do cliente;

3.4 O Cliente pode opor-se à nomeação da OpenMethods de qualquer Subprocessador novo ou substituído por escrito imediatamente no prazo de trinta (30) dias após o recebimento do aviso de acordo com (3.2 (a)) e por motivos razoáveis relacionados à capacidade do Subprocessador de cumprir as Leis de Privacidade Aplicáveis. Nesse caso, as partes devem discutir as preocupações do Cliente de boa fé com vista a alcançar uma resolução comercialmente razoável. Se as partes não puderem Reach tal resolução, a OpenMethods terá o direito, a seu exclusivo critério, de não nomear o subprocessador contestado ou permitir ao Cliente suspender ou rescindir o pedido aplicável e/ou o Contrato. Esses procedimentos são o recurso exclusivo do Cliente e toda a responsabilidade da OpenMethods para resolver as objeções do Cliente à nomeação de subprocessadores pela OpenMethods de acordo com este DPA.

 

4. Cooperação

4.1 OpenMethods deverá cooperar razoavelmente com o Cliente para permitir que o Cliente responda a quaisquer solicitações, reclamações ou outras comunicações dos titulares de dados e órgãos regulatórios ou judiciais relacionados ao processamento dos Dados Pessoais do Cliente, incluindo solicitações dos titulares de dados que pretendam exercer os seus direitos ao abrigo da(s) Lei(s) de privacidade aplicável(s). Caso tal solicitação, reclamação ou comunicação seja feita diretamente à OpenMethods, a OpenMethods, uma vez identificada a solicitação seja de ou relacionada a um titular de dados responsável pelo Cliente, a transmitirá ao Cliente e não responderá a tal comunicação sem a autorização expressa do Cliente (a menos que seja necessário fazê-lo para cumprir as leis aplicáveis).

4.2 Na medida em que o OpenMethods for exigido pelas leis de privacidade aplicáveis, o OpenMethods ajudará o Cliente a realizar uma avaliação de impacto sobre a proteção de dados e, quando exigido por lei, consultar as autoridades de proteção de dados aplicáveis em relação a qualquer atividade de processamento proposta que apresente um alto risco para os titulares de dados.

4.3Tendo em conta a natureza do processamento, o Cliente concorda que é improvável que a OpenMethods saiba que os Dados Pessoais do Cliente transferidos ao abrigo das Cláusulas Contratuais Padrão são imprecisos ou desatualizados. No entanto, se a OpenMethods perceber que os Dados Pessoais do Cliente transferidos sob as Cláusulas Contratuais Padrão são imprecisos ou desatualizados, ela informará o Cliente sem demora indevida. A OpenMethods cooperará razoavelmente com o Cliente para apagar ou corrigir Dados Pessoais do Cliente imprecisos ou desatualizados transferidos sob as Cláusulas Contratuais Padrão.

 

5. Acesso a dados e medidas de segurança

5.1 A OpenMethods garantirá que qualquer pessoal encarregado do tratamento dos Dados Pessoais do Cliente esteja sujeito a um dever de confidencialidade adequado (seja um dever contratual ou estatutário) e que processe os Dados Pessoais do Cliente apenas para fins de prestação dos Serviços.

5.2 A OpenMethods implementará e manterá medidas de segurança técnicas e organizacionais razoáveis e apropriadas com o objetivo de proteger os Dados Pessoais do Cliente de Incidentes de Segurança de acordo com as medidas listadas no Anexo 2 (“Medidas de Segurança”). O Cliente reconhece que as Medidas de Segurança estão sujeitas ao progresso técnico e desenvolvimento e que a OpenMethods pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não reduzam ou diminuam a segurança geral dos Serviços.

 

6. Incidentes de segurança

No caso de um Incidente de Segurança, a OpenMethods informará o Cliente sem demora indevida e fornecerá detalhes escritos do Incidente de Segurança ao Cliente, incluindo o tipo de dados afetados e a identidade das pessoas afetadas, assim que tais informações se tornem conhecidas ou disponíveis para a OpenMethods. A OpenMethods deve, na medida do possível, fornecer informações e cooperação oportunas ao Cliente para permitir que o Cliente cumpra suas obrigações de relatórios de violação de dados de acordo com as Leis de privacidade aplicáveis e deve tomar medidas razoáveis para corrigir ou mitigar os efeitos do Incidente de segurança. As obrigações neste documento não se aplicam a incidentes de segurança causados pelo Cliente ou por seus usuários.

 

7. Relatórios de segurança e inspeções

7.1 A pedido, a OpenMethods fornecerá cópias de quaisquer certificações, resumos de relatórios de auditoria e/ou outra documentação relevante em sua posse, quando razoavelmente exigido pelo Cliente para verificar a conformidade da OpenMethods com este DPA.

7.2 Embora seja normalmente a intenção das partes confiar nas obrigações da OpenMethods estabelecidas na Seção 7.1 para verificar a conformidade da OpenMethods com este DPA, após um Incidente de Segurança confirmado ou quando uma autoridade de proteção de dados o exigir, o Cliente pode fornecer à OpenMethods um aviso prévio por escrito de trinta (30) dias solicitando que um terceiro faça uma auditoria das operações e instalações da OpenMethods (“Auditoria”); desde que (i) qualquer auditoria seja realizada às custas do Cliente; (ii) as partes devem acordar mutuamente sobre o escopo, o tempo e a duração da auditoria; (iii) a auditoria não deve afetar de forma desproporcionada as operações regulares da OpenMethods.

7.3 Qualquer resposta escrita ou Auditoria descrita nesta Seção 7 estará sujeita às disposições de confidencialidade do Acordo. As partes concordam que as auditorias descritas na Cláusula 8.9 das SCCs da UE devem ser realizadas de acordo com esta Seção 7 (Relatórios e instruções de segurança).

 

8. Transferência de dados

8.1 Os Dados Pessoais do Cliente que a OpenMethods processa ao abrigo do Contrato poderão ser processados em qualquer país em que a OpenMethods, suas subsidiárias e subprocessadores da OpenMethods mantenham instalações para realizar os Serviços, conforme detalhado na Lista de Subprocessadores. A OpenMethods não processará ou transferirá Dados Pessoais do Cliente (nem permitirá que esses dados sejam processados ou transferidos) fora do EEE, da Suíça ou do Reino Unido, a menos que primeiro tome as medidas necessárias para garantir que a transferência esteja em conformidade com esta Lei de Proteção de Dados da UE/Reino Unido.

8.2 As partes concordam que, quando a transferência de Dados Pessoais do Cliente para a OpenMethods for uma Transferência Restrita, ela será regida por

(a) para transferências de Dados Pessoais do Cliente sujeitas ao RGPD ou ao DPA suíço, os SCCs da UE, que as partes adotam e incorporam neste DPA, ou

(b) para transferências de Dados Pessoais do Cliente sujeitas ao RGPD do Reino Unido, os SCCs do Reino Unido, que as partes adotam e incorporam neste DPA.

8.3 Para efeitos das Cláusulas Contratuais Padrão, os anexos, apêndices ou tabelas pertinentes são considerados preenchidos com as informações pertinentes constantes do anexo I. No caso de qualquer disposição deste DPA contradizer, direta ou indiretamente, as Cláusulas Contratuais Padrão, prevalecerão as Cláusulas Contratuais Padrão.

8.4 Se a OpenMethods adotar um mecanismo de exportação de dados legal alternativo para a transferência de dados pessoais não descrito neste DPA (“Mecanismo Alternativo de Transferência”), o Mecanismo Alternativo de Transferência será aplicado em vez de qualquer mecanismo de transferência aplicável descrito neste DPA (mas apenas na medida em que tal Mecanismo Alternativo de Transferência esteja em conformidade com a Lei de Proteção de Dados da UE/Reino Unido e se estenda aos territórios para os quais os Dados Pessoais do Cliente relevantes são transferidos).

 

9. Deletion & Return

9.1 A pedido do Cliente, ou na rescisão ou expiração deste DPA, a OpenMethods deve destruir ou devolver ao Cliente todos os Dados Pessoais do Cliente em sua posse de acordo com os cronogramas e políticas de exclusão de dados da OpenMethods, que podem ser solicitados pelo Cliente a qualquer momento. Este requisito não se aplicará na medida em que a OpenMethods seja obrigada por qualquer lei aplicável a reter alguns ou todos os Dados Pessoais do Cliente, ou aos Dados Pessoais do Cliente arquivados em sistemas de backup, que a OpenMethods deve isolar e proteger de qualquer processamento posterior, exceto na medida exigida por tal lei. As partes concordam que a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.5 e 16.(d) dos SCCs da UE só será fornecida pelo OpenMethods ao Cliente mediante pedido por escrito do Cliente.

 

10. California Consumer Privacy Act (CCPA)

10.1 Na medida em que o Cliente tem usuários dos Serviços que são residentes do estado da Califórnia nos Estados Unidos e a CCPA se aplica, os termos estabelecidos nesta Seção 10 se aplicam a este DPA.

10.2 As definições estabelecidas na Secção 1 deste DPA serão alteradas da seguinte forma:

(a) “CCPA” significa a California Consumer Privacy Act, Cal. Civ. Código § 1798.100 et seq..

b) “Empresa” tem o significado que lhe é dado na CCPA.

(c) “Fornecedor de serviços” tem o significado dado na CCPA.

10.3 Para os fins dos Dados Pessoais do Cliente que constituem “informações pessoais” ao abrigo da CCPA, o Cliente é uma Empresa e a OpenMethods é um Prestador de Serviços. A transferência dos Dados Pessoais do Cliente para a OpenMethods não é uma venda, e a OpenMethods não fornece qualquer compensação monetária ou de outro valor ao Cliente em troca de Dados Pessoais.

10.4 A OpenMethods concorda em cumprir todos os requisitos aplicáveis da CCPA, e se e na medida acordada entre o Cliente e a OpenMethods por escrito conforme estabelecido neste DPA.

10.5 Como aplicável aos Serviços, a OpenMethods prestará assistência razoável ao Cliente na resposta (a expensas do Cliente) a qualquer solicitação de um titular dos dados (incluindo “solicitações verificáveis do consumidor”, como tal termo é definido na CCPA), relacionada ao processamento de Dados Pessoais do Cliente ao abrigo do Contrato.

 

11. Geral

11.1 A exceção das alterações feitas por este DPA, o Acordo permanece inalterado e em pleno vigor e efeito. Se houver qualquer conflito entre qualquer disposição deste DPA e qualquer disposição do Contrato, esse DPA controla e prevalece. A partir da data de vigência, este DPA faz parte do Acordo e é incorporado no mesmo.

11.2 Em nenhum caso este DPA restringe ou limita os direitos de qualquer titular dos dados ou de qualquer autoridade de controlo competente.

11.3Qualquer reclamação ou reparação que o Cliente possa ter contra a OpenMethods, seus funcionários, agentes e subprocessadores, decorrente ou em conexão com este DPA (incluindo as Cláusulas Contratuais Padrão), seja em contrato, infração (incluindo negligência) ou qualquer outra teoria de responsabilidade, estará sujeita, na medida máxima permitida por lei, às limitações e exclusões de responsabilidade no Contrato. Por conseguinte, qualquer referência no Acordo à responsabilidade de uma parte significa a responsabilidade agregada dessa parte sob e em conexão com o Acordo e este DPA juntos.

11.4 Este DPA não pode ser alterado, exceto por um instrumento escrito subsequente assinado pelas duas partes.

11.5 Este DPA será regido e interpretado de acordo com as disposições de lei e jurisdição aplicáveis no Contrato, a menos que seja exigido de outra forma pelas Leis de Privacidade Aplicáveis ou pelas Cláusulas Contratuais Padrão.

11.6 Se alguma parte deste DPA for considerada inaplicável, a validade de todas as partes restantes não será afetada.

 

ANEXO I

A. LISTA DE PARTES

MÓDULO DOS: Transferir controlador para o processador

Exportador(s) de dados:

Nome: A entidade identificada como o “Cliente” neste DPA.

Endereço: O endereço do Cliente associado à sua conta do OpenMethods ou especificado de outra forma no DPA ou no Contrato.

Nome, cargo e detalhes de contato da pessoa de contato: Os detalhes de contato associados à conta do Cliente, ou especificados de outra forma neste DPA ou no Contrato.

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: As actividades especificadas no anexo 1, ponto B, abaixo.

Função (controlador/processador): Controlador

Importador(s) de dados:

Nome: OpenMethods, Inc. (“OpenMethods”)

Endereço: 1100 Main St., Suite 400, Kansas City, MO 64105

Nome, cargo e detalhes de contato da pessoa de contato: Shannon Lekas, privacy@OpenMethods.com (Dados e conformidade)

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: As actividades especificadas no anexo 1, ponto B, abaixo.

Função (controlador/processador): Processador

 

B. DESCRIÇÃO DA TRANSFERÊNCIA

MÓDULO DOS: Transferir controlador para o processador

Categorias de titulares de dados cujos dados pessoais são transferidos: Empregados do Cliente, consultores, agentes e terceiros autorizados a usar os Serviços como “usuários” sob a conta do Cliente do OpenMethods e quaisquer outros titulares de dados cujos dados pessoais sejam enviados ao OpenMethods pelo Cliente através dos Serviços.

Categorias de titulares de dados cujos dados pessoais são transferidos: Nome, endereço de e-mail e quaisquer outros dados pessoais enviados pelo Cliente através dos Serviços, incluindo como Conteúdo do Cliente

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, tais como, por exemplo, restrições estritas de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Nenhuma; não permitido sob a política de uso proibido do OpenMethods.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua): Os Dados Pessoais do Cliente podem ser transferidos de forma contínua ou única, dependendo do uso dos Serviços pelo Cliente e das instruções de processamento do Cliente.

Objetivo(s) da transferência de dados e do processamento posterior: Para a OpenMethods fornecer, manter e melhorar os Serviços prestados ao exportador de dados de acordo com o Acordo.

O período durante o qual os dados pessoais serão mantidos ou, se isso não for possível, os critérios utilizados para determinar esse período: A OpenMethods manterá os Dados Pessoais do Cliente por até 180 dias após a rescisão ou expiração do Contrato. No caso de transferências para subprocessadores, especifique também o assunto, a natureza e a duração do tratamento.

Duração: A duração do Contrato mais qualquer período após a rescisão ou expiração do Contrato durante o qual a OpenMethods processará Dados Pessoais do Cliente de acordo com o Contrato.

Assunto: O assunto do tratamento de dados ao abrigo deste DPA são os Dados Pessoais do Cliente.

Natureza do tratamento: A prestação dos Serviços conforme descrito no Contrato e iniciado pelo Cliente de tempos em tempos.

 

C. AUTORIDADE DE SUPERVISÃO COMPETENTE

MÓDULO DOS: Transferir controlador para o processador

Identificar as autoridades de controlo competentes em conformidade com o ponto 13: A autoridade de controlo competente do exportador de dados será determinada de acordo com o RGPD.

 

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZATÓRIAS, INCLUIR MEDIDAS TÉCNICAS E ORGANIZATÓRIAS PARA GARANTIZAR A SEGURANÇA DOS DADOS

MÓDULO DOS: Transferir controlador para o processador

A OpenMethods usa as seguintes medidas técnicas e organizacionais para proteger informações pessoais:

• Medidas de pseudonimização e criptografia dos dados pessoais
• Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
• Medidas para garantir a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnico
• Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento
• Medidas de identificação e autorização dos utilizadores Medidas de proteção dos dados durante a transmissão
• Medidas para a proteção dos dados durante o armazenamento
• Medidas para garantir a segurança física dos locais onde os dados pessoais são tratados
• Medidas para garantir o registro de eventos
• Medidas para garantir a configuração do sistema, incluindo a configuração padrão
• Medidas para a governança e gestão interna da segurança de TI e TI
• Medidas de certificação/garantia de processos e produtos
• Medidas para garantir a minimização dos dados
• Medidas de garantia da qualidade dos dados
• Medidas para garantir uma retenção limitada de dados
• Medidas para garantir a responsabilidade
• Medidas para permitir a portabilidade de dados e garantir a exclusão

As medidas técnicas e organizacionais que o importador de dados imporá aos subprocessadores são descritas no DPA.

 

ANEXO III

Clausulas contratuais padrão

A) Sujeito ao Artigo 8.2 deste DPA, quando a transferência de Dados Pessoais do Cliente para a OpenMethods for uma transferência restrita e o RGPD ou o DPA suíço exigir que sejam implementadas salvaguardas adequadas, a transferência será regulada pelos SCCs da UE da seguinte maneira:

i. i) O módulo dois (Controlador de transferência para o Processador) será aplicável;

ii. (ii) na cláusula 7 (Clausula de ancoragem), a cláusula de ancoragem opcional será aplicada;

iii. (iii) na cláusula 9 (Uso de subprocessadores), a opção 2 será aplicável, e o período de tempo para notificação prévia de alterações de subprocessadores será conforme estabelecido na cláusula 3.2 deste DPA;

iv. iv) Na cláusula 11 (Recurso), a linguagem facultativa para permitir que os titulares de dados apresentem reclamações a um órgão independente de resolução de contestações não será aplicável;

v. (v) na cláusula 17 (Dereito aplicável), a opção 1 será aplicável e as CCS da UE serão regidas pela lei holandesa;

vi. (vi) na cláusula 18(b) (Escolha do foro e jurisdição), as contestações serão resolvidas perante os tribunais de Amsterdã, Países Baixos; e

B) quando a transferência de Dados Pessoais do Cliente para a OpenMethods for uma Transferência Restrita e o RGPD do Reino Unido exija que sejam implementadas salvaguardas apropriadas, os SCCs do Reino Unido aplicarão de acordo com o parágrafo (a) acima.

Exemplo 2 - OpenMethods Entregues

EXEMPLO C 

NOME DO PROJETO DO CLIENTE

INFORMAÇÃO DE TRABAJO (SOW)

NÚMERO SOW: 08102024-000

VERSÃO: 1.0

INTRODUÇÃO

A OpenMethods tem o prazer de fornecer esta Declaração de Trabalho ao Assinante identificado no Declaração de Trabalho da Zendesk, ou acordo semelhante, ao qual esta Declaração de Trabalho é anexada (o “Cliente”) como uma descrição e acordo com os serviços a serem fornecidos para ativar a solução Experience Cloud para uso no ambiente do Cliente, conforme definido nesta Declaração de Trabalho e/ou a Ordem de Vendas da OpenMethods associada, se aplicável. 

Esta Declaração de Trabalho é inscrita sob, e incorpora por esta referência, os Termos de Serviço da OpenMethods, e todas as Exposições, Anexos, Anexos, Declarações de Trabalho (incluindo, sem limitação, esta Declaração de Trabalho) e Alterações a elas (“Contrato”).  Quaisquer termos em letras maiúsculas usados nesta declaração de trabalho que não estejam definidos aqui são definidos no Contrato.

RESUMO

Este relatório de trabalho (SOW) descreve os requisitos, o escopo e as atividades para configurar o Experience Cloud para uso no ambiente do cliente. Como parte desse projeto, o OpenMethods irá:

• Forneça uma solução licenciada.
• Criar, testar e implantar PopFlows do Designer Experience.
• soporte Cliente em testes de aceitação de usuários e atividades de lançamento.
• Forneça treinamento relacionado a soluções.

Visão geral do ambiente

Definições

Os termos a seguir são usados para descrever as soluções do OpenMethods ou seus vários componentes principais:

1. Experience Cloud – o principal portal baseado na web usado para administrar a solução OpenMethods e seus vários componentes.
2. Experience Designer – uma interface de usuário dentro do Experience Cloud que permite que os administradores projetem, testem e publiquem PopFlows que orquestram as atividades dos agentes, associadas a uma interação, no CRM.

Atividades

O provisionamento da solução OpenMethods será limitado aos objetivos listados abaixo. É responsabilidade do responsável identificado de cada objetivo concluir cada etapa (descrito em anexo A). 

• Disponibilidade (métodos abertos): A OpenMethods fornecerá o Experience Cloud para o Support do ambiente e dos requisitos de negócios do cliente, conforme definido neste relatório de trabalho.
• Atribuição de recursos e funções (métodos abertos): O OpenMethods trabalhará com o cliente sobre os requisitos básicos de integração e configuração da solução OpenMethods e fornecerá informações relacionadas a esses requisitos.
• Preparação (cliente): O cliente configurará e fornecerá acesso (conta de usuário) ao ambiente dele quando necessário para atender aos requisitos desta declaração de trabalho. Isso inclui a instalação do aplicativo Experience Cloud, que está disponível imediatamente no Marketplace de aplicativos da ZenDesk.
• Criar PopFlows (Métodos abertos): O OpenMethods será responsável pela criação de PopFlows conforme documentado na seção “Design e criação do PopFlow” desta declaração de trabalho.
• Teste de validação (métodos abertos): Depois que a solução estiver ativada e os PopFlows forem criados, o OpenMethods garantirá que a solução esteja funcionando de acordo com a especificação.
• Teste de aceitação do usuário (cliente): O cliente realizará o UAT e reportará os problemas descobertos. Os problemas relatados serão classificados de acordo com a criticalidade e resolvidos antes do Go-Live ou após o Go-Live, dependendo da criticalidade do problema. O cliente é responsável por criar quaisquer scripts de teste ou procedimentos necessários para o processo de UAT.
• Training (OpenMethods): O OpenMethods será responsável por treinar o cliente sobre o uso, a configuração e a administração da solução OpenMethods. Este treinamento consistirá no seguinte: 
  • PopFlow User Training – focado em ensinar um agente a interagir corretamente com e usar qualquer PopFlow associado. Assim, a sessão é fornecida como treinamento do instrutor para que a organização de treinamento do cliente possa educar seus agentes conforme o cronograma do projeto permitir. Essa sessão de treinamento normalmente requer 2 horas para ser concluída.
  • Experimente o treinamento de administração na nuvem – esse treinamento se concentra na administração, no cuidado e na alimentação da solução OpenMethods de uma perspectiva técnica. Essa sessão de treinamento normalmente requer 2 horas para ser concluída.
  • Experience Designer Training – este treinamento se concentra no uso do Construtor de experiência. Ele destina-se a usuários que serão responsáveis pela criação, manutenção, teste e implementação do PopFlow. Esse treinamento é normalmente dividido em várias sessões para um tempo total de treinamento de <16 horas>.
• Go-Live (Client/OpenMethods): O OpenMethods ajudará o cliente a ativar a solução. O OpenMethods Project Management Office (PMO) permanecerá engajado por 10 dias após o lançamento para se preparar para a transição para o atendimento ao cliente e sucesso.
• Care and Success (Métodos Abertos): A OpenMethods realizará uma reunião formal para apresentar a equipe do cliente apropriada às equipes de Atendimento ao Cliente e Sucesso da OpenMethods e garantir que estejam familiarizadas com o processo e os requisitos relacionados à obtenção do Support a partir de agora.

Design e criação do PopFlow

As automações facilitadas pela solução OpenMethods requerem um evento de gatilho específico do agente para iniciar a automação (por exemplo, agente clicando em um botão, agente respondendo a um telefone / e-mail / chat, agente inserindo ou alterando dados de campo no CRM etc). O cliente fornecerá e configurará quaisquer mecanismos de gatilho necessários para acionar automações, conforme a documentação “API OpenConnect” do OpenMethods ou conforme definido durante o início do projeto. O cliente fornecerá a documentação, a conectividade e o acesso necessários da API (Application Programming Interface) para todos os serviços em escopo ou aplicativos descritos neste relatório de trabalho. Os recursos da solução OpenMethods podem ser restritos pela funcionalidade exposta pelas APIs de terceiros fornecidas.

Os seguintes PopFlows serão criados e implantados como parte desse projeto. Casos de uso adicionais e/ou trabalho de design, criação ou implementação do PopFlow serão considerados fora do escopo deste projeto e serão abordados sob uma declaração de trabalho separada.

<INSIR ESCOPO AQUI>

Limites e pressupostos do projeto

1. O cliente é responsável por todos os requisitos de preparação do site e verifica se eles são atendidos de acordo com o pacote de preparação do cliente “OpenMethods”.
2. O cliente é responsável por fornecer um recurso disponível com acesso a nível de administrador às instâncias de CRM necessárias.
3. O cliente é responsável por fornecer contas “Test” a serem usadas para realizar testes de validação. Todas as credenciais devem ser fornecidas por meio de métodos seguros (por exemplo, Zoom Chat, Slack com exclusão, E-mail não permitido).
4. O cliente é responsável por fornecer conectividade segura aos serviços OpenMethods. 
5. O cliente concorda em cumprir as funções de interessados, conforme definidas no "Anexo A", e entende que elas são necessárias para uma implementação bem-sucedida. 
6. O cliente reconhece que parte ou toda a solução necessária pode ser fornecida como configuração personalizada (nomeada aqui como “Serviços personalizados”) para atender a requisitos específicos descritos nesta declaração de trabalho e que:  

a. quaisquer Serviços personalizados criados como parte deste projeto são fornecidos como estão. O OpenMethods garantirá que a implementação esteja livre de defeitos materiais por um período de 60 dias, após o qual não faz quaisquer garantias ou garantias sobre a funcionalidade, a compatibilidade ou o desempenho a longo prazo desse Ativo de Serviços. 

b. embora desenvolvido usando APIs e Interfaces publicadas em serviços integrados, os Serviços personalizados podem exigir modificações ou atualizações para permanecerem compatíveis com atualizações ou alterações futuras do software fornecido pelo OpenMethods ou de APIs ou serviços de terceiros integrados. O OpenMethods não será responsável por oferecer suporte ou manter uma configuração personalizada desatualizada ou incompatível devido a essas atualizações. A OpenMethods fornecerá Support contínuo ao Cliente para os produtos entregues apenas com base nos melhores esforços e não será obrigada a corrigir quaisquer deficiências comunicadas ao Cliente após a expiração do Período de Garantia. Quaisquer solicitações de modificações, atualizações ou Support para configurações personalizadas desatualizadas estarão sujeitas a um relatório de trabalho separado e podem gerar custos adicionais.     

7. de estarão sujeitos a uma declaração de trabalho separada e podem gerar cobranças adicionais.

Taxas de serviços profissionais

As taxas de serviço profissional citadas nesta declaração de trabalho são válidas por 90 dias a partir da entrega inicial do SOW ao cliente e vencem dentro de 30 dias da execução desta declaração de trabalho. Este pacote de serviço de integração expira seis meses a partir da Data de início da assinatura.

O cliente autoriza o OpenMethods a fornecer serviços profissionais e a faturar o cliente pelo Zendesk para esses serviços profissionais, conforme estabelecido nesta declaração de trabalho. Esta declaração de trabalho do OpenMethods entrará em vigor na data em que o cliente e a Zendesk executarão o SOW do Zendesk (ou documento de ordem semelhante) ao qual esta declaração de trabalho do OpenMethods é anexada.

 

ANEXO A – REQUISITOS PARA AS PARTES INTERESSADAS

 

Exemplo 1 

CONTRATO PRINCIPAL DE SERVIÇOS

Tendo em conta as promessas mútuas, acordos e contratos aqui contidos, as partes concordam que a relação comercial será regida pelo seguinte:

1. O objeto deste contrato é a prestação de serviços pela empresa BCR TELECOMUNICAÇÕES LTDA ("Contratante") emSOFTWARE AS A SERVICE PLATFORM FOR CX, nos parâmetros e modalidades escolhidos e presentes no Termo de Especificação do Contrato.
2. Os seguintes produtos e serviços são oferecidos pelo Contratante, em conjunto ou separadamente, conforme contratado:

1. Conciex Talk: Solução CCaaS, com relatórios, painel de administração e uma interface do agente fácil de usar, focada em melhorar as experiências e reduzir custos e se integra com diferentes CRMs no mercado.

2. Conciex Messaging: aplicação que funciona como uma plataforma de comunicação que ajuda os usuários a enviar mensagens individuais ou em massa de diferentes canais (WhatsApp, SMS e email) por meio de integrações com CRMs de mercado

3. Os serviços do contratante aplicáveis que o Cliente encomenda ao contratante sob este Contrato serão estabelecidos no Contrato de Venda da Zendesk (conforme definido abaixo).
4. A Zendesk, Inc., uma corporação de Delaware e qualquer uma de suas afiliadas aplicáveis (“Zendesk”) servirá como agente de faturamento para a(s) assinatura(s) do(s) Cliente(s) dos Serviços do Contratante encomendados pelo Cliente a um Contratante ao abrigo deste Contrato de acordo com o Contrato de Venda da Zendesk. “Contrato de Venda da Zendesk” significa a ordem de serviço, contrato ou documento de pedido semelhante emitido pela Zendesk ao Cliente, ao qual este Contrato é anexado ou incorporado, que estabelece, sem limitação, o plano de assinatura do Cliente, o prazo de assinatura, as taxas e a cobrança pelos serviços do Contratante sob este Contrato. As partes concordam que a Zendesk tem permissão para receber informações de preços e contratuais relacionadas aos serviços do contratante que o Cliente encomenda sob este Contrato de acordo com um Contrato de Venda da Zendesk, conforme necessário para que a Zendesk atue como agente de faturamento.

1. Os termos e condições específicos, assinados pelas partes no fechamento, são incorporados neste Contrato por referência e serão considerados incorporados em todas as declarações de trabalho.
2. Ambos devem ser lidos, aplicados e compreendidos juntos, no entanto, em caso de divergência entre este ("MSA") e o acima mencionado ("Termo e Condições Específicas"), prevalecerá este último.
3. Esse termo também se aplicará às possíveis alterações que possam ser assinadas entre as partes.

3.1 O prazo da assinatura dos serviços do Contratante pelo Cliente será estabelecido no Contrato de Venda da Zendesk ao qual este Contrato é anexado.

3.2        Este Contrato pode ser rescindido imediatamente nos seguintes casos: 

3.3.1 Incumprimento ou incumprimento irregular das cláusulas contratuais, por qualquer uma das partes, desde que não seja corrigido no prazo de 10 (dez) dias após a notificação por escrito;

3.3.2 Em caso de insolvência, falência, dissolução ou pedido de reorganização judicial ou extrajudicial, de qualquer uma das partes;

3.3.3 ocorrência de evento fortuito ou de força maior, que torna impossível ou difícil a prestação do serviço;

3.3.4 Em caso de comercialização ou cessão dos serviços contratados a terceiros pela Parte Contratante sem o consentimento prévio do Contratante, não cumprimento de disposições legais ou utilização dos serviços de forma fraudulenta ou ilegal.

4.1                       O cliente pagará todas as taxas dos serviços do contratado à Zendesk especificadas no Contrato de Venda da Zendesk. Quaisquer modificações nos serviços do contratante que o cliente adquira do contratante através do Zendesk estarão sujeitas a uma ordem de alteração ou alteração.

4.2 Após a notificação da Parte Contratante, se o atraso persistir por mais de 15 (quinze) dias, os serviços serão imediatamente suspensos, sem prejuízo dos pagamentos devidos, e o contrato pode ser rescindido, a critério do Contratante, após 30 (trinta) dias de interrupção total sem pagamento devido, e nenhuma indemnização ou compensação de qualquer tipo é devido, em qualquer circunstância.

4.3 Para a inicialização de quaisquer serviços e configurações, um valor pode ser cobrado se o SETUP for estipulado no prazo, e o início está condicionado ao pagamento, que deve ocorrer, mesmo se o cancelamento ocorrer durante o procedimento, pois corresponde ao tempo dedicado.

5.1 O Contratante está ciente de que a prestação de serviços pode exigir que o Contratante tenha infraestrutura básica, como acesso à Internet e espaço interno, nestes casos, o Contratante não será responsável por impactos decorrentes de serviços prestados por terceiros. 

5.2 O contrato pode ser considerado rescindido por lei se a impossibilidade técnica ou operacional for constatada no momento da instalação/inicialização dos serviços, sem que as partes tenham direito a qualquer compensação.

6.1 O Contratante deve cumprir as Responsabilidades e Procedimentos de Suporte anexados na Parte A.

6.2 O Contratante declara e garante que os serviços do Contratante alcançarão uma porcentagem mensal de disponibilidade de pelo menos 99,9% em qualquer mês corrido (ou seja, tempo de inatividade máximo de quarenta e três (43) minutos por mês) durante o Período. A manutenção planejada/tempo de inatividade deve ser limitado a menos de quatro (4) horas em um determinado mês e o Contratante fornecerá pelo menos sete (7) dias de antecedência por escrito (e-mail aceitável) notificação ao Cliente de tal indisponibilidade (“Tempo de inatividade programado”).

6.3 O contratante fornecerá ao cliente pelo menos seis (6) meses de antecedência de qualquer fim de vida útil ou descontinuação do recurso.

7.1 As partes concordam que, para fins de prestação de serviços, os termos aqui tratados devem ser lidos e interpretados de acordo com a Lei Geral de Proteção de Dados (Lei 13.709/2018).

7.2 As partes comprometem-se, por si mesmas e pelos seus funcionários, por meio deste contrato, a cumprir, durante a prestação do serviço, as leis e determinações legais em vigor em matéria de Proteção de Dados Pessoais, nomeadamente a Lei 13.709/2018.

7.3 O Contratante compromete-se a seguir os melhores padrões de segurança usados para garantir a segurança de seus clientes, de modo que todas as informações fornecidas pelo Contratante sejam protegidas por empresas especializadas e todas as informações coletadas através da Plataforma serão armazenadas em ambientes seguros com acesso restrito.

7.4 Você declara e garante que apenas nos fornecerá informações verdadeiras, completas e atualizadas. O Contratante não será responsável pelas informações fornecidas pelo Contratante, incluindo não ser obrigado a inspecionar ou controlar a veracidade das informações fornecidas durante qualquer estágio do uso da Plataforma. A Parte Contratante é responsável, civil e criminalmente, pela veracidade das informações fornecidas.

7.5 O Contratante reserva-se o direito de suspender ou encerrar a prestação de serviços nos casos em que as informações fornecidas pelo Contratante sejam falsas ou sejam consideradas ilegais por qualquer autoridade judicial ou administrativa.

7.6 O Contratante pode, a qualquer momento, se o Contratante for notificado previamente, suspender imediatamente os serviços prestados, em caso de ordem judicial ou resultante de legislação que proíba ou impeça a prestação de serviços.

7.7 Apenas divulgaremos as informações fornecidas por você a terceiros se for exigido por uma autoridade judicial. O Contratante fornecerá todas as informações solicitadas pelo Governo, por agências públicas ou pela administração direta ou indireta, se forem devidamente justificadas e compatíveis com a lei em vigor, com autorização judicial e notificará imediatamente o Contratante, que adotará as medidas legais que considere pertinentes e apropriadas.

7.8 A Parte Contratante tem o direito de obter, a qualquer momento, mediante pedido formal de 15 (quinze) dias de antecedência, informações sobre os seus dados tratados pela BCR.CX, ou suspender a autorização para o tratamento de dados, conforme garantido pela Lei Geral de Proteção de Dados (Lei 13.709/2018).

7.9 As partes comprometem-se a denunciar, no prazo de 24 horas, qualquer violação de segurança no âmbito das suas atividades e responsabilidades

7.10 O contratante deve cumprir as Medidas de Segurança da Informação anexadas como Exemplo B.

8.1 O Contratante declara que este contrato, bem como todos os serviços prestados, estão em conformidade com os critérios ESG, respeitando e implementando as melhores práticas ambientais, sociais e de governança.

8.2 Na sua actividade, o Contratante respeita e implementa medidas para combater a prática de lavagem de dinheiro e corrupção em todas as suas formas, incluindo extorsão e suborno, respeitando toda a legislação aplicável, especialmente a lei de "lavagem" ou ocultação de ativos, direitos e valores (Lei 9.613/98) e a lei anticorrupção (Lei 12.846/2013).

8.3 O Contratante adota e apoia compromissos sociais para combater práticas ilegais, comportamento discriminatório e desumano nas relações de trabalho.

8.4 O Contratante se esforça para prestar os seus serviços de forma sustentável e atenciosa ao fator ambiental, mitigando os riscos ambientais e aplicando políticas de preservação ambiental em suas atividades, evitando práticas prejudiciais, e cumprindo com a Legislação Ambiental vigente, incluindo, mas não limitado a, a Lei Nacional de Política Ambiental (Lei 6.938/1981) e a Lei de Crimes Ambientais (Lei 9.605/1998)

8.5Observar e assegurar que seus agentes e funcionários cumprem as políticas, normas e normas estabelecidas pela outra Parte, quando permanecem em seus locais, obrigando, por si mesmo, seus funcionários e quaisquer subcontratados, a cumprir as normas relativas à segurança, ao ambiente, à higiene e à medicina ocupacional e ao trabalho de menores.

9.1 As partes declaram, no ato contratual, uma manifestação válida e efetiva de acordo com este termo.

9.2As partes escolhem a jurisdição de São Paulo - SP, domicílio do Contratante, para resolver quaisquer questões decorrentes deste instrumento.

 

Cópia A – Responsabilidades e procedimentos de suporte

1. Definições

Nesta exibição A:

(a) “soporte de Nível 1” significa o primeiro nível de soporte fornecido ao cliente pelo contratante para coletar informações do cliente, verificar sintomas e transferir, se necessário, para o soporte de Nível 2.

(b) “Support de Nível 2” significa o segundo nível de Support fornecido pelo Contratante ao Cliente que aborda problemas operacionais e de infraestrutura e resoluções dos serviços do Contratante.

(c) “Support de Nível 3” significa o terceiro nível de Support fornecido pelo Contratante que abrange a resolução de bugs de código de aplicativo ou código de infraestrutura.

(d) “Tempo de soporte do contratado” para problemas não críticos e não importantes de impacto nos negócios significa entre as 9h00 e as 24h BRT em um dia útil (de segunda a sexta-feira, todas as semanas do ano). As horas de soporte e as obrigações de resposta para problemas críticos e principais de impacto nos negócios são conforme descrito abaixo.

2. Obrigações de suporte ao contratante

O Contratante deve fornecer ao Cliente todo o Support em relação a questões identificadas pelo Cliente e comunicadas ao Contratante. Esses serviços de Support serão fornecidos por meio do sistema de tickets da central de suporte do Zendesk.

O contratante responderá às solicitações de Support:

(a) em relação aos problemas de Impacto Crítico nos Negócios, dentro de trinta (30) minutos, vinte e quatro (24) horas por dia, trezentos e sessenta e cinco (365) dias por ano. O contratante fornecerá ao cliente (e à Zendesk, se esses problemas de Impacto Crítico nos Negócios estiverem relacionados a solicitações de Support ao cliente encaminhadas ao contratante pela Zendesk) atualizações sobre os problemas de Impacto Crítico nos Negócios a cada trinta (30) minutos até que o problema seja resolvido. Impacto crítico nos negócios deve ser definido como um problema que interrompa a funcionalidade material no ambiente de produção nos serviços do contratante ou compromete a segurança/integridade dos dados nos serviços do contratante. Os problemas críticos de impacto nos negócios permanecerão enquanto a interrupção estiver em andamento, a necessidade de resolução é urgentemente urgente e não há solução razoável disponível;

(b) em relação aos principais problemas de impacto nos negócios dentro de uma (1) hora, vinte e quatro (24) horas por dia, trezentos e sessenta e cinco (365) dias por ano. O contratante fornecerá ao cliente (e à Zendesk, se esses problemas de Impacto Crítico nos Negócios estiverem relacionados a solicitações de Support ao cliente encaminhadas ao contratante pela Zendesk) atualizações sobre os principais problemas de Impacto nos Negócios a cada hora (1) até que o problema seja resolvido. Impacto importante nos negócios deve ser definido como um problema que degrada uma funcionalidade material ou interrompe significativamente ou degrada a operação normal dos negócios do cliente, está no ambiente de produção de um cliente e é altamente sensível ao tempo e/ou é necessário um esforço não planejado significativo para lidar com o problema para manter as operações normais dos negócios; 

(c) para outros problemas e consultas, dentro de seis (6) horas de soporte do contratado;

(d) resolver problemas levantados dentro de um prazo comercialmente razoável; e

(e) fornecendo atualizações contínuas sobre problemas não resolvidos pelo menos uma vez por semana até que o problema seja resolvido com êxito.

 

Ponto B – Medidas de Segurança da Informação

O Contratante garante e declara que empregará esforços comercialmente razoáveis para implementar e manter as medidas de segurança detalhadas abaixo para manter todo o conteúdo, materiais, dados (incluindo dados pessoais) e informações não públicas fornecidas ou disponibilizadas pelo Cliente (coletivamente, “Dados”) seguros e proteger os Dados contra processamento não autorizado ou ilícito, perda acidental, destruição ou dano, conforme detalhado abaixo. Ao fazer isso, o Contratante agirá de boa fé e diligência, usando o cuidado e a habilidade razoáveis. 

A. Definições:

• “Processo” significa qualquer operação relacionada aos Dados, independentemente dos fins e meios aplicados, incluindo, sem limitação, acesso, coleta, retenção, armazenamento, transferência, divulgação, uso, exclusão, destruição e qualquer outra operação.
• “Violação” significa qualquer (a) Processamento não autorizado de Dados ou (b) qualquer ato ou omissão que comprometa ou comprometa as salvaguardas físicas, técnicas ou organizacionais implementadas pelo Contratante em relação ao Processamento de Dados ou de outra forma implementadas para cumprir esses requisitos. Para evitar dúvidas, “Processamento não autorizado” inclui, mas não se limita a: uso indevido, perda, destruição, compromisso ou acesso não autorizado, coleta, retenção, armazenamento ou transferência.
• “Incidente” significa qualquer prejuízo à segurança dos Dados, incluindo qualquer (i) ato que viole qualquer lei ou política de segurança do contratante, (ii) interrupção não planejada do serviço que impeça o funcionamento normal dos serviços do contratante ou (iii) violação.

2. Medidas: Medidas técnicas e organizacionais para o armazenamento, o gerenciamento e a eliminação de e Dados.

• O contratante utilizará algoritmos de criptografia padrão do setor e principais pontos fortes para criptografar o seguinte:
• Criptografar todos os Dados que estão em formato eletrônico enquanto estão em trânsito por todas as redes públicas com fio (ou seja, Internet) e todas as redes sem fio. 
• Criptografar todos os Dados enquanto estiverem armazenados. “Em armazenamento” significa informações armazenadas em bancos de dados, em sistemas de arquivos e em várias formas de mídia online e offline (dispositivos móveis, laptops, DASD, fita, etc.) e também é normalmente chamado de “em repouso”.
• Exceto quando proibido por lei, o Contratante removerá os Dados imediatamente após (a) a conclusão dos serviços do Contratante; ou (b) a solicitação do Cliente de serem removidos do ambiente do Contratante, e os destruirá dentro de um período de tempo razoável, mas em nenhum caso mais de vinte e um (21) dias após a data da solicitação ou cessação dos serviços. O contratante fornecerá ao cliente uma certificação escrita sobre essa remoção, destruição e/ou limpeza dentro de trinta (30) dias a partir dessa ocorrência.

3. Medidas: Proteção contra código malicioso. 

• Todas as estações de trabalho e servidores (virtuais ou físicos) executarão a versão atual do software antivírus e/ou antimalware padrão do setor com as atualizações mais recentes disponíveis em qualquer estação de trabalho ou servidor. As definições de vírus devem ser atualizadas imediatamente após a publicação pelo provedor do software antivírus. O contratante configurará o equipamento e terá políticas de suporte para proibir que os usuários desativem o software antivírus, alterem as configurações de segurança ou desativem outras medidas de proteção implementadas para garantir a segurança dos Dados ou do ambiente de computação do contratante.
• O contratante analisará o conteúdo enviado e recebido em busca de código malicioso em todos os gateways para redes públicas, incluindo servidores de e-mail e proxy.
• O contratante colocará em quarentena ou removerá os arquivos que foram identificados como infectados e registrará o evento.

4. Medidas: Medidas técnicas e organizacionais para o controle de acesso, especialmente para controlar a legitimidade dos usuários autorizados nas instalações e nos sistemas onde os Dados podem ser acessados:

• O contratante garante que sejam tomadas medidas para proteger os locais (por exemplo, proteger entradas e saídas), bem como medidas dentro de seu edifício, usando os procedimentos a seguir:
• segurança e criptografia de todos os computadores pessoais ou outros dispositivos móveis que podem acessar os Dados;
• acesso limitado a funcionários e contratados, exceto visitantes autorizados; 
• identificação das pessoas com autorização de acesso;
• restrição de chaves;
• catálogo de visitantes (incluindo cronograma); e
• sistema de alarme de segurança ou outras medidas de segurança apropriadas.

O contratante revogará o acesso a locais físicos, sistemas e aplicativos que contenham ou processem Dados dentro de vinte e quatro (24) horas após a cessação da necessidade desse agente autorizado de acessar o(s) sistema(s) ou aplicativo(s).

5. Medidas: Medidas técnicas (proteção por senha/senha) e organizacionais (registro principal do usuário) relacionadas à identificação e autenticação de usuários:
   
   

O Contratante informará ao Cliente, a pedido razoável, quais pessoas autorizadas estão encarregadas do acesso aos Dados.

O controle do usuário inclui as seguintes medidas:

• Perfil de VPN restrito;
• implementação da autenticação de dois fatores

O controle de acesso aos Dados inclui as seguintes medidas:

• medidas disciplinares eficazes e mensuradas contra indivíduos que acessam dados sem autorização.

6. Medidas: Medidas técnicas e organizacionais relacionadas à segurança de redes (incluindo redes sem fio) utilizadas pelo contratante.

Todos os controles de rede devem incluir as seguintes medidas:

• O contratante executará regularmente verificações de vulnerabilidade de rede internas e externas. As vulnerabilidades identificadas serão corrigidas de maneira comercialmente razoável e com base na gravidade.
• O contratante implantará uma tecnologia de firewall razoavelmente apropriada no funcionamento de suas redes. 
• No mínimo, o contratante analisará os conjuntos de regras de firewall trimestralmente para garantir que as regras legadas sejam removidas e as regras ativas sejam configuradas corretamente.
• O contratante implantará sistemas de detecção ou prevenção de intrusão para monitorar as redes quanto a atividades inadequadas.
• O contratante deve implantar uma solução de gerenciamento de registros e reter registros produzidos por firewalls e sistemas de detecção de intrusão por um período mínimo de um (1) ano.

Os controles de rede sem fio devem incluir as seguintes medidas adicionais:

• O acesso à rede a redes sem fio deve ser restrito apenas aos autorizados. 
• Os pontos de acesso devem ser segmentados de uma LAN interna com fio usando um dispositivo de gateway.
• O identificador do conjunto de serviços (SSID), a ID do usuário do administrador, a senha e as chaves de criptografia serão alterados do valor padrão.
• A criptografia de todas as conexões sem fio será ativada usando algoritmos de criptografia padrão do setor. Os protocolos de criptografia serão baseados em "Acesso protegido por rede sem fio" (WPA2) ou mais forte. 

7. Medidas: O contratante manterá uma função de resposta a incidentes capaz de identificar, mitigar os efeitos e evitar a recorrência de incidentes. Se ocorrer um Incidente, o Contratante (i) tomará prontamente todas as medidas necessárias para evitar qualquer compromisso adicional dos Dados ou quaisquer Incidentes futuros; (ii) notificará o Cliente dentro de vinte e quatro (24) horas após a identificação do Incidente e fornecerá um relatório escrito dentro de três (3) dias; e (iii) responderá prontamente a qualquer solicitação razoável do Cliente para obter informações detalhadas relacionadas ao Incidente. O aviso e o relatório do contratante conterão uma descrição da natureza do Incidente, seu impacto e quaisquer ações de investigação, correção ou correcção tomadas ou planejadas.

8. Medidas: Continuidade de negócios e recuperação de desastres. O contratante implementará um plano de continuidade comercial razoável e padrão do setor para manter a disponibilidade dos serviços do contratante (o “Plano de Continuidade”). O plano de continuidade inclui, mas não está limitado a, elementos como (a) gerenciamento de crise, ativação do plano e da equipe, documentação do processo de eventos e comunicação; (b) gerenciamento de eventos, recuperação de negócios, localizações alternativas de localização e teste de árvore de chamada; e (c) detalhes da infraestrutura, tecnologia e sistema, atividades de recuperação e identificação das pessoas / equipes necessárias para essa recuperação. O contratante deve manter esse plano de continuidade durante toda a assinatura; desde que o contratante tenha o direito de modificar ou alterar o plano de continuidade, desde que tal modificação ou alteração não tenha um efeito negativo significativo na capacidade do contratante de manter a disponibilidade dos serviços do contratante.

1. A pedido do Cliente, o Contratante deve fazer modificações comercialmente razoáveis em seu programa de segurança da informação ou nos procedimentos e práticas ao abrigo dele para atender aos requisitos de segurança de base do Cliente, conforme descrito em todas as fichas aplicáveis ao Contrato e conforme existem de tempos em tempos. O Cliente fornecerá ao Contratante a documentação dessas linhas de base, que fará parte das informações confidenciais do Cliente sob o Contrato. O contratante desenvolverá um plano de segurança da informação escrito para o cliente contendo, no mínimo, os tópicos exigidos neste Contrato.

 

 

Exemplo 1 

Contrato do cliente final da Aircall

Este Contrato do Cliente Final da Aircall (“ECA”) regula a relação entre o Cliente (“Você” ou “Cliente”) e a Aircall (“nós” ou “Aircall”) no contexto dos serviços prestados ao abrigo do acordo contratual mais amplo entre a Zendesk e o Cliente (“Contrato da Zendesk”). 

Este ECA é efetivo a partir da data em que o Cliente concorda pela primeira vez com ou aceita os termos aqui contidos, ou de outra forma usa ou acessa os Serviços pela primeira vez (a “Data Efetiva”). Este ECA é um contrato vinculativo entre o cliente e a Aircall, e não com a Zendesk. Em caso de conflito entre o Contrato Zendesk e este ECA, em relação aos Serviços Aircall que são Serviços Não Zendesk ao abrigo do Contrato Zendesk, este ECA prevalecerá. 

Este ECA incorpora por referência os Termos e Condições da Aircall (“T&Cs”), disponíveis em https://legal.aircall.io/ conforme alterado de tempos em tempos, exceto conforme expressamente modificado ou complementado aqui. Em caso de conflito ou inconsistência entre os termos do ECA e os T&Cs, os T&Cs controlam. A exibe o conjunto aplicável de T&Cs aplicáveis, dependendo da localização geográfica do Cliente.

Ao usar os Serviços da Aircall, você concorda com os termos estabelecidos nesta ECA e os T&Cs aplicáveis. O TCE e os T&Cs são chamados juntos de “Acordo”. 

1. Definições

Os termos em letras maiúsculas usados, mas não definidos neste Contrato, terão os significados atribuídos a eles nos T&Cs.

2. Documentos contratuais - Ordem de Precedência

O Contrato entre o Cliente e a Aircall em relação aos serviços da Aircall é composto pelos T&Cs relevantes da Aircall (conforme detalhado na Parte A abaixo), incluindo qualquer Adição aplicável aos T&Cs, esta ECA, incluindo os Exemplos da ECA, o Contrato de Processamento de Dados da Aircall (conforme definido abaixo) e, quando aplicável, qualquer Formulário de Pedido ou Compra (conforme definido na Seção 1 dos T&Cs). 

Em caso de qualquer conflito ou inconsistência entre os documentos que compõem este Contrato, a seguinte ordem de prioridade será aplicável (da mais alta à mais baixa): (i) o Contrato de Processamento de Dados da Aircall; (ii) este Contrato do Cliente Final, apenas em relação a: (a) termos relacionados a taxas, faturamento e pagamento tratados pela Zendesk conforme descrito na Seção 5.1 abaixo, (b) compromissos específicos expressamente estabelecidos aqui, na Parte B e na Seção 11.5; (iii) os Termos e Condições da Aircall; (iv) quando aplicável, quaisquer Formulários de Pedido e/ou Documentos de Compra.

Exceto conforme descrito explicitamente acima, os Termos e Condições da Aircall, alterados periodicamente, prevalecerão sobre este Contrato com o Cliente Final.

3. Escopo dos Serviços

Os Serviços IArcall podem incluir o fornecimento de números de telefone, telefonia de entrada e saída, gerenciamento de chamadas, funcionalidades de IA e outros recursos relacionados, conforme atualizado de tempos em tempos (juntamente os “Serviços”). O Cliente reconhece e concorda que a prestação de serviços de telefone e números de telefone é uma atividade regulamentada fornecida diretamente e exclusivamente pela entidade contratante relevante da Aircall conforme descrito na peça A.

Esses Serviços estão sujeitos aos termos descritos nos Termos e Condições da Aircall, disponíveis em https://legal.aircall.io/. Os termos e regras que regem o acesso e o uso dos Serviços são regidos pelas Seções 3 a 4 dos T&Cs. 

4. Niveles de serviço

Os níveis de serviço e as obrigações de tempo de atividade estão descritos na peça C.

5. Taxas e cobrança

   1. Taxas, faturamento e pagamento

1. Taxas fixas (faturadas pela Zendesk).

O cliente pagará à Zendesk todas as taxas de assinatura recorrentes dos Serviços conforme definido no SOW ou fatura da Zendesk aplicável. Os termos sobre faturamento e pagamento de taxas de assinatura são regidos pelo Contrato do Zendesk.

2. Taxas de uso e taxas adicionais (faturadas pela Aircall).

Para fins desta Seção: 

1. “Taxas adicionais” significa as cobranças, taxas ou custos incorridos pelo Cliente de tempos em tempos em conexão com os Serviços, exceto Taxas de Uso, incluindo taxas para Compras feitas por meio do Painel Aircall (incluindo, mas não limitado a, Usuário adicional e Números adicionais conforme definido nos Termos e Condições).

2. “Taxas de uso” significa taxas de chamada por minuto ou outras taxas baseadas em consumo associadas ao uso real dos Serviços pelo Cliente, conforme descrito na Seção 7 dos T&Cs. 

Salvo disposição em contrário em um SOW, a Aircall faturará diretamente ao Cliente quaisquer Taxas de Uso e/ou Taxas Adicionais incorridas sob este Contrato em relação ao Uso pelo Cliente dos Serviços e/ou qualquer Compra feita pelo Cliente, conforme indicado pela Aircall de tempos em tempos, inclusive através dos Painéis da Aircall ou por aviso separado. A cobrança pode ocorrer mensalmente em atrasos ou com outra frequência especificada pela Aircall de tempos em tempos.

2. impostos.

As taxas aplicáveis não incluem impostos e taxas adicionais exigidos por leis aplicáveis, incluindo IVA, custos/desembolsos, encargos, avaliações regulatórias ou quaisquer outros direitos, taxas, taxas de registro ou impostos que sejam cobrados adicionalmente. Quando aplicável, o valor faturado e/ou os montantes cobrados ao Cliente podem, portanto, flutuar de mês para mês e o Cliente concorda em pagar todas as taxas e/ou impostos devidos.

6. Propriedade intelectual e licença

Conforme descrito na Seção 5 dos Termos e Condições, o Cliente reconhece e concorda que a Aircall ou, quando relevante, suas afiliadas possuem todos os direitos, títulos e interesses em e em todos os direitos de propriedade intelectual na Solução Aircall e no Site, bem como qualquer conteúdo deles ou neles. Todos os direitos não concedidos expressamente ao Cliente são reservados à Aircall e aos seus licenciadores. Os Serviços podem conter software ou código de código aberto e o Cliente reconhece que o uso indevido dos Serviços pode violar os direitos de IP de terceiros.

Sujeito ao cumprimento contínuo e pleno por parte do Cliente de todos os termos e condições deste Contrato (incluindo os Termos e Condições Aircall relevantes), a Aircall concede ao Cliente e aos seus Usuários, conforme aplicável, durante o Período, uma licença revogável, não transferível (exceto conforme previsto na Seção 3.2 dos Termos e Condições), não exclusiva, limitada e direito de acesso e uso do Site, da Licença de Número, da Licença de Usuário, do Painel Aircall e desses determinados Serviços devidamente comprados ou pedidos pelo Cliente sob o seu Plano (incluindo quaisquer números Aircall devidamente comprados ou pedidos) apenas para os seus propósitos comerciais internos e apenas conforme permitido por este Contrato.

7. Obligações do cliente e restrições de uso

   1. Conformidade com as leis. O cliente concorda em usar os Serviços em conformidade com todas as leis e regulamentos aplicáveis, incluindo as que regem as telecomunicações, a privacidade e a proteção de dados.

   2. Política de uso permitido. O Cliente é responsável pelo cumprimento da Política de Uso Permitido (“PUP”) por si e pelos seus Usuários, conforme detalhado na Seção 6 dos T&C (acessível aqui: https://legal.aircall.io/). 

   3. Atividades Proibidas. O Cliente não deve (i) usar os Serviços para qualquer propósito ilegal ou fraudulento e/ou em violação do PUP, (ii) revender os Serviços, a menos que permitido pela Aircall, ou (iii) contornar ou violar qualquer dispositivo de segurança ou proteção usado em conexão com os Serviços.

   4. Configuração da conta. O cliente é responsável por manter a confidencialidade de sua Conta do cliente (conforme definido na Seção 1 dos T&Cs) - incluindo suas credenciais e de qualquer Usuário e todas as atividades que ocorram nas Contas.

   5. Cooperação regulatória. Quando necessário para cumprir as regulamentações aplicáveis, o Cliente deve fornecer qualquer informação ou documentação solicitada à Aircall em tempo hábil (por exemplo, comprovante de identidade, localização) e deve cooperar com qualquer investigação governamental ou regulatória legal relacionada ao uso dos Serviços.

8. Confidencialidade

   1. Conforme detalhado na Seção 6 dos T&Cs, ambas as partes concordam em manter a confidencialidade de qualquer informação não pública divulgada sob este Contrato.

   2. O cliente não pode divulgar informações confidenciais da Aircall a terceiros sem consentimento prévio por escrito, exceto conforme exigido por lei.

9. Proteção de dados e privacidade

   1. Privacidade. A Aircall leva a privacidade de seus clientes a sério e usará as informações de identificação pessoal fornecidas pelo cliente de acordo com:

1. os termos e condições contidos no Contrato de Processamento de Dados https://aircall.io/dpa/ , quando tais informações constituem Dados Pessoais (conforme definido no Contrato de Processamento de Dados) e quando a Aircall processa tais informações em nome do Cliente; e

2. as condições descritas na Política de Privacidade da Aircall disponível em: https://aircall.io/privacy/ , onde a Aircall processa essas informações para os fins e pelos meios determinados conjuntamente ou independentemente pela Aircall (como controlador de dados).

2. Contrato de Processamento de Dados. Ao entrarem neste Contrato, as partes também entram no Contrato de Processamento de Dados, que forma parte inseparável do mesmo.

3. Segurança da informação. A Aircall se esforça para usar salvaguardas técnicas e operacionais comercialmente razoáveis projetadas para proteger os Dados do Cliente e as Informações Confidenciais do Cliente contra uso ou divulgação não autorizados de acordo com os termos do Exemplo B. Quando os Dados do Cliente constituem Dados Pessoais e seu Processamento pela Aircall estiver sujeito ao Contrato de Processamento de Dados, a Aircall protegerá esses Dados Pessoais implementando as medidas técnicas e operacionais descritas no Contrato de Processamento de Dados.

10. Garantias, isenções de responsabilidade e indenização

    1. Garantias: De acordo com a Seção 10 dos T&Cs, a Aircall fornecerá os serviços de maneira profissional e profissional. No entanto, a Aircall não garante o funcionamento ininterrupto ou sem erros dos Serviços.

    2. Aviso: De acordo com a Seção 10.3 dos T&Cs, na maior extensão permitida por lei, a Aircall isenta-se de todas as garantias implícitas, incluindo a comercialização e a adequação para um propósito específico.

    3. Indenização: De acordo com a Seção 11 dos Termos e Condições, o Cliente concorda em indemnizar e isentar a Aircall de quaisquer reclamações, danos ou responsabilidades decorrentes do seu uso dos serviços ou violação deste Contrato.

    4. Responsabilidade: NO MÁXIMO PERMITIDO POR LEI APLICÁVEL, EM NENHUM CASO A RESPONSABILIDADE CUMPLATIVA DA AIRCALL OU DE SUAS AFILIADAS SUPERARÁ O IMPORTO TOTAL PAGADO OU DEVIDO PAGAR POR O CLIENTE POR OS SERVIÇOS DURANTE OS DOZE (12) MESES ANTERIORES À RECLAMAÇÃO QUE DÃO RAZÃO A ESTE DANO OU CENTOS DE EUROS (100€) SE PARA UM PROCESSO GRÁTIS. NA EXTENSÃO MÁXIMA PERMITIDA PELA LEI APLICÁVEL, A AIRCALL NENHUM CASO SERÁ RESPONSÁVEL POR QUALQUER DANO CONSECUENTAL, INDIRECTO, INCIDENTAL, EXEMPLAR, DE REPUTAÇÃO, ESPECIAL, OU PENITIVO DE QUALQUER TIPO, COMO PERDA DE DADOS OU GANHO, OU INTERRUPÇÃO DE NEGÓCIOS, PERDA DE OPORTUNIDADE DE NEGÓCIO, DANO À IMAGEM OU REPUTAÇÃO, SEJA EM QUALQUER UM DOS ANTERIORES, PROCEDENTE ENTRE CONTRATO, GARANTIA, TORTURA (INCLUSIVO NEGOCIEDADE OU RESPONSABILIDADE ESTRATA) OU QUALQUER OUTRA TEORIA DE RESPONSABILIDADE, MESMO SE A AIRCALL O AS AFILIADAS HAVEREM SIDO NOTIFICADAS ORALMENTE ORIAMENTE OUALMENTE DA POSSIBILIDADE. QUALQUER RECLAMACÃO OU CAUSA DE ACÇÃO RESULTANDO DO ACESSO OU UTILIZAÇÃO DO CLIENTE DO SITE E DOS SERVIÇOS DEVERÁ SER FORNECIDA OFICIALMENTE POR ESCRITO A AIRCALL POR CORREIO REGISTRADO COM RECEBIMENTO DE RECEBIMENTO DIRIGIDO A SUA SEDIÇÃO CENTRAL DENTRO DE UM (1) ANO DESDE QUE A RECLAMACÃO OU CAUSA DE ACÇÃO FORNECIDA OU SERÁ CONSIDERADA DESISTIDA POR CLIENTE.

11. Tempo, Suspensão e Rescisão

    1. Termo. Este Contrato começará na Data de vigência e permanecerá em vigor enquanto o Cliente tiver um período de assinatura ativo sob o Contrato da Zendesk ou usar qualquer parte dos Serviços, a menos que tenha sido encerrado anteriormente de acordo com esta Seção.

    2. Suspensão. A Aircall pode suspender ou limitar o acesso do Cliente e/ou dos Usuários aos Serviços imediatamente se (i) o Cliente estiver violando suas obrigações de pagamento de Taxas de Uso ou Taxas Adicionais, (ii) o Cliente e/ou qualquer Usuário estiver usando os Serviços em violação da lei ou destes termos, ou (iii) a suspensão for necessária para evitar danos materiais aos Serviços ou a outros clientes. Além de quaisquer outros direitos e recursos descritos neste documento, a Aircall pode suspender a prestação, o acesso e/ou o uso dos Serviços, total ou parcialmente, nos seguintes casos, conforme determinado pela Aircall a seu exclusivo, mas razoável, critério:

1. O Cliente ou qualquer Usuário está violando (i) os termos do Contrato (incluindo o não pagamento na data de vencimento), (ii) leis aplicáveis ou (iii) qualquer política fornecida ou disponibilizada ao Cliente por escrito, incluindo a Política de Uso Permitido;

2. no caso de o acesso e/ou uso dos Serviços por parte do Cliente ou de qualquer Usuário resultarem em degradação dos Serviços ou de outra forma prejudicarem os direitos da Aircall ou de terceiros;

Sem limitar o anterior, a Aircall pode suspender o acesso aos Serviços, se o Cliente não tiver cumprido dentro do prazo fornecido pela Aircall no aviso enviado pela Aircall ao Cliente, a Aircall pode suspender o acesso e a prestação dos Serviços até que essa violação, degradação ou dano tenha sido corrigido pelo Cliente. A suspensão não liberta o Cliente de sua obrigação de pagar taxas e quaisquer custos associados à reativação dos Serviços. A Aircall não será responsável por quaisquer danos decorrentes de qualquer suspensão dos Serviços.

3. Terminar. Sujeito aos Termos da Seção 12 dos T&Cs, qualquer uma das partes pode rescindir este Contrato (a) se a outra parte violar materialmente e não remediar dentro de trinta (30) dias após o recebimento do aviso escrito, ou (b) em caso de insolvência ou falência da outra parte. A rescisão do Contrato da Zendesk também pode resultar na rescisão deste Contrato, a menos que a Aircall e o Cliente concordem separadamente em continuar os Serviços.

4. Efeitos da rescisão. Após o cancelamento, o Cliente deve parar imediatamente de usar os Serviços e quaisquer obrigações de pagamento pendentes (incluindo taxas de uso acumuladas e taxas adicionais) serão vencidas e devidas. A Aircall fornecerá instruções razoáveis para a recuperação de quaisquer dados armazenados pelo cliente, se aplicável.

5. Aviso de fim de vida útil. A Aircall fornecerá ao Cliente pelo menos seis (6) meses de antecedência de fim de vida útil ou descontinuação da Solução Aircall, desde que esse período de antecedência não se aplique nos casos em que a descontinuação seja necessária devido a obrigações legais, regulamentares ou judiciais. A notificação será feita de acordo com os termos deste Contrato. 

12. Dereito aplicável e resolução de contestações

    1. Lei aplicável. Este Contrato será regido e interpretado de acordo com as leis especificadas nos T&Cs aplicáveis da Aircall. 

    2. Localização e jurisdição. Os tribunais ou órgãos de resolução de contestações indicados na parte A (T&Cs aplicáveis) têm competência exclusiva, salvo disposição em contrário da lei local.

    3. Resolução de contestações. Em caso de qualquer contestação, reivindicação, pergunta ou desacordo (“Contestação”) decorrente ou relacionado ao Acordo, as Partes farão o seu melhor para resolver a contestação por meio de discussões comerciais normais. Se a contestação permanecer sem resolução trinta (30) dias após a notificação da contestação fornecida por uma das Partes à outra, qualquer Parte poderá tomar novas medidas legais para resolver a contestação.

13. Alterações

A Aircall pode atualizar os Termos e Condições, incluindo alterações nas taxas, nos recursos dos Serviços Aircall ou no conteúdo das ofertas selecionadas pelo Cliente, ou em quaisquer políticas, com trinta (30) dias de aviso prévio ao Cliente no endereço de e-mail associado à Conta do Cliente. Essas atualizações entrarão em vigor trinta (30) dias após esse aviso ao Cliente. No caso de qualquer atualização afetar uma parte substancial do Contrato, o Cliente poderá, dentro de trinta (30) dias após o recebimento da atualização, notificar a rescisão do Contrato ou dos Serviços afetados sem custo ou penalidade e sem ter direito a qualquer compensação. Qualquer uso dos Serviços após a data de vigência será considerado aceitação pelo Cliente da alteração. A versão atualizada dos Termos e Condições será considerada incorporada a este Contrato por referência à data de vigência e governará o uso contínuo dos Serviços em conformidade. A versão atual dos T&Cs em vigor está disponível em: https://legal.aircall.io/ .

Para evitar dúvidas, especifica-se que nenhuma rescisão pode ocorrer se as alterações feitas forem impostas por lei ou regulamento e/ou se isso não afetar negativamente os elementos substanciais dos Serviços. 

14. Diversos

    1. Aviso. As notificações exigidas por este Contrato devem ser feitas por escrito e entregues:

1. para o Cliente: para os endereços especificados no formulário de pedido relevante ou por e-mail para o contato da conta designado.

2. para o Aircall: para o endereço indicado na parte A abaixo. 

2. CONTRATO INTEGRAL. Esta ECA (incluindo os T&Cs da Aircall e seus Exemplos de Contrato) constitui o acordo completo entre as partes sobre o assunto aqui e substitui todos os acordos ou entendimentos anteriores ou contemporâneos relacionados a esse assunto

Ao assinar e usar os Serviços da Aircall, o Cliente reconhece e concorda em estar vinculado pelos termos deste Contrato, incluindo os Termos e Condições da Aircall aplicáveis incorporados aqui por referência.

Exemplo A – Termos aplicáveis

 

Peça B - Medidas de Segurança da Informação

Tendo em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de variável probabilidade e gravidade para os Clientes, a Aircall usará esforços comercialmente razoáveis para implementar e manter medidas apropriadas substancialmente semelhantes às detalhadas abaixo, conforme apropriado, para manter o nível de risco de manter o conteúdo, materiais, dados (incluindo dados pessoais) e informações não públicas fornecidas ou disponibilizadas pelo Cliente (coletivamente, “Dados”) seguras e proteger os Dados contra processamento não autorizado ou ilegal, perda acidental, destruição ou dano, conforme estabelecido abaixo. Ao fazer isso, a Aircall agirá de boa fé e diligência, usando cuidados e habilidades razoáveis de acordo com os padrões do setor. 

A. Definições:

● “Processo” significa qualquer operação relacionada aos Dados, independentemente dos fins e meios aplicados, incluindo, sem limitação, acesso, coleta, retenção, armazenamento, transferência, divulgação, uso, exclusão, destruição e qualquer outra operação.

● “Violação” significa qualquer (a) Processamento não autorizado de Dados ou (b) qualquer ato ou omissão que comprometa ou comprometa as salvaguardas físicas, técnicas ou organizacionais implementadas pela Aircall em relação ao Processamento de Dados ou de outra forma implementadas para cumprir esses requisitos. Para evitar dúvidas, “Processamento não autorizado” inclui, mas não se limita a: uso indevido, perda, destruição, compromisso ou acesso não autorizado, coleta, retenção, armazenamento ou transferência.

● “Incidente” significa qualquer prejuízo à segurança dos Dados, incluindo qualquer (i) ato que viole qualquer lei ou política de segurança da Aircall, (ii) interrupção não planejada do serviço que impeça o funcionamento normal dos Serviços ou (iii) Violação.

B. Medidas: Medidas técnicas e organizacionais para o armazenamento, o gerenciamento e a eliminação de e Dados.

● A Aircall utilizará algoritmos de criptografia padrão do setor e principais pontos fortes para criptografar o seguinte:

● Criptografar todos os Dados que estejam em formato eletrônico enquanto estão em trânsito por todas as redes públicas com fio (ou seja, Internet) e todas as redes sem fio. 

● Criptografar todos os Dados enquanto estiverem armazenados. “Em armazenamento” significa informações armazenadas em bancos de dados, em sistemas de arquivos e em várias formas de mídia online e offline (dispositivos móveis, laptops, DASD, fita, etc.) e também é normalmente chamado de “em repouso”.

● Exceto quando proibido por lei, a Aircall removerá imediatamente os Dados mediante solicitação do Cliente para serem removidos do ambiente da Aircall e os destruirá dentro de um prazo razoável, mas em nenhum caso além de vinte e um (21) dias após a data da solicitação. A pedido do Cliente, a Aircall fornecerá ao Cliente uma confirmação escrita sobre essa remoção, destruição e/ou limpeza dentro de trinta (30) dias a partir dessa ocorrência.

C. Medidas: Proteção contra código malicioso. 

● Todas as estações de trabalho e servidores (virtuais ou físicos) executarão a versão atual do software antivírus e/ou anti-malware padrão do setor com as atualizações mais recentes disponíveis em qualquer estação de trabalho ou servidor. As definições de vírus devem ser atualizadas imediatamente após a publicação pelo provedor do software antivírus. A Aircall configurará o equipamento e terá políticas de suporte para proibir que os usuários desativem o software antivírus, alterem as configurações de segurança ou desativem outras medidas de proteção implementadas para garantir a segurança dos Dados ou do ambiente de computação da Aircall.

● O Aircall verificará o conteúdo enviado e recebido em busca de códigos maliciosos em todos os gateways para redes públicas, incluindo servidores de e-mail e proxy.

● O Aircall colocará em quarentena ou removerá os arquivos que foram identificados como infectados e registrará o evento.

D. Medidas: Medidas técnicas e organizacionais para o controle de acesso, especialmente para controlar a legitimidade dos usuários autorizados nas instalações e nos sistemas onde os Dados podem ser acessados:

● A Aircall garante que sejam tomadas medidas para proteger os locais (por exemplo, proteger entradas e saídas), bem como medidas dentro de seu edifício, usando os procedimentos a seguir:

● segurança e criptografia de todos os computadores pessoais ou outros dispositivos móveis que podem acessar Dados;

● acesso limitado a funcionários e contratados, exceto visitantes autorizados; 

● identificação das pessoas com autorização de acesso;

● restrição de chaves; e sistema de alarme de segurança ou outras medidas de segurança apropriadas.

A Aircall revogará o acesso a localizações físicas, sistemas e aplicativos que contenham ou processem Dados sem atrasos indevidos após a cessação da necessidade desse agente autorizado de acessar os sistemas ou aplicativos.

E. Medidas: Medidas técnicas (proteção por senha/senha) e organizacionais (registro principal do usuário) relacionadas à identificação e autenticação de usuários:

A Aircall informará ao Cliente, mediante solicitação razoável, quais Usuários autorizados estão encarregados do acesso aos Dados.

O controle do usuário inclui as seguintes medidas:

● Perfil de VPN restrito;

● implementação da autenticação de dois fatores

O controle de acesso aos Dados inclui as seguintes medidas:

● medidas disciplinares eficazes e mensuradas contra indivíduos que acessam dados sem autorização.

F. Medidas: Medidas técnicas e organizacionais relacionadas à segurança de redes (incluindo redes sem fio) utilizadas pela Aircall.

Todos os controles de rede devem incluir as seguintes medidas:

● A Aircall executará regularmente verificações de vulnerabilidade de rede internas e externas. As vulnerabilidades identificadas serão corrigidas de maneira comercialmente razoável e com base na gravidade.

● A Aircall implantará uma tecnologia de firewall razoavelmente apropriada no funcionamento de suas redes. 

● No mínimo, a Aircall analisará os conjuntos de regras de firewall regularmente para garantir que as regras legadas sejam removidas e as regras ativas sejam configuradas corretamente.

● A Aircall implantará sistemas de detecção ou prevenção de intrusão para monitorar as redes em caso de atividade inadequada.

● A Aircall deve implantar uma solução de gerenciamento de registros e reter registros produzidos por firewalls e sistemas de detecção de intrusão por um período mínimo de um (1) ano.

Os controles de rede sem fio devem incluir as seguintes medidas adicionais:

● O acesso à rede a redes sem fio deve ser restrito apenas aos autorizados. 

● Os pontos de acesso devem ser segmentados de uma LAN interna com fio usando um dispositivo de gateway.

● O identificador do conjunto de serviços (SSID), a ID do usuário do administrador, a senha e as chaves de criptografia serão alterados do valor padrão.

● A criptografia de todas as conexões sem fio será ativada usando algoritmos de criptografia padrão do setor. Os protocolos de criptografia serão baseados em "Acesso protegido por rede sem fio" (WPA2) ou mais forte. 

G. Medidas: O Aircall manterá uma função de resposta a incidentes capaz de identificar, mitigar os efeitos e evitar a recorrência de incidentes. Se ocorrer um Incidente, a Aircall (i) tomará prontamente todas as medidas necessárias para evitar qualquer compromisso adicional dos Dados ou quaisquer Incidentes futuros; (ii) quando exigido pelas Leis de Proteção de Dados Aplicáveis, notificará o Cliente afetado sem atraso indevido após a identificação do Incidente e fornecerá um relatório por escrito; e (iii) responderá prontamente a qualquer solicitação razoável do Cliente para obter informações detalhadas relacionadas ao Incidente. O aviso e o relatório da Aircall conterão uma descrição da natureza do Incidente, seu impacto e quaisquer ações de investigação, correção ou correcção tomadas ou planejadas.

H. Medidas: Continuidade de negócios e recuperação de desastres. A Aircall implementará um plano de continuidade comercial razoável e padrão do setor para manter a disponibilidade dos Serviços (o “Plano de Continuidade”). A Aircall manterá esse plano de continuidade durante toda a assinatura; desde que a Aircall tenha o direito de modificar ou alterar o plano de continuidade desde que tal modificação ou alteração não tenha um efeito negativo significativo na capacidade da Aircall de manter a disponibilidade dos Serviços.

 

Cópia C

Contrato de nível de serviço da Aircall

1. Definições 

Para fins desta exposição, os seguintes termos têm os significados descritos abaixo. Todos os termos com letra maiúscula inicial nesta programação que não sejam definidos nesta seção ou nesta programação terão os respectivos significados atribuídos a eles no Contrato com o Cliente Final (conforme definido abaixo). 

• "Causa do Cliente" significa qualquer uma das seguintes causas de um incidente: (a) qualquer uso negligente ou indevido, aplicação incorreta, uso indevido ou abuso ou dano aos Serviços pelo Cliente ou seus Usuários; (b) qualquer melhoria, ou outra modificação ou alteração dos Serviços pelo Cliente ou seus Usuários; (c) qualquer uso dos Serviços pelo Cliente ou seus Usuários de uma forma inconsistente com os Termos em vigor na época; (d) qualquer uso pelo Cliente ou Usuários de quaisquer produtos ou serviços de terceiros que a Aircall não tenha fornecido ou tenha causado o fornecimento ao Cliente; ou (e) qualquer uso pelo Cliente ou Usuários de uma versão ou versão não atual dos Serviços. 
• “Tempo de inatividade” significa que a funcionalidade principal dos Serviços (recebimento e realização de chamadas telefônicas) não estava disponível para uso, medida em incrementos contínuos de cinco (5) minutos. O termo "Tempo de inatividade" não deve incluir qualquer indisponibilidade dos Serviços relacionada a qualquer Exclusão (conforme definido abaixo). 
• "Erro" significa uma falha dos Serviços conforme definido na tabela Níveis de serviço na Seção 3.c abaixo. 
• "Solicitação de recurso" significa uma solicitação para incorporar um novo recurso ou aprimorar um recurso existente dos Serviços que não está disponível no momento. 
•  “Contrato do cliente final” significa o Contrato do cliente Aircall entre a Aircall e o cliente. 
• “Solicitação” significa uma solicitação do cliente à equipe de Support da Aircall para obter Support técnico para resolver uma pergunta ou problema relacionado aos Serviços ou ao uso da Aircall. 
• "Suporte". A Aircall fornecerá Support técnico ao Cliente, excluindo quaisquer solicitações de Support relacionadas a uma Exclusão conforme definido na Seção 4 abaixo. Para evitar dúvidas, perguntas e consultas de faturamento e solicitações de portabilidade não são consideradas parte do soporte no contexto desta programação. 
• “Porcentagem de tempo de atividade” significa a disponibilidade geral do serviço calculada como a diferença entre 100% (100%) e a porcentagem de tempo de inatividade calculada mensalmente por calendário para o mês aplicável. O termo "Tempo de atualização" não deve incluir qualquer indisponibilidade dos Serviços relacionada a qualquer Exclusão (conforme definido abaixo).

2. Níveis de serviço do Aircall 

a) Disponibilidade do serviço Aircall 

A porcentagem de tempo de atividade dos serviços Aircall deve ser de 99,95%. A manutenção/tempo de inatividade planejada será limitada de acordo com os termos do Contrato com o Cliente Final.

3. soporte Aircall 

a) Condições para o soporte 

• Acesso ao soporte Aircall. As solicitações de suporte devem ser enviadas usando o portal de suporte Aircall (suporte.aircall.io). 
• Conformidade com o Contrato do cliente final. A Aircall fará esforços comercialmente razoáveis para fornecer Support técnico para garantir que o desempenho dos Serviços esteja materialmente em conformidade com o Contrato com o Cliente Final. Para evitar dúvidas, a Aircall não fornecerá Support técnico no caso de Exclusões conforme definido abaixo. 
• Caracterização de solicitações. O cliente determina o nível de gravidade no envio da solicitação. Ao receber uma Solicitação do Cliente, a Aircall confirmará o nível de gravidade da solicitação a seu exclusivo critério e com base nas definições estabelecidas na Seção 3.c abaixo. A Aircall pode atualizar a designação de gravidade e nível de prioridade da solicitação conforme necessário. 
• Suporte a idiomas. As partes concordam que todo o soporte fornecido pela Aircall de acordo com estas diretrizes pode ser fornecido em francês, espanhol ou alemão durante o período europeu
  • horário de operação, usando esforços comercialmente razoáveis. Se os falantes de idiomas regionais não estiverem disponíveis, o soporte permanecerá disponível no idioma inglês. 
• Procedimentos para confirmação e solicitação de resolução. Ao criar uma solicitação, o cliente fornecerá detalhes completos sobre o problema relatado e as informações de diagnóstico solicitadas, incluindo, mas não limitado a: 

○ Nome da conta ou da instância Aircall; 

○ Descrição do problema, incluindo mensagens de erro; 

○ Descrição dos esforços do cliente para resolver o problema antes de entrar em contato com a Aircall; 

○ a versão do software do usuário; 

○ Especificações e configuração de máquina, rede e/ou hardware do cliente, quando relevante. 

Antes de criar uma Solicitação, o Cliente deve ler e usar toda a base de conhecimento e a documentação da Aircall para garantir o alinhamento com os requisitos, a adoção de práticas recomendadas e a orientação de produto solicitada pela Aircall para garantir o desempenho dos Serviços. 

O cliente se compromete a continuar a se comunicar por e-mail ou telefone para responder a perguntas e ajudar a equipe de soporte da Aircall conforme necessário e o mais rápido possível. O cliente se compromete a seguir as instruções e orientações recomendadas pela equipe de soporte da Aircall para corrigir o Erro. No caso de falta de disponibilidade do cliente que exija sua participação, a solicitação será considerada como resolvida pela Aircall. 

b) Horário de soporte da chamada Aircall 

c) Níveis de gravidade 

A tabela abaixo descreve os níveis de gravidade do erro relatado pelo cliente. Após o envio da solicitação, a Aircall investigará o Erro e fará esforços comercialmente razoáveis para responder a essa solicitação de acordo com a tabela abaixo:

4. Exclusões 

Não obstante qualquer disposição em contrário neste Contrato do Cliente Final, nenhuma violação de SLA será considerada ocorrida se tal evento: (a) for causado por fatores fora do controle razoável da Aircall, incluindo, sem limitação, terceiros, provedores de hospedagem ou operadores relacionados a problemas ou problemas, ou acesso à Internet ou problemas relacionados que ocorram fora do ponto na rede onde a Aircall mantém o acesso e controle sobre os Serviços da Aircall; (b) resulta de qualquer ato ou omissão do Cliente ou de qualquer terceiro; (c) resulta da aplicação do Cliente, do equipamento do Cliente, software ou outra tecnologia de terceiros ou equipamento, software ou outra tecnologia (exceto para equipamentos sob o controle direto da Aircall); (d) ocorre durante a manutenção programada ou de emergência da Aircall, atos de Deus ou de Força Maior; e/ou (e) resulta da Causa do Cliente.

 

Exemplo 1

Termos do Zuper Master

Estes Termos Principal da Zuper (este “Contrato”) são feitos e executados entre a Zuper, Inc. (“ZUPER”) com sede social em 24754 NE, 3rd Pl, Sammamish, WA - 98074, e o assinante listado no Zendesk SOW ao qual este Contrato é anexado (“Cliente”). O Cliente e a ZUPER serão denominados individualmente como uma “Parte” e coletivamente como as “Partes”.

 

PREAMBLE

 

A ZUPER desenvolveu uma solução de gerenciamento da força de trabalho em campo (a “Plataforma Zuper”) para melhorar a eficiência e a produtividade da força de trabalho e afirma ter a experiência, o conhecimento e o pessoal necessários para implementar, integrar e fornecer serviços de Support para o Serviço (conforme definido abaixo).

 

E WHEREAS, o cliente tem interesse em implementar o Serviço fornecido pela ZUPER.

 

E QUANDO, o Cliente e a ZUPER concordam que a Zendesk, Inc., uma corporação de Delaware, e qualquer uma de suas afiliadas aplicáveis (“Zendesk”), processarão o faturamento para a(s) assinatura(s) do(s) Cliente(s) do(s) Serviço(s) encomendado(s) pelo Cliente pela ZUPER ao abrigo deste Contrato em conformidade com um SOW da Zendesk executado entre o Cliente e a Zendesk. “Zendesk SOW” significa o relatório de trabalho ou documento de pedido semelhante emitido pela Zendesk ao Cliente que estabelece, sem limitações, o plano de serviço do Cliente, as taxas, o faturamento e o período de assinatura do Serviço sob este Contrato.

 

Portanto, tendo em conta as representações e convênios mútuos e acordos aqui estabelecidos, e para uma boa e valiosa consideração, cuja suficiência as Partes reconhecem, as Partes acordam o seguinte:

 

PRODUTOS E SERVIÇOS

 

Nos termos deste Contrato, a ZUPER fornece e vende assinaturas de soluções de gerenciamento da força de trabalho em campo (a “Plataforma Zuper”) através de zuper.co ou qualquer outro site especificado pela ZUPER (o “Serviço”).

 

Sujeito ao pagamento oportuno das taxas aplicáveis especificadas no Zendesk SOW e sujeito aos termos e condições deste Contrato, a ZUPER concede ao Cliente e a qualquer pessoa ou entidade jurídica sujeita, direta ou indiretamente, ao Controle do Cliente um direito não sublicenciável, não transferível e não exclusivo de acesso e uso do Serviço. Para efeitos desta cláusula, “Controle” significa o poder de direcionar ou fazer com que a direção da gestão, negócios ou políticas de uma entidade, seja através da propriedade de títulos com direito de voto, por contrato ou de outra forma, ou o poder de eleger ou nomear pelo menos um terço dos diretores, gerentes, parceiros ou outras pessoas que exercem autoridade semelhante em relação a essa entidade. 

 

Além dos direitos expressamente especificados abaixo, nenhum outro direito ou interesse na Plataforma Zuper ou no Serviço e/ou em qualquer componente dele é transferido ou concedido ao Cliente. Sem limitar o que precede, o Cliente não pode: (i) usar a Plataforma da Zuper ou o Serviço para fins que não sejam os propósitos expressamente estabelecidos abaixo; (ii) copiar ou duplicar a Plataforma da Zuper; (iii) engenharia reversa ou descompilar, modificar ou revisar, tentar acessar a origem da Plataforma da Zuper ou qualquer parte dela, ou criar trabalhos derivados dela; (iv) transferir, total ou parcialmente, o direito de usar o Serviço ou qualquer parte dele. 

 

Recursos incluídos:

 

FORMAÇÃO

 

O treinamento com instrutor online é incluído como parte do pacote. 

 

1.          Sessões interativas personalizadas orientadas por instrutor.

2.          Acesso à documentação do produto e ao conteúdo de instruções

3.          Compartilhe práticas recomendadas e recomendações.

 

O objetivo do treinamento é garantir que a equipe esteja familiarizada com o produto e compreenda as práticas recomendadas para aproveitar todos os recursos da maneira mais otimizada. 

 

TAXAS

A Zendesk processará o faturamento das taxas de assinatura do Cliente do Serviço solicitado pelo Cliente da ZUPER sob este Contrato, conforme estabelecido no Zendesk SOW. As faturas serão enviadas para e o pagamento será vencido, de acordo com os termos do Zendesk SOW. Quaisquer alterações no escopo da assinatura do Cliente do Serviço sob este Contrato serão emitidas por meio de um SOW do Zendesk separado.

 

ATUALIZAÇÕES DE ROTINA E MELHORIAS SOLICITADAS

A ZUPER programará reuniões com o cliente a cada dois meses para informar o cliente sobre o roteiro e as atualizações do serviço. Os preços descritos aqui incluem as atualizações regulares lançadas pela ZUPER e o Cliente não terá direito a pagamentos adicionais por essas atualizações. Os recursos Premium não estão incluídos nos preços da assinatura. A ZUPER compartilhará atualizações sobre recursos Premium no Cliente e os preços serão compartilhados e mutuamente acordados, independentemente deste Contrato. 

O cliente pode solicitar, de tempos em tempos, modificações no Serviço com base em requisitos em evolução. Independentemente deste Contrato, as Partes devem concordar mutuamente em termos, como custos e período, caso o Cliente exija quaisquer modificações importantes no Serviço. 

 

Todas as integrações futuras de software de terceiros com o Zuper estão incluídas nos preços mensais do usuário.

 

AVISO DE FIM DE VIDA; TEMPO DE DISPONIBILIDADE

A ZUPER fornecerá ao Cliente pelo menos seis (6) meses de antecedência de qualquer fim de vida útil ou descontinuação do recurso.

A ZUPER declara e garante que o Serviço alcançará uma porcentagem de disponibilidade mensal de pelo menos 99,9% em qualquer mês corrido (ou seja, tempo de inatividade máximo de quarenta e três (43) minutos por mês) durante o Período. A manutenção/hora de inatividade planejada deve ser limitada a menos de quatro (4) horas em um determinado mês e a ZUPER fornecerá pelo menos sete (7) dias de aviso prévio por escrito (e-mail aceitável) ao Cliente sobre essa indisponibilidade (“Tempo de inatividade programado”).

 

SUPORTE

O Support por telefone e e-mail está incluso no pacote sem custo adicional. Em caso de problemas e dúvidas, os usuários do Cliente podem entrar em contato com o soporte da Zuper para obter ajuda e assistência. O especialista do Support telefônico fornecerá assistência imediata com o Support técnico ao resolver o problema e depurar o problema. Support por e-mail disponível para problemas técnicos e não técnicos. A Zuper deve fornecer ao Cliente os compromissos de Support estabelecidos na Exemplo A, anexada ao presente.  

 

REQUISITOS DE SEGURANÇA DA INFORMAÇÃO

A ZUPER deve fornecer e cumprir os requisitos de segurança da informação estabelecidos na Parte B, anexada ao presente documento.

 

CONTRATO DE PROCESSAMENTO DE DADOS

As Partes concordam com o Contrato de Processamento de Dados estabelecido na Figura C, anexada a este documento.

 

TÉRMIN

Este Contrato entrará em vigor na data de vigência do SOW da Zendesk aplicável e permanecerá em vigor, a menos que seja encerrado anteriormente de acordo com qualquer um dos termos do SOW da Zendesk, até a expiração de todos os SOWs da Zendesk aplicáveis (o “Termo”).

 

DIREITOS DE PROPRIEDADE

Algumas partes do software disponíveis com a Zuper Platform (somente como exemplo - JQuery) podem estar sujeitas a licenças de "código aberto" ou "software livre" ("Software de terceiros"). Esse Software de Terceiros não está sujeito aos termos e condições deste Contrato, mas é disponibilizado nos termos e condições dos termos que acompanham esse Software de Terceiros.

Exceto em relação ao Software de Terceiros (conforme definido acima), a ZUPER é proprietária e manterá todos os direitos, incluindo todos os direitos de propriedade intelectual, na Plataforma e no Serviço da ZUPER, bem como quaisquer adaptações, modificações, aprimoramentos ou melhorias neles e nas Informações Confidenciais da ZUPER. Para eliminar qualquer dúvida, qualquer conteúdo desenvolvido pelo cliente usando o Serviço será propriedade do cliente.

 

MARKETING

 O cliente concede a ZUPER o direito de

1.          Use o nome e as marcas de serviço em seus materiais de marketing ou outras promoções orais, eletrônicas ou escritas, que devem incluir o nome do cliente como cliente da ZUPER e um breve escopo dos serviços fornecidos. 

2.          Emitir um comunicado de imprensa relacionado a este Contrato. 

3.          Publique um estudo de caso.

4.          Publique depoimentos no website e/ou outros materiais de marketing.

 

INDENIZAÇÃO E LIMITAÇÃO DE RESPONSABILIDADE

A ZUPER deve defender, indemnizar e manter o Cliente inofensivo contra e contra qualquer e todos os danos, custos e despesas (incluindo honorários de advogados razoáveis) finalmente concedidos por um tribunal competente, que ocorram como resultado de qualquer reclamação, processo ou processo apresentado contra qualquer um deles com base em uma alegação de que a Plataforma Zuper e/ou o Serviço infringe os direitos de propriedade intelectual; desde que o Cliente tenha notificado a ZUPER prontamente por escrito de tal reclamação e tenha dado à ZUPER a autoridade, informação e assistência (a expensas da Empresa) para controlar e lidar com a reclamação ou a defesa de qualquer tal processo, processo ou resolução. A indemnização acima será o único recurso ao qual o Cliente terá direito em conexão com o anterior. 

Exceto por reivindicações de má conduta intencional, negligência grave ou qualquer violação da confidencialidade, em nenhum caso, nenhuma das partes será responsável perante a outra por quaisquer danos indiretos, incidentais, especiais, consequenciais ou punitivos de qualquer natureza ou tipo, incluindo, mas não limitado a, perda de lucros, receitas perdidas ou perda de goodwill em conexão com ou decorrente deste contrato, mesmo se a outra parte tenha sido avisada da possibilidade de tais danos. Em nenhum caso a responsabilidade agregada de qualquer uma das partes ao abrigo deste contrato excederá as taxas agregadas efetivamente pagas à ZUPER ao abrigo deste contrato durante o período anterior à respectiva reivindicação aplicável.

 

CONFIDENTIALIDADE

A ZUPER e o Cliente concordam que estão mutuamente vinculados e aderirão a todas as leis e regulamentos aplicáveis que regem a confidencialidade das informações trocadas de acordo com este contrato.

 

Divulgação interna: Cada Parte manterá a confidencialidade e o carácter confidencial das Informações Confidenciais da Parte Divulgar e não divulgará nenhuma Informação Confidencial a terceiros. A Parte Recebedora pode divulgar as Informações Confidenciais da Parte Divulgar à sua própria equipe e funcionários que tenham uma necessidade legítima de saber sobre essas Informações Confidenciais para os fins deste Contrato e que estejam sujeitos a obrigações de confidencialidade pelo menos tão restritivas quanto os termos de Informações Confidenciais deste Contrato, e a Parte Recebedora deve usar as Informações Confidenciais apenas se e conforme necessário para os fins deste Contrato.

Divulgação de preços: Os preços citados no Zendesk SOW são exclusivos apenas para o cliente e não podem ser compartilhados pelo cliente com outros clientes, parceiros ou a imprensa da Zuper. 

Segurança: A Parte destinatária deve tomar todas as precauções razoáveis necessárias e apropriadas para manter a confidencialidade das Informações Confidenciais. 

Não competente: A Zuper não solicitará negócios nem entrará em contato direto com quaisquer Clientes sem aprovação prévia.

 

VIOLÊNCIA MATERIAL

Em caso de violação material deste Contrato, a Parte afetada (a “Parte notificante”) notificará a outra Parte (a “Parte notificada”) de tal violação. Se a Parte notificada não corrigir a violação dentro de um (1) mês após o recebimento desse aviso, a Parte notificante pode rescindir este Contrato sem fornecer mais aviso e pode prosseguir ações legais para reivindicar quaisquer danos resultantes dessa violação.

 

FORCE MAJEURE

Se uma das Partes não cumprir as suas obrigações, quando tal falha for devida a um ato de Deus, ou outras circunstâncias fora de seu controle razoável, incluindo mas não limitado a incêndio, inundação, tumulto civil, revolta, guerra (declarada e não declarada), revolução, ou embargos, então a referida falha será desculpada para a duração desse evento e por um período posterior que seja razoável para permitir que as partes retomem o desempenho de acordo com este Contrato, contanto que, em nenhum caso, esse período deve se estender por mais de cem oitenta (180) dias.

 

RESOLUÇÃO DE CONTESTAÇÕES 

Este Contrato e quaisquer contestações decorrentes ou relacionadas a este Contrato serão regidos e interpretados de acordo com as leis do Estado de Washington, sem referência aos seus princípios de conflito de leis. Ambas as partes concordam em submeter-se à jurisdição pessoal para qualquer processo legal e este Contrato, independentemente de quem iniciou o processo. 

 

Cópia A – Responsabilidades e procedimentos de suporte

1. Definições

Nesta exibição A:

 

a) “soporte de Nível 1” significa o primeiro nível de soporte fornecido ao Cliente pela ZUPER para coletar informações do cliente, verificar sintomas e transferir, se necessário, para o soporte de Nível 2.

(b) “Support de Nível 2” significa o segundo nível de Support fornecido pela ZUPER ao Cliente que aborda problemas e resoluções operacionais e de infraestrutura do produto.

(c) “Support de Nível 3” significa o terceiro nível de Support fornecido pela ZUPER que abrange a resolução de bugs de código de aplicativo ou código de infraestrutura.

(d) “Tempo de soporte do fornecedor” para problemas não críticos e não importantes de impacto nos negócios significa entre as 9h00 e as 24h em um dia útil (de segunda a sexta-feira, todas as semanas do ano). As horas de soporte e as obrigações de resposta para problemas críticos e principais de impacto nos negócios são conforme descrito abaixo.    

 

2. Obrigações do Zuper soporte

A ZUPER fornecerá ao Cliente todo o Support em relação a questões identificadas pela Zendesk ou pelo Cliente e comunicadas à ZUPER. Esses serviços de Support serão fornecidos por meio do sistema de tickets da central de suporte do Zendesk.

 

A ZUPER responderá às solicitações de Support:

(a) em relação aos problemas de Impacto Crítico nos Negócios, dentro de trinta (30) minutos, vinte e quatro (24) horas por dia, trezentos e sessenta e cinco (365) dias por ano. A ZUPER fornecerá aos clientes (e à Zendesk, se esses problemas de Impacto Crítico nos Negócios estiverem relacionados a solicitações de Support ao cliente encaminhadas para a ZUPER pela Zendesk) atualizações sobre os problemas de Impacto Crítico nos Negócios a cada trinta (30) minutos até que o problema seja resolvido. Impacto crítico nos negócios será definido como um problema que interrompa a funcionalidade material no ambiente de produção no Serviço ou comprometa a segurança/integridade dos dados no Serviço. Os problemas críticos de impacto nos negócios permanecerão enquanto a interrupção estiver em andamento, a necessidade de resolução é urgentemente urgente e não há solução razoável disponível;

(b) em relação aos principais problemas de impacto nos negócios dentro de uma (1) hora, vinte e quatro (24) horas por dia, trezentos e sessenta e cinco (365) dias por ano. A ZUPER fornecerá aos clientes (e à Zendesk, se esses problemas de Impacto Comercial Crítico estiverem relacionados a solicitações de Support ao cliente encaminhadas à ZUPER pela Zendesk) atualizações sobre os principais problemas de Impacto Comercial a cada hora (1) até que o problema seja resolvido. Importante Impacto nos Negócios deve ser definido como um problema que degrada uma funcionalidade material ou interrompe significativamente ou degrada a operação normal dos negócios do Cliente, está no ambiente de produção do Cliente e é altamente sensível ao tempo e/ou é necessário um esforço não planejado significativo para lidar com o problema para manter as operações normais dos negócios;

(c) para outros problemas e consultas, dentro de seis (6) Horas de soporte do fornecedor;

(d) resolver problemas levantados dentro de um prazo comercialmente razoável; e

(e) fornecendo atualizações contínuas sobre problemas não resolvidos pelo menos uma vez por semana até que o problema seja resolvido com êxito.

 

 

Ponto B – Requisitos de segurança da informação

A ZUPER garante e declara que usará esforços comercialmente razoáveis para implementar e manter as medidas de segurança detalhadas abaixo para manter todo o conteúdo, materiais, dados (incluindo dados pessoais) e informações não públicas fornecidas ou disponibilizadas pelo Cliente (coletivamente, “Dados”) seguros e proteger os Dados contra processamento não autorizado ou ilegal, perda acidental, destruição ou danos, conforme estabelecido abaixo. Ao fazer isso, a Zuper agirá de boa fé e diligência, usando cuidados e habilidades razoáveis.

 

1.           Definições:

● “Processo” significa qualquer operação relacionada aos Dados, independentemente dos fins e meios aplicados, incluindo, sem limitação, acesso, coleta, retenção, armazenamento, transferência, divulgação, uso, exclusão, destruição e qualquer outra operação.

● “Violação” significa qualquer (a) Processamento não autorizado de Dados ou (b) qualquer ato ou omissão que comprometa ou comprometa as salvaguardas físicas, técnicas ou organizacionais implementadas pela ZUPER em relação ao Processamento de Dados ou de outra forma implementadas para cumprir esses requisitos. Para evitar dúvidas, “Processamento não autorizado” inclui, mas não se limita a: uso indevido, perda, destruição, compromisso ou acesso não autorizado, coleta, retenção, armazenamento ou transferência.

● “Incidente” significa qualquer prejuízo à segurança dos Dados, incluindo qualquer (i) ato que viole qualquer lei ou política de segurança da ZUPER, (ii) interrupção não planejada do serviço que impeça o funcionamento normal do Serviço ou (iii) Violação.

 

2.          Medidas: Medidas técnicas e organizacionais para o armazenamento, o gerenciamento e a eliminação de e Dados.

● A ZUPER utilizará algoritmos de criptografia padrão do setor e principais pontos fortes para criptografar o seguinte:

● Criptografar todos os Dados que estejam em formato eletrônico enquanto estão em trânsito por todas as redes públicas com fio (ou seja, Internet) e todas as redes sem fio. 

● Criptografar todos os Dados enquanto estiverem armazenados. “Em armazenamento” significa informações armazenadas em bancos de dados, em sistemas de arquivos e em várias formas de mídia online e offline (dispositivos móveis, laptops, DASD, fita, etc.) e também é normalmente chamado de “em repouso”.

● Exceto quando proibido por lei, a ZUPER removerá os Dados imediatamente após (a) a conclusão do Serviço; ou (b) a solicitação do Cliente (ou da Zendesk, quando aplicável) de serem removidos do ambiente da ZUPER e os destruirá dentro de um período de tempo razoável, mas em nenhum caso mais de vinte e um (21) dias após a data da solicitação ou cessação dos serviços. A Zuper fornecerá ao Cliente (e à Zendesk, quando aplicável) uma certificação escrita sobre essa remoção, destruição e/ou limpeza dentro de trinta (30) dias a partir dessa ocorrência.

 

3.          Medidas: Proteção contra código malicioso.

● Todas as estações de trabalho e servidores (virtuais ou físicos) executarão a versão atual do software antivírus e/ou anti-malware padrão do setor com as atualizações mais recentes disponíveis em qualquer estação de trabalho ou servidor.   As definições de vírus devem ser atualizadas imediatamente após a publicação pelo provedor do software antivírus.  A ZUPER configurará o equipamento e terá políticas de suporte para proibir que os usuários desativem o software antivírus, alterem as configurações de segurança ou desativem outras medidas de proteção implementadas para garantir a segurança dos Dados ou do ambiente de computação da ZUPER.

● A ZUPER analisará o conteúdo enviado e recebido em busca de códigos maliciosos em todos os gateways para redes públicas, incluindo servidores de e-mail e proxy.

● O ZUPER colocará em quarentena ou removerá os arquivos que foram identificados como infectados e registrará o evento.

 

4.          Medidas: Medidas técnicas e organizacionais para o controle de acesso, especialmente para controlar a legitimidade dos usuários autorizados nas instalações e nos sistemas onde os Dados podem ser acessados:

● A ZUPER assegura que sejam tomadas medidas para proteger os locais (por exemplo, proteger entradas e saídas), bem como medidas dentro de seu edifício, usando os seguintes procedimentos:

● segurança e criptografia de todos os computadores pessoais ou outros dispositivos móveis que podem acessar Dados;

● acesso limitado a funcionários e contratados, exceto visitantes autorizados; 

● identificação das pessoas com autorização de acesso;

● restrição de chaves;

● catálogo de visitantes (incluindo cronograma); e

● sistema de alarme de segurança ou outras medidas de segurança apropriadas.

 

A ZUPER revogará o acesso a localizações físicas, sistemas e aplicativos que contenham ou processem Dados dentro de vinte e quatro (24) horas após a cessação da necessidade desse agente autorizado de acessar os sistemas ou aplicativos.

 

5.          Medidas: Medidas técnicas (proteção por senha/senha) e organizacionais (registro principal do usuário) relacionadas à identificação e autenticação de usuários:

A ZUPER informará ao Cliente, a pedido razoável, quais pessoas autorizadas estão encarregadas do acesso aos Dados.

 

O controle do usuário inclui as seguintes medidas:

● Perfil de VPN restrito;

● implementação da autenticação de dois fatores

 

O controle de acesso aos Dados inclui as seguintes medidas:

● medidas disciplinares eficazes e mensuradas contra indivíduos que acessam dados sem autorização.

 

6.          Medidas: Medidas técnicas e organizacionais relacionadas à segurança de redes (incluindo redes sem fio) utilizadas pela ZUPER.

 

Todos os controles de rede devem incluir as seguintes medidas:

● A ZUPER executará regularmente verificações de vulnerabilidade de rede internas e externas.  As vulnerabilidades identificadas serão corrigidas de maneira comercialmente razoável e com base na gravidade.

● A ZUPER implantará uma tecnologia de firewall razoavelmente apropriada no funcionamento de suas redes.

● No mínimo, a ZUPER analisará os conjuntos de regras de firewall trimestralmente para garantir que as regras legadas sejam removidas e as regras ativas sejam configuradas corretamente.

● A ZUPER implantará sistemas de detecção ou prevenção de intrusão para monitorar as redes em caso de atividade inadequada.

● A ZUPER deve implantar uma solução de gerenciamento de registros e reter registros produzidos por firewalls e sistemas de detecção de intrusão por um período mínimo de um (1) ano.

 

Os controles de rede sem fio devem incluir as seguintes medidas adicionais:

● O acesso à rede a redes sem fio deve ser restrito apenas aos autorizados.

● Os pontos de acesso devem ser segmentados de uma LAN interna com fio usando um dispositivo de gateway.

● O identificador do conjunto de serviços (SSID), a ID do usuário do administrador, a senha e as chaves de criptografia serão alterados do valor padrão.

● A criptografia de todas as conexões sem fio será ativada usando algoritmos de criptografia padrão do setor. Os protocolos de criptografia serão baseados em "Acesso protegido por rede sem fio" (WPA2) ou mais forte.

 

7.          Medidas: A ZUPER manterá uma função de resposta a incidentes capaz de identificar, mitigar os efeitos e evitar a recorrência de incidentes. Se ocorrer um Incidente, a ZUPER (i) tomará prontamente todas as medidas necessárias para evitar qualquer compromisso adicional dos Dados ou quaisquer Incidentes futuros; (ii) notificará o Cliente dentro de vinte e quatro (24) horas após a identificação do Incidente e fornecerá um relatório escrito dentro de três (3) dias; e (iii) responderá prontamente a qualquer solicitação razoável do Cliente para obter informações detalhadas relacionadas ao Incidente. O aviso e o relatório da ZUPER conterão uma descrição da natureza do Incidente, do seu impacto e de quaisquer ações investigativas, correctivas ou correctivas tomadas ou planejadas.

 

8.          Medidas: Continuidade de negócios e recuperação de desastres. A ZUPER forneceu ao Cliente um plano de continuidade de negócios comercialmente razoável e padrão do setor para manter a disponibilidade do Serviço (o “Plano de Continuidade”).  O plano de continuidade inclui, mas não está limitado a, elementos como (a) gerenciamento de crise, ativação do plano e da equipe, documentação do processo de eventos e comunicação; (b) gerenciamento de eventos, recuperação de negócios, localizações alternativas de localização e teste de árvore de chamada; e (c) detalhes da infraestrutura, tecnologia e sistema, atividades de recuperação e identificação das pessoas / equipes necessárias para essa recuperação.  A ZUPER manterá esse plano de continuidade durante toda a assinatura; desde que a ZUPER tenha o direito de modificar ou alterar o plano de continuidade desde que tal modificação ou alteração não tenha um efeito negativo significativo na capacidade da ZUPER de manter a disponibilidade do Serviço.

 

9.          A pedido do Cliente, a Zuper deve fazer modificações comercialmente razoáveis em seu programa de segurança de informações ou nos procedimentos e práticas de acordo com ele para atender aos requisitos de segurança de base do Cliente, conforme descrito em todos os exemplares aplicáveis ao Contrato e como eles existem de tempos em tempos.  O cliente deve fornecer à ZUPER a documentação dessas linhas de base, que fará parte das informações confidenciais do cliente sob o Contrato.  A ZUPER desenvolverá um plano de segurança da informação escrito para o Cliente que contenha, no mínimo, os tópicos exigidos neste contrato.

 

 

 

Exemplo C – Contrato de Processamento de Dados da Zuper

Leia atentamente o Contrato de Processamento de Dados (“DPA”) como eles formam um contrato entre o Cliente (“Cliente” ou “Controlador”, que a expressão deve significar e incluir seus sucessores e atribuídos) e a Zuper (“Zuper” ou “Processador”, que a expressão deve significar e incluir seus sucessores e atribuídos). Este DPA será aplicado quando a Zuper for um processador de dados pessoais. Processador e Controlador são chamados individualmente de “Parte” e coletivamente de “Partes”.

 

 

1.     Escopo do contrato e repartição de responsabilidades

 

1.1 As Partes concordam que, para o Processamento de Dados Pessoais, as Partes serão o Controlador e o Processador.

1.2 O Processador processará Dados Pessoais apenas em nome do Controlador e, sempre, apenas de acordo com este Contrato de Processamento de Dados, especialmente os respectivos expositores.

1.3 No âmbito dos Termos Principal da Zuper (o “Contrato”), cada Parte será responsável pelo cumprimento das suas respectivas obrigações como Controlador e Processador sob as Leis de Proteção de Dados.

2.     Instruções de Processamento

 

2.1 O Processador processará os Dados Pessoais de acordo com as instruções do Controlador. Este Contrato de Processamento de Dados contém as instruções iniciais do Controlador para o Processador. As Partes concordam que o Controlador pode comunicar qualquer alteração em suas instruções iniciais ao Processador por meio de notificação por escrito ao Processador e que o Processador deve cumprir essas instruções. O Processador manterá um registro seguro, completo, preciso e atualizado de todas essas instruções individuais.

2.2 Para evitar dúvidas, quaisquer instruções que conduzam ao processamento fora do âmbito deste Contrato de Processamento de Dados (por exemplo, porque uma nova finalidade de Processamento é introduzida) exigirão um acordo prévio entre as Partes e, quando aplicável, estarão sujeitas ao procedimento de alteração do contrato sob o respectivo Contrato.

2.3 Quando instruído pelo Controlador, o Processador deve corrigir, apagar ou bloquear Dados Pessoais.

2.4 O Processador deve informar imediatamente o Controlador por escrito se, na opinião do Processador, uma instrução violar as Leis de Proteção de Dados e fornecer uma explicação dos motivos da sua opinião por escrito.

2.5 O Processador não será responsável por quaisquer Perdas de DP decorrentes ou em conexão com qualquer processamento realizado de acordo com as instruções do Controlador que forem consideradas não conformes com o RGPD, após o recebimento pelo Controlador de qualquer informação fornecida pelo Processador nesta Seção 2.

3.     Processador

 

O Processador restringirá seu pessoal ao Processamento de Dados Pessoais sem autorização. O processador imporá obrigações contratuais adequadas ao seu pessoal, incluindo obrigações relevantes em relação à confidencialidade, proteção de dados e segurança de dados.

4.     Divulgação a terceiros; Direitos dos Titulares de Dados

 

4.1 O Processador não divulgará Dados Pessoais a terceiros (incluindo qualquer agência governamental, tribunal ou agência de aplicação da lei), exceto conforme estabelecido neste contrato ou com o consentimento escrito do Controlador ou conforme necessário para cumprir as leis obrigatórias aplicáveis. Se o Processador for obrigado a divulgar Dados Pessoais a uma agência de aplicação da lei ou a um terceiro, o Processador concorda em dar ao Controlador um aviso razoável sobre a solicitação de acesso antes de conceder esse acesso, para permitir que o Controlador solicite uma ordem de proteção ou outros recursos apropriados. Se tal aviso for proibido por lei, o Processador tomará medidas razoáveis para proteger os Dados Pessoais contra divulgação indevida como se fossem informações confidenciais do Processador e informará o Controlador o mais rapidamente possível se e quando essa proibição legal deixar de se aplicar.

4.2 Caso o Controlador receba qualquer solicitação ou comunicação de Titulares de Dados relacionada ao Processamento de Dados Pessoais ("Solicitação"), o Processador fornecerá ao Controlador toda a cooperação, informação e assistência ("Assistência") em relação a qualquer tal Solicitação quando instruído pelo Controlador.

4.3 Quando o Processador receber uma Solicitação, o Processador deverá (i) não responder diretamente a essa Solicitação, (ii) encaminhar a solicitação ao Controlador dentro de 3 (três) dias úteis após a identificação da Solicitação como relacionada ao Controlador e (iii) prestar Assistência de acordo com outras instruções do Controlador.

5.     Medidas técnicas e organizacionais (“TOMs”)

 

5.1 O Processador deve implementar e manter medidas de segurança técnicas e organizacionais adequadas para garantir que os Dados Pessoais sejam Processados de acordo com este Contrato de Processamento de Dados, para fornecer Assistência e para proteger os Dados Pessoais contra uma Violação de Dados Pessoais. Essas medidas estão descritas no Anexo 2 da figura 2.

5.2 O Processador deve documentar os TOMs implementados e fornecer ao Controlador essa documentação mediante solicitação, incluindo, quando disponível, quaisquer certificações, como uma certificação ISO 27001.

6.     Assistência com Avaliação de Impacto na Proteção de Dados

 

6.1 Quando uma Avaliação de Impacto sobre a Proteção de Dados ("DPIA") for exigida de acordo com as Leis de Proteção de Dados aplicáveis ao Processamento de Dados Pessoais, o Processador fornecerá, a pedido do Controlador, a cooperação e a assistência razoáveis necessárias para cumprir a obrigação do Cliente de realizar uma DPIA relacionada ao uso do Cliente dos Serviços, na medida em que o Cliente não tenha acesso às informações relevantes e na medida em que essas informações estejam disponíveis para a Zuper.

6.2 O Controlador pagará ao Processador as taxas razoáveis mutuamente acordadas entre as partes pela prestação da assistência prevista na Seção 7, na medida em que tal assistência não seja razoavelmente capaz de ser acomodada na prestação normal dos Serviços.

7.     Dereitos de informação e auditoria

 

7.1 O Processador deve, de acordo com as Leis de Proteção de Dados, disponibilizar ao Controlador, mediante pedido, em tempo hábil, as informações necessárias para demonstrar o cumprimento pelo Processador das suas obrigações nos termos das Leis de Proteção de Dados.

7.2 A Zuper obteve certificações e auditorias de terceiros conforme descrito em nossa página de segurança. A pedido por escrito do Controlador e sujeito às obrigações de confidencialidade estabelecidas no Contrato, a Zuper disponibilizará ao Controlador uma cópia das auditorias ou certificações de terceiros mais recentes da Zuper, conforme aplicável.

 

8.     Gerenciamento de incidentes de dados e notificação

 

Em relação ao incidente de Dados de Serviço, o Processador deve:

 

8.1 notificar o Controlador de uma Violação de Dados Pessoais envolvendo o Processador ou um subcontratante sem demora injustificada (mas em nenhum caso mais tarde do que 72 horas após ter tomado conhecimento do incidente).

8.2 fazer esforços razoáveis para identificar a causa desse incidente e tomar as medidas que o Processador considerar necessárias e razoáveis para corrigir a causa do incidente na medida em que esteja no controle razoável da Zuper.

8.3 fornecer informações, cooperação e assistência razoáveis ao Controlador em relação a qualquer ação a tomar em resposta a uma violação de dados pessoais de acordo com as Leis de Proteção de Dados, incluindo em relação a qualquer comunicação da violação de dados pessoais aos Titulares de Dados e às autoridades nacionais de proteção de dados.

As obrigações contidas na Seção 8 não devem se aplicar a Incidentes de Dados causados pelo Cliente ou pelos usuários do Cliente.

 

 

9.     Subprocessamento de

 

9.1 O Controlador consente que o Processador interaja com subprocessadores terceirizados como listados abaixo para processar os Dados Pessoais para cumprir suas obrigações sob este Contrato, desde que o Processador forneça pelo menos quinze (15) dias de um aviso no produto ou um aviso por e-mail ao administrador da Conta antes da nomeação ou substituição de qualquer subprocessador.

 

Lista de subprocessadores

 

 

Informações de contato dos subprocessadores

 

 

O Controlador pode se opor à nomeação ou substituição de um subprocessador pelo Processador antes de sua nomeação ou substituição, desde que essa objeção se baseie em motivos razoáveis relacionados à proteção de dados. Nesse caso, o Processador não nomeará ou substituirá o subprocessador ou, se isso não for possível, o Controlador poderá suspender ou encerrar o(s) Serviço(s) (sem prejuízo de quaisquer taxas incorridas pelo Controlador antes dessa suspensão ou encerramento).

9.2 Quando o Processador, com o consentimento do Controlador, subcontratar as suas obrigações e direitos ao abrigo deste Contrato de Processamento de Dados, só o fará por meio de um contrato escrito vinculativo com o subcontratante que impõe essencialmente as mesmas obrigações de acordo com o Art. 28 RGPD, especialmente no que diz respeito às instruções e TOMs do subcontratante impostas ao Processador ao abrigo deste Contrato de Processamento de Dados.

9.3 O processador deve garantir que selecionou cuidadosamente o subprocessador, levando em consideração a adequação dos TOMs do subcontratante. O Processador concluiu um contrato escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que as do Contrato em relação à proteção de Dados de Serviço na medida aplicável à natureza dos Serviços fornecidos por tal

Subprocessador.

9.4 Se o subcontratante não cumprir as suas obrigações de proteção de dados ao abrigo do contrato de subcontratação, o Processador permanecerá totalmente responsável perante o Controlador pelo cumprimento das suas obrigações ao abrigo deste Contrato de Processamento de Dados e pelo cumprimento das obrigações do subcontratante.

 

10.   Tempo e rescisão

 

10.1 Este Contrato de Processamento de Dados entra em vigor na assinatura. Ele continuará em pleno vigor e efeito enquanto o Processador estiver processando Dados Pessoais de acordo com o Exemplo 1 e cessará automaticamente depois disso.

10.2 O Controlador pode rescindir o Contrato de Processamento de Dados, bem como o Contrato por causa, a qualquer momento com aviso razoável ou sem aviso prévio, conforme selecionado pelo Controlador, se o Processador estiver em violação material dos termos deste Contrato de Processamento de Dados.

10.3 Se forem necessárias alterações para garantir a conformidade com este Contrato de Processamento de Dados ou um Apêndice às Leis de Proteção de Dados, as Partes acordarão essas alterações a pedido do Controlador e, para evitar dúvidas, sem custos adicionais para o Controlador. Quando as partes não puderem concordar com essas alterações, qualquer uma das partes pode rescindir o Contrato e este Contrato de Processamento de Dados com 90 dias de aviso por escrito para a outra parte.

11.    Exclusão ou devolução de Dados Pessoais

 

O Controlador pode exportar todos os Dados de Serviço antes do encerramento da Conta do Cliente. Em qualquer caso, após o encerramento da Conta do Cliente, (i) sujeito a (ii) e (iii) abaixo e ao Contrato, os Dados de Serviço serão mantidos por um período de 14 dias a partir desse encerramento, dentro do qual o Controlador pode entrar em contato com o Processador para exportar Dados de Serviço; (ii) quando o Controlador não usar a caixa de correio personalizada e usar o recurso de e-mail, se disponível no(s) Serviço(s), os e-mails que fazem parte dos Dados de Serviço são automaticamente arquivados por um período de 3 meses; e (iii) os registros são arquivados por um período de trinta (30) dias nos sistemas de gerenciamento de registros, postos em que os registros são retirados para um armazenamento frio arquivado restrito por um período de onze (11) meses ("Período de retenção de dados"). Além de cada período de retenção de dados, o Processador reserva-se o direito de apagar todos os Dados de Serviço no curso normal de operação, exceto quando necessário para cumprir as obrigações legais do Processador, manter registros financeiros e outros registros precisos, resolver disputas e aplicar seus contratos. Os Dados de Serviço não podem ser recuperados após serem apagados.

12.    Diversos

 

12.1 Em caso de conflito, as disposições deste Contrato de Processamento de Dados prevalecerão sobre as disposições de qualquer outro contrato com o Processador.

12.2 A limitação de responsabilidade estipulada no Contrato aplica-se à violação do Contrato de Processamento de Dados.

12.3 Nenhuma Parte receberá qualquer remuneração pelo cumprimento das suas obrigações sob este Contrato de Processamento de Dados, exceto conforme explicitamente estabelecido neste ou em outro contrato.

12.4 Quando este Contrato de Processamento de Dados exige um "aviso escrito", esse aviso também pode ser comunicado por e-mail à outra Parte. As notificações devem ser enviadas às pessoas de contacto indicadas na Parte VII.

12.5 Quaisquer acordos suplementares ou alterações a este Contrato de Processamento de Dados devem ser feitos por escrito e assinados por ambas as partes.

12.6 Se as disposições individuais deste Contrato de Processamento de Dados se tornarem inválidas, inválidas ou inválidas, isso não afetará a validade das restantes condições deste contrato.

13.    Definições

“Administrador da conta” significa o indivíduo autorizado pelo Controlador a receber notificações do Processador.

"Lei de Proteção de Dados" significa as leis de proteção de dados do país onde o Controlador está estabelecido, incluindo o RGPD, e quaisquer leis de proteção de dados aplicáveis ao Controlador em conexão com o Contrato.

“Perdidas de DP” significa todos os passivos, incluindo:

a) custos (incluindo custos jurídicos)

 

b) reivindicações, demandas, ações, liquidações, cobranças, procedimentos, despesas, perdas e danos (seja de natureza material ou não, incluindo por aflição emocional)

c) Na medida permitida pela lei aplicável:

i) multas administrativas, sanções, sanções, responsabilidades ou outras soluções impostas por uma autoridade de proteção de dados ou qualquer outra autoridade reguladora relevante

ii) indemnização a um Titular de Dados ordenada por uma autoridade de proteção de dados a ser paga pelo Processador

iii) os custos de conformidade com as investigações efectuadas por uma autoridade de proteção de dados ou qualquer outra autoridade reguladora relevante.

"RGPD" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que respeita ao Tratamento de dados pessoais e à livre circulação desses dados.

"Dados Pessoais" significa qualquer informação relacionada a uma pessoa física identificada ou identificável, conforme definido pelo Regulamento Geral de Proteção de Dados da União Europeia ("RGPD" EC-2016/679), que é Processada pelo Processador como parte da prestação dos serviços ao Controlador, conforme descrito no Exemplo 1.

"Clausulas contratuais padrão/Clausulas contratuais padrão da UE" as cláusulas contratuais padrão estabelecidas no anexo 1 para a transferência de Dados Pessoais de um responsável pelo tratamento no Espaço Económico Europeu para Processadores estabelecidos em países terceiros, na forma estabelecida no anexo da Decisão 2010/87/UE da Comissão Europeia, com a inclusão da descrição dos Dados Pessoais a transferir e das medidas técnicas e organizacionais a implementar, conforme estabelecido no anexo.

"Controlador", "Suposto de Dados", "Violação de Dados Pessoais", "Processador" e "Processo" têm o significado dado a eles no RGPD.

 

 

Exemplo 1

Detalhes do tratamento

 

Subjectos de dados

 

Os Assuntos de Dados são os indivíduos aos quais os dados pessoais se relacionam e são Usuários ou Usuários finais que interagem usando os Serviços.

Categorias de dados

As categorias de dados referem-se aos dados pessoais de Usuários e Usuários finais, contidos em dados eletrônicos, texto, mensagens ou outros materiais, enviados ao(s) Serviço(s) pelo Cliente através da Conta do Cliente em conexão com o(s) uso do(s) Serviço(s) pelo Cliente.

Objeto e natureza do tratamento

Os dados pessoais processados estarão sujeitos às atividades básicas de processamento necessárias para a prestação do(s) Serviço(s) pela Zuper ao Cliente que envolva o processamento de dados pessoais. Os dados pessoais estarão sujeitos às atividades de processamento especificadas no Contrato e no DPA.

Objetivo do tratamento

Os dados pessoais serão processados para fins de fornecimento do(s) Serviço(s) definido(s) em um Formulário, conforme instruído adicionalmente pelo Cliente na utilização do(s) Serviço(s) e de outra forma acordado no Contrato, neste DPA e em qualquer Formulário aplicável.

Duração do tratamento

Os Dados Pessoais serão processados durante a vigência do Contrato.

 

 

Exemplo 2

Clausulas contratuais padrão da UE (processadores)

 

Para efeitos do artigo 46.o, n.o 3, do Regulamento (UE) 2016/679, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados

A entidade identificada como “Controlador” no Contrato de Processamento de Dados (o “exportador de dados”)

E Zuper , Inc.

24754 NE, 3rd Way, Sammamish, WA - 98074 (o “importador de dados”)

cada uma uma “parte”; juntas “as partes”,

 

ACORDARAM sobre as seguintes cláusulas contratuais (as Cláusulas) a fim de introduzir salvaguardas adequadas no que respeita à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

 

Artigo 1

Definições

Para efeitos das Cláusulas:

a) os «dados pessoais», as «categorias especiais de dados», o «tratamento/tratamento», o «contratante», o «tratador», o «substituto de dados» e a «autoridade de controlo» têm o mesmo significado que no Regulamento (UE) 2016/679;

b) «exportador de dados», o responsável pelo tratamento que transfere os dados pessoais;

c) «importador de dados», o processador que concorda em receber do exportador de dados dados pessoais destinados a serem tratados em seu nome após a transferência, de acordo com as suas instruções e os termos das cláusulas, e que não está sujeito a um sistema de um país terceiro que garanta uma protecção adequada na acepção do Regulamento (UE) 2016/679;

d) «subprocessador»: qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador do importador de dados dados pessoais destinados exclusivamente a realizar atividades de tratamento em nome do exportador de dados após a transferência de acordo com as suas instruções, os termos das cláusulas e os termos do subcontrato por escrito;

e) «Lei de proteção de dados aplicável», a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, nomeadamente, o seu direito à privacidade no que respeita ao tratamento de dados pessoais, aplicável a um responsável pelo tratamento no Estado-Membro em que o exportador de dados está estabelecido;

f) «Medidas de segurança técnica e organizacional», as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilegal ou contra a perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas de tratamento ilícitas.

 

Artigo 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que faz parte integrante das Cláusulas.

Artigo 3

Clausula beneficiária de terceiros

1.      O titular dos dados pode aplicar contra o exportador de dados esta Cláusula, Cláusulas 4(b) a (i), Cláusulas 5(a) a (e) e (g) a (j), Cláusulas 6(1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como beneficiário terceiro.

2.     O titular dos dados pode fazer valer contra o importador de dados esta Cláusula, Cláusulas 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2), e Cláusulas 9 a 12, nos casos em que o exportador de dados tenha realmente desaparecido ou deixou de existir em lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por aplicação de lei, como resultado do qual assume os direitos e obrigações do exportador de dados, em cujo caso o titular dos dados pode fazê-los valer contra essa entidade.

3.     O titular dos dados pode fazer valer contra o subprocessador a presente Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2), e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham efectivamente desaparecido ou deixado de existir legalmente ou tenham se tornado insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por aplicação da lei como resultado das quais assuma os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-los valer contra essa entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

4.     As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo se o titular de dados o desejar expressamente e se permitido por lei nacional.

 

Artigo 4

Obrigatorias do exportador de dados

 

O exportador de dados concorda e garante:

 

(a) que o tratamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições pertinentes da legislação aplicável em matéria de proteção de dados (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições pertinentes desse Estado;

b) ter instruído e durante toda a duração dos serviços de tratamento de dados pessoais instruir o importador de dados a tratar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a legislação aplicável em matéria de proteção de dados e as Cláusulas;

c) Que o importador de dados forneça garantias suficientes no que respeita às medidas de segurança técnicas e organizacionais especificadas no apêndice 2 do presente contrato;

d) Após a avaliação dos requisitos da legislação aplicável em matéria de proteção de dados, as medidas de segurança sejam adequadas para proteger os dados pessoais contra a destruição acidental ou ilegal ou contra a perda acidental, alteração, divulgação ou acesso não autorizados, nomeadamente quando o tratamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas de tratamento ilícitas, e que essas medidas garantam um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a proteger, tendo em conta o estado da técnica e o custo da sua execução;

(e) que assegurará a conformidade com as medidas de segurança;

(f) se a transferência envolver categorias especiais de dados, o titular dos dados foi ou será informado antes ou o mais rapidamente possível após a transferência de que os seus dados poderão ser transferidos para um país terceiro que não ofereça uma proteção adequada na acepção do Regulamento (UE) 2016/679;

g) Enviar qualquer notificação recebida do importador de dados ou de qualquer subprocessador nos termos da alínea b) do artigo 5.o e da alínea 3 do artigo 8.o à autoridade de controlo da proteção de dados se o exportador de dados decidir prosseguir a transferência ou retirar a suspensão.

(h) disponibilizar aos titulares de dados, mediante pedido, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de subprocessamento de serviços que tenha de ser celebrado em conformidade com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que pode remover tais informações comerciais;

(i) que, no caso de subprocessamento, a atividade de processamento seja realizada de acordo com a cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção aos dados pessoais e aos direitos do titular dos dados que os dados importados ao abrigo das cláusulas; e

(j) que ele garantirá a conformidade com a cláusula 4(a) a (i).

 

Artigo 5

Obligações do importador de dados

 

O importador de dados concorda e garante:

 

(a) processar os dados pessoais apenas em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder fornecer tal cumprimento por qualquer motivo, concorda em informar prontamente o exportador de dados da sua incapacidade de cumprir, em cujo caso o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem motivos para acreditar que a legislação aplicável lhe impede de cumprir as instruções recebidas do exportador de dados e suas obrigações ao abrigo do contrato e que, em caso de alteração dessa legislação que possa ter um efeito negativo substancial nas garantias e obrigações previstas nas Cláusulas, notificará prontamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes do processamento dos dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação dos dados pessoais por uma autoridade de aplicação da lei, salvo se proibido de outra forma, como uma proibição por lei penal de preservar a confidencialidade de uma investigação de aplicação da lei;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo de outra forma;

(e) responder prontamente e adequadamente a todas as consultas do exportador de dados relativas ao seu tratamento dos dados pessoais sujeitos à transferência e seguir o parecer da autoridade de controlo no que diz respeito ao tratamento dos dados transferidos.

f) A pedido do exportador de dados, submeter as suas instalações de tratamento de dados para a auditoria das atividades de tratamento abrangidas pelas Cláusulas, que devem ser realizadas pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e com as qualificações profissionais exigidas vinculadas a um dever de confidencialidade, selecionado pelo exportador de dados, se for caso disso, em consentimento com a autoridade de controlo;

(g) disponibilizar ao titular dos dados, mediante pedido, uma cópia das Cláusulas ou de qualquer contrato existente de subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que ele pode remover essas informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados;

(h) que, no caso de subprocessamento, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;

(j) enviar imediatamente uma cópia de qualquer contrato de subprocessador que concluir sob as Cláusulas para o exportador de dados.

 

Artigo 6

Responsabilidade

 

1.      As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem direito a receber uma compensação do exportador de dados pelo dano sofrido.

2.     Se um titular de dados não puder apresentar um pedido de indemnização, nos termos do n.o 1, contra o exportador de dados, decorrente de uma violação por parte do importador de dados ou seu subprocessador de quaisquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados de fato desapareceu ou deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular de dados pode apresentar um pedido contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação legal, caso em que o titular de dados pode impor direitos contra essa entidade. O importador de dados não pode invocar uma violação das suas obrigações por parte de um subprocessador para evitar as suas próprias responsabilidades.

3.     Se um titular de dados não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação por parte do subprocessador de dados de qualquer das suas obrigações referidas na cláusula 3 ou na cláusula 11, porque tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir legalmente ou tornaram-se insolventes, o subprocessador concorda que o titular de dados pode apresentar uma reclamação contra o subprocessador de dados em relação às suas próprias operações de processamento nos termos das cláusulas como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou do importador de dados por contrato ou operação, caso em que o titular de dados pode fazer valer contra tais direitos. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento sob as Cláusulas.

 

Artigo 7.o

Mediação e jurisdição

 

1.      O importador de dados concorda que, se o titular dos dados invocar contra ele direitos de terceiros beneficiários e/ou solicitar indemnização por danos ao abrigo das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

a) Enviar a contestação à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade de controlo;

b) encaminhar a contestação aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

2.     As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições de direito nacional ou internacional.

 

Artigo 8

Cooperação com as autoridades de controlo

 

1.      O exportador de dados concorda em depositar uma cópia deste contrato com a autoridade de controlo se assim o solicitar ou se tal depósito for exigido por lei de proteção de dados aplicável.

2.     As partes concordam que a autoridade de controlo tem o direito de realizar uma auditoria do importador de dados e de qualquer subprocessador, que tenha o mesmo escopo e esteja sujeita às mesmas condições que se aplicariam a uma auditoria do exportador de dados ao abrigo da legislação aplicável em matéria de proteção de dados.

3.     O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados ou de qualquer subprocessador, nos termos do n.o 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na cláusula 5(b).

 

Artigo 9

Lei aplicável

As cláusulas serão regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido.

 

Artigo 10

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas à empresa quando necessário, desde que elas não contradizam a cláusula.

Artigo 11

Subprocessamento

 

1.      O importador de dados não subcontratará nenhuma das suas operações de tratamento realizadas em nome do exportador de dados ao abrigo das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar as suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, só o fará por meio de um acordo escrito com o subprocessador, que impõe ao subprocessador as mesmas obrigações impostas ao importador de dados nos termos das Cláusulas. Se o subprocessador não cumprir as suas obrigações de proteção de dados ao abrigo desse contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador ao abrigo desse contrato.

2.     O contrato prévio escrito entre o importador de dados e o subprocessador prevê igualmente uma cláusula de terceiros beneficiários, conforme estabelecido na cláusula 3, para os casos em que o titular dos dados não seja capaz de apresentar o pedido de indemnização referido no n.o 1 da cláusula 6 contra o exportador de dados ou o importador de dados porque de fato desapareceu ou deixou de existir legalmente ou se tornou insolvente e nenhuma entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por aplicação da lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

3.     As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido no n.o 1 são regidas pela legislação do Estado-Membro em que o exportador de dados está estabelecido.

4.     O exportador de dados mantém uma lista dos contratos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da alínea j) do ponto 5, que deve ser atualizada pelo menos uma vez por ano. A lista deve estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.

 

Artigo 12.o

Obrigatoriedade após a rescisão dos serviços de tratamento de dados pessoais

 

1.      As partes acordam que, na cessação da prestação de serviços de tratamento de dados, o importador de dados e o subprocessador de dados devem, a escolha do exportador de dados, devolver todos os dados pessoais transferidos e as cópias deles ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados lhe impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que irá garantir a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

 

2.     O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de controlo, submeterão as suas instalações de tratamento de dados para uma auditoria das medidas referidas no n.o 1.

 

Anexo 1 das Cláusulas Contratuais Padrão

 

Este Anexo faz parte das Cláusulas e deve ser preenchido e assinado pelas partes. Ao assinar a página de assinatura do Contrato de Processamento de Dados, as partes serão consideradas signatárias deste Apêndice 1.

Exportador de dados - O exportador de dados é a entidade identificada como “Controlador” no Contrato de Processamento de Dados.

Importador de dados - O importador de dados é a entidade identificada como “Processador” no Contrato de Processamento de Dados.

Subjectos de dados - Os Subjectos de dados são definidos no Apêndice 1 No.2 do Contrato de Processamento de Dados.

Categorias de dados - As categorias de dados são identificadas no Apêndice 1 No 3 do Contrato de Processamento de Dados.

Operações de Processamento - Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento identificadas no Apêndice 1 No 1 do Contrato de Processamento de Dados.

 

Anexo 2 às Cláusulas Contratuais Padrão

 

Este Anexo faz parte das Cláusulas e deve ser preenchido e assinado pelas partes. Ao assinar a página de assinatura do Contrato de Processamento de Dados, as partes serão consideradas signatárias deste Apêndice 2.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados em conformidade com as alíneas d) e c) do ponto 4 (ou documento/legislação anexado):

O Processador mantém e aplica várias políticas, padrões e processos projetados para proteger dados pessoais e outros dados aos quais os funcionários do Processador têm acesso e atualiza essas políticas, padrões e processos de tempos em tempos de acordo com os padrões do setor. A seguir está uma descrição de algumas das medidas técnicas e organizacionais implementadas pelo Processador na data da assinatura:

1.     Procedimentos gerais de segurança

 

1.1 O Processador será responsável por estabelecer e manter um programa de segurança da informação que tenha por objetivo: (i) proteger a segurança e a confidencialidade dos Dados Pessoais; (ii) proteger contra ameaças ou riscos antecipados à segurança ou integridade dos Dados Pessoais; (iii) proteger contra o acesso ou uso não autorizado dos Dados Pessoais; (iv) assegurar a eliminação adequada dos Dados Pessoais, conforme definido neste documento; e, (v) garantir que todos os funcionários e subcontratados do Processador, se houver, cumpram todos os anteriores. O processador deve designar um indivíduo para ser responsável pelo programa de segurança da informação. Essas pessoas devem responder às consultas do Controlador sobre segurança do computador e ser responsáveis por notificar os contatos designados pelo Controlador caso ocorra uma violação ou um incidente, conforme descrito aqui.

1.2 O Processador deve realizar um treinamento formal sobre privacidade e segurança para todos os seus funcionários assim que razoavelmente possível após o momento da contratação e/ou antes de ser nomeado para trabalhar em Dados Pessoais e ser recertificado anualmente. A documentação do treinamento de sensibilização à segurança deve ser mantida pelo Processador, confirmando que esse treinamento e o processo de recertificação anual subsequente foram concluídos.

1.3 O Controlador terá o direito de revisar uma visão geral do programa de segurança de informações do Processador antes do início do Serviço e, posteriormente, anualmente, mediante solicitação do Controlador.

1.4 O Processador não transmitirá quaisquer Dados Pessoais não criptografados pela internet ou por qualquer rede não segura e não armazenará quaisquer Dados Pessoais em qualquer dispositivo de computação móvel, como um computador portátil, unidade USB ou dispositivo de dados portátil, exceto quando

há uma necessidade comercial e apenas se o dispositivo de computação móvel estiver protegido por um software de criptografia padrão do setor. O Processador criptografará os Dados Pessoais em trânsito de e para os Serviços por meio de redes públicas usando protocolos padrão do setor.

1.5 Em caso de qualquer roubo aparente ou real, uso não autorizado ou divulgação de quaisquer Dados Pessoais, o Processador deve iniciar imediatamente todos os esforços razoáveis para investigar e corrigir as causas e corrigir os resultados deles e, sem demora injustificada e dentro de 72 horas após a confirmação de qualquer evento, fornecer ao Controlador um aviso sobre isso, bem como qualquer informação e assistência adicionais que possam ser razoavelmente solicitados. A pedido do Controlador, ações de correção e garantia razoável de resolução de problemas descobertos serão fornecidas ao Controlador.

2.     Segurança de rede e comunicação

 

2.1 Toda a conectividade do Processador aos sistemas de computação e/ou redes do Controlador e todas as tentativas ao mesmo devem ser feitas apenas por meio dos gateways/firewalls de segurança do Controlador e apenas por meio de procedimentos de segurança aprovados pelo Controlador.

2.2 O Processador não deve acessar e não permitirá que pessoas ou entidades não autorizadas acessem os sistemas informáticos e/ou redes do Controlador sem a autorização expressa por escrito do Controlador e qualquer acesso real ou tentado deve ser consistente com qualquer autorização.

2.3 O Processador deve tomar as medidas apropriadas para garantir que os sistemas do Processador que se conectam aos sistemas do Controlador e qualquer coisa fornecida ao Controlador através desses sistemas não contenha qualquer código de computador, programas, mecanismos ou dispositivos de programação projetados para, ou que permitiriam, a interrupção, modificação, exclusão,

danificar, desativar, desativar, prejudicar ou de outra forma impedir, de qualquer forma, o funcionamento dos sistemas do Controlador.

2.4 O Processador deve manter medidas técnicas e organizacionais de proteção de dados, incluindo: (i) firewalls e sistemas de detecção de ameaças para identificar tentativas de conexão maliciosas, bloquear spam, vírus e intrusão não autorizada; (ii) tecnologia de rede física projetada para resistir a ataques de usuários maliciosos ou código malicioso; e (iii) dados criptografados em trânsito em redes públicas usando protocolos padrão do setor.

3.     Procedimentos de Tratamento de Dados Pessoais

 

3.1 Exclusão de informações e destruição de mídia de armazenamento eletrônico. Todas as mídias eletrônicas de armazenamento que contenham Dados Pessoais devem ser apagadas ou desmarcadas para destruição física ou eliminação, de uma forma que atenda aos padrões da indústria forense, como as Diretrizes NIST SP800-88 para a Limpeza de mídia, antes de sair das Áreas de Trabalho do Controlador, com exceção dos Dados Pessoais criptografados que residem em mídias portáteis com o propósito expresso de prestar serviço ao Controlador. O processador deve manter evidências documentadas comercialmente razoáveis de exclusão e destruição de dados para recursos no nível de infraestrutura.

3.2 O Processador deve manter tecnologias e processos de autorização e autenticação para garantir que apenas pessoas autorizadas acessem Dados Pessoais, incluindo: (i) conceder direitos de acesso com base no princípio da necessidade de saber; (ii) rever e manter registros de funcionários autorizados ou que podem conceder, alterar ou cancelar o acesso autorizado aos sistemas; (iii) exigir que contas de acesso personalizadas e individuais usem senhas que atendam aos requisitos de complexidade, duração e duração; (iv) armazenar senhas de maneira que as tornem indescifráveis se usadas incorretamente ou recuperadas isoladamente; (v) criptografar, registrar e auditar todas as sessões de acesso a sistemas que contenham Dados Pessoais; e (vi) instruir os funcionários sobre métodos seguros de administração de computadores quando podem ser desatendidos, como o uso de salvadores de tela protegidos por senha e os limites de tempo da sessão.

3.3 O Processador deve manter controles lógicos para separar Dados Pessoais de outros dados, incluindo os dados de outros clientes.

3.4 O Processador deve manter medidas para prever o processamento separado de dados para diferentes fins, incluindo: (i) provisionar o Controlador dentro de seu próprio domínio de segurança de nível de aplicativo, o que cria separação lógica e isolamento de princípios de segurança entre os clientes; e (ii) isolar ambientes de teste ou desenvolvimento de ambientes em uso ou de produção.

4.     Segurança física

 

4.1 O Processador deve garantir que sejam atendidos pelo menos os seguintes requisitos de segurança física:

i) Todas as mídias de backup e arquivamento que contenham Dados Pessoais devem ser contidas em áreas de armazenamento seguras e controladas ambientalmente, de propriedade, operadas ou contratadas pelo Processador. Todas as mídias de backup e arquivamento que contêm Dados Pessoais devem ser criptografadas.

ii) As medidas técnicas e organizacionais para controlar o acesso aos locais e instalações dos data centers estão em vigor e incluem: (i) escritórios de recepção bem equipados ou agentes de segurança para restringir o acesso a indivíduos identificados e autorizados; (ii) rastreamento dos visitantes na chegada para verificar a identidade; (iii) todas as portas de acesso, incluindo gaiolas de equipamento, protegidas por sistemas de bloqueio automático de portas com sistemas de controle de acesso que registam e retêm os históricos de acesso; (iv) monitoramento e gravação de todas as áreas usando cobertura digital CCTV, sistemas de alarme de detecção de movimento e registros detalhados de vigilância e auditoria; (v) alarmes de intrusos presentes em todas as portas de emergência externas com portas de saída unilateral interna; e

(vi) separação das áreas de envio e de recepção com verificação do equipamento na chegada.

iii) O Processador deve manter medidas para proteger contra a destruição acidental ou perda de Dados Pessoais, incluindo: (i) detecção e supressão de incêndios, incluindo um sistema de supressão de incêndio multi-zonal, de tubulação seca, duplo bloqueio, pré-ação e um sistema de detecção e alarme de fumaça muito precoce (VESDA); (ii) geradores de eletricidade redundantes no local com fornecimento adequado de combustível do gerador e contratos com vários fornecedores de combustível; (iii) sistemas de aquecimento, ventilação e ar condicionado (HVAC) que fornecem fluxo de ar estável, temperatura e umidade, com redundância mínima N+1 para todos os equipamentos principais e redundância N+2 para refrigeradores e armazenamento de energia térmica; e (iv) sistemas físicos usados para armazenamento e transporte de dados utilizando projetos tolerantes a falhas com vários níveis de redundância.

5 Teste de segurança

 

5.1 Durante a execução dos Serviços ao abrigo do Contrato, o Processador contratará, por sua conta e pelo menos uma vez por ano, um fornecedor terceiro (“Empresa de Teste”) para realizar testes de penetração e de vulnerabilidade (“Testes de Segurança”) em relação aos sistemas do Processador que contenham e/ou armazenam Dados Pessoais.

5.2 O objetivo desses Testes de Segurança será identificar problemas de design e/ou funcionalidade em aplicações ou infraestrutura dos sistemas do Processador que contenham e/ou armazenam Dados Pessoais, que possam expor os ativos do Controlador a riscos decorrentes de atividades maliciosas. Os Testes de Segurança investigarão falhas em aplicativos, perímetros de rede ou outros elementos de infraestrutura, bem como falhas em processos ou contramedidas técnicas relacionadas aos sistemas do Processador que contenham e/ou armazenam Dados Pessoais que possam ser explorados por uma parte maliciosa.

5.3 Os testes de segurança devem identificar, no mínimo, as seguintes vulnerabilidades de segurança: entrada inválida ou não sanitada; controles de acesso quebrados ou excessivos; gerenciamento de autenticação e sessão quebrado; falhas de scripting cross-site (XSS); excedentes de buffer; falhas de injeção; gerenciamento de erros incorreto; armazenamento inseguro; vulnerabilidades comuns de denegação de serviço; gerenciamento de configuração inseguro ou inconsistente; uso indevido de SSL/TLS; uso adequado de criptografia; e confiabilidade e testes antivírus.

5.4 Dentro de um período razoável após a realização do Teste de Segurança, o Processador deverá corrigir os problemas (se houver) identificados e, posteriormente, por sua conta própria, comprometer a Empresa de Teste a realizar um Teste de Segurança de nova validação para garantir a resolução dos problemas de segurança identificados. Os resultados serão disponibilizados ao Controlador mediante solicitação.

6.     Security Audit

 

6.1 O Processador e todas as entidades subcontratadas (conforme apropriado) devem realizar pelo menos uma vez por ano uma auditoria SSAE 18 (ou equivalente) que abranja todos os sistemas e/ou instalações utilizados para fornecer o Serviço ao Controlador e fornecerá ao Controlador os resultados imediatamente após o pedido escrito do Controlador. Se, após analisar esses resultados de auditoria, o Controlador determinar razoavelmente que há problemas de segurança relacionados ao Serviço, o Controlador notificará o Processador por escrito e o Processador discutirá imediatamente e, quando comercialmente viável, abordará os problemas identificados. Quaisquer problemas restantes serão documentados, monitorados e resolvidos no momento acordado pelo Processador e pelo Controlador.