Acordo de Processamento de Dados

Este Acordo de Tratamento de Dados (“DPA”) faz parte dos Termos de Utilização (ou outro acordo escrito ou eletrónico com título semelhante que aborde o mesmo assunto) (“Acordo”) entre o Cliente (conforme definido no Acordo) e “Slide Craft Technologies Pvt Ltd ao abrigo do qual o Subcontratante fornece ao Responsável pelo Tratamento o software e os serviços (os “Serviços”). O Responsável pelo Tratamento e o Subcontratante são individualmente designados como “Parte” e coletivamente como as “Partes”.

As Partes procuram implementar este DPA para cumprir os requisitos do RGPD da UE (definido abaixo) em relação ao tratamento de Dados Pessoais pelo Subcontratante (conforme definido no RGPD da UE) como parte das suas obrigações nos termos do Acordo.

Este DPA aplicar-se-á ao tratamento de Dados Pessoais pelo Subcontratante, fornecidos pelo Responsável pelo Tratamento como parte das obrigações do Subcontratante nos termos do Acordo.

Salvo as modificações abaixo, os termos do Acordo permanecerão em pleno vigor e efeito.

1. Definições

Os termos não definidos de outra forma no presente documento terão o significado que lhes é atribuído no RGPD da UE ou no Acordo. Os termos seguintes terão os significados correspondentes que lhes são atribuídos abaixo:

  1. 1.1. "Transferência de Dados" significa uma transferência de Dados Pessoais do Responsável pelo Tratamento para o Subcontratante, ou entre dois estabelecimentos do Subcontratante, ou com um Sub-subcontratante pelo Subcontratante.
  2. 1.2. “UE RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
  3. 1.3. “Cláusulas Contratuais-Tipo” significa as cláusulas contratuais anexadas ao presente como Anexo 1, nos termos da Decisão de Execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021, relativa às Cláusulas Contratuais-Tipo para a transferência de Dados Pessoais para subcontratantes estabelecidos em países terceiros que não asseguram um nível adequado de proteção de dados.
  4. 1.4. “Controlador” significa a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados pessoais; quando as finalidades e os meios desse tratamento são determinados pelo direito da União ou dos Estados-Membros, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser previstos pelo direito da União ou dos Estados-Membros.
  5. 1.5. “Processador” significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais em nome do controlador.
  6. 1.6. “Subprocessador” significa um processador/subcontratado nomeado pelo Processador para a prestação de todos ou parte dos Serviços e que Trata os Dados Pessoais conforme fornecido pelo Controlador.
  1. 2. Finalidade deste Acordo
  2. Este DPA estabelece várias obrigações do Processador em relação ao Tratamento de Dados Pessoais e será limitado às obrigações do Processador nos termos do Acordo. Se houver um conflito entre as disposições do Acordo e deste DPA, as disposições deste DPA prevalecerão.
  3. 3. Categorias de Dados Pessoais e Titulares dos Dados
    1. O objetivo do Tratamento de Dados Pessoais pelo Processador será limitado à prestação dos Serviços pelo Processador ao Controlador e/ou ao seu Cliente, nos termos do Acordo.
  4. 4. Finalidade do Tratamento
    1. O Controlador autoriza o Processador a tratar os Dados Pessoais na medida determinada e regulada pelo Controlador. A natureza atual dos Dados Pessoais é especificada no Anexo I ao Anexo 1 deste DPA. O objetivo do Tratamento de Dados Pessoais pelo Processador será limitado à prestação dos Serviços pelo Processador ao Controlador e/ou ao seu Cliente, nos termos do Acordo.
  5. 5. Duração do Tratamento
    1. O Processador tratará os Dados Pessoais durante a vigência do Acordo, a menos que o Controlador concorde de outra forma por escrito.
  1. 6. Obrigações do Controlador de Dados
    1. 6.1. O Controlador de Dados deverá garantir que possui todos os direitos necessários para fornecer os Dados Pessoais ao Processador de Dados para o Tratamento a ser realizado em relação aos serviços acordados. Na medida exigida pelas Leis de Privacidade de Dados, o Controlador de Dados é responsável por assegurar que fornece tais Dados Pessoais ao Processador de Dados com base numa base legal apropriada que permita atividades de tratamento lícitas, incluindo a obtenção de quaisquer consentimentos necessários do Titular dos Dados para este Tratamento, e por assegurar que um registo de tais consentimentos seja mantido. Caso tal consentimento seja revogado pelo Titular dos Dados, o Controlador de Dados é responsável por comunicar o facto de tal revogação ao Processador de Dados.
    2. 6.2. O Controlador de Dados deverá fornecer a todas as pessoas singulares de quem recolhe Dados Pessoais a notificação de privacidade relevante.
    3. 6.3. O Controlador de Dados deverá solicitar ao Processador de Dados que elimine os Dados Pessoais quando exigido pelo Controlador de Dados ou por qualquer Titular de Dados de quem recolhe Dados Pessoais, a menos que o Processador de Dados seja de outra forma obrigado a reter os Dados Pessoais pela lei aplicável.
    4. 6.4. O Controlador de Dados deverá informar imediatamente o Processador de Dados por escrito se receber ou tomar conhecimento de qualquer:
      1. 6.4.1. Reclamação ou alegação que indique uma violação das Leis de Privacidade de Dados relativamente a Dados Pessoais;
      2. 6.4.2. Pedido de um ou mais indivíduos que procuram aceder, corrigir ou eliminar Dados Pessoais;
      3. 6.4.3. Inquérito ou reclamação de um ou mais indivíduos relacionados com a recolha, tratamento, utilização ou transferência de Dados Pessoais; e
      4. 6.4.4. Qualquer pedido regulatório, mandado de busca ou outro processo legal, regulatório, administrativo ou governamental que procure Dados Pessoais
  1. 7. Obrigações do Processador de Dados
  1. 7.1. O Processador seguirá as instruções escritas e documentadas recebidas, incluindo e-mail, do Controlador, do seu afiliado, agentes ou pessoal, relativamente ao Tratamento de Dados Pessoais (cada uma, uma "Instrução").
  2. 7.2. O Tratamento descrito no Acordo e na documentação relacionada será considerado como uma Instrução do Controlador.
  3. 7.3. A pedido do Controlador de Dados, o Processador de Dados prestará assistência razoável ao Controlador de Dados na resposta/cumprimento de pedidos/direções do Titular dos Dados no exercício dos seus direitos ou das autoridades reguladoras aplicáveis relativamente ao Tratamento de Dados Pessoais pelo Processador de Dados.
  4. 7.4. Em relação aos Dados Pessoais, o Controlador de Dados obterá o consentimento (quando necessário) e/ou notificará o Titular dos Dados em conformidade com as Leis de Proteção de Dados para permitir que os Dados Pessoais partilhados sejam fornecidos e utilizados pela outra Parte, conforme previsto neste Acordo.
  5. 7.5. Quando Dados Pessoais partilhados forem transferidos para fora dos limites territoriais do Processador de Dados, o transferente garantirá que o destinatário de tais dados esteja sob obrigações contratuais de proteger esses Dados Pessoais com os mesmos ou superiores padrões aos impostos por este DPA e pelas Leis de Proteção de Dados.
  6. 7.6. O processador informará o controlador se, na sua opinião, uma instrução de tratamento infringir a legislação ou regulamentação aplicável.
  7. 7.5. Como Processador de Dados, tendo em conta a natureza do tratamento e as informações disponíveis ao Processador de Dados, o Processador de Dados auxiliará o controlador de dados na realização de quaisquer Avaliações de Impacto sobre a Proteção de Dados (AIPD) necessárias, conforme exigido pelo RGPD.
  1. 8. Sigilo dos Dados
    1. 8.1. Para Processar os Dados Pessoais, o Processador utilizará pessoal que seja:
      1. 8.1.1. Informados da natureza confidencial dos Dados Pessoais, e
      2. 8.1.2. Prestar os Serviços em conformidade com o Acordo.
    2. 8.2. O Processador treinará regularmente os indivíduos que têm acesso aos Dados Pessoais em segurança e privacidade de dados, de acordo com as práticas aceites da indústria, e garantirá que todos os Dados Pessoais sejam mantidos estritamente confidenciais.
    3. 8.3. O Processador manterá medidas técnicas e organizacionais apropriadas para a proteção da segurança, confidencialidade e integridade dos Dados Pessoais, conforme as especificações e os padrões mutuamente acordados por escrito pelas Partes.
  1. 9. Direitos de Auditoria
  1. 9.1. Mediante pedido razoável do Controlador, o Processador disponibilizará ao Controlador as informações que sejam razoavelmente necessárias para demonstrar a conformidade do Processador com as suas obrigações ao abrigo do RGPD da UE ou outras leis aplicáveis no que diz respeito ao seu Tratamento dos Dados Pessoais.
  2. 9.2. Quando o Controlador desejar realizar a auditoria (por si ou através de um representante) nas instalações do Processador, deverá fornecer um aviso prévio por escrito de pelo menos quinze (15) dias ao Processador; o Processador prestará cooperação e assistência razoáveis em relação às auditorias, incluindo inspeções, realizadas pelo Controlador ou pelo seu representante.
  3. 9.3. O Controlador deverá suportar a despesa de tal auditoria.
  1. 10. Mecanismo de Transferências de Dados
  1. Qualquer Transferência de Dados para efeitos de Tratamento pelo Processador num país fora do Espaço Económico Europeu (o “EEE”) apenas ocorrerá em conformidade com o detalhado no Anexo 1 ao DPA. Quando tais cláusulas-tipo não tiverem sido executadas ao mesmo tempo que este DPA, o Processador não deverá reter indevidamente a execução de tais cláusulas-tipo, onde a transferência de Dados Pessoais para fora do EEE seja necessária para a execução do Contrato.
  1. 11. Subprocessadores
    1. 11.1. O Controlador reconhece e concorda que o Processador poderá contratar Subprocessador(es) terceiros em conexão com a prestação dos Serviços, desde que tal(is) Subprocessador(es) adote(m) medidas técnicas e organizacionais para garantir a confidencialidade dos Dados Pessoais partilhados com eles; Os Subprocessadores atuais contratados pelos Processadores e aprovados pelo Controlador estão listados no Anexo III do Anexo 1 anexo. O processador deverá notificar o controlador com pelo menos trinta (30) dias de calendário de antecedência sobre quaisquer alterações ou adições pretendidas aos seus Subprocessadores listados no Anexo III, enviando um aviso por e-mail da alteração pretendida ao Cliente. De acordo com o Artigo 28(4) do RGPD, o Processador permanecerá responsável perante o Controlador por qualquer falha por parte de um Subprocessador no cumprimento das suas obrigações de proteção de dados ao abrigo do DPA em conexão com a prestação dos Serviços.
    2. 11.2. Se o Controlador tiver a preocupação de que o Tratamento de Dados Pessoais pelo(s) Subprocessador(es) seja razoavelmente suscetível de levar o Controlador a violar as suas obrigações de proteção de dados ao abrigo do RGPD, o Controlador poderá opor-se à utilização de tal Subprocessador e o Processador e o Controlador deverão conferenciar de boa-fé para abordar tal preocupação.
  1. 12. Notificação de Violação de Dados Pessoais
    1. 12.1. O Processador deverá manter procedimentos definidos em caso de Violação de Dados Pessoais (conforme definido no RGPD) e deverá, sem demora injustificada, notificar o Controlador se tomar conhecimento de qualquer Violação de Dados Pessoais, a menos que tal Violação de Dados seja improvável de resultar num risco para os direitos e liberdades das pessoas singulares.
    2. 12.2. O Processador deverá prestar ao Controlador toda a assistência razoável para cumprir com a notificação de Violação de Dados Pessoais à Autoridade de Controlo e/ou ao Titular dos Dados, para identificar a causa de tal Violação de Dados e tomar as medidas comercialmente razoáveis que sejam necessárias para mitigar e remediar tal Violação de Dados.
    3. 12.3. Nenhum Reconhecimento de Culpa pelo Processador. A notificação ou resposta do Processador a uma Violação de Dados Pessoais ao abrigo deste DPA não será interpretada como um reconhecimento por parte do Processador de qualquer culpa ou responsabilidade relativamente ao incidente de dados.
  1. 13. Devolução e Eliminação de Dados Pessoais
    1. 13.1. O Processador deverá, no prazo mínimo de trinta (30) dias a contar do término do Contrato ou da cessação dos Serviços do Processador ao abrigo do Contrato, o que ocorrer primeiro, devolver ao Controlador todos os Dados Pessoais, ou, se o Controlador assim o instruir, o Processador deverá providenciar a eliminação dos Dados Pessoais. O Processador deverá devolver esses Dados Pessoais num formato comummente utilizado ou no formato atual em que foram armazenados, a critério do Controlador, assim que razoavelmente praticável após a receção da notificação do Controlador.
    2. 13.2. Em qualquer caso, o Processador deverá apagar os Dados Pessoais, incluindo todas as suas cópias, assim que razoavelmente praticável após o término do Contrato.
  1. 14. Medidas Técnicas e Organizacionais
    1. Considerando o estado do desenvolvimento tecnológico e o custo de implementação de quaisquer medidas, o Processador tomará medidas técnicas e organizacionais apropriadas contra o tratamento não autorizado ou ilícito de Dados Pessoais e contra a perda acidental, destruição ou dano de Dados Pessoais para garantir um nível de segurança adequado a: (a) o dano que possa resultar do tratamento não autorizado ou ilícito ou da perda acidental, destruição ou dano; e (b) a natureza dos dados a serem protegidos [incluindo as medidas indicadas no Anexo II do Anexo 1]

ANEXO 1

ANEXO I

A. LISTA DE PARTES

Exportador(es) de dados:

  1. Nome : Cliente (Conforme estabelecido no Formulário de Pedido relevante).

Endereço: Conforme estabelecido no Formulário de Pedido relevante.

Nome, cargo e detalhes de contacto da pessoa de contacto: Conforme estabelecido no Formulário de Pedido relevante.

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: Destinatário dos Serviços prestados pela Slide Craft Technologies Pvt Ltd em conformidade com o Contrato.

Assinatura e data: A assinatura e a data estão definidas no Contrato.

Função (Controlador/ Processador): Controlador

Importador(es) de dados:

  1. Nome: Slide Craft Technologies Pvt Ltd

Endereço: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Nome, cargo e detalhes de contacto da pessoa de contacto: Avinash DPO, avinash@deck.in

Detalhes de contacto do representante da UE: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: Prestação dos Serviços ao Cliente em conformidade com o Contrato.

Assinatura e data: A assinatura e a data estão definidas no Contrato.

Função (Controlador/processador): Processador.

B. DESCRIÇÃO DA TRANSFERÊNCIA

  1. Categorias de titulares de dados cujos dados pessoais são transferidos
  2. Utilizadores autorizados do Cliente dos Serviços.

Categorias de dados pessoais transferidos

  1. Nome, Morada, Data de Nascimento, Idade, Educação, E-mail, Género, Imagem, Cargo, Idioma, Telefone, Pessoa relacionada, URL relacionado, ID de Utilizador, Nome de Utilizador.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para pessoal que tenha recebido formação especializada), manutenção de um registo de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

  1. Não são recolhidos dados sensíveis.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

  1. Base contínua

Natureza do tratamento
A natureza do tratamento é descrita mais detalhadamente no Contrato e nos formulários de pedido anexos

Finalidade(s) da transferência de dados e do tratamento posterior

A finalidade da transferência é facilitar a execução dos Serviços, conforme descrito mais detalhadamente no Contrato e nos formulários de pedido anexos.

O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período

O período durante o qual os Dados Pessoais do Cliente serão retidos é descrito mais detalhadamente no Contrato, Aditamento e formulários de pedido anexos.

Para transferências para (sub)processadores, especificar também o objeto, a natureza e a duração do tratamento

  1. O objeto, a natureza e a duração do Tratamento são descritos mais detalhadamente no Contrato, Aditamento e formulários de pedido anexos.

C. AUTORIDADE DE CONTROLO COMPETENTE

O exportador de dados está estabelecido num país do EEE.

A autoridade de controlo competente é determinada pela aplicação da Cláusula 13 das Cláusulas Contratuais-Tipo da UE.

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas de segurança técnicas e organizacionais implementadas pela Slide Craft Technologies Pvt Ltd como processador/importador de dados para garantir um nível adequado de segurança, levando em consideração a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas singulares.

  • Segurança
  • Sistema de Gestão de Segurança.
    • Organização. Slide Craft Technologies Pvt Ltd designa pessoal de segurança qualificado cujas responsabilidades incluem o desenvolvimento, implementação e manutenção contínua do Programa de Segurança da Informação.
    • Políticas. A gestão revisa e apoia todas as políticas relacionadas à segurança para garantir a segurança, disponibilidade, integridade e confidencialidade dos Dados Pessoais do Cliente. Essas políticas são atualizadas pelo menos uma vez por ano.
    • Avaliações. Slide Craft Technologies Pvt Ltd contrata um terceiro independente e de boa reputação para realizar avaliações de risco de todos os sistemas que contêm Dados Pessoais do Cliente, pelo menos uma vez por ano.
    • Tratamento de Riscos. Slide Craft Technologies Pvt Ltd mantém um programa formal e eficaz de tratamento de riscos que inclui testes de penetração, gestão de vulnerabilidades e gestão de patches para identificar e proteger contra potenciais ameaças à segurança, integridade ou confidencialidade dos Dados Pessoais do Cliente.
    • Gestão de Fornecedores. Slide Craft Technologies Pvt Ltd A empresa mantém um programa eficaz de gestão de fornecedores
    • Gestão de Incidentes. Slide Craft Technologies Pvt Ltd A empresa revê incidentes de segurança regularmente, incluindo a determinação eficaz da causa raiz e a ação corretiva.
    • Normas. Slide Craft Technologies Pvt Ltd A empresa opera um sistema de gestão de segurança da informação que cumpre os requisitos da norma ISO/IEC 27001:2022.
  • Segurança do Pessoal.
    • Slide Craft Technologies Pvt Ltd O pessoal da empresa é obrigado a comportar-se de forma consistente com as diretrizes da empresa relativas a confidencialidade, ética empresarial, uso apropriado e padrões profissionais. Slide Craft Technologies Pvt Ltd A empresa realiza verificações de antecedentes razoavelmente apropriadas em quaisquer funcionários que terão acesso a dados de clientes sob este Acordo, incluindo em relação ao histórico de emprego e registos criminais, na medida legalmente permitida e de acordo com a legislação laboral local aplicável, prática habitual e regulamentos estatutários.
    • O pessoal é obrigado a assinar um acordo de confidencialidade por escrito no momento da contratação e a proteger os Dados Pessoais do Cliente em todos os momentos. O pessoal deve reconhecer o recebimento e o cumprimento de, Slide Craft Technologies Pvt Ltdpolíticas de confidencialidade, privacidade e segurança da empresa. O pessoal recebe formação em privacidade e segurança sobre como implementar e cumprir o Programa de Segurança da Informação. O pessoal que lida com Dados Pessoais do Cliente é obrigado a cumprir requisitos adicionais apropriados ao seu papel (por exemplo, certificações). Slide Craft Technologies Pvt Ltd O pessoal da empresa não processará Dados Pessoais do Cliente sem autorização.
  • Controlos de Acesso
    • Gestão de Acesso. Slide Craft Technologies Pvt Ltd mantém um processo formal de gestão de acesso para a solicitação, revisão, aprovação e provisionamento de todo o pessoal com acesso a Dados Pessoais do Cliente, a fim de limitar o acesso a Dados Pessoais do Cliente e a sistemas que armazenam, acedem ou transmitem Dados Pessoais do Cliente a pessoas devidamente autorizadas que necessitem de tal acesso. As revisões de acesso são realizadas periodicamente para garantir que apenas o pessoal com acesso a Dados Pessoais do Cliente ainda o necessita.
    • Pessoal de Segurança da Infraestrutura. Slide Craft Technologies Pvt Ltd tem e mantém uma política de segurança para o seu pessoal, e exige formação em segurança como parte do pacote de formação para o seu pessoal. Slide Craft Technologies Pvt LtdO pessoal de segurança da infraestrutura da empresa é responsável pela monitorização contínua de Slide Craft Technologies Pvt Ltd da sua infraestrutura de segurança, a revisão dos Serviços e para responder a incidentes de segurança.
    • Controlo de Acesso e Gestão de Privilégios. Slide Craft Technologies Pvt LtdOs administradores da empresa e do Cliente e os utilizadores finais devem autenticar-se através de um sistema de autenticação multifator ou de um sistema de início de sessão único para utilizar os Serviços
    • Processos e Políticas Internas de Acesso a Dados – Política de Acesso. Slide Craft Technologies Pvt Ltdseus processos e políticas internas de acesso a dados são projetados para proteger contra acesso, uso, divulgação, alteração ou destruição não autorizados de Dados Pessoais do Cliente. Slide Craft Technologies Pvt Ltd projeta seus sistemas para permitir que apenas pessoas autorizadas acessem os dados que lhes são permitidos, com base nos princípios de “privilégio mínimo” e “necessidade de saber”, e para evitar que outros que não deveriam ter acesso o obtenham. Slide Craft Technologies Pvt Ltd exige o uso de IDs de usuário únicos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar o potencial de uso não autorizado de contas. A concessão ou modificação de direitos de acesso é baseada em: responsabilidades de trabalho do pessoal autorizado; requisitos de função necessários para executar tarefas autorizadas; uma base de necessidade de conhecimento; e deve estar em conformidade com Slide Craft Technologies Pvt Ltd suas políticas internas de acesso a dados e treinamento. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso aos sistemas é registrado para criar um rastro de auditoria para prestação de contas. Onde senhas são usadas para autenticação (por exemplo, login em estações de trabalho), as políticas de senha seguem as práticas padrão da indústria. Esses padrões incluem complexidade de senha, expiração de senha, bloqueio de senha, restrições de reutilização de senha e nova solicitação de senha após um período de inatividade.
  • Segurança de Data Center e Rede
    • Data Centers.
      • Infraestrutura. Slide Craft Technologies Pvt Ltd tem a AWS como seu data center.
      • Resiliência. Múltiplas Zonas de Disponibilidade estão ativadas na AWS e Slide Craft Technologies Pvt Ltd realiza Testes de Restauração de Backup regularmente para garantir a resiliência.
      • Sistemas Operacionais de Servidor. Slide Craft Technologies Pvt Ltd os servidores são personalizados para o ambiente da aplicação e foram reforçados para a segurança dos Serviços. Slide Craft Technologies Pvt Ltd emprega um processo de revisão de código para aumentar a segurança do código usado para fornecer os Serviços e aprimorar os produtos de segurança em ambientes de produção.
      • Recuperação de Desastres. Slide Craft Technologies Pvt Ltd replica dados em vários sistemas para ajudar a proteger contra destruição ou perda acidental. Slide Craft Technologies Pvt Ltd projetou e planeja e testa regularmente seus programas de recuperação de desastres.
      • Logs de Segurança. Slide Craft Technologies Pvt Ltd ’s sistemas têm o registro de eventos ativado em suas respectivas instalações de log do sistema para apoiar as auditorias de segurança e monitorar e detectar ataques reais e tentados, ou intrusões em, Slide Craft Technologies Pvt Ltd ’s sistemas.
      • Gestão de Vulnerabilidades. Slide Craft Technologies Pvt Ltd realiza varreduras regulares de vulnerabilidade em todos os componentes de infraestrutura de seus ambientes de produção e desenvolvimento. As vulnerabilidades são corrigidas com base no risco, com patches de segurança Críticos, Altos e Médios para todos os componentes instalados assim que comercialmente viável.
  • Redes e Transmissão.
    • Transmissão de Dados. As transmissões no ambiente de produção são realizadas através de protocolos padrão da Internet.
    • Superfície de Ataque Externa. O AWS Security Group, que é equivalente a um firewall virtual, está implementado para o ambiente de Produção na AWS.
    • Resposta a Incidentes. Slide Craft Technologies Pvt Ltd mantém políticas e procedimentos de gerenciamento de incidentes, incluindo procedimentos detalhados de escalonamento de incidentes de segurança. Slide Craft Technologies Pvt Ltd monitora uma variedade de canais de comunicação para incidentes de segurança, e Slide Craft Technologies Pvt Ltdo pessoal de segurança reagirá prontamente a incidentes suspeitos ou conhecidos, mitigará os efeitos prejudiciais de tais incidentes de segurança e documentará tais incidentes de segurança e seus resultados.
    • Tecnologias de Criptografia. Slide Craft Technologies Pvt Ltd disponibiliza criptografia HTTPS (também referida como SSL ou TLS) para dados em trânsito.
  • Armazenamento, Isolamento, Autenticação e Destruição de Dados. Slide Craft Technologies Pvt Ltd armazena dados em um ambiente multi-inquilino em servidores AWS. Os dados, o banco de dados dos Serviços e a arquitetura do sistema de arquivos são replicados entre múltiplas zonas de disponibilidade na AWS. Slide Craft Technologies Pvt Ltd isola logicamente os dados de diferentes clientes. Um sistema central de autenticação é utilizado em todos os Serviços para aumentar a segurança uniforme dos dados. Slide Craft Technologies Pvt Ltd garante o descarte seguro dos Dados do Cliente através do uso de uma série de processos de destruição de dados.

ANEXO III

LISTA DE SUB-PROCESSADORES

O controlador autorizou o uso dos seguintes sub-processadores:

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA