Política Privacidade Evo

Contrato de proteção de dados

Este Acordo de Proteção de Dados (o “DPA”) entra em vigor em 19 de maio de 2023. 

O Cliente disponibilizará à EVO SOLUTION e o Cliente autoriza a EVO SOLUTION a processar informações, incluindo Dados Pessoais para a prestação dos Serviços sob o Contrato. As partes concordaram em celebrar este DPA para confirmar as disposições de proteção de dados relacionadas ao seu relacionamento e para atender aos requisitos da Lei de Proteção de Dados aplicável. 

1. Definições

1.1 Para os fins deste DPA:

Dados Pessoais”  significa qualquer informação relativa a uma pessoa singular identificada ou identificável ('titular dos dados'); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos do físico, fisiológico, identidade genética, mental, econômica, cultural ou social dessa pessoa física; 

Lei de Proteção de Dados ” significa todas as leis, regulamentos e outros requisitos legais aplicáveis ​​relacionados a (a) privacidade, segurança de dados, proteção ao consumidor, marketing, promoção e mensagens de texto, e-mail e outras comunicações; e (b) o uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, descarte e outro processamento de quaisquer Dados Pessoais.;

Afiliada da EVO SOLUTION ” significa qualquer entidade que direta ou indiretamente controle, seja controlada ou esteja sob controle comum da EVO SOLUTION. Controle ”, para fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% das participações com direito a voto da entidade objeto;

Serviços ” significa qualquer um dos seguintes serviços fornecidos pela EVO SOLUTION: (a) ofertas de produtos da marca EVO SOLUTION disponibilizadas pela Internet em  http://www.evosolution.com.br , (b) serviços de consultoria ou treinamento fornecidos pela EVO SOLUTION remotamente pela Internet ou pessoalmente, e (c) quaisquer serviços de suporte fornecidos pela EVO SOLUTION, incluindo acesso ao suporte técnico da EVO SOLUTION;

os termos “ controlador de dados, “ processador de dados ”, “ titular dos dados ”, “ dados pessoais ”, “ processamento ” e “ medidas técnicas e organizacionais apropriadas ” terão os significados que lhes são atribuídos pela Lei de Proteção de Dados aplicável.

2. Objeto, Natureza e Finalidade do Processamento de Dados Pessoais do EVO SOLUTION

2.1 O objeto, a natureza e a finalidade do processamento de Dados Pessoais sob este DPA é o desempenho EVO SOLUTION dos Serviços da Plataforma Evo Solution (os “Serviços) conforme instruído por escrito pelo Cliente em seu uso dos Serviços, a menos que seja necessário fazê-lo caso contrário pela Lei de Proteção de Dados, caso em que, na medida permitida pela Lei de Proteção de Dados, a EVO SOLUTION informará o Cliente deste requisito legal antes de realizar o processamento. A EVO SOLUTION somente coletará ou processará Dados Pessoais durante o período de prestação dos Serviços na medida e da maneira necessária para a prestação dos Serviços e de acordo com o DPA e a Lei de Proteção de Dados aplicável à EVO SOLUTION.

3. Duração

3.1 O processamento de Dados Pessoais será realizado pela EVO SOLUTION  enquanto a Conta Evo Solution do Cliente existir ou conforme necessário para o desempenho das obrigações e direitos entre a EVO SOLUTION e o Cliente,  salvo acordo em contrário por escrito.

4. Tipo de Dados Pessoais Processados

4.1 O Cliente pode enviar Dados Pessoais do Cliente para os Serviços, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério, e que pode incluir, mas não está limitado às seguintes categorias de Dados Pessoais:

  • Informação da conta.  Quando o Cliente se inscreve numa  Conta Evo Solution  , são necessários alguns dados como o nome e e-mail. O Cliente pode atualizar ou corrigir suas informações e preferências de e-mail a qualquer momento visitando a  Conta Evo Solution  . A EVO SOLUTION pode fornecer ao Cliente suporte adicional para acessar, corrigir, excluir ou modificar as informações fornecidas pelo Cliente à EVO SOLUTION e associadas à  Conta Evo Solution  do Cliente . Para proteger a segurança, a EVO SOLUTION toma medidas razoáveis ​​(como solicitar qualquer informação legal) para verificar a identidade do Cliente antes de fazer correções. O Cliente é responsável por manter o sigilo da senha e informações do  Evo Solution  do ClienteConta em todos os momentos. 
  • Informações Adicionais do Perfil. O Cliente pode optar por fornecer informações adicionais como parte de seu  perfil Evo Solution . As informações de perfil ajudam o Cliente a obter mais da  Plataforma Evo Solution . É escolha do Cliente incluir informações confidenciais em seu  perfil Evo Solution .
  • Outra informação.  O Cliente pode optar por fornecer informações EVO SOLUTION quando o Cliente preenche um formulário, realiza uma pesquisa, atualiza ou adiciona informações à sua Conta Evo Solution, responde a pesquisas, publica em fóruns da comunidade, participa de promoções ou usa outros recursos do Evo Solution Plataforma.

5. Obrigações da EVO SOLUTION 

5.1 A EVO SOLUTION concorda e/ou garante: 

(a) processar os Dados Pessoais apenas em nome do Cliente e em conformidade com suas instruções e o DPA; se não puder fornecer tal cumprimento por qualquer motivo, concorda em informar prontamente o Cliente de sua incapacidade de cumprir, caso em que o Cliente tem o direito de suspender a transferência de dados e/ou rescindir os Serviços;

(b) que todos os Dados Pessoais processados ​​em nome do Cliente permanecem propriedade do Cliente e/ou dos titulares dos Dados relevantes;

(c) que não tem motivos para acreditar que a legislação a ela aplicável o impeça de cumprir as instruções recebidas do Cliente e suas obrigações decorrentes do DPA e que, no caso de uma alteração nesta legislação que possa ter um impacto substancial efeito adverso nas garantias e obrigações fornecidas pelo DPA, este notificará prontamente a alteração ao Cliente assim que tiver conhecimento, caso em que o Cliente tem o direito de suspender a transferência de dados e/ou encerrar os Serviços;

(d) que implementou as medidas de segurança técnicas e organizacionais especificadas no Anexo 1  antes de processar os Dados Pessoais transferidos;

(e) que notificará prontamente o Cliente sobre:

eu. qualquer solicitação juridicamente vinculativa para divulgação dos Dados Pessoais por uma autoridade policial, a menos que seja proibido de outra forma, como uma proibição sob a lei criminal de preservar a confidencialidade de uma investigação policial;

ii. qualquer acesso acidental ou não autorizado; e

iii. qualquer solicitação recebida diretamente dos titulares dos dados sem resposta a essa solicitação, a menos que tenha sido autorizada de outra forma;

(f) lidar pronta e adequadamente com todas as perguntas do Cliente relacionadas ao processamento dos Dados Pessoais sujeitos à transferência e cumprir o conselho da autoridade supervisora ​​​​com relação ao processamento dos dados transferidos;

(g) a pedido do Cliente para submeter suas instalações de processamento de dados para auditoria das atividades de processamento cobertas pelo DPA;

(h) que, em caso de subprocessamento, informou previamente o Cliente e obteve o seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Seção 8;

(j) nomear um responsável pela proteção de dados, que exerça as suas funções em conformidade com a Lei de Proteção de Dados. Os detalhes de contato dos responsáveis ​​pela proteção de dados estão disponíveis na página da web do EVO SOLUTION.

(k) confiar apenas os funcionários com o processamento de dados descritos neste DPA que foram obrigados à confidencialidade e previamente familiarizados com as disposições de proteção de dados relevantes para o seu trabalho. A EVO SOLUTION e qualquer pessoa agindo sob sua autoridade que tenha acesso a Dados Pessoais, não processarão esses dados a menos que sejam instruídos pelo Cliente, a menos que seja exigido pela Lei de Proteção de Dados; 

(l) monitorar periodicamente os processos internos para garantir que o processamento dentro da área de responsabilidade do EVO SOLUTION esteja de acordo com os requisitos da Lei de Proteção de Dados e a proteção dos direitos do titular dos dados.

6. Obrigações do Cliente 

6.1 O Cliente concorda e/ou garante: 

(a) que o processamento, incluindo a própria transferência, dos Dados Pessoais foi e continuará a ser realizado de acordo com as disposições relevantes da Lei de Proteção de Dados e não viola as disposições relevantes;

(b) que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá a EVO SOLUTION a processar os Dados Pessoais transferidos apenas em nome do Cliente e de acordo com a Lei de Proteção de Dados e o DPA; 

(c) que o EVO SOLUTION fornecerá garantias suficientes com relação às medidas de segurança técnica e organizacional especificadas no  Apêndice 1 deste DPA; 

(d) que após avaliação dos requisitos da Lei de Proteção de Dados, as medidas de segurança são adequadas para proteger os Dados Pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilícitas de tratamento, e que essas medidas garantem um nível de segurança adequado aos riscos que o tratamento apresenta e à natureza dos dados a proteger, tendo em conta o estado da técnica e o custo de sua implementação; 

(e) que zelará pelo cumprimento das medidas de segurança;

(f)  acessar e usar os Serviços apenas para fins legais, autorizados e aceitáveis propósitos. O Cliente não usará (ou ajudará outros a usar) os Serviços de maneira que: (a) viole, se aproprie ou infrinja os direitos da EVO SOLUTION, seus usuários ou outros, incluindo privacidade, publicidade, propriedade intelectual ou outros direitos de propriedade ; (b) sejam ilegais, obscenos, difamatórios, ameaçadores, intimidadores, assediadores, odiosos, racial ou etnicamente ofensivos, ou instiguem ou encorajem conduta que seria ilegal ou inapropriada; (c) envolver a publicação de falsidades, deturpações ou declarações enganosas; (d) fazer-se passar por alguém; (e) envolva o envio de comunicações ilegais ou inadmissíveis, como mensagens em massa, mensagens automáticas, discagem automática e similares; ou (f) envolver qualquer outro uso dos Serviços prescritos neste DPA, a menos que autorizado de outra forma pela EVO SOLUTION; 

(g)  não (ou ajudar outros a) acessar, usar, copiar, adaptar, modificar, preparar trabalhos derivados com base em, distribuir, licenciar, sublicenciar, transferir, exibir, executar ou de outra forma explorar a Plataforma Evo Solution de maneira não permitida ou não autorizada maneiras, ou de maneiras que sobrecarreguem, ou prejudiquem o EVO SOLUTION, a Plataforma Evo Solution , sistemas, outros usuários ou outros, incluindo que o Cliente não irá diretamente ou através de meios automatizados: (a) fazer engenharia reversa, alterar, modificar, criar derivados trabalha, descompila ou extrai código da Plataforma Evo Solution ; (b) enviar, armazenar ou transmitir vírus ou outro código de computador prejudicial através ou para a Plataforma Evo Solution ; (c) obter ou tentar obter acesso não autorizado a Plataforma ou sistemas Evo Solution ; (d) interferir ou perturbar a integridade ou o desempenho da Plataforma Evo Solution ; (e) criar contas para a Plataforma Evo Solution através de meios não autorizados ou automatizados; (f) coletar as informações de ou sobre outros usuários de qualquer maneira inadmissível ou não autorizada; (g) vender, revender, alugar ou cobrar pela Plataforma Evo Solution ; ou (h) distribuir ou disponibilizar a Plataforma Evo Solution  em uma rede onde possa ser utilizada por vários dispositivos ao mesmo tempo;

(h) que o Cliente  é responsável por manter a Conta Evo Solution do Cliente segura e protegida, e o Cliente notificará a EVO SOLUTION prontamente sobre qualquer uso não autorizado ou quebra de segurança da Conta do Cliente ou da Plataforma Evo Solution ;

(i) que a EVO SOLUTION    concede ao Cliente uma licença limitada, revogável, não exclusiva, não sublicenciável e intransferível para usar a Plataforma Evo Solution . Esta licença tem como único objetivo permitir que o Cliente use a Plataforma Evo Solution , na forma permitida por este DPA. Nenhuma licença ou direito é concedido ao Cliente por implicação ou de outra forma, exceto as licenças e direitos expressamente concedidos ao Cliente. 

7. Medidas Técnicas e Organizacionais

7.1 A EVO SOLUTION tomará as medidas técnicas e organizacionais apropriadas para proteger adequadamente os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, descritos no Apêndice 1. Tais medidas incluem, mas não se limitam a físicas e de  TI medidas e medidas organizacionais para:

(a) impedir que pessoas não autorizadas tenham acesso a sistemas de processamento de dados pessoais (controle de acesso físico),

(b) a prevenção de sistemas de processamento de Dados Pessoais de serem usados ​​sem autorização (controle de acesso lógico),

(c) garantir que as pessoas autorizadas a usar um sistema de processamento de Dados Pessoais tenham acesso apenas aos Dados Pessoais que têm direito de acessar de acordo com seus direitos de acesso e que, durante o processamento ou uso e após o armazenamento, os Dados Pessoais não pode ser lido, copiado, modificado ou excluído sem autorização (controle de acesso a dados),

(d) garantir que os Dados Pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização durante a transmissão eletrônica, transporte ou armazenamento em mídia de armazenamento, e que as entidades-alvo para qualquer transferência de Dados Pessoais por meio de instalações de transmissão de dados possam ser estabelecidas e verificado (controle de transferência de dados),

(e) garantir o estabelecimento de uma trilha de auditoria para documentar se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de Dados Pessoais (controle de entrada),

(f) garantir que os Dados Pessoais sejam protegidos contra destruição ou perda acidental (controle de disponibilidade).

7.2 As medidas técnicas e organizacionais estão sujeitas ao progresso técnico e desenvolvimento posterior. A este respeito, o EVO SOLUTION pode implementar medidas alternativas adequadas, no entanto, o nível de segurança das medidas definidas nunca deve ser reduzido. Mudanças importantes devem ser documentadas.

8. Subprocessadores

8.1 O Cliente concorda que a EVO SOLUTION pode contratar uma Afiliada da EVO SOLUTION ou terceiros para processar Dados Pessoais a fim de ajudar a EVO SOLUTION a fornecer os Serviços em nome do Cliente (" Subprocessadores" ). A EVO SOLUTION firmou ou celebrará um contrato por escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que as deste DPA na medida aplicável à natureza dos Serviços prestados por tal Subprocessador. Se o Subprocessador processar os Serviços fora da UE/EEA, a EVO SOLUTION deverá garantir que a transferência seja feita de acordo com as cláusulas contratuais padrão aprovadas pela Comissão Europeia para a transferência de Dados Pessoais que o Cliente autoriza a EVO SOLUTION a celebrar em seu nome, ou que outros mecanismos legais apropriados de transferência de dados são usados.

8.2 Os Subprocessadores atuais para os Serviços são definidos em  https://www.evosolution.com/sub-processors  (“Lista de Subprocessadores”) e o Cliente concorda e aprova que a EVO SOLUTION contratou tais Subprocessadores para processar Dados Pessoais conforme estabelecido na lista. A EVO SOLUTION notificará um novo Subprocessador(es) antes de autorizar qualquer novo Subprocessador(es) a processar Dados Pessoais em conexão com o fornecimento do Serviço aplicável.

8.3 A EVO SOLUTION notificará o Cliente com trinta (30) dias de antecedência sobre quaisquer alterações pretendidas relativas à adição ou substituição de qualquer Subprocessador, período durante o qual o Cliente poderá levantar objeções à nomeação do Subprocessador. Quaisquer objeções devem ser levantadas imediatamente (e, em qualquer caso, no prazo máximo de quatorze (14) dias após a notificação do EVO SOLUTION sobre as alterações pretendidas). Caso a EVO SOLUTION opte por reter a objeção ao Subprocessador, a EVO SOLUTION notificará o cliente pelo menos quatorze (14) dias antes de autorizar o Subprocessador a processar Dados Pessoais e, em seguida, o Cliente poderá interromper imediatamente o uso da parte relevante dos Serviços e poderá rescindir a parte relevante dos Serviços.

8.4 Para evitar dúvidas, quando qualquer Subprocessador deixar de cumprir suas obrigações sob qualquer contrato de subprocessamento ou sob a lei aplicável, a EVO SOLUTION permanecerá totalmente responsável perante o Cliente pelo cumprimento de suas obrigações sob este DPA.

9. Auditoria

9.1 Para confirmar o cumprimento deste DPA, o Cliente terá a liberdade de realizar uma auditoria, designando um terceiro independente que será obrigado a observar confidencialidade a esse respeito. Qualquer auditoria desse tipo deve ocorrer durante o horário comercial normal da EVO SOLUTION e será permitida apenas na medida necessária para que o Cliente avalie a conformidade da EVO SOLUTION com este DPA. Em conexão com qualquer auditoria, o Cliente garantirá que o auditor: (a) revise qualquer informação nas instalações da EVO SOLUTION; (b) observar o acesso razoável no local e outras restrições razoavelmente impostas pela EVO SOLUTION; (c) cumprir com as políticas e procedimentos da EVO SOLUTION, e (d) não interferir injustificadamente nas atividades comerciais da EVO SOLUTION. A EVO SOLUTION reserva-se o direito de restringir ou suspender qualquer auditoria em caso de violação das condições especificadas nesta Seção 9

9.2 Caso o Cliente, um regulador ou autoridade de proteção de dados exija informações adicionais ou uma auditoria relacionada aos Serviços, a EVO SOLUTION concorda em submeter suas instalações de processamento de dados, arquivos de dados e documentação necessária para o processamento de Dados Pessoais para auditoria pelo Cliente (ou qualquer terceiro, como agentes de inspeção ou auditores, selecionados pelo Cliente) para verificar a conformidade com este DPA, sujeito a notificação e o auditor firmando um contrato de confidencialidade diretamente com a EVO SOLUTION. A EVO SOLUTION concorda em fornecer cooperação razoável ao Cliente no decorrer de tais operações, incluindo o fornecimento de todas as informações relevantes e acesso a todos os equipamentos, software, dados, arquivos, sistemas de informação, etc. usados ​​para a execução dos Serviços, incluindo o processamento de Dados Pessoais.

9.3 A auditoria só pode ser realizada quando houver motivos específicos para suspeitar do uso indevido de Dados Pessoais e não antes de duas semanas após o Cliente ter fornecido notificação por escrito à EVO SOLUTION.

9.4 As constatações relativas à auditoria realizada serão discutidas e avaliadas pelas partes e, quando aplicável, implementadas conforme o caso por uma das partes ou em conjunto por ambas as partes. Os custos da auditoria serão suportados pelo Cliente.

10. Notificação de violação de dados

10.1 No caso de a EVO SOLUTION ter conhecimento de qualquer violação de segurança que resulte na destruição acidental, não autorizada ou ilegal ou na divulgação ou acesso não autorizado a Dados Pessoais, a EVO SOLUTION deverá, na medida do possível, notificar o Cliente com atraso indevido, após o que o Cliente determinará se deve ou não informar os titulares dos Dados e/ou a(s) autoridade(s) regulatória(s) relevante(s). Este dever de informar aplica-se independentemente do impacto da fuga. A EVO SOLUTION se empenhará para que as informações fornecidas sejam completas, corretas e precisas.

10.2 Se exigido por lei e/ou regulamento, o EVO SOLUTION cooperará na notificação às autoridades competentes e/ou titulares dos Dados. O Cliente continua a ser a parte responsável por quaisquer obrigações estatutárias a esse respeito.

10.3 O dever de comunicação inclui, em qualquer caso, o dever de comunicação da ocorrência de uma fuga, incluindo detalhes sobre:

  • a (suspeita) causa do vazamento;
  • as consequências (atualmente conhecidas e/ou antecipadas);
  • a solução (proposta);
  • as medidas que já foram tomadas.

11. Exclusão e devolução de dados pessoais

11.1 As partes concordam que, ao término da prestação de serviços de processamento de dados, o EVO SOLUTION e seus subcontratados deverão, à escolha do Cliente, devolver todos os Dados Pessoais transferidos e suas cópias ao Cliente ou destruir todos os Dados Pessoais Dados e certificar ao Cliente que o fez, a menos que a legislação imposta à EVO SOLUTION o impeça de devolver ou destruir a totalidade ou parte dos Dados Pessoais transferidos. Nesse caso, a EVO SOLUTION garante que garantirá a confidencialidade dos Dados Pessoais transferidos e não processará mais ativamente os Dados Pessoais transferidos. A EVO SOLUTION e seus subcontratados garantem que, a pedido do Cliente e/ou da autoridade supervisora, submeterão suas instalações de processamento de dados para uma auditoria das medidas referidas na Seção 9

12. Lei Aplicável/Fórum

12.1 Este DPA será regido e interpretado de acordo com as leis do Brasil

12.2 Toda e qualquer reclamação, disputa ou controvérsia decorrente de, ou em conexão com este DPA, violação, rescisão ou validade do mesmo, que não tenha sido resolvida por negociações de boa fé entre a EVO SOLUTION e o Cliente no prazo de trinta (30) dias corridos após o recebimento de uma notificação de uma parte para a outra solicitando negociações será resolvida por arbitragem final e vinculativa no Tribunal de Pequenas Causas, de acordo com suas Regras de Arbitragem em vigor e efeito na data do DPA. As disputas serão resolvidas por um único árbitro. Os procedimentos de arbitragem serão realizados em Vilnius, Lituânia. O local da arbitragem será Pinhais, Brasil. O idioma da arbitragem será o português. Documentos relevantes em outros idiomas devem ser traduzidos para o inglês se os árbitros assim o determinarem. Todas as despesas e custos dos árbitros e da arbitragem em relação a eles serão divididos igualmente, exceto que a EVO SOLUTION e o Cliente arcarão com os custos de sua própria acusação e defesa, incluindo, sem limitação, honorários advocatícios e produção de testemunhas e outras provas. Qualquer sentença proferida em tal arbitragem será final e poderá ser executada por qualquer uma das partes.

12.3 As partes concordam em manter todos os detalhes do processo de arbitragem e da sentença arbitral estritamente confidenciais e devem envidar todos os esforços razoáveis ​​para tomar as medidas cabíveis para impedir a divulgação não autorizada do processo, qualquer informação divulgada em relação a ele e a sentença concedida .

Apêndice nº 1

Descrição das medidas técnicas e organizacionais implementadas pelo EVO SOLUTION:

A EVO SOLUTION implementará as medidas descritas neste anexo, desde que as medidas direta ou indiretamente contribuam ou possam contribuir para a proteção dos Dados Pessoais durante o período de prestação dos Serviços da EVO SOLUTION ao Cliente. Se a EVO SOLUTION entender que uma medida não é necessária para o respectivo Serviço ou parte dele, a EVO SOLUTION justificará isso e chegará a um acordo com o Cliente.

As medidas técnicas e organizacionais estão sujeitas ao progresso e desenvolvimento técnico. A este respeito, o EVO SOLUTION está autorizado a implementar medidas alternativas adequadas. O nível de segurança deve estar alinhado com as melhores práticas de segurança do setor e não menos que as medidas aqui estabelecidas. Todas as alterações importantes devem ser acordadas com o Cliente e documentadas.

1. Gestão de riscos

1.1 Gerenciamento de riscos de segurança

1.1.1 A EVO SOLUTION deve identificar e avaliar os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base nessa avaliação, implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco.

1.1.2 A EVO SOLUTION deve ter processos e rotinas documentados para tratamento de riscos em suas operações.

1.1.3 O EVO SOLUTION avaliará periodicamente os riscos relacionados aos sistemas de informação e ao processamento, armazenamento e transmissão de informações.

1.2 Gestão de riscos de segurança para dados pessoais

1.2.1 A EVO SOLUTION identificará e avaliará os riscos de segurança relacionados à confidencialidade, integridade e disponibilidade e, com base nessa avaliação, implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco dos tipos e finalidades específicos de Dados Pessoais sendo processados pela EVO SOLUTION, incluindo inter alia conforme apropriado:

  • A pseudonimização e encriptação de Dados Pessoais;
  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;
  • A capacidade de restaurar a disponibilidade e acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico;
  • Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

1.2.2 A EVO SOLUTION deve ter processos e rotinas documentados para lidar com riscos ao processar Dados Pessoais em nome do Cliente.

1.2.3 A EVO SOLUTION avaliará periodicamente os riscos relacionados aos sistemas de informação e processamento, armazenamento e transmissão de Dados Pessoais.

1.3  Políticas de segurança da informação 

1.3.1 A EVO SOLUTION deve ter um sistema de gerenciamento de segurança da informação definido e documentado, incluindo uma política e procedimentos de segurança da informação em vigor, que devem ser aprovados pela administração da EVO SOLUTION. Eles devem ser publicados dentro da organização do EVO SOLUTION e comunicados ao pessoal relevante do EVO SOLUTION.

1.3.2 A EVO SOLUTION deve revisar periodicamente as políticas e procedimentos de segurança da EVO SOLUTION e atualizá-los, se necessário, para garantir sua conformidade com este Apêndice.

2. Organização da segurança da informação

2.1 O EVO SOLUTION deve ter funções e responsabilidades de segurança definidas e documentadas dentro de sua organização.

2.2 A EVO SOLUTION nomeará pelo menos um oficial de proteção de dados que tenha competência de segurança apropriada e que tenha uma responsabilidade geral pela implementação das medidas de segurança sob este Apêndice e que será a pessoa de contato da equipe de segurança do Cliente.

3. Segurança de recursos humanos

3.1 A EVO SOLUTION deve garantir que o pessoal da EVO SOLUTION lide com as informações de acordo com o nível de confidencialidade exigido pelo DPA.

3.2 O EVO SOLUTION deve garantir que o pessoal relevante do EVO SOLUTION esteja ciente do uso aprovado (incluindo restrições de uso conforme o caso) de informações, instalações e sistemas sob o DPA.

3.3 A EVO SOLUTION deve garantir que qualquer funcionário da EVO SOLUTION que esteja realizando atribuições sob o Contrato seja confiável, atenda aos critérios de segurança estabelecidos e tenha sido, e durante o período da atribuição continuará a ser, sujeito a triagem apropriada e verificação de antecedentes.

3.4 A EVO SOLUTION deve garantir que o pessoal da EVO SOLUTION com responsabilidades de segurança seja adequadamente treinado para desempenhar funções relacionadas à segurança.

3.5 O EVO SOLUTION deve fornecer ou garantir treinamento periódico de conscientização de segurança para o pessoal relevante do EVO SOLUTION. Tal treinamento EVO SOLUTION deve incluir, sem limitação:

(a) Como lidar com a segurança da informação do cliente (ou seja, a proteção da confidencialidade, integridade e disponibilidade da informação);

(b) Por que a segurança da informação é necessária para proteger as informações e os sistemas dos clientes;

(c) Os tipos comuns de ameaças de segurança (como roubo de identidade, malware, hacking, vazamento de informações e ameaças internas);

(d) A importância do cumprimento das políticas de segurança da informação e da aplicação dos padrões/procedimentos associados;

(e) Responsabilidade pessoal pela segurança das informações (como proteger as informações relacionadas à privacidade do cliente e relatar violações de dados reais e suspeitas).

4. Controle de acesso

A EVO SOLUTION deve ter uma política de controle de acesso definida e documentada para instalações, locais, rede, sistema, aplicativo e acesso a informações/dados (incluindo controles de acesso físico, lógico e remoto), um processo de autorização para acesso e privilégios de usuários, procedimentos para revogar direitos de acesso e um uso aceitável de privilégios de acesso para o pessoal da EVO SOLUTION no local.

A EVO SOLUTION deve ter um processo formal e documentado de registro e cancelamento de registro do usuário implementado para permitir a atribuição de direitos de acesso.

A EVO SOLUTION atribuirá todos os privilégios de acesso com base no princípio da necessidade de conhecimento e no princípio do menor privilégio.

O EVO SOLUTION deve usar autenticação forte (multifator) para usuários de acesso remoto e usuários conectados de uma rede não confiável.

A EVO SOLUTION deve garantir que o pessoal da EVO SOLUTION tenha um identificador pessoal e único (ID do usuário) e use uma técnica de autenticação apropriada, que confirme e garanta a identidade dos usuários.

5. Segurança física e ambiental

A EVO SOLUTION deve proteger as instalações de processamento de informações contra ameaças e perigos externos e ambientais, incluindo falhas de energia/cabeamento e outras interrupções causadas por falhas nos serviços públicos de suporte. Isso inclui perímetro físico e proteção de acesso.

6. Segurança das operações

A EVO SOLUTION deve ter um sistema de gerenciamento de mudanças estabelecido para fazer mudanças nos processos de negócios, instalações e sistemas de processamento de informações. O sistema de gerenciamento de mudanças deve incluir testes e revisões antes que as mudanças sejam implementadas, como procedimentos para lidar com mudanças urgentes, procedimentos de reversão para recuperação de mudanças com falha, logs que mostram o que foi alterado, quando e por quem.

A EVO SOLUTION deve implementar proteção contra malware para garantir que qualquer software usado para o fornecimento dos Serviços da EVO SOLUTION ao Cliente esteja protegido contra malware.

A EVO SOLUTION deve fazer cópias de backup de informações críticas e testar cópias de backup para garantir que as informações possam ser restauradas conforme acordado com o Cliente.

A EVO SOLUTION deve registrar e monitorar atividades, como criação, leitura, cópia, alteração e exclusão de dados processados, bem como exceções, falhas e eventos de segurança da informação e revisá-los regularmente. Além disso, a EVO SOLUTION deve proteger e armazenar (por pelo menos 6 meses ou período(s) definido(s) pela Lei de Proteção de Dados) as informações de registro e, mediante solicitação, fornecer dados de monitoramento ao Cliente. As anomalias/incidentes/indicadores de comprometimento devem ser relatados de acordo com os requisitos de gerenciamento de violação de dados conforme estabelecido na  cláusula 9 , abaixo.

A EVO SOLUTION deve gerenciar vulnerabilidades de todas as tecnologias relevantes, como sistemas operacionais, bancos de dados, aplicativos de forma proativa e em tempo hábil.

O EVO SOLUTION deve estabelecer linhas de base de segurança (fortalecimento) para todas as tecnologias relevantes, como sistemas operacionais, bancos de dados, aplicativos.

O EVO SOLUTION deve garantir que o desenvolvimento seja separado do ambiente de teste e produção.

7. Segurança das comunicações

A EVO SOLUTION deve implementar controles de segurança de rede, como nível de serviço, firewall e segregação para proteger os sistemas de informação.

8. Relacionamento da EVO SOLUTION com subfornecedores

A EVO SOLUTION deve refletir o conteúdo deste Apêndice em seus contratos com Subprocessadores que executam tarefas atribuídas pelo DPA.

A EVO SOLUTION deve monitorar, revisar e auditar regularmente a conformidade do Subprocessador com este Apêndice.

A EVO SOLUTION deverá, a pedido do Cliente, fornecer ao Cliente evidências sobre a conformidade do Subprocessador com este Apêndice.

9. Gerenciamento de violação de dados

A EVO SOLUTION deve ter procedimentos estabelecidos para gerenciamento de violação de dados.

A EVO SOLUTION informará o Cliente sobre qualquer violação de dados (incluindo, entre outros, incidentes relacionados ao processamento de Dados Pessoais) o mais rápido possível, mas o mais tardar dentro de 36 horas após a identificação da violação de dados.

Todos os relatórios de incidentes relacionados à segurança devem ser tratados como informações confidenciais e criptografados, usando métodos de criptografia padrão do setor.

O relatório de violação de dados deve conter pelo menos as seguintes informações:

(a) A natureza da violação de dados,

(b) A natureza dos Dados Pessoais afetados,

(c) As categorias e o número de titulares de dados em causa,

(d) O número de registros de Dados Pessoais em questão,

(e) Medidas tomadas para lidar com a violação de dados,

(f) As possíveis consequências e efeitos adversos da violação de dados, e

(g) Qualquer outra informação que o Cliente deva relatar ao regulador relevante ou ao titular dos dados.

Na medida legalmente possível, a EVO SOLUTION pode reivindicar compensação por serviços de suporte nos termos desta cláusula 9  que não sejam atribuíveis a falhas por parte da EVO SOLUTION.

10. Gestão de continuidade de negócios

A EVO SOLUTION deve identificar os riscos de continuidade de negócios e tomar as ações necessárias para controlar e mitigar tais riscos.

A EVO SOLUTION deve ter processos e rotinas documentados para lidar com a continuidade dos negócios.

A EVO SOLUTION deve garantir que a segurança da informação seja incorporada aos planos de continuidade de negócios

A EVO SOLUTION avaliará periodicamente a eficiência de seu gerenciamento de continuidade de negócios e a conformidade com os requisitos de disponibilidade (se houver).