Termos e Condições da Keeper Security

Adendo de Processamento de Dados

Este Adendo de Processamento de Dados ("Adendo") complementa os Termos de Uso ("Termos") e/ou outro acordo escrito ou eletrônico ("Acordo") entre: (i) a Keeper, ou seja, a entidade Keeper que é a parte contratante do Acordo ("Keeper" ou "Fornecedor") agindo em seu próprio nome e como agente de qualquer Afiliada da Keeper; e (ii) o Cliente Keeper ("Você" ou "Cliente") agindo em seu próprio nome e como agente de qualquer Afiliada do Cliente.

Os termos usados neste Adendo terão os significados estabelecidos neste Adendo. Os termos em maiúsculas que não forem definidos neste documento terão o significado que lhes é atribuído no Contrato ou, caso não estejam definidos no Adendo ou no Contrato, terão o significado que lhes é atribuído pelo Regulamento Geral sobre a Proteção de Dados Europeu (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) (conforme alterado periodicamente) ("RGPD"). Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.

Definições

Neste Adendo, os termos a seguir terão os significados estabelecidos abaixo:

1. Afiliado é qualquer entidade que, direta ou indiretamente, controle, seja controlada por, ou esteja sob controle comum com a entidade em questão. "Controle", para os fins desta definição, significa propriedade ou controle direto ou indireto de mais de 50% dos direitos de voto da entidade em questão.
2. Leis significam todas as leis que regem o Processamento de Dados dos Clientes, que podem incluir Leis de Proteção de Dados da UE, outras leis da União Europeia ou de qualquer Estado-Membro dela, as leis do Reino Unido e as leis de qualquer outro país ao qual o Cliente ou os Dados do Cliente estejam sujeitos.
3. Dados do Cliente são Dados Pessoais que a Keeper coleta, recebe e/ou processa em nome e de acordo com as instruções do Controlador de acordo com o Contrato, excluindo quaisquer Dados Pessoais que a Keeper processa como Controlador. Exemplos de dados do cliente incluem listas de nomes de usuários autorizados, e-mails, funções delegadas ou outras informações de contato.
4. Controlador é a entidade que, sozinha ou em conjunto com outros, determina os propósitos e os meios do Processamento de Dados Pessoais. Para mais clareza, nada neste Adendo tem a intenção de criar uma relação de controlador conjunto entre as partes. Cada parte permanecerá individualmente responsável pelo cumprimento de suas respectivas obrigações nos termos das Leis.
5. Titular dos Dados refere-se a uma pessoa física cujos Dados Pessoais são processados no contexto deste Adendo.
6. Leis de Proteção de Dados da UE é o GDPR e a Diretiva de Privacidade Eletrônica 2002/58/EC (revisada pela Diretiva 2009/136/EC e revisada e substituída de tempos em tempos) e suas legislações nacionais de implementação, se houver.
7. GDPR significa Regulamento Geral de Proteção de Dados da UE 2016/679;
8. UK GDPR é o Regulamento Geral de Proteção de Dados do Reino Unido e a Lei de Proteção de Dados de 2018
9. Controlador Independente é uma entidade que determina as finalidades e os meios de tratamento de Dados Pessoais para seus próprios fins independentes.
10. Dados Pessoais são os Dados do Cliente que compreendem quaisquer informações relacionadas a uma pessoa física identificada ou identificável.
11. Processador significa a entidade que processa Dados Pessoais em nome de um Controlador.
12. Processamento ou Processo significa qualquer operação ou conjunto de operações realizado com Dados Pessoais, individualmente ou em conjuntos, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização por outros meios, alinhamento ou combinação, restrição, eliminação ou destruição
13. Serviços significa os serviços e outras atividades a serem fornecidos ou realizados pelo Keeper para o Cliente, de acordo com o Contrato;
14. Cláusulas Contratuais Padrão são as cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, conforme estabelecido na decisão 2021/914 da Comissão Europeia, de 4 de junho de 2021.
15. Subprocessador é qualquer Processador contratado pela Keeper para processar dados pessoais em conexão com os Serviços.

PROCESSAMENTO DE DADOS PESSOAIS

1. O objetivo do processamento nos termos do Adendo é a prestação dos Serviços pela Keeper conforme especificado no Contrato. As partes concordam que, no que diz respeito ao processamento pela Keeper em nome do Cliente, o Cliente é o Controlador e a Keeper é o Processador, exceto para alguns dados limitados identificados em 2.4, onde a Keeper atua como Controlador. As categorias e tipos de Dados Pessoais processados pela Keeper constam do Subanexo A. A duração do processamento dos Dados Pessoais sob este Adendo será pelo prazo do Contrato, salvo se exigido de outra forma pelas Leis.
2. A Keeper só pode agir e processar os Dados Pessoais de acordo com as instruções documentadas do Cliente (a "Instrução"), a menos que seja exigido por lei para agir sem tal instrução. A Instrução no ato da celebração deste Adendo é que a Keeper só pode processar os Dados Pessoais com o objetivo de fornecer os Serviços conforme descrito no Contrato. Sujeito aos termos deste Adendo e com acordo mútuo das partes, o Cliente poderá emitir instruções adicionais por escrito consistentes com os termos deste Adendo. O Cliente é responsável por garantir que todas as pessoas que fornecerem instruções por escrito estejam autorizados a isso.
3. A Keeper comunicará o Cliente sobre quaisquer instruções que considere violar as Leis, incluindo as Leis de Proteção de Dados da UE, e não executará as instruções até que elas tenham sido confirmadas ou modificadas.
4. Processamento de Dados como Controlador: a Keeper processará determinados dados pessoais para os seus próprios fins legítimos, como Controlador Independente, exclusivamente quando o processamento for necessário e proporcional a um dos seguintes fins comerciais legítimos: (i) segurança ou detecção de fraude, (ii) coleta e uso de análises para os fins comerciais razoáveis da Keeper e para benefício do Cliente, (iii) prestação e aprimoramento do suporte técnico e manutenção dos Serviços (incluindo registro de conta, cobrança) e (iv) gerenciamento do relacionamento com o cliente, como o processamento dos dados de contato do Cliente para receber comunicações.

CONFIDENCIALIDADE E SEGURANÇA

1. A Keeper deverá tratar todos os Dados Pessoais como informações estritamente confidenciais. Os Dados Pessoais não podem ser copiados, transferidos ou processados de outra maneira em conflito com a Instrução, a menos que o Cliente tenha concordado por escrito. Os funcionários da Keeper estarão sujeitos a uma obrigação de confidencialidade que garante que tratarão todos os Dados Pessoais sob este Adendo com estrita confidencialidade. Os Dados Pessoais só serão disponibilizados para funcionários que precisam de acesso a eles para a entrega dos Serviços e deste Adendo.
2. A Keeper deverá implementar as medidas técnicas e organizacionais apropriadas, conforme estabelecido no Subanexo C deste Acordo e de acordo com as Leis, inclusive de acordo com o RGPD, artigo 32. As medidas de segurança estão sujeitas a progressos e desenvolvimentos técnicos. A Keeper pode atualizar ou modificar as medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral.

DIREITOS DO TITULAR DOS DADOS

1. Se o Cliente receber uma solicitação de um titular de dados para o exercício dos direitos do titular de dados de acordo com as Leis, e a resposta correta e legítima a tal solicitação exigir a assistência da Keeper, a Keeper deverá auxiliar o cliente fornecendo as informações e a documentação necessárias. A Keeper deverá ter tempo razoável para auxiliar o cliente com tais solicitações de acordo com as Leis.
2. Caso a Keeper receba uma solicitação de um titular de dados para o exercício de seus direitos previstos nas Leis e tal solicitação esteja relacionada aos Dados Pessoais do Cliente, a menos que seja proibido por lei, a Keeper encaminhará prontamente a solicitação ao Cliente e se absterá de responder diretamente à pessoa, a menos que e até que o Cliente instrua o contrário.

VIOLAÇÕES DE DADOS PESSOAIS

1. A Keeper deverá avisar o Cliente imediatamente, mas em um prazo máximo de 72 horas após a confirmação de uma violação que possa levar à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito aos Dados Pessoais transmitidos, armazenados ou de outra forma processados em nome do Cliente (uma "Violação de Dados Pessoais").
2. A Keeper deverá empreender esforços razoáveis para identificar a causa de tal violação e tomar as medidas que julgar necessárias para estabelecer a causa e evitar que tal violação ocorra novamente.

DOCUMENTAÇÃO SOBRE CONFORMIDADE E DIREITOS DE AUDITORIA

1. Mediante a solicitação de um Cliente, por motivo justificado ou na medida exigida pelo Artigo 28 do GDPR, a Keeper disponibilizará ao Cliente todas as informações relevantes necessárias para demonstrar conformidade com este Adendo, além de permitir e cooperar razoavelmente com auditorias, incluindo inspeções realizadas pelo Cliente ou por um auditor designado pelo Cliente. O Cliente deverá dar aviso prévio sobre qualquer auditoria ou inspeção de documentos a ser realizada e deverá empreender esforços razoáveis para evitar causar danos ou interrupções às instalações, aos equipamentos e aos negócios da Keeper no decorrer de tal auditoria ou inspeção. Qualquer auditoria ou inspeção de documentos deverá ser realizada com aviso prévio razoável por escrito e não inferior a sessenta (60) dias corridos, e não deverá ser realizada mais de uma vez por ano.
2. Apesar das limitações acima, auditorias adicionais serão permitidas a qualquer momento em que houver indicações de não conformidade, um incidente de segurança ou mediante solicitação ou instrução de uma autoridade supervisora competente.
3. Pode ser solicitado ao Cliente que assine um contrato de não divulgação razoavelmente aceitável para o Keeper antes de receber o acima mencionado.

TRANSFERÊNCIAS DE DADOS

1. Espaço Econômico Europeu e Suíça
   Com relação aos Dados Pessoais do Cliente originários do Espaço Econômico Europeu ("EEE") ou da Suíça que são transferidos do Cliente para a Keeper, as Partes concordam em cumprir as Cláusulas Contratuais Padrão aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão (as "CCPs da UE"), que são incorporadas aqui por referência.
2. As Partes concordam que os termos de Controlador para Processador (Módulo Dois) se aplicam. Para dados originados da Suíça, referências a "Estado-Membro" incluirão a Suíça e referências a "GDPR" devem ser entendidas como referências à Lei Federal Suíça de Proteção de Dados ("FADP"). O Comissário Federal Suíço para a Proteção de Dados e Informação (FDPIC) atuará como autoridade supervisora competente.
3. Conclusão do SCC da UE
   Para efeitos das Cláusulas Contratuais Padrão da UE:
   (a) O Cliente atua como exportador de dados e a Keeper como importador de dados;
   (b) A cláusula 7 (Cláusula de Ancoragem) só será aplicável mediante acordo mútuo por escrito das Partes;
   (c) A cláusula 9 (Utilização de Subprocessadores) aplica-se à opção 2, com os Subprocessadores identificados no Subanexo B;
   (d) A linguagem opcional da cláusula 11 (Resolução Independente de Litígios) não se aplica;
   (e) Cláusula 17 (Lei em vigor) — as leis da Irlanda; Cláusula 18 (Jurisdição) — os tribunais da Irlanda; e
   (f) Os Anexos I e II são preenchidos com referência a este DPA. As medidas técnicas e organizacionais da Keeper estão descritas no Subanexo C
4. Reino Unido
   Quanto aos Dados Pessoais do Cliente transferidos do Reino Unido para a Keeper, as Partes concordam que o Acordo Internacional de Transferência de Dados (IDTA) do Reino Unido, o Adendo do Reino Unido às SCCs da UE, conforme emitido pelo Gabinete do Comissário de Informações, deverá ser aplicado e está incorporado por referência. Para fins do Adendo do Reino Unido:
   (a) O Cliente atua como exportador de dados e a Keeper como importador de dados;
   (b) Lei em vigor e jurisdição - Inglaterra e País de Gales; e
   (c) As medidas de segurança são as definidas no Subanexo C e na Documentação de segurança da Keeper.
   A cláusula de ancoragem será aplicada apenas mediante acordo mútuo por escrito das Partes.
5. Brasil (LGPD)
   Para os Dados Pessoais do Cliente sujeitos à Lei Geral de Proteção de Dados Pessoais (Lei Federal nº 13.709/2018 - "LGPD"), as Partes concordam que as transferências internacionais deverão cumprir os artigos 33 a 36 da LGPD e o Regulamento sobre Transferências Internacionais de Dados Pessoais emitido pela Autoridade Nacional de Proteção de Dados (ANPD), incluindo as Cláusulas Contratuais Padrão (Cláusulas-Padrão Contratuais) aprovadas no Anexo II desse Regulamento, que são incorporadas aqui por referência.

   5.1 Estas cláusulas serão aplicadas sem modificações e deverão ser preenchidas da seguinte forma:
   (a) Exportador: Cliente (Controlador); (b) Importador: Keeper (Processador) (c) Finalidade: prestação de serviços da Keeper e apoio relacionado ao abrigo do acordo; (d) Categorias de titulares de dados: dados do cliente ao abrigo do contrato; (e) Dados Pessoais: conforme descrito no Subanexo A (f) Transferências subsequentes: permitidas aos subprocessadores autorizados da Keeper, disponíveis no Subanexo B, sob salvaguardas equivalentes; (g) Parte Designada (Cláusula 4): Keeper, responsável pela transparência, pelo tratamento dos direitos dos titulares de dados e pelo aviso de incidentes conforme as Cláusulas 14–16 dos SCCs brasileiros; (h) Lei em Vigor e Jurisdição: não obstante a lei vigente do Acordo, as Cláusulas Contratuais Padrão Brasileiras serão regidas e interpretadas de acordo com as leis do Brasil e sujeitas à jurisdição dos tribunais competentes do Brasil; e (i) Medidas de segurança: Aquelas descritas no Subanexo C.

   5.2 A Cláusula de Acoplamento (Cláusula 9 das Cláusulas Contratuais Padrão brasileiras) será aplicável somente mediante acordo mútuo por escrito das Partes.

6. Para todas as outras jurisdições que não tenham decisão de adequação, a Keeper deverá implementar mecanismos de transferência adequados sob o artigo 46 do GDPR, o RGPD do Reino Unido e os artigos 33–36 da LGPD; ou outra lei para garantir proteção adequada.
7. Nos casos em que os quadros de proteção de dados não se apliquem, as Partes deverão recorrer às Cláusulas Contratuais Padrão ou a salvaguardas equivalentes reconhecidas pelas Leis de Proteção de Dados aplicáveis.
8. Para todas as outras jurisdições que não tenham decisão de adequação, a Keeper deverá implementar mecanismos de transferência adequados sob o artigo 46 do GDPR, o RGPD do Reino Unido e os artigos 33–36 da LGPD; ou outra lei para garantir proteção adequada.
9. Atualizações nos Mecanismos de Transferência
   Caso a Comissão Europeia, o ICO do Reino Unido, o FDPIC da Suíça ou a ANPD do Brasil adote mecanismos de transferência revisados ou substitutos, estes substituirão automaticamente as cláusulas aqui mencionadas para continuar cumprindo as Leis de Proteção de Dados.
10. Estrutura de Privacidade de Dados UE-EUA
    A Keeper é participante ativa da Estrutura de Privacidade de Dados UE-EUA, da Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e da Estrutura de Privacidade de Dados Suíça-EUA. Você pode conferir o status da certificação da Keeper em: https://www.dataprivacyframework.gov/list. Se a Estrutura de Privacidade de Dados deixar de ser aplicada, as transferências de dados continuarão de acordo com as Cláusulas Contratuais Padrão.
11. Se o Cliente acreditar que essas medidas são insuficientes para satisfazer os requisitos legais em qualquer circunstância específica, o Cliente deverá fornecer ao Keeper um aviso por escrito contendo suas razões para tais opiniões, e as Partes deverão trabalhar em conjunto e de boa-fé para encontrar uma alternativa mutuamente aceitável.
12. Leis de privacidade estaduais dos EUA (incluindo a CCPA, conforme alterada)
    

    Na medida em que a Keeper processa Dados Pessoais do Cliente que estejam sujeitos à Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada e em vigor periodicamente (incluindo a Lei de Direitos de Privacidade da Califórnia e quaisquer alterações subsequentes, coletivamente denominadas "CCPA") ou qualquer outra lei de privacidade estadual dos EUA que imponha obrigações materialmente semelhantes a processadores ou provedores de serviços (coletivamente, as "Leis de Privacidade Estaduais"), a Keeper atuará como Prestadora de Serviços ou Processadora do Cliente, conforme for:

    (a) A Keeper processará tais Dados Pessoais apenas para os fins comerciais descritos no Acordo e neste Adendo, e não para qualquer outro propósito além de prestar os Serviços.
    (b) A Keeper não venderá, compartilhará nem divulgará de outra forma Dados Pessoais, nem divulgará tais dados para qualquer propósito fora do relacionamento comercial direto com o Cliente, exceto quando permitido pelas Leis de Privacidade do Estado.
    (c) A Keeper garantirá que qualquer contrato de Subprocessador inclua restrições e obrigações equivalentes do provedor de serviços ou processador.
    (d) A Keeper avisará imediatamente o Cliente se determinar que não pode mais cumprir suas obrigações de acordo com as Leis de Privacidade Estaduais e o Cliente poderá tomar medidas razoáveis e apropriadas para interromper e remediar qualquer uso não autorizado de Dados Pessoais.
    (e) A Keeper certifica que compreende e cumprirá as suas obrigações nos termos das Leis Estaduais de Privacidade.

SUBPROCESSADORES

1. A Keeper recebe autorização geral para contratar terceiros para o processamento dos Dados Pessoais ("Subprocessadores") sem precisar de autorização específica e por escrito do Cliente. A Keeper deverá celebrar um contrato de subprocessador por escrito com qualquer Subprocessador. Tal contrato deverá, no mínimo, definir as mesmas obrigações de proteção de dados que aquelas à Keeper, incluindo as obrigações estabelecidas neste Adendo. A Keeper deverá monitorar e controlar continuamente a conformidade de seus Subprocessadores com a Lei de Proteção de Dados, e a documentação desse monitoramento e controle será fornecida ao Cliente, se solicitada por escrito.
2. Se o Subprocessador realizar os serviços acordados fora da UE/EEE, a Keeper deverá garantir sua admissibilidade sob a lei de proteção de dados tomando as medidas apropriadas.
3. No ato da assinatura deste Adendo, a Keeper está utilizando os Subprocessadores conforme mencionado no Subanexo B. A Keeper fornece ao Cliente um mecanismo para se cadastrar e receber atualizações sobre novos Subprocessadores na Central de Confiança. O aviso sobre novos ou substitutos de Subprocessadores deve ser fornecido por meio da Central de Confiança da Keeper ou outros meios eletrônicos razoáveis, e o período de objeção começará a partir desse aviso.
4. O Cliente poderá, de boa-fé, opor-se razoavelmente à alteração ou utilização de um novo Subprocessador por parte da Keeper, mediante aviso por escrito por e-mail para privacy@keepersecurity.com no prazo de dez (10) dias úteis a contar da data de recebimento do aviso da Keeper sobre o novo Subprocessador. Tal aviso por escrito deverá incluir, no mínimo, a boa-fé do Cliente e motivos razoáveis para a objeção. A Keeper deverá envidar esforços comercialmente razoáveis para recomendar uma alteração na utilização dos Serviços pelo Cliente. A ausência de objeções da parte do Cliente dentro de dez (10) dias úteis será considerada consentimento ao Subprocessador.
5. Caso o Cliente se oponha a um novo Subprocessador e as partes não consigam resolver a objeção de forma amistosa, o Cliente poderá rescindir os Serviços apenas em relação aos Serviços que não puderem ser prestados pela Keeper sem a utilização dos novos Subprocessadores contestados, mediante aviso por escrito à Keeper.
6. O Keeper é responsável perante o Cliente por qualquer Subprocessador da mesma maneira que por suas próprias ações e omissões.

RESCISÃO; DEVOLUÇÃO OU EXCLUSÃO DE DADOS PESSOAIS

1. Após a expiração ou rescisão do Contrato, o Keeper excluirá ou devolverá ao Cliente todos os Dados Pessoais em sua posse conforme previsto no Contrato, exceto quando o Keeper for obrigado pelas Leis Aplicáveis a reter alguns ou todos os Dados Pessoais (caso no qual o Keeper arquivará os dados e implementará medidas razoáveis para evitar que os Dados Pessoais sejam processados novamente). Os termos deste Adendo continuarão a valer para esses Dados Pessoais.

AVALIAÇÃO DE IMPACTOS NA PROTEÇÃO DE DADOS E CONSULTA PRÉVIA

1. Se a assistência da Keeper for necessária e relevante, as partes cooperarão na medida do razoavelmente necessário na preparação de avaliações de impactos sobre proteção de dados, de acordo com o GDPR, artigo 35, juntamente com qualquer consulta prévia, de acordo com o GDPR, artigo 36. Cada parte arcará com os respectivos custos ao cumprir tais obrigações.

DIVERSOS

1. Modificação do Adendo: Este Adendo só poderá ser modificado por uma emenda por escrito assinada por cada uma das Partes.
2. Lei em vigor, local e jurisdição: Todas as contestações e ações relativas a este Acordo deverão ser exclusivamente apresentadas aos tribunais e interpretadas (sem consideração às disposições de conflito de leis) conforme as leis especificadas no Acordo.
3. Invalidade e Divisibilidade; Conflito: Caso alguma disposição deste Adendo seja considerada inválida ou inexequível por qualquer tribunal ou órgão administrativo de jurisdição competente, a invalidade ou inexequibilidade de tal disposição não afetará qualquer outra disposição deste Adendo, e todas as disposições não afetadas por tal invalidade ou inexequibilidade permanecerão em pleno vigor e efeito. No caso de qualquer inconsistência entre este Adendo e as Cláusulas Contratuais Padrão celebradas pelas partes, se houver, as Cláusulas Contratuais Padrão deverão prevalecer.

SUBAPÊNDICE A

Dados Pessoais

1. O Keeper processa os seguintes tipos de Dados Pessoais em conexão com a prestação dos serviços:
   1. Os dados pessoais transferidos dizem respeito a informações de contato (nome, endereço, email, telefone), dados da entidade, endereço IP, identificador do dispositivo e informações sobre a versão do aplicativo.

Categorias de titulares de dados

1. O Keeper processa dados pessoais sobre as seguintes categorias de titulares de dados em nome do Cliente:
   1. Cliente
   2. Usuários finais autorizados do Cliente, incluindo funcionários do Cliente.

Subanexo B – Subprocessadores aprovados

Uma lista atual dos subprocessadores da Keeper está disponível em Subprocessadores 1B. Isso inclui detalhes dos nomes e localizações das entidades jurídicas do subprocessador. Os subprocessadores são atualizados periodicamente, e o Cliente pode se cadastrar para receber atualizações na Central de Confiança da Keeper.

Subanexo C - Cronograma de Segurança de Dados

Esta Política de Segurança de Dados complementa o Contrato entre o Cliente e a Keeper que rege o uso dos Serviços. Salvo disposição em contrário neste Anexo, todos os termos em maiúsculas utilizados neste Anexo terão os significados que lhes são atribuídos no Contrato.

1. Escopo do processamento de dados. Este Cronograma se aplica a todos os Serviços da Keeper e ao processamento de todos os dados fornecidos pelo Cliente à Keeper ("Dados do Cliente").
2. Confidencialidade dos dados do cliente. A Keeper não irá acessar, usar ou divulgar a terceiros quaisquer Dados de Cliente, exceto, em cada caso, conforme necessário para manter ou prestar os Serviços ou conforme necessário para cumprir a lei ou uma ordem válida e vinculativa de um órgão governamental (como intimação ou ordem judicial). Se algum órgão governamental enviar à Keeper uma solicitação de Dados do Cliente, a Keeper tentará redirecionar o órgão governamental para solicitar esses dados diretamente ao Cliente. Como parte desse esforço, a Keeper poderá fornecer as informações básicas de contato do Cliente ao órgão governamental. Se for obrigada a divulgar os Dados do Cliente a um órgão governamental, a Keeper dará ao Cliente um aviso razoável sobre a exigência para que o Cliente busque uma ordem de proteção ou outra solução apropriada, a menos que a Keeper esteja legalmente proibido de fazê-lo. A Keeper restringe o processamento de Dados do Cliente por seu pessoal sem autorização da Keeper, conforme descrito no Anexo 1 - Normas de Segurança anexo a este documento. A Keeper impõe obrigações contratuais adequadas ao seu pessoal, incluindo obrigações relevantes relativas à confidencialidade, proteção de dados e segurança de dados.
3. Segurança do processamento de dados. A Keeper implementou e manterá as medidas técnicas e organizacionais para os sistemas Keeper, conforme descrito nos Padrões de Segurança e nesta Seção. Em particular, a Keeper implementou e manterá as seguintes medidas técnicas e organizacionais:
   
   1. segurança dos sistemas Keeper conforme estabelecido nas Normas de Segurança;
   2. segurança física das instalações, conforme estabelecido nas Normas de Segurança;
   3. medidas para controlar os direitos de acesso do pessoal autorizado aos Sistemas Keeper, conforme estabelecido nas Normas de Segurança; e
   4. processos para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais implementadas pela Keeper, conforme descrito na Seção 2 dos Padrões de Segurança.
4. Certificações e Auditorias da Keeper.
   
   1. Certificação e relatórios da Keeper. Além das informações contidas nesta Programação, mediante solicitação do Cliente, a Keeper disponibilizará seus certificados ISO 27001 e SOC2. Os controles de segurança da informação da Keeper são validados por meio de avaliações e certificações independentes e podem ser acessados na Central de Confiança da Keeper; as certificações são:
      • SOC 2 Tipo II (Critérios de Serviços de Confiança AICPA)
      • ISO 27001, ISO 27017 e ISO 27018
      • Autorização moderada FedRAMP (para Keeper Security Government Cloud)
      • Módulos criptográficos validados por FIPS 140-3
      • Arquitetura alinhada à HIPAA (Keeper não é um Associado de Negócios, pois não pode acessar ePHI)
      • Alinhamento de conformidade com GDPR, UK GDPR e a Lei de Resiliência Operacional Digital (DORA)
   2. Auditorias. A Keeper utiliza auditores externos para validar a adequação de suas medidas de segurança, incluindo a segurança dos data centers físicos a partir dos quais a Keeper presta os Serviços. A auditoria: (a) será realizada pelo menos anualmente; (b) será realizada de acordo com as normas ISO 27001 ou normas alternativas substancialmente equivalentes; (c) será realizada por profissionais de segurança terceirizados independentes, selecionados e custeados pela Keeper; e (d) resultará na geração de um relatório de auditoria ("Relatório"), que será Informação Confidencial da Keeper.

Anexo 1 - Padrões de Segurança

Programa de segurança da informação. A Keeper manterá um programa de segurança da informação projetado para (a) que o Cliente proteja os Dados do Cliente contra perda, acesso ou divulgação acidental ou ilegal, (b) identificar riscos razoavelmente previsíveis à segurança e disponibilidade dos sistemas Keeper e (c) minimizar os riscos de segurança física e lógica aos sistemas Keeper, inclusive por meio de avaliação e testes de risco regulares. A KEEPER delegará um ou mais funcionários para coordenar e ser responsável pelo programa de segurança da informação.

O programa de segurança da informação da Keeper incluirá as seguintes medidas:

1. Segurança lógica.
   
   1. Controles de acesso. A Keeper deixará os sistemas Keeper acessíveis apenas a pessoal autorizado e somente quando necessário para manter e prestar os Serviços. A Keeper manterá controles de acesso e políticas para gerenciar autorizações de acesso aos sistemas Keeper de cada conexão de rede e usuário, incluindo o uso de firewalls ou tecnologia funcionalmente equivalente e controles de autenticação. A Keeper manterá controles de acesso projetados para (i) restringir o acesso não autorizado aos dados e (ii) segregar os dados de cada cliente dos dados de outros clientes.
   2. Acesso restrito ao usuário. A Keeper (i) provisionará e restringirá o acesso do usuário aos sistemas Keeper de acordo com os princípios de menor privilégio com base nas funções de trabalho do pessoal; (ii) exigirá revisão e aprovação antes de dar acesso aos sistemas Keeper acima dos princípios menos privilegiados, incluindo contas de administrador; (iii) exigirá pelo menos uma revisão trimestral dos privilégios de acesso aos sistemas Keeper e, quando necessário, revogará os privilégios de acesso aos sistemas Keeper em tempo hábil; e (iv) exigirá autenticação por dois fatores para acesso aos sistemas Keeper a partir de locais remotos.
   3. Avaliações de vulnerabilidade. A Keeper realizará avaliações externas regulares de vulnerabilidades e testes de penetração dos sistemas Keeper, investigando os problemas identificados e acompanhando-os até a resolução de forma oportuna.
   4. Segurança da aplicação. Antes de lançar publicamente novos Serviços ou recursos significativos dos Serviços, a Keeper realizará revisões de segurança de aplicações projetadas para identificar, mitigar e remediar riscos de segurança.
   5. Gestão de mudanças. A Keeper manterá controles projetados para registrar, autorizar, testar, aprovar e documentar alterações nos recursos existentes dos sistemas Keeper e documentará detalhes das alterações dentro de suas ferramentas de gerenciamento ou implantação de mudanças. A Keeper testará as alterações de acordo com os padrões de gerenciamento de mudanças antes da migração para produção. A Keeper manterá processos projetados para detectar alterações não autorizadas nos sistemas Keeper e acompanhar os problemas identificados até a resolução. A Keeper tem padrões de codificação seguros, análise estática/dinâmica, revisão por pares e aprovação formal de alterações antes da implantação em produção. Os desenvolvedores recebem treinamento anual em segurança e privacidade.
   6. Integridade dos dados. A Keeper manterá controles projetados para fornecer integridade de dados durante a transmissão, armazenamento e processamento nos sistemas Keeper. A Keeper dará ao Cliente a opção de apagar os Dados do Cliente dos sistemas Keeper.
   7. A criptografia e a descriptografia ocorrem exclusivamente no aparelho do usuário final. A Keeper não pode acessar o conteúdo do cofre em texto simples nem as senhas mestras. Os princípios de confiança zero impõem a autenticação do usuário e do aparelho antes do acesso. As chaves de criptografia são derivadas no aparelho do usuário (por exemplo, derivação PBKDF2). Chaves não criptografadas ou senhas mestras nunca são armazenadas nem transmitidas para a Keeper.
   8. A Keeper aceita TOTP, Duo Security, chaves FIDO/U2F e biometria. O SSO Connect® e o SSO Connect® Cloud oferecem autenticação de conhecimento zero via SAML 2.0. Os administradores podem usar controles de acesso baseado em funções granulares.
   9. Criptografia TLS para todas as conexões, autenticação forte de API, segmentação de rede, detecção de intrusões e monitoramento 24 horas para disponibilidade e eventos de ameaça.
   10. Continuidade de negócios e recuperação de desastres. A Keeper manterá um programa formal de gerenciamento de riscos projetado para apoiar a continuidade das funções críticas aos negócios ("Programa de Continuidade de Negócios"). O Programa de Continuidade de Negócios inclui processos e procedimentos para identificação, resposta e recuperação de eventos que possam impedir ou prejudicar materialmente a prestação dos Serviços pela Keeper (um evento "BCP"). O Programa de Continuidade de Negócios inclui uma abordagem em três fases que a Keeper seguirá para gerenciar eventos do BCP:
2. Fase de ativação e aviso. À medida que a Keeper identifica problemas que provavelmente resultarão em um Evento BCP, a Keeper irá escalar, validar e investigar esses problemas. Durante esta fase, a Keeper analisará a causa-raiz do Evento BCP.
   1. Fase de recuperação. A Keeper delega a responsabilidade às equipes apropriadas para que tomem medidas para restaurar a funcionalidade normal do sistema ou estabilizar os serviços afetados.
   2. Fase de reconstituição. A liderança da Keeper revisa as ações tomadas e confirma que o esforço de recuperação está completo e que as partes afetadas dos Serviços e dos sistemas Keeper foram restauradas. Após essa confirmação, a Keeper realiza uma análise post-mortem do Evento BCP.
3. Gerenciamento de Incidentes. A Keeper manterá planos de ação corretiva e planos de resposta a incidentes para responder a potenciais ameaças à segurança dos sistemas Keeper. Os planos de resposta a incidentes da Keeper terão processos definidos para detectar, mitigar, investigar e relatar incidentes de segurança. Os planos de resposta a incidentes da Keeper incluem confirmação do incidente, análise do ataque, contenção, coleta de dados e resolução do problema.
4. Desativação de mídia de armazenamento. A Keeper manterá um processo de desativação de mídia que será realizado antes do descarte final da mídia de armazenamento usada para armazenar os Dados do Cliente. Antes do descarte final, as mídias de armazenamento utilizadas para guardar os Dados do Cliente serão desmagnetizadas, apagadas, purgadas, destruídas fisicamente ou higienizadas de outra forma, de acordo com as práticas padrão do setor, para que os Dados do Cliente não possam ser recuperados do tipo de mídia de armazenamento em questão.
5. Segurança física.
   
   1. Controles de acesso. A Keeper deverá (i) implementar e manter salvaguardas físicas projetadas para impedir o acesso físico não autorizado, danos ou interferência nos sistemas Keeper, (ii) usar aparelhos de controle apropriados para restringir o acesso físico aos sistemas Keeper apenas ao pessoal autorizado que tenha necessidade comercial legítima para tal acesso, (iii) monitorar o acesso físico aos sistemas Keeper usando sistemas de detecção de intrusão projetados para monitorar, detectar e alertar o pessoal apropriado sobre incidentes de segurança, (iv) registrar e auditar regularmente o acesso físico aos sistemas Keeper e (v) realizar revisões periódicas para validar a conformidade com esses padrões.
   2. Disponibilidade. A Keeper irá (i) implementar sistemas redundantes para os sistemas Keeper projetados para minimizar o efeito de um mau funcionamento nos sistemas Keeper, (ii) projetar os sistemas Keeper para antecipar e tolerar falhas de hardware e (iii) implementar processos automatizados projetados para levar o tráfego de dados do cliente para longe da área afetada em caso de falha de hardware.
6. Funcionários da Keeper
   1. Treinamento de segurança de funcionários. A Keeper implementará e manterá programas de treinamento de segurança de funcionários em relação aos requisitos de segurança das informações da Keeper. Os programas de treinamento de conscientização sobre segurança serão revisados e atualizados pelo menos uma vez por ano.
   2. Verificação de antecedentes. Quando permitido por lei e na medida do possível pelas autoridades governamentais, a Keeper exigirá que cada funcionário seja submetido a uma investigação de antecedentes que seja razoável e apropriada à posição e ao nível de acesso desse funcionário aos sistemas Keeper.
7. Avaliação contínua. A Keeper realizará revisões periódicas do programa de segurança da informação para os sistemas Keeper. A Keeper atualizará ou alterará o programa de segurança da informação conforme necessário para responder a novos riscos de segurança e aproveitar novas tecnologias.
8. Conformidade com a Lei de Resiliência Operacional Digital (DORA)
   Em apoio à Lei de Resiliência Operacional Digital (DORA), a Keeper mantém minuciosas medidas operacionais e de segurança para proteger softwares e sistemas. Isso inclui, entre outros, implementação de processos eficazes de gerenciamento de riscos, monitoramento e gerenciamento da disponibilidade de tempo de atividade, manutenção de políticas internas rigorosas sobre segurança, exigência de treinamentos internos de segurança e estabelecimento de protocolos de resposta a incidentes. A Keeper monitora, atualiza e refina continuamente seus procedimentos para mitigar riscos e garantir a funcionalidade operacional e a segurança em todos os softwares e serviços da Keeper.