Adendo de Processamento de Dados

Last updated

Este Adendo de Processamento de Dados (“DPA”) rege o processamento, pela Anysphere, Inc. (“Anysphere” ou “Fornecedor”), de Dados Pessoais fornecidos pelo Cliente por meio do Serviço, de acordo com o Contrato Principal de Serviços entre a Anysphere e o Cliente (“Contrato”). Este DPA estabelece as instruções do Cliente para o processamento de Dados Pessoais e os direitos e obrigações de ambas as Partes. Exceto conforme disposto neste DPA, o Contrato permanecerá inalterado, em pleno vigor e efeito. Em caso de qualquer conflito entre este DPA e o Contrato, este DPA prevalecerá na medida do conflito.

  1. Definições. Para fins deste DPA, os seguintes termos terão os significados estabelecidos a seguir. Os termos em maiúsculas utilizados, mas não definidos neste DPA, terão os significados atribuídos no Contrato. Todos os demais termos neste DPA não definidos de outra forma no Contrato terão os significados correspondentes a eles atribuídos nas Leis de Privacidade.

    1. Cláusulas de Controlador para Processador” significa: (a) em relação a transferências de Dados Pessoais sujeitas ao GDPR, as cláusulas contratuais padrão para a transferência de Dados Pessoais para países terceiros estabelecidas na Decisão da Comissão 2021/914 de 4 de junho de 2021, incluindo especificamente o Módulo 2 (Controlador para Processador) (“Cláusulas Contratuais Padrão da UE” ou “EU SCCs”); e (b) em relação a transferências de Dados Pessoais sujeitas ao UK GDPR, o Aditivo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão Europeia (versão B.1.0) emitido pelo Comissário de Informação do Reino Unido (“Aditivo do Reino Unido” ou “UK Addendum”), em cada caso conforme alterado, atualizado ou substituído de tempos em tempos.

    2. Leis de Privacidade da UE/Reino Unido” significa: (a) o Regulamento Geral de Proteção de Dados 2016/679 (o “GDPR”); (b) a Diretiva de Privacidade e Comunicações Eletrônicas 2002/58/EC; (c) a Lei de Proteção de Dados do Reino Unido de 2018, o Regulamento Geral de Proteção de Dados do Reino Unido, conforme definido pela Lei de Proteção de Dados do Reino Unido de 2018, conforme alterada pelo Regulamento de Proteção de Dados, Privacidade e Comunicações Eletrônicas (Alterações etc.) (Saída da UE) de 2019 (juntamente com a Lei de Proteção de Dados do Reino Unido de 2018, o “UK GDPR”), e o Regulamento de Privacidade e Comunicações Eletrônicas de 2003; e (d) qualquer lei, diretiva, ordem, regra, regulamento ou outro instrumento vinculante relevante que implemente qualquer um dos itens acima, em cada caso, conforme aplicável e em vigor de tempos em tempos, e conforme alterado, consolidado, reeditado ou substituído de tempos em tempos.

    3. Dados Pessoais” significa qualquer informação que o Fornecedor processe em nome do Cliente para fornecer o Serviço que seja definida como “dados pessoais” ou “informações pessoais” nos termos de quaisquer Leis de Privacidade.

    4. Leis de Privacidade” significa, conforme aplicável, as Leis de Privacidade da UE/Reino Unido, as Leis de Privacidade dos EUA e qualquer lei similar de qualquer jurisdição que diga respeito à proteção de dados, privacidade ou ao uso de Dados Pessoais, em cada caso, conforme aplicável e em vigor de tempos em tempos, e conforme alterado, consolidado, reeditado ou substituído de tempos em tempos.

    5. Cláusulas de Processador para Processador” significa: (a) em relação a transferências de Dados Pessoais sujeitas ao GDPR, as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros estabelecidas na Decisão da Comissão 2021/914 de 4 de junho de 2021, incluindo especificamente o Módulo 3 (Processador para Processador); e (b) em relação a transferências de Dados Pessoais sujeitas ao UK GDPR, o Aditivo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão Europeia (versão B.1.0) emitido pelo Comissário de Informação do Reino Unido, em cada caso conforme alterado, atualizado ou substituído de tempos em tempos.

    6. País Terceiro” significa qualquer país ou território fora do escopo das leis de proteção de dados do Espaço Econômico Europeu ou do Reino Unido, conforme relevante, excluindo países ou territórios aprovados de tempos em tempos como oferecendo proteção adequada para Dados Pessoais pela autoridade competente relevante.

    7. Leis de Privacidade dos EUA” significa, conforme aplicável, a California Consumer Privacy Act, conforme alterada pela California Privacy Rights Act, a Virginia Consumer Data Protection Act, a Colorado Privacy Act, a Connecticut Data Privacy Act, a Utah Consumer Privacy Act, e qualquer lei similar de qualquer estado que diga respeito à proteção de dados, privacidade ou ao uso de Dados Pessoais.

  2. Alterações. As Partes concordam em negociar de boa-fé modificações a este DPA se forem necessárias alterações para que o Fornecedor continue processando os Dados Pessoais conforme previsto pelo Contrato ou por este DPA, em conformidade com as Leis de Privacidade, ou para lidar com a interpretação jurídica das Leis de Privacidade. O Fornecedor reserva-se o direito de atualizar este DPA conforme necessário para cumprir as Leis de Privacidade ou requisitos legais em constante evolução, desde que tais atualizações não reduzam de forma relevante os direitos do Cliente nem aumentem de forma relevante as obrigações do Cliente nos termos deste DPA. O Fornecedor deverá notificar o Cliente por escrito sobre quaisquer dessas atualizações com pelo menos trinta (30) dias de antecedência em relação à data de sua entrada em vigor, a menos que um prazo de aviso mais curto seja exigido por lei.

  3. Papéis das Partes. As Partes reconhecem que, para efeitos das Leis de Privacidade, o Cliente é o “destinatário de serviços”, “controlador”, “empresa” ou qualquer termo semelhante previsto nas Leis de Privacidade, e o Fornecedor é o “prestador de serviços”, “operador”, “contratado” ou qualquer termo semelhante previsto nas Leis de Privacidade.

  4. Detalhes do Processamento. As Partes concordam que os detalhes do processamento estão descritos no Anexo 1 que acompanha este instrumento.

  5. Obrigações do Cliente. O Cliente deverá cumprir todas as Leis de Privacidade ao fornecer Dados Pessoais ao Fornecedor em relação ao Serviço. O Cliente declara e garante que: (a) as Leis de Privacidade aplicáveis ao Cliente não impedem o Fornecedor de cumprir as instruções recebidas do Cliente e de executar as obrigações do Fornecedor nos termos deste DPA; (b) todos os Dados Pessoais foram coletados e, a todo momento, tratados e mantidos pelo Cliente ou em seu nome em conformidade com todas as Leis de Privacidade, inclusive no que diz respeito a quaisquer obrigações de fornecer aviso e/ou obter consentimento dos titulares; e (c) o Cliente possui uma base legal para divulgar os Dados Pessoais ao Fornecedor e permitir que o Fornecedor trate os Dados Pessoais conforme estabelecido neste DPA. O Cliente deverá notificar o Fornecedor sem demora indevida se o Cliente determinar que o tratamento de Dados Pessoais nos termos do Contrato não está ou não estará em conformidade com as Leis de Privacidade, caso em que o Fornecedor não será obrigado a continuar tratando tais Dados Pessoais.

  6. Tratamento de Dados Pessoais. O Cliente mantém a titularidade de todos os Dados Pessoais tratados nos termos deste DPA. O Fornecedor somente tratará Dados Pessoais: (i) para prestar o Serviço, conforme descrito no Anexo 1, e de acordo com, e para as finalidades estabelecidas nas instruções documentadas do Cliente, periodicamente, incluindo consentimentos e autorizações fornecidos por meio do Serviço; (ii) para o cumprimento de obrigações legais aplicáveis ao Fornecedor; e (iii) conforme, de outra forma, instruído pelo Cliente por escrito. O Fornecedor notificará o Cliente sem demora injustificada se determinar que não pode mais cumprir suas obrigações nos termos das Leis de Privacidade aplicáveis ou não pode atender a qualquer instrução do Cliente com relação ao uso de Dados Pessoais. Na medida exigida pelas Leis de Privacidade, e mediante aviso prévio por escrito razoável de que o Cliente, de boa-fé, acredita que o Fornecedor está utilizando Dados Pessoais em violação às Leis de Privacidade ou a este DPA, o Fornecedor concederá ao Cliente o direito de adotar medidas razoáveis e apropriadas para ajudar a garantir que o Fornecedor utilize os Dados Pessoais de maneira consistente com as obrigações do Cliente nos termos das Leis de Privacidade, bem como interromper e remediar qualquer uso não autorizado dos Dados Pessoais. O Fornecedor exigirá que cada funcionário ou outra pessoa que trate Dados Pessoais esteja sujeita a um dever apropriado de confidencialidade em relação a tais Dados Pessoais, de acordo com as disposições deste Acordo.

  7. Proibições. Na medida exigida pelas Leis de Privacidade aplicáveis, o Fornecedor está proibido de: (a) vender os Dados Pessoais, exceto em forma desidentificada, agregada ou anonimizada; (b) compartilhar os Dados Pessoais para fins de publicidade comportamental em diferentes contextos; (c) reter, usar ou divulgar os Dados Pessoais para qualquer finalidade que não seja (i) o propósito específico de prestar o Serviço, (ii) desenvolver, melhorar ou aprimorar o Serviço por meio do uso de dados desidentificados, agregados ou anonimizados, ou (iii) conforme de outra forma permitido pelas Leis de Privacidade; (d) reter, usar ou divulgar os Dados Pessoais fora do relacionamento comercial direto entre o Fornecedor e o Cliente, exceto conforme descrito acima; e (e) combinar os Dados Pessoais recebidos do Cliente ou em seu nome com quaisquer Dados Pessoais que possam ser coletados a partir de interações separadas do Fornecedor com os indivíduos aos quais os Dados Pessoais se referem ou de quaisquer outras fontes, exceto para desempenhar uma finalidade empresarial ou conforme de outra forma permitido pelas Leis de Privacidade.

  8. Uso de Subprocessadores. Na medida em que o Fornecedor contrate quaisquer subprocessadores para processar Dados Pessoais em seu nome:

    1. Pelo presente, o Cliente concede ao Fornecedor autorização geral por escrito para contratar os suboperadores de dados estabelecidos no Anexo 2, sujeita aos requisitos desta Seção 8.

    2. Caso o Fornecedor designe um novo suboperador de dados ou pretenda fazer quaisquer alterações relativas à inclusão ou substituição de qualquer suboperador de dados, deverá fornecer ao Cliente aviso prévio por escrito de trinta (30) dias úteis, por meio da publicação de atualizações em trust.cursor.com/subprocessors, período durante o qual o Cliente poderá se opor à nomeação ou substituição com base em fundamentos razoáveis e documentados relacionados à confidencialidade ou segurança de Dados Pessoais ou ao cumprimento, pelo suboperador de dados, das Leis de Privacidade (e, caso o Cliente não apresente tal objeção, o Fornecedor poderá prosseguir com a nomeação ou substituição). Em circunstâncias urgentes que exijam alterações imediatas de suboperadores de dados (por exemplo, incidentes de segurança, interrupções de serviço), o Fornecedor poderá realizar as alterações e fornecer aviso em até dez (10) dias úteis posteriormente. Caso o Cliente se oponha à nomeação ou substituição de um suboperador de dados conforme descrito neste instrumento, o Fornecedor envidará esforços comercialmente razoáveis para atender às preocupações do Cliente, o que pode incluir a proposta de um suboperador de dados diferente ou a implementação de salvaguardas adicionais para mitigar os riscos identificados. Se as Partes não conseguirem resolver a objeção em até trinta (30) dias a contar do aviso escrito de objeção do Cliente, o Cliente poderá rescindir a parte afetada do Serviço mediante aviso escrito ao Fornecedor. No caso de tal rescisão, o Fornecedor fornecerá ao Cliente um reembolso proporcional de quaisquer taxas pagas antecipadamente referentes à parte remanescente e não utilizada do Serviço rescindido.

    3. O Fornecedor somente contratará suboperadores de dados por meio de um contrato escrito que contenha obrigações impostas ao suboperador de dados que o vinculem a, no mínimo, o mesmo nível de proteção de dados previsto neste DPA. O Fornecedor será responsável perante o Cliente pelo desempenho desses suboperadores de dados, inclusive por qualquer falha no cumprimento de suas respectivas obrigações.

  9. Assistência. Na medida exigida pelas Leis de Privacidade e levando em conta a natureza do tratamento, o Fornecedor deverá, em relação ao tratamento de Dados Pessoais e para possibilitar que o Cliente cumpra as obrigações que dele decorram, prestar assistência razoável ao Cliente, por meio de medidas técnicas e organizacionais apropriadas, para: (a) responder a solicitações de indivíduos com base em seus direitos previstos nas Leis de Privacidade, inclusive fornecendo, excluindo ou corrigindo os Dados Pessoais relevantes, ou possibilitando que o Cliente faça o mesmo, na medida em que isso seja possível; (b) implementar procedimentos e práticas de segurança razoáveis e apropriados à natureza dos Dados Pessoais, a fim de proteger os Dados Pessoais contra acesso, destruição, uso, modificação ou divulgação não autorizados ou ilegais; (c) notificar as autoridades competentes relevantes e/ou os indivíduos afetados sobre violações de Dados Pessoais; (d) realizar avaliações de impacto relativas à proteção de dados e, se exigido, consultas prévias com as autoridades competentes relevantes; e (e) celebrar este DPA.

  10. Medidas de Segurança. O Fornecedor deverá, levando em consideração o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e a finalidade do tratamento, implementar, e garantir que seu pessoal autorizado cumpra, medidas técnicas e organizacionais apropriadas, projetadas para fornecer um nível de segurança adequado ao risco, conforme estabelecido no Anexo 3, ou conforme de outra forma acordado e documentado periodicamente entre o Cliente e o Fornecedor. O Fornecedor não reduzirá de forma material a segurança geral dos serviços durante o período de tratamento. Na medida exigida pelas Leis de Privacidade, o Fornecedor deverá, sem demora injustificada e, em qualquer caso, no prazo de quarenta e oito (48) horas, notificar o Cliente por escrito sobre qualquer violação de segurança que resulte na destruição acidental ou ilícita, perda, alteração, divulgação não autorizada de, ou acesso a, Dados Pessoais, com informações adicionais sobre a violação fornecidas em fases, à medida que mais detalhes se tornarem disponíveis. O Cliente concorda que, sem limitar o disposto acima, é exclusivamente responsável por seu próprio uso do Serviço, incluindo: (a) proteger as credenciais de autenticação de conta, sistemas e dispositivos que utiliza para acessar o Serviço; (b) proteger os sistemas e dispositivos do Cliente que utiliza com o Serviço; e (c) manter suas próprias cópias de segurança dos Dados do Cliente.

  11. Acesso e Auditorias. Mediante solicitação razoável do Cliente, o Fornecedor deverá disponibilizar ao Cliente as informações em sua posse que sejam razoavelmente necessárias para demonstrar a conformidade do Fornecedor com suas obrigações nos termos deste DPA, bem como permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor indicado pelo Cliente e razoavelmente aceito pelo Fornecedor, às custas exclusivas do Cliente, exceto se for identificada uma violação material. O Cliente poderá realizar tal avaliação não mais do que uma vez a cada doze (12) meses, mediante aviso prévio por escrito de trinta (30) dias ao Fornecedor, e somente depois que as Partes chegarem a um acordo quanto ao escopo da auditoria e o auditor estiver sujeito a um dever de confidencialidade. Além disso, o Cliente poderá realizar uma auditoria adicional se houver preocupações razoáveis quanto à conformidade do Fornecedor com a proteção de dados após uma violação de dados pessoais ou solicitação de um regulador ou autoridade de proteção de dados. Como alternativa a uma auditoria realizada pelo Cliente ou sob sua direção, na medida permitida pelas Leis de Privacidade, o Fornecedor poderá providenciar para que um auditor qualificado e independente realize, às custas do Fornecedor, uma avaliação das políticas e das medidas técnicas e organizacionais do Fornecedor em apoio às suas obrigações sob as Leis de Privacidade, utilizando um padrão ou framework de controles apropriado e aceito e um procedimento de avaliação adequado para tal avaliação, e fornecerá um relatório dessa avaliação ao Cliente mediante solicitação razoável. Não obstante o acima exposto, em nenhuma hipótese o Fornecedor será obrigado a conceder ao Cliente acesso a informações, instalações ou sistemas na medida em que isso possa acarretar violação, pelo Fornecedor, de obrigações de confidencialidade devidas a outros clientes ou de suas obrigações legais.

  12. Exclusão de Dados Pessoais. Mediante instrução escrita do Cliente, o Fornecedor deverá excluir ou devolver ao Cliente todos os Dados Pessoais, conforme solicitado, ao término da prestação do Serviço, no prazo de trinta (30) dias contados de tal solicitação, salvo se a retenção dos Dados Pessoais for exigida por lei e, mediante solicitação, deverá fornecer certificação escrita nesse sentido.

  13. Transferência de Dados. Na medida em que o Fornecedor processar Dados Pessoais sujeitos às Leis de Privacidade da UE/Reino Unido em um Terceiro País, e estiver atuando como importador de dados, o Fornecedor deverá cumprir as obrigações do importador de dados e o Cliente deverá cumprir as obrigações do exportador de dados estabelecidas nas Cláusulas de Controlador para Operador, que por este instrumento são incorporadas e passam a integrar este DPA, e:

    1. para fins do Anexo I ou da Parte 1 (conforme aplicável) de tais Controller to Processor Clauses, o Cliente é um controlador e o Fornecedor é um processador, e as partes, os dados de contato da pessoa responsável e os detalhes do processamento estabelecidos no Contrato, neste DPA e no Anexo 1 serão aplicáveis, sendo a Data de Início a data de vigência do Contrato, e a(s) assinatura(s) (em qualquer forma) fornecida(s) em conexão com a celebração deste Contrato por uma parte e as datas de tal(is) assinatura(s) serão aplicáveis como a assinatura datada exigida dessa parte;

    2. se aplicável, para fins da Parte 1 do UK Addendum, as Addendum EU SCCs relevantes (conforme tal termo é definido no UK Addendum) são as EU SCCs incorporadas neste DPA em virtude desta Seção 13. Em caso de qualquer conflito ou ambiguidade entre este DPA e as SCCs, as SCCs prevalecerão;

    3. para fins do Anexo II ou da Parte 1 (conforme aplicável) de tais Controller to Processor Clauses, as medidas técnicas e organizacionais de segurança, e as medidas técnicas e organizacionais adotadas pelo Fornecedor para auxiliar o Cliente, conforme cada uma delas estabelecida no Anexo 3, serão aplicáveis; e

    4. se aplicável, para fins do Anexo III ou da Parte 1 (conforme aplicável) de tais Controller to Processor Clauses, a lista de subcontratados autorizados estabelecida no Schedule 4 (Authorized Sub-contractors) será aplicável;

    5. se aplicável, para fins de: (i) Cláusula 9, a Opção 2 (“Autorização geral por escrito”) é considerada selecionada e o período de aviso prévio especificado na Seção 8 será aplicável; (ii) Cláusula 11(a), a redação opcional relativa à resolução independente de disputas é considerada suprimida; (iii) Cláusula 13 e Anexo I.C, a autoridade supervisora competente será a Ireland Data Protection Commission; (iv) Cláusulas 17 e 18, a Opção 1 é considerada selecionada e a lei aplicável e os tribunais competentes serão os da República da Irlanda; (vi) Parte 1, o Fornecedor, como importador, poderá rescindir o UK Addendum de acordo com a Seção 19 de tal UK Addendum;

    6. o Fornecedor poderá nomear uma afiliada ou um subprocessador terceirizado para processar os Dados Pessoais em um Terceiro País, caso em que o Fornecedor celebrará as Processor to Processor Clauses com qualquer subprocessador relevante (incluindo afiliadas) que nomear em nome do Cliente; e

    7. o Fornecedor poderá basear-se em uma decisão de adequação, no EU-US Data Privacy Framework, em derrogações para situações específicas nos termos das Leis de Privacidade ou em qualquer outro mecanismo legal de transferência de dados para garantir a conformidade com as Leis de Privacidade.

Quaisquer disputas relativas a transferências transfronteiriças ou ao cumprimento das Leis de Privacidade aplicáveis a tais transferências serão resolvidas de acordo com a legislação e a jurisdição regentes especificadas no Contrato.


ANEXO 1

Detalhes do Processamento

1. Natureza do processamento

  • Acesso, uso, divulgação, armazenamento, exclusão e/ou outro processamento de Dados Pessoais pelo Fornecedor em conexão com a prestação do Serviço do Fornecedor ao Cliente, conforme estabelecido no Contrato.

2. Finalidade(s) do processamento

  • Prestação do Serviço pelo Fornecedor ao Cliente, conforme estabelecido no Contrato.

3. Categorias de indivíduos cujos Dados Pessoais são processados

  • Usuários Autorizados do Cliente.

4. Categorias de Dados Pessoais processados

  • Dados relativos a indivíduos coletados pelo Fornecedor em nome do Cliente ou de outra forma fornecidos ao Fornecedor pelo Cliente.

5. Tipos de Dados Pessoais sujeitos ao processamento que são considerados “sensíveis” ou de “categoria especial” sob as Leis de Privacidade

  • O Cliente e/ou seu pessoal não deverão fornecer quaisquer dados sensíveis ou de categoria especial sob este Contrato, e o Fornecedor não é responsável por processar dados sensíveis fornecidos pelo Cliente. O Fornecedor não coleta ou processa intencionalmente quaisquer categorias especiais de Dados Pessoais.

6. Frequência (por exemplo, pontual ou contínua) e duração do processamento

  • Os Dados Pessoais relevantes são processados de forma contínua, durante o prazo de vigência do Contrato e por qualquer período de retenção pós-rescisão, conforme estabelecido no Contrato.

7. O objeto, a natureza e a duração do processamento realizado por quaisquer subprocessadores autorizados nos termos da Seção 8

  • Conforme estabelecido neste Anexo 1 e no Anexo 2.

ANEXO 2

Subprocessadores Autorizados

A lista de subprocessadores autorizados do Fornecedor é mantida e atualizada em https://trust.cursor.com/subprocessors.

ANEXO 3

Medidas Técnicas e Organizacionais

Este Anexo 3 estabelece as medidas de segurança técnicas e organizacionais implementadas pela Anysphere, Inc. (“Anysphere”) nos termos do Acordo de Processamento de Dados (“DPA”). A Anysphere possui certificação SOC 2 Tipo II, e você pode obter uma cópia de nossa certificação por meio do nosso Trust Center, https://trust.cursor.com (“Trust Center”). Adicionalmente, as práticas de segurança da Anysphere são descritas com mais detalhes em nossa página de segurança, disponível em https://www.cursor.com/security. As medidas de segurança técnicas e organizacionais da Anysphere incluem:

  1. Controles de Acesso: O acesso a dados pessoais é restrito a pessoal autorizado, com controles de acesso baseados em função/cargo e mecanismos robustos de autenticação, como autenticação multifator, para ajudar a proteger o acesso.

  2. Treinamento e Conscientização de Funcionários: Os funcionários passam por treinamentos regulares sobre proteção de dados, privacidade e melhores práticas de segurança.

  3. Criptografia de Dados: A Anysphere emprega protocolos de criptografia padrão do setor para garantir que os dados pessoais estejam criptografados em repouso e em trânsito. As chaves de criptografia são gerenciadas com segurança e rotacionadas regularmente.

  4. Segurança de Infraestrutura: A estrutura de infraestrutura e os protocolos de segurança da Anysphere são descritos em nosso Trust Center.

  5. Segurança de Rede: A segurança de rede é mantida por meio da implantação de firewalls, sistemas de detecção e prevenção de intrusões, e avaliações regulares de vulnerabilidade e testes de invasão (penetration tests) são conduzidos. Você pode solicitar uma cópia do nosso Relatório de Teste de Invasão (Penetration Test Report) por meio do nosso Trust Center.

  6. Segurança de Aplicações: Práticas seguras de desenvolvimento de software, incluindo revisão de código e testes de segurança, são seguidas, e firewalls de aplicações web são usados para proteger contra ataques comuns na web.

  7. Backup e Recuperação de Dados: Cópias de segurança (backups) regulares de dados pessoais são realizadas e armazenadas com segurança, com planos de recuperação de desastres e continuidade de negócios em vigor e testados periodicamente.

  8. Segurança de Data Centers: Os data centers são protegidos por controles de segurança física, incluindo controles de acesso, sistemas de vigilância e pessoal de segurança. O acesso aos data centers é restrito a pessoal autorizado.

  9. Segurança de Escritórios: As dependências dos escritórios são protegidas com controles de acesso, sistemas de alarme e câmeras de vigilância, e visitantes devem se registrar e são acompanhados por pessoal autorizado.

  10. Monitoramento de Segurança: A Anysphere realiza monitoramento contínuo de sistemas e redes para detectar e responder a incidentes de segurança. Sistemas de gestão de informações e eventos de segurança são usados para correlacionar e analisar eventos de segurança.

  11. Resposta a Incidentes: Um plano de resposta a incidentes está em vigor para lidar com incidentes de segurança de forma rápida e eficaz, e os procedimentos de notificação de violação de dados estão em conformidade com as leis e regulamentações aplicáveis.

  12. Privacidade desde a Concepção (Privacy by Design): Princípios de proteção de dados são integrados ao design e ao desenvolvimento de sistemas e processos por meio da implementação de Privacy by Design. Avaliações regulares de impacto na privacidade são conduzidas para identificar e mitigar riscos.

  13. Minimização de Dados: A coleta e o processamento de dados pessoais são limitados ao que é necessário para as finalidades especificadas, e técnicas de anonimização e pseudonimização de dados são usadas quando apropriado.

  14. Monitoramento e Melhoria Contínuos: A Anysphere monitora continuamente suas políticas de privacidade e segurança de dados, implementando melhorias e atualizações conforme necessário para garantir o mais alto nível de proteção para os dados de nossos usuários. Buscamos nos manter na vanguarda das melhores práticas do setor e da evolução dos requisitos legais para preservar a confiança de nossos clientes.

Ao implementar essas medidas, a Anysphere se dedica a manter altos padrões de privacidade e segurança de dados, permitindo que nossos usuários se beneficiem do Serviço.