Adendo de Processamento de Dados para EUSA

Este Adendo de Processamento de Dados ("DPA") é incorporado e faz parte dos termos e condições do Acordo de Serviço do Usuário Final ("EUSA") entre a Avetta e o Fornecedor e estabelece os termos, requisitos e condições adicionais nos quais a Avetta obterá, tratará, processará, divulgará, transferirá ou armazenará Dados Pessoais ao fornecer serviços sob a EUSA. Todos os termos em maiúsculas não definidos neste DPA devem ter o significado atribuído a eles na EUSA.

1. Definições e Interpretação.

1.1. Definições.

"Legislação Aplicável de Proteção de Dados" significa as leis e regulamentos aplicáveis ao processamento de Dados Pessoais da respectiva parte em conexão com a EUSA, incluindo, quando aplicável, (i) o Regulamento Geral de Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho ("GDPR"), conforme alterado e complementado, conforme o caso, pelas leis e regulamentos relevantes dos Estados-Membros da UE nos quais o Fornecedor opera direta ou indiretamente, (ii) a Lei de Proteção de Dados do Reino Unido de 2018 e o Regulamento Geral de Proteção de Dados do Reino Unido ("GDPR do Reino Unido"), (iii) a Lei de Privacidade Australiana de 1988 e Princípios Nacionais de Privacidade, (iv) a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, e quaisquer regulamentos ou orientações relacionados (coletivamente, a "CCPA"), (v) a Lei Canadense de Proteção de Informações Pessoais e Documentos Eletrônicos ("PIPEDA") e (vi) quaisquer outras leis, regras, regulamentos, diretrizes e requisitos governamentais internacionais, federais, estaduais, provinciais e locais de privacidade ou proteção de dados atualmente em vigor e à medida que se tornem efetivos.

"Titular dos Dados" significa um indivíduo que é o sujeito dos Dados Pessoais e a quem ou sobre quem os Dados Pessoais se relacionam ou identificam, direta ou indiretamente.

"Estrutura de Privacidade de Dados" inclui a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, que foram desenvolvidas respectivamente para promover o comércio transatlântico pelo Departamento de Comércio dos EUA e a Comissão Europeia, o Governo do Reino Unido e a Administração Federal Suíça para fornecer às organizações dos EUA mecanismos confiáveis para transferências de Dados Pessoais para os Estados Unidos do EEE, Reino Unido (e Gibraltar) e Suíça, garantindo proteção de dados consistente com as leis da UE, Reino Unido e Suíça.

"EEE" refere-se ao Espaço Econômico Europeu, que é formado por todos os Estados-membros da União Europeia e Islândia, Noruega e Liechtenstein.

"SCCs da UE" significa as cláusulas contratuais padrão da Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme estabelecido no Anexo da Decisão (UE) 2021/914 da Comissão, cuja cópia está disponível em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

"Dados Pessoais" significa qualquer informação que a Avetta processa que (i) identifica ou se relaciona com um indivíduo que pode ser identificado direta ou indiretamente a partir desses dados sozinhos ou em combinação com outras informações em posse ou controle da Avetta, ou (ii) a Legislação de Proteção de Dados Aplicável define como dados pessoais ou informações pessoais protegidas.

"Processamento, processos e processando" significa qualquer atividade que envolva o uso de Dados Pessoais, ou como a Legislação Aplicável de Proteção de Dados pode definir os termos "processamento", "processos" ou "processando". Inclui a obtenção, registro ou retenção dos dados, ou a realização de qualquer operação ou conjunto de operações sobre os dados, incluindo a organização, alteração, recuperação, uso, divulgação, apagamento ou destruição dos mesmos. O Processamento também inclui a transferência de Dados Pessoais para terceiros.

"Violação de Segurança" significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais.

"Solicitação de Direitos do Titular" significa o exercício por um Titular dos Dados de seus direitos sob a Legislação Aplicável de Proteção de Dados.

"Adendo do Reino Unido" significa o Adendo de Transferência de Dados Internacionais do UK Information Commissioner's Office às Cláusulas Contratuais Padrão da Comissão Europeia, cuja cópia está disponível em https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

1.2 Os Documentos são parte integrante deste DPA e terão efeito como se estivessem estabelecidos na íntegra no corpo deste DPA. Qualquer referência a este DPA inclui os Documentos.

1.3 Uma referência a material escrito inclui e-mail.

1.4 No caso de conflito ou ambiguidade entre qualquer uma das disposições deste DPA e as disposições da EUSA, as disposições deste DPA prevalecerão, e qualquer uma das disposições deste DPA e quaisquer disposições contidas no Documento A, as disposições aplicáveis do Documento A prevalecerão.

2. Funções e Escopo do Processamento.

2.1 Funções das Partes. O Fornecedor e a Avetta reconhecem e concordam que:

(a) A Avetta é uma processadora de dados na medida que o processamento de Dados Pessoais é realizado em nome e sob a direção do Fornecedor, como o processamento dos Dados Pessoais do Fornecedor (incluindo Dados Pessoais de seu pessoal e Trabalhadores) contidos nos formulários de pré-qualificação, conjunto de dados OSHA ou outro conjunto de dados coletados durante uma Auditoria; e

(b) A Avetta é uma controladora de dados na medida que o processamento de Dados Pessoais é para os próprios fins da Avetta em conexão com a prestação dos Serviços Avetta ou para os interesses comerciais legítimos da Avetta, como faturamento, gerenciamento de contas, suporte técnico, desenvolvimento de produtos, usos analíticos e vendas e marketing (por exemplo, envio de boletins informativos aos usuários administradores do Fornecedor).

2.2 Processamento de dados pessoais pelo fornecedor. O Fornecedor reconhece e concorda que:

(a) O Fornecedor será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais enviados à Avetta e/ou ao Site (pelo Fornecedor ou por seus Titulares dos Dados);

(b) O Fornecedor só deve carregar e enviar para a Avetta e/ou para o Site os Dados Pessoais que foram obtidos dos Titulares dos Dados em conformidade com a Legislação Aplicável de Proteção de Dados;

(c) O Fornecedor deve garantir que o Fornecedor tenha todos os consentimentos e avisos necessários em vigor e tenha cumprido todos os outros requisitos da Legislação Aplicável de Proteção de Dados para permitir a transferência legal de Dados Pessoais (incluindo Dados Sensíveis) para a Avetta e permitir o processamento de Dados Pessoais da Avetta em várias jurisdições de acordo com a EUSA e este DPA;

(d) Quando o consentimento for a base legal para o processamento de Dados Pessoais ou for necessário para o uso dos Serviços Avetta, o Fornecedor deverá, em todos os momentos, disponibilizar e manter (i) um mecanismo para obter tal consentimento dos Titulares dos Dados, e (ii) um mecanismo para os Titulares dos Dados retirarem tal consentimento, em cada caso de acordo com a Legislação de Proteção de Dados Aplicável; e

(e) O uso dos Serviços Avetta pelo Fornecedor não violará os direitos de quaisquer Titulares dos Dados.

2.3 Detalhes do Processamento de dados. O Documento B descreve as categorias gerais de Dados Pessoais, os tipos de Titulares de Dados e outros detalhes do processamento que a Avetta realizará em conexão com a prestação dos Serviços Avetta de acordo com a EUSA.

3. Obrigações da Avetta.

3.1 A Avetta processará Dados Pessoais apenas para os fins específicos da transferência, conforme estabelecido no Documento B. A Avetta pode processar Dados Pessoais para outra finalidade (i) quando tiver obtido o consentimento prévio do Titular dos Dados, (ii) quando necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou (iii) quando necessário para proteger os interesses vitais do Titular dos Dados ou de outra pessoa física. Na medida que a Avetta atua como uma processadora de dados do Fornecedor, a Avetta processará Dados Pessoais de acordo com as instruções do Fornecedor. As partes concordam que as instruções do Fornecedor devem estar dentro do escopo da EUSA. Quaisquer instruções adicionais solicitadas requerem o consentimento prévio por escrito da Avetta. A Avetta notificará imediatamente o Fornecedor se, na opinião da Avetta, tal instrução violar qualquer Legislação Aplicável de Proteção de Dados. Quando aplicável, o Fornecedor será responsável por quaisquer comunicações, notificações, assistência e/ou autorizações que possam ser necessárias em conexão com seus Titulares dos Dados.

3.2 A Avetta, ao considerar a natureza do processamento da Avetta e as informações disponíveis para a Avetta, ajudará razoavelmente o Fornecedor a cumprir as obrigações de conformidade do Fornecedor nos termos da Legislação Aplicável de Proteção de Dados, desde que o Fornecedor cubra todos os custos incorridos pela Avetta em relação ao fornecimento de tal assistência. Tais obrigações de conformidade podem incluir a obrigação de realizar uma avaliação do impacto das operações de processamento na proteção de Dados Pessoais (uma "Avaliação de Impacto da Proteção de Dados") onde um tipo de processamento provavelmente resultará em um alto risco para os direitos e liberdades das pessoas singulares.

4. Funcionários da Avetta.

4.1 A Avetta garantirá que todos os funcionários que tenham acesso ou estejam envolvidos no processamento de Dados Pessoais (i) tenham realizado treinamento sobre a Legislação Aplicável de Proteção de Dados relacionada ao manuseio de Dados Pessoais e como ela se aplica aos seus deveres específicos; e estejam cientes dos deveres da Avetta e de seus deveres e obrigações pessoais nos termos da Legislação Aplicável de Proteção de Dados e deste DPA; e (ii) estejam sob a obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).

4.2 A Avetta tomará medidas razoáveis para garantir a confiabilidade, integridade e confiabilidade de qualquer funcionário da Avetta com acesso aos Dados Pessoais.

5. Segurança.

5.1 Tendo em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e os objetivos do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades dos Titulares dos Dados, a Avetta implementou medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo as medidas de segurança descritas no Anexo II do Documento B. A Avetta pode revisar e atualizar o Anexo II de tempos em tempos, desde que tais atualizações não diminuam materialmente a segurança geral dos Serviços Avetta ou Dados Pessoais.

5.2 O Fornecedor é responsável por revisar as informações disponibilizadas pela Avetta relacionadas à segurança de dados e fazer uma determinação independente sobre se os Serviços Avetta atendem aos requisitos do Fornecedor e às obrigações legais nos termos da Legislação Aplicável de Proteção de Dados.

6. Violação de segurança e perda de dados pessoais.

6.1 A Avetta deverá notificar o Fornecedor sem demora após a Avetta tomar conhecimento de qualquer Violação de Segurança. A notificação da Avetta deve ser enviada para o e-mail registrado pelo Fornecedor nos Serviços Avetta e, quando nenhum e-mail for registrado, o Fornecedor reconhece que os meios de notificação ficarão a critério razoável da Avetta e a capacidade da Avetta de notificar em tempo hábil será impactada negativamente. A Avetta deve, prontamente, tomar medidas razoáveis para conter, investigar e mitigar qualquer Violação de Segurança. Caso o Fornecedor suspeite de qualquer Violação de Segurança, informe imediatamente para infosec@avetta.com.

6.2 Na medida do possível, a Avetta fornecerá ao Fornecedor informações oportunas sobre a Violação de Segurança, incluindo, por exemplo, a natureza e as consequências da Violação de Segurança, as medidas tomadas e/ou propostas pela Avetta para mitigar ou conter a Violação de Segurança, o status da investigação da Avetta, um ponto de contato do qual informações adicionais podem ser obtidas e as categorias e o número aproximado de registros de dados em questão. As comunicações por ou em nome da Avetta com o Fornecedor em conexão com uma Violação de Segurança não devem ser interpretadas como um reconhecimento pela Avetta de qualquer falha ou responsabilidade com relação à Violação de Segurança.

7. Transferências Transfronteiriças de Dados Pessoais; Cláusulas Contratuais Exigidas.

7.1 O Fornecedor reconhece e concorda que a Avetta pode transferir, acessar e processar Dados Pessoais em uma base global, conforme necessário para fornecer os Serviços Avetta.

7.2 Quando a Legislação Aplicável de Proteção de Dados tiver prescrito mecanismos específicos para a transferência de Dados Pessoais para a Avetta e/ou cláusulas contratuais para o processamento de Dados Pessoais pela Avetta (coletivamente, "Mecanismos de Transferência"), a Avetta deverá disponibilizar tais Mecanismos de Transferência específicos (na medida que geralmente aceito pela Avetta) no Documento A.

7.3 Se a Legislação Aplicável de Proteção de Dados tiver prescrito requisitos adicionais para as cláusulas de transferência e/ou contrato para o processamento de Dados Pessoais, a Avetta concorda em cooperar razoavelmente com o Fornecedor para a conformidade do Fornecedor com tais requisitos e atualizará os Mecanismos de Transferência no Documento A quando apropriado. O Fornecedor concorda em executar outros documentos e tomar outras medidas que possam ser razoavelmente necessárias para dar efeito legal ao Mecanismo de Transferência adicional ou modificado.

8. (Sub)Processadores.

8.1 O Fornecedor concorda que, na medida que a Avetta atua como um processador de dados, a Avetta pode usar subprocessadores listados em operadores e afiliadas para o processamento de Dados Pessoais em conexão com a prestação dos Serviços Avetta. Pelo menos 10 dias antes de autorizar qualquer novo subprocessador ou substituir qualquer subprocessador, a Avetta notificará o Fornecedor sobre as alterações, publicando os novos subprocessadores propostos em operadores e afiliadas. É responsabilidade do Fornecedor verificar este site regularmente para obter atualizações. Se o Fornecedor tiver qualquer objeção legítima à nomeação de novo subprocessador que se relacione com a conformidade da Avetta com este DPA, a Avetta envidará esforços razoáveis para resolver a objeção do Fornecedor. Se nenhuma resolução puder ser alcançada, a Avetta, a seu próprio critério, não nomeará o novo subprocessador ou permitirá que o Fornecedor suspenda ou rescinda a EUSA sem responsabilidade para nenhuma das partes. A Avetta não será obrigada a fazer qualquer reembolso de quaisquer quantias pagas sob a EUSA.

8.2 O Fornecedor reconhece e concorda ainda que, na medida que a Avetta atua como uma controladora de dados, a Avetta pode usar os provedores de serviços adicionais descritos ou listados em operadores e afiliadas para os fins estabelecidos.

9. Solicitações de Direitos dos Titulares dos Dados.

9.1 Cada uma das partes concorda em fornecer a assistência razoavelmente necessária para permitir que a outra parte cumpra quaisquer Solicitações de Direitos do Sujeito dentro dos prazos impostos pela Legislação Aplicável de Proteção de Dados.

10. Solicitação de Acesso a Dados de Terceiros.

10.1 A Avetta notificará o Fornecedor sobre qualquer solicitação de divulgação dos Dados Pessoais do Fornecedor por um órgão governamental ou regulador ou autoridade de aplicação da lei, a menos que seja proibido por lei ou uma ordem legalmente vinculativa de tal órgão ou agência.

11. Vigência e Rescisão.

11.1 Este DPA entrará em vigor na data de vigência da EUSA ou da primeira provisão de Dados Pessoais para a Avetta, o que ocorrer primeiro, e permanecerá em vigor e efeito enquanto a EUSA permanecer em vigor.

11.2 Qualquer disposição deste DPA que, expressa ou implicitamente, deva entrar ou continuar em vigor após a rescisão da EUSA, a fim de proteger os Dados Pessoais, permanecerá em pleno vigor e efeito.

12. Devolução e Destruição de Dados.

12.1 A pedido do Fornecedor, a Avetta fornecerá ao Fornecedor uma cópia ou acesso aos Dados Pessoais do Fornecedor em sua posse ou controle, no formato padrão da Avetta, se a solicitação for enviada antes do descarte dos Dados Pessoais pela Avetta.

12.2 Após a rescisão da EUSA, a Avetta, dentro de um período razoável, excluirá ou destruirá com segurança os Dados Pessoais do Fornecedor relacionados a este DPA em sua posse ou controle. Este requisito não se aplicará (i) na medida que a retenção dos Dados Pessoais seja para satisfazer quaisquer requisitos legais, regulatórios, fiscais, contábeis ou de relatórios ou seja necessária para o estabelecimento, exercício ou defesa de reivindicações legais se a Avetta acreditar razoavelmente que há uma perspectiva de litígio; e (ii) aos Dados Pessoais em sistemas de backup até que os backups tenham sido substituídos ou eliminados de acordo com a política de backup da Avetta, caso em que a Avetta isolará e protegerá os Dados Pessoais de qualquer processamento adicional, exceto na medida exigida pela lei aplicável até que a exclusão seja possível.

13. Auditoria.

13.1 Mediante solicitação por escrito e sem custo adicional para o Fornecedor, a Avetta dará ao Fornecedor e/ou seu representante terceirizado devidamente qualificado (coletivamente, o "Auditor"), acesso à documentação razoavelmente solicitada que comprove a conformidade da Avetta com suas obrigações sob este DPA na forma das auditorias ou certificações relevantes listadas no Anexo II do Documento B, como ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificações ISO") e SOC 2 Tipo II. A Avetta também responderá a quaisquer questionários de auditoria escritos enviados a ela pelo Auditor e se reunirá por teleconferência ou pessoalmente (à custa do Fornecedor) para abordar questões de acompanhamento, desde que o Fornecedor não exerça esse direito mais de uma vez por ano, exceto se e quando exigido por instrução de uma autoridade de proteção de dados competente. A Avetta pode exigir que o Auditor assine um contrato de confidencialidade separado com a Avetta antes de qualquer revisão dos relatórios ou uma auditoria da Avetta, e a Avetta pode se opor por escrito a tal Auditor, se, na opinião razoável da Avetta, o Auditor não estiver adequadamente qualificado ou for um concorrente direto da Avetta. Qualquer objeção da Avetta exigirá que o Fornecedor nomeie outro Auditor. Quaisquer despesas incorridas por um Auditor em conexão com qualquer revisão dos relatórios ou auditoria serão arcadas exclusivamente pelo Auditor.

14. Geral.

14.1 As partes concordam que este DPA substituirá qualquer adendo de processamento de dados, anexo, documento ou cláusulas contratuais padrão existentes que a Avetta e o Fornecedor possam ter celebrado anteriormente em conexão com os Serviços Avetta. A Avetta pode atualizar este DPA de tempos em tempos (por exemplo, em resposta a quaisquer alterações na Legislação de Proteção de Dados Aplicável, ou como resultado de uma fusão, aquisição, reorganização corporativa ou outra ocorrência semelhante ou o lançamento de novos recursos, funções, produtos ou serviços ou alterações materiais a qualquer um dos Serviços Avetta existentes), desde que, no entanto, nenhuma atualização diminua materialmente a privacidade ou a segurança dos Dados Pessoais. A Avetta publicará a versão atualizada em Adendo do Contrato Principal de Assinatura sobre Tratamento de Dados ou em um site sucessor designado pela Avetta.

14.2 A responsabilidade da Avetta sob ou em conexão com este DPA, incluindo sob as SCCs da UE, está sujeita às exclusões e limitações de responsabilidade contidas na EUSA. Em nenhuma circunstância a Avetta limita ou exclui sua responsabilidade para com os Titulares dos Dados ou autoridades de proteção de dados competentes.

14.3 Exceto quando e na medida expressamente prevista nas CEC da UE ou exigida como uma questão da Legislação de Proteção de Dados Aplicável, este DPA não confere nenhum direito a terceiros beneficiários; destina-se apenas ao benefício das partes e seus respectivos sucessores e designados permitidos, e não é para o benefício de, nem qualquer disposição deste documento pode ser aplicada por qualquer outra pessoa.

14.4 Este DPA e qualquer ação relacionada a ele serão regidos e interpretados de acordo com as leis especificadas na EUSA, sem dar efeito a quaisquer conflitos de princípios legais. As partes consentem com a jurisdição pessoal e o local nos tribunais especificados na EUSA.

14.5 Se qualquer disposição deste DPA for, por qualquer motivo, considerada inválida ou inaplicável, as outras disposições do DPA permanecerão aplicáveis. Sem limitação à generalidade do acima exposto, o Fornecedor concorda que a Seção 14.2 (Limitação de Responsabilidade) permanecerá em vigor, não obstante a inaplicabilidade de qualquer disposição deste DPA.

DOCUMENTO A

MECANISMOS DE TRANSFERÊNCIA E CLÁUSULAS CONTRATUAIS NECESSÁRIAS

Este Documento A fornece os Mecanismos de Transferência aceitos pela Avetta. Um Mecanismo de Transferência não se aplicará e não será incorporado a este DPA se não for aplicável às transferências do Fornecedor para a Avetta. Se um Mecanismo de Transferência listado for, ou se tornar, aplicável nos termos da Legislação Aplicável de Proteção de Dados, ele será considerado assinado pelas partes (se forem necessárias assinaturas) e será incorporado a este DPA.

1. Estrutura de Privacidade de Dados. Para transferências de Dados Pessoais para os Estados Unidos, a Avetta se autocertificou com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA administrada pelo Departamento de Comércio dos EUA. Para obter mais informações, consulte o Aviso da Estrutura de Privacidade de Dados da Avetta, que está disponível em política de Estrutura de Privacidade de Dados.

2. Cláusulas Contratuais Padrão da UE (SCCs da UE). Quando o processamento envolver transferências de Dados Pessoais para fora do EEE para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas às SCCs da UE, especificamente:

a. Em circunstâncias em que a Avetta atua como controladora de dados, o Módulo Um das SCCs da UE (para transferências de controladora para controladora), complementado pelos termos abaixo, deve se aplicar às transferências de Dados Pessoais entre o Fornecedor e a Avetta:

i. Linguagem opcional na cláusula 7 (cláusula de encaixe) é usada.

ii. A linguagem opcional na cláusula 11(a) (reparação) não é usada.

iii. Para a cláusula 17, a primeira opção é usada, e a lei da Alemanha é a lei aplicável.

iv. Para a cláusula 18(b), o fórum selecionado será o tribunal da Alemanha.

b. Em circunstâncias em que o Fornecedor é um controlador de dados e a Avetta é um processador de dados com relação ao processamento, o Módulo Dois das SCCs da UE (para transferências de controlador para processador), complementado pelos termos abaixo, deve se aplicar:

i. Linguagem opcional na cláusula 7 (cláusula de encaixe) é usada.

ii. Para a cláusula 9(a), a opção 2 (autorização geral por escrito) é selecionada e o período especificado é de dez (10) dias.

iii. A linguagem opcional na cláusula 11(a) (reparação) não é usada.

iv. Para a cláusula 17, a primeira opção é usada, e a lei da Alemanha é a lei aplicável.

v. Para a cláusula 18(b), o fórum selecionado será o tribunal da Alemanha.

c. O Anexo I, o Anexo II e o Anexo III das SCCs da UE serão considerados preenchidos com as informações estabelecidas neste Documento B.

3. Adendo do Reino Unido. Quando o processamento envolver transferências de Dados Pessoais para fora do Reino Unido para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável tiver sido invalidada), tais transferências estarão sujeitas ao Adendo do Reino Unido, complementado pelos termos abaixo:

a. As partes deste Adendo do Reino Unido serão as partes do DPA.

b. As SCCs da UE que este Adendo do Reino Unido altera devem ser as SCCs da UE aplicáveis referenciadas na Seção 2 deste Documento A, e as Tabelas 1-3 do Adendo do Reino Unido devem ser preenchidas com as informações relevantes em conformidade.

c. Para os fins da Tabela 4 do Adendo do Reino Unido, "Importador" deve ser selecionado.

d. A parte 2 do Adendo do Reino Unido deverá ser: "Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo do Adendo B.1.0 emitido pela ICO e apresentado ao Parlamento de acordo com s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado de acordo com a Seção 18 dessas Cláusulas Obrigatórias."

4. Cláusulas Contratuais Padrão da Suíça. Quando o processamento envolver transferências de Dados Pessoais para fora da Suíça para a Avetta, e não houver outra base legítima para a transferência internacional (por exemplo, se a Estrutura de Privacidade de Dados aplicável não tiver sido reconhecida como/não for mais um mecanismo de transferência válido), tais transferências estarão sujeitas às SCCs da UE referenciadas na Seção 2 deste Documento A, exceto que:

a. O termo "estado membro" não deve ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de processar seus direitos em seu local de residência habitual (Suíça) de acordo com a cláusula 18 (c) destas cláusulas contratuais padrão.

b. Em circunstâncias em que as transferências estão exclusivamente sujeitas à Lei Federal de Proteção de Dados ("FADP"), as referências ao GDPR devem ser entendidas como referências ao FADP.

c. Em circunstâncias em que as transferências estão sujeitas ao FADP e ao GDPR, as referências ao GDPR devem ser entendidas como referências ao FADP, na medida que as transferências estejam sujeitas ao FADP.

5. Cláusulas Contratuais da CCPA. Quando o processamento envolver os Dados Pessoais de Residentes da Califórnia, as partes deverão cumprir adicionalmente o seguinte:

a. A Avetta: (i) apenas coletará, usará, reterá ou divulgará Dados Pessoais para os fins permitidos descritos na EUSA e na CCPA e para nenhum outro propósito comercial; (ii) não venderá nenhum Dado Pessoal ou compartilhará quaisquer Dados Pessoais para publicidade comportamental entre contextos; (iii) não coletará, usará, reterá ou divulgará Dados Pessoais fora do relacionamento comercial direto entre a Avetta, exceto conforme necessário para fornecer os Serviços da Avetta; (iv) não combinará Dados Pessoais que a Avetta receba de, ou em nome do Fornecedor, com Dados Pessoais que colete em nome de outra pessoa ou pessoas, exceto para um propósito comercial que não envolva publicidade comportamental entre contextos e seja permitido pela CCPA; e (v) fornecerá pelo menos o mesmo nível de proteção de privacidade que a CCPA exige em relação aos Dados Pessoais. A Avetta certifica que entende essas restrições e as cumprirá.

b. O Fornecedor terá o direito (i) de monitorar a conformidade da Avetta com este DPA e (ii) de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais sejam usados pela Avetta de acordo com o CCPA. A Avetta notificará o Fornecedor se a Avetta determinar que não pode mais cumprir nenhuma de suas obrigações nos termos do CCPA e, nesse caso, a Avetta trabalhará com o Fornecedor e tomará todas as medidas razoáveis e apropriadas para interromper e remediar qualquer processamento até o momento em que o processamento esteja em conformidade com o CCPA e este DPA.

DOCUMENTO B

DETALHES DE PROCESSAMENTO DE DADOS PESSOAIS

Este Documento B faz parte do DPA e descreve o processamento que a Avetta realizará em conexão com a prestação dos Serviços Avetta.

ANEXO I — DESCRIÇÃO DO TRATAMENTO DE DADOS

A. LISTAS DAS PARTES

Exportador de dados:

Importador de dados:

B. DESCRIÇÃO DA TRANSFERÊNCIA

C. AUTORIDADE SUPERVISORA COMPETENTE

ANEXO II — MEDIDAS DE SEGURANÇA TÉCNICAS E ORGANIZACIONAIS

Visão geral

Os aplicativos de software como serviço da Avetta ("Serviços SaaS") foram projetados desde o início com a segurança em mente. Os Serviços SaaS de Gerenciamento de Conexão e Força de Trabalho são arquitetados com uma variedade de controles de segurança em cada nível de processamento para lidar com uma série de riscos de segurança. Esses controles de segurança estão sujeitos a alterações; no entanto, quaisquer alterações manterão ou melhorarão a postura geral de segurança da plataforma SaaS.

As principais áreas de controles de segurança abaixo se aplicam a cada um dos componentes do Avetta Connect e dos Serviços SaaS de Gerenciamento da Força de Trabalho. A Avetta hospeda seus Serviços SaaS em plataformas de provedores de serviços em nuvem, utilizando principalmente a Amazon Web Services (AWS) e, em casos limitados, a Equinix.

Auditorias e Certificações

Os Serviços Avetta SaaS são certificados sob ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e ISO/IEC 22301:2019 ("Certificações ISO"). A Avetta revisa sua conformidade anualmente com as Certificações ISO, realizando uma auditoria de controles internos. Esta auditoria é analisada pelo Comitê de Sistemas de Gerenciamento de Segurança da Informação e Privacidade, composto por membros da equipe de liderança executiva sênior da Avetta.

A Avetta utiliza principalmente regiões globais da AWS para sua computação e armazenamento para os Serviços SaaS. A AWS fornece instalações de primeira linha que obtiveram várias acreditações, incluindo SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018 e ISO/IEC 9001:2015. Essas instalações da AWS também fornecem proteções de proteção física de última geração, onde os dados dos clientes da Avetta são armazenados e processados. A Avetta usa a Equinix como provedora de serviços em nuvem para Gerenciamento da Força de Trabalho em determinadas regiões. A Equinix também mantém várias certificações, incluindo ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, PCI DSS, SOC 1 Tipo II e SOC 2 Tipo II. Para obter mais informações sobre os provedores de serviços em nuvem, visite https://aws.amazon.com/compliance/programs/ e https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

Recuperação de Desastres e Continuidade de Negócios

Para garantir que seus Serviços SaaS mantenham um alto grau de disponibilidade do sistema, a Avetta usa um data center AWS de backup/failover designado que está localizado em uma região separada de sua instalação normal de processamento de dados de produção. Isso garante que a Avetta possa responder rapidamente a qualquer evento ambiental, físico ou acidental que possa causar interrupção na instalação de produção da AWS.

A Avetta mantém um plano abrangente de Recuperação de Desastres e Continuidade de Negócios que é revisado pelo menos anualmente. Esta revisão permite que o pessoal da Avetta esteja familiarizado com o planejamento de emergência no caso de um evento que possa potencialmente causar interrupção das atividades comerciais normais na Avetta.

Os sistemas da Avetta são projetados para aceitar um objetivo de ponto de recuperação (RPO) de menos de 2 horas e um objetivo de tempo de recuperação (RTO) de menos de 4 horas.

A Avetta também realiza um exercício abrangente de avaliação de riscos regularmente para garantir que estratégias e controles adequados de mitigação de riscos tenham sido implementados dentro da organização.

Resposta a incidentes

A Avetta mantém um Plano de Resposta a Incidentes abrangente. Este plano, juntamente com processos e procedimentos relacionados, permite que o pessoal da Avetta responda rapidamente a uma violação de segurança suspeita ou potencial, ou outra atividade de segurança cibernética suspeita dentro do ambiente Avetta. Uma Equipe de Resposta a Incidentes, liderada por membros qualificados da equipe de segurança, realizará uma avaliação de qualquer situação e desenvolverá planos de ação e estratégias de mitigação apropriados. Se uma suspeita de violação for confirmada, a Equipe de Resposta a Incidentes seguirá os protocolos designados para agir imediatamente e responder adequadamente para mitigar a atividade maliciosa, além de preservar evidências forenses. Procedimentos de notificação também serão seguidos.

Criptografia

Os Serviços Avetta SaaS mantêm a criptografia de dados em repouso usando AES-256. Elementos de dados adicionais também são criptografados usando métodos SALT. Esses processos de criptografia mantêm um alto grau de confidencialidade e integridade aos dados dos clientes. A separação lógica de dados é mantida nos Serviços SaaS Avetta para que nenhum dado do cliente possa ser acessado por fontes não autorizadas. O acesso aos dados do cliente é controlado por meio de gerenciamento exclusivo de identidade e acesso com atributos que não permitem que usuários não autorizados acessem os dados do cliente.

As medidas de segurança da Avetta são implementadas com base em um método de "privilégio mínimo", o que significa que apenas os funcionários que têm uma necessidade comercial têm acesso a dados específicos e funções do sistema.

Controles de segurança de aplicativos da web

O acesso do cliente aos Serviços SaaS é apenas utilizando protocolos de comunicação seguros; TLS 1.2 ou superior. Isso estabelece um canal de criptografia para permitir a transmissão segura dos dados entre um usuário final e os Serviços SaaS. Isso protege os dados do cliente durante os processos de transmissão de dados.

A administração dos Serviços SaaS por um cliente pode provisionar e cancelar o provisionamento para usuários do Serviço SaaS e acesso associado conforme a necessidade. Os Serviços SaaS permitem que os clientes habilitem a autenticação multifator para acessar contas de Serviços SaaS utilizando logon único via provedores de identidade SAML 2.0. Os Serviços SaaS permitem que os clientes habilitem políticas de senha personalizáveis para ajudar a alinhar as senhas dos Serviços SaaS às políticas corporativas do cliente.

Rede

Os Serviços SaaS utilizam controles de rede do provedor de serviços em nuvem para restringir a entrada e saída da rede. Os grupos de segurança são empregados para limitar a atividade de rede a pontos de extremidade autorizados. Os Serviços SaaS usam uma arquitetura de rede de várias camadas, incluindo vários ambientes virtuais Cloudflare separados logicamente, aproveitando zonas privadas, DMZs e não confiáveis dentro da infraestrutura de serviços em nuvem.

Monitoramento e auditoria

Os sistemas e redes de Serviços SaaS são monitorados quanto a incidentes de segurança, integridade do sistema, anormalidades de rede, atividade de processamento, níveis de processamento de infraestrutura e disponibilidade. A Avetta usa um sistema de detecção de intrusão para monitorar a atividade da rede que alertará os membros da equipe designados pela Avetta sobre comportamentos suspeitos. Os firewalls de aplicativos da web também são implementados para todos os serviços da web públicos.

A Avetta registra eventos de aplicativo, rede, usuário e sistema operacional em um servidor syslog local e SIEM. Esses registros são analisados e revisados automaticamente quanto a atividades e ameaças suspeitas. Quaisquer anomalias de atividade do sistema são escaladas com a ação apropriada que pode ser necessária. A Avetta utiliza sistemas de gerenciamento de informações de segurança e eventos que fornecem análise de segurança contínua das redes e do ambiente de segurança da Avetta, onde são registrados alertas, detecção e relatórios de indicadores de atividades possíveis ou suspeitas. Todos esses recursos e atividades são administrados pela equipe de DevOps e Segurança Cibernética da Avetta.

Gerenciamento de vulnerabilidade

A Avetta realiza avaliações periódicas de vulnerabilidade de aplicativos da web, análise de código estático e avaliações de segurança externas como parte de seu programa de segurança abrangente para ajudar a garantir que os controles de segurança adequados sejam implementados e operem de forma eficaz. Semestralmente, a Avetta contrata testadores independentes de vulnerabilidade e penetração de terceiros para realizar avaliações de vulnerabilidade de rede e web. O escopo dessas auditorias externas inclui a conformidade com as 10 principais vulnerabilidades da web do projeto de segurança de aplicativos abertos da web (OWASP). Os resultados da avaliação de vulnerabilidade são incorporados ao ciclo de vida de desenvolvimento de software da Avetta ("SDLC") para remediar as vulnerabilidades identificadas. As vulnerabilidades específicas são priorizadas e inseridas no sistema de tíquetes internos da Avetta para rastreamento por meio de resolução.

Desenvolvimento de software seguro

A Avetta segue práticas de desenvolvimento seguras dentro do seu SDLC. Essas práticas incluem análise de código estático e ferramentas de análise de código em tempo real. As revisões por pares também são realizadas antes de o código ser implantado no ambiente de produção. Ambientes de processamento separados foram implementados na Avetta: produção, teste/garantia de qualidade e demonstração. Os desenvolvedores de software da Avetta devem fazer treinamento de codificação segura anualmente.

Equipe de segurança cibernética da Avetta

A Avetta possui uma equipe de segurança dedicada liderada por um Gerente de Segurança Cibernética com mestrado em Segurança Cibernética. A equipe realiza treinamentos regulares de segurança em toda a empresa, exercícios de segurança e exercícios regulares de vulnerabilidade e penetração. Por meio desses esforços, a equipe de Segurança Cibernética garante que testes, avaliações e avaliações regulares da eficácia das medidas técnicas e organizacionais sejam feitos para garantir a segurança do processamento dos dados dos clientes.

A equipe de segurança cibernética também participa de auditorias e certificações anuais e participa de seminários de segurança cibernética.

Privacidade e proteção de dados

A Avetta mantém políticas robustas de segurança da informação e proteção de dados pessoais. Essas políticas descrevem os procedimentos que são seguidos para garantir a salvaguarda das informações do cliente. Eles descrevem ainda os controles que são implementados, que incluem retenção de dados, diretrizes de acessibilidade e autenticação, diretrizes de uso aceitável e diretrizes de privacidade de dados.

ANEXO III — LISTA DE SUBPROCESSADORES

A lista atual de subprocessadores da Avetta pode ser encontrada em: operadores e afiliadas.