Ir para o conteúdo principal

Acordo de Processamento de Dados - Metal

Este Contrato de Processamento de Dados ("DPA") complementa e faz parte do contrato de serviços entre o Cliente e a Equinix que rege o uso do Equinix Metal pelo Cliente (o "Contrato"), na medida em que as Leis de Proteção de Dados se aplicam ao Processamento de Dados Pessoais do Cliente pela Equinix.

O Cliente é responsável por remover todos os Dados do Cliente do(s) servidor(es) Equinix Metal até o término do Contrato. Se os Dados do Cliente não forem removidos do(s) servidor(es) Equinix Metal pelo Cliente, a Equinix os excluirá como parte de suas atividades de desprovisionamento. Se o desprovisionamento do(s) servidor(es) Equinix Metal pela Equinix resultar na exclusão de Dados Pessoais do Cliente, tal ação poderá ser considerada um ato de Processamento.

Dessa forma, as Partes concordaram e firmaram este DPA para reger essa atividade de Processamento.

1. DEFINIÇÕES

Quaisquer termos em maiúsculas não definidos abaixo terão o significado que lhes é atribuído no Contrato.

1.1 “Controlador” significa a entidade que determina as finalidades e os meios do Processamento de Dados Pessoais.

1.2 "Dados do Cliente" significa todos os dados carregados, armazenados, recebidos, recuperados, transmitidos ou de outra forma processados ​​pelo Cliente como parte de seu uso do Equinix Metal.

1.3 “Dados Pessoais do Cliente” significa todos os Dados Pessoais que fazem parte dos Dados do Cliente.

1.4 "Leis de Proteção de Dados" significa todas as leis na jurisdição apropriada, incluindo o Estado da Califórnia, a União Europeia, o Espaço Econômico Europeu e/ou seus estados-membros, a Suíça e/ou o Reino Unido que regulam o Processamento de Dados Pessoais que são aplicáveis ​​ao Processamento de Dados Pessoais do Cliente pela Equinix em conexão com os Serviços Digitais.

1.5 "Equinix Metal" significa os Serviços Digitais que compreendem o fornecimento de servidores bare metal (conhecidos como Equinix Metal), fornecidos sob demanda ou como parte de uma assinatura, pela Equinix sob o Contrato.

1.6 “Dados Pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável e cuja coleta, uso, divulgação, armazenamento ou outro processamento seja regulado pelas Leis de Proteção de Dados.

1.7 "Violação de Dados Pessoais" significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente transmitidos, armazenados ou de outra forma Processados.

1.8 "Processamento", "Processado", "Processar" significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais, como acesso, coleta, registro, organização, armazenamento, recuperação, consulta, uso e conforme este termo possa ser definido posteriormente pelas Leis de Proteção de Dados.

1.9 “Processador” significa a entidade que processa Dados Pessoais em nome do Controlador.

1.10 "Modelo de Responsabilidade Compartilhada" significa a divisão de responsabilidade entre um Cliente e a Equinix para vários serviços da Equinix, que podem ser consultados em: Modelo de Responsabilidade Compartilhada

2. PROCESSAMENTO DE DADOS

2.1 Se a Equinix Processar Dados Pessoais em decorrência da desprovisionamento do Equinix Metal, o Cliente atuará como Controlador e a Equinix como Processadora, e este DPA será aplicável. As Partes cumprirão suas respectivas obrigações sob as Leis de Proteção de Dados. O escopo e a natureza do Processamento de Dados Pessoais do Cliente pela Equinix estão definidos no Anexo 1 deste DPA.

2.2 Na medida em que o Cliente não utilize os controles disponíveis para remover Dados do Cliente de um servidor Equinix Metal antes do vencimento ou término de um Pedido aplicável, o Cliente, como Controlador, instrui a Equinix, como Processadora, a remover todos os Dados do Cliente, incluindo Dados Pessoais do Cliente, do Equinix Metal após o vencimento ou término do Pedido aplicável, de acordo com a Seção 5.1 deste DPA. O Cliente deverá tomar todas as medidas necessárias para garantir que os Dados Pessoais do Cliente sejam legalmente disponibilizados e processados ​​pela Equinix para os fins instruídos pelo Cliente nos termos deste DPA.

2.3 A Equinix processará apenas os Dados Pessoais do Cliente estabelecidos na Seção 2.2 deste DPA, que constituem as instruções completas por escrito do Cliente para a Equinix sobre o Processamento de Dados Pessoais do Cliente.

2.4 Como Controlador, o Cliente é responsável por informar os titulares dos dados sobre o Processamento de Dados Pessoais do Cliente e por responder às solicitações para exercer os direitos dos titulares dos dados sob as Leis de Proteção de Dados. O Cliente reconhece ainda que a Equinix configurou o Equinix Metal e implementou medidas técnicas e organizacionais apropriadas que são projetadas para permitir que o Cliente acesso, modifique e exclua Dados do Cliente sem assistência adicional da Equinix, e que impedem a Equinix de acessar, modificar ou excluir Dados do Cliente durante o prazo de um Pedido. Considerando o exposto acima, bem como a natureza do Processamento e a extensão limitada do Processamento de Dados Pessoais do Cliente pela Equinix, a Equinix não pode fornecer ao Cliente qualquer assistência adicional razoavelmente necessária para permitir que o Cliente cumpra com os direitos dos titulares dos dados.

2.5 A Equinix não utiliza subprocessadores para o Processamento aqui descrito. Caso essa situação mude, a Equinix notificará o Cliente.

3. SEGURANÇA

3.1 Considerando o de última geração, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco, com probabilidade e gravidade variáveis, para os direitos e liberdades das pessoas físicas, a Equinix tomará as medidas de segurança técnicas e organizacionais Equinix que, a seu exclusivo critério, considerar razoavelmente necessárias para proteger a infraestrutura Equinix Metal e o ambiente físico em que está localizada. Os controles de segurança da Equinix na data do DPA estão descritos no Anexo 2.

3.2 O Cliente é responsável por desenvolver, implementar, manter e empregar salvaguardas administrativas e técnicas apropriadas que, a critério exclusivo do Cliente, sejam razoavelmente e apropriadamente projetadas para proteger a segurança dos Dados do Cliente, incluindo, sem limitação: (i) criptografar os Dados do Cliente armazenados e processados ​​no Equinix Metal; (ii) utilizar detecção e monitoramento de intrusão, firewalls e software de proteção antivírus; e outras medidas de segurança relacionadas consistente com os padrões atuais do setor; (iii) fazer backup e armazenar regularmente backups dos Dados do Cliente; (iv) implementar medidas de remediação apropriadas para mitigar perda, interrupção, exclusão, corrupção ou modificação dos Dados do Cliente; e (v) remover os Dados do Cliente do Equinix Metal antes do vencimento ou rescisão de um Pedido.

3.3 A Equinix notificará o Cliente sem demora injustificada ao tomar conhecimento de qualquer Violação de Dados Pessoais. Na medida em que as informações estiverem disponíveis para a Equinix, fornecerá ao Cliente informações sobre a natureza e as prováveis ​​consequências da Violação de Dados Pessoais, as medidas que foram ou serão tomadas para lidar com a Violação de Dados Pessoais e quaisquer outras informações que o Cliente exija de acordo com as Leis de Proteção de Dados.

3.4 A Equinix garantirá que as pessoas autorizadas por ela a processar Dados Pessoais do Cliente como parte do Equinix Metal tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada.

3.5 As Partes concordam que seu Processamento de Dados Pessoais do Cliente, incluindo suas respectivas obrigações de implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos Dados Pessoais do Cliente, deverá estar sempre alinhado com o Modelo de Responsabilidade Compartilhada da Equinix, conforme se aplica à Equinix Metal.

4. AUDITORIAS

4.1 Programa de Auditoria da Equinix. A Equinix utiliza auditores externos para verificar a adequação de suas medidas de segurança em relação ao processamento de Dados Pessoais do Cliente. Essas auditorias são realizadas pelo menos uma vez por ano, às custas da Equinix, por profissionais de segurança terceirizados e independentes, selecionados pela Equinix, e resultam na geração de um resumo confidencial da auditoria ("Relatório de Auditoria"). A Equinix disponibilizará ao Cliente o Relatório de Auditoria e todas as informações adicionais razoavelmente necessárias para demonstrar a conformidade da Equinix com suas obrigações estabelecidas neste DPA. Na medida em que o Cliente puder demonstrar que o Relatório de Auditoria não fornece informações suficientes para verificar a conformidade da Equinix com este Adendo, ou quando o Cliente for obrigado a providenciar uma auditoria adicional por qualquer autoridade supervisora, as partes deverão acordar mutuamente um plano e escopo de auditoria.

5. DEVOLUÇÃO OU EXCLUSÃO DE CONTEÚDO DO CLIENTE

5.1 A Equinix fornecerá ao Cliente as ferramentas técnicas adequadas que permitirão ao Cliente excluir ou recuperar quaisquer Dados Pessoais do Cliente armazenados no Equinix Metal. O Cliente removerá todos os Dados do Cliente de acordo com a Seção 3.2. Antes de reutilizar os servidores Equinix Metal para outro cliente, a Equinix tomará medidas para desprovisionar os servidores Equinix Metal, o que limpará o hardware e o retornará a um estado conhecido, além de higienizar a mídia de armazenamento, o que resultará na eliminação de todos os dados que permaneceram anteriormente nos servidores Equinix Metal . No entanto, para evitar dúvidas, a Equinix não se responsabiliza pela falha do Cliente em apagar ou remover os Dados do Cliente do Equinix Metal.

6. TRANSFERÊNCIAS INTERNACIONAIS

6.1 No Processamento previsto pela desprovisionamento de um servidor Equinix Metal, as Partes reconhecem e concordam que não haverá qualquer forma de transferência internacional de quaisquer Dados Pessoais do Cliente. Caso as Partes concordem com a alteração desta posição, as Partes concordarão em firmar salvaguardas adicionais para tal transferência, conforme exigido pela legislação aplicável, como o módulo apropriado das Cláusulas Contratuais Padrão da UE.

7. PEDIDOS DE INFORMAÇÕES

7.1 A Equinix deverá, mediante solicitar e levando em consideração a natureza do Processamento e as informações disponíveis à Equinix, auxiliar o Cliente a garantir a conformidade com suas obrigações em relação à proteção de dados ou avaliações de impacto à privacidade de acordo com as Leis de Proteção de Dados.

8. DIVERSOS

8.1 Sujeito à Seção 8.2, quaisquer alterações a este DPA serão acordadas pelas Partes por escrito.

8.2 A Equinix pode, mediante notificação, fazer qualquer alteração a este DPA que, em sua opinião razoável, seja necessária para garantir a conformidade contínua das partes com as Leis de Proteção de Dados.

8.3 Este DPA: (a) faz parte e é complementar aos termos do Contrato e (b) prevalece sobre quaisquer termos conflitantes do Contrato. Este DPA substitui quaisquer outros contratos firmados pela Equinix em sua capacidade de Processadora de Dados Pessoais do Cliente.

Anexo 1 do Contrato de Processamento de Dados

TierTier NameProduct examplesProcessing activityEquinix RoleCustomer RoleCategories of Personal DataFrequency of Transfer
Tier 1Co-location Bare Metal as a Service [BMaaS]IBX Equinix MetalStandard hard disk erasure on the ServerData ProcessorData ControllerAs determined by customerAs determined by customer

Anexo 2: Medidas técnicas e organizacionais

Descrição das medidas técnicas e organizacionais implementadas pela Equinix Metal (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas.

  1. Medidas de pseudonimização e criptografia de dados pessoais

Com relação à atividade de processamento realizada pela Equinix, isso não é relevante porque a atividade de processamento envolve a remoção de quaisquer dados, inclusive dados pessoais, do servidor Equinix Metal.

No contexto do Equinix Metal, as medidas de pseudonimização e criptografia de dados pessoais continuam sendo responsabilidade do cliente, pois a Equinix não pode executar essas medidas no escopo do Equinix Metal.

  1. Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento

Com relação ao processamento realizado pela Equinix, o Equinix Metal instiga uma operação baseada em software que limpa o servidor do Equinix Metal, o que não liberará nenhum dado remanescente no servidor do Equinix Metal, mas removerá os dados conforme descrito no parágrafo 7 abaixo.

  1. Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnico

Em relação ao processamento realizado pela Equinix, a intenção é excluir e remover quaisquer Dados do Cliente residuais do servidor Equinix Metal, incluindo quaisquer Dados Pessoais do Cliente, e, consequentemente, não haverá capacidade de restaurar e acesso os Dados do Cliente após o início da atividade de processamento da Equinix. A criação de uma arquitetura de TI com resiliência e replicação adequada continua sendo responsabilidade do Cliente. Os servidores Equinix Metal não são vendidos em arquitetura redundante .

A Equinix mantém uma página pública de status para o Equinix Metal, localizada emhttps://status.equinixmetal.com/ A Equinix tem como objetivo comunicar interrupções do sistema ou incidentes de degradação de serviço de forma rápida e eficaz aos seus clientes. A empresa notifica todos os clientes afetados por uma violação de segurança.

  1. Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento

A Equinix avalia regularmente a plataforma Equinix Metal por meio de auditorias de conformidade, por exemplo, SOC-2 ou ISO 27001. Essas auditorias abrangem a avaliação dos processos e do código usados para manter uma postura segura em relação aos controles especificados em cada auditoria.

Em relação ao Equinix Metal, a varredura de vulnerabilidades é realizada em todos os níveis dos produtos Equinix . Para reduzir o risco à infraestrutura Equinix e complementar as práticas de segurança existentes, varreduras de vulnerabilidades de rotina são realizadas em todos os sistemas de infraestrutura crítica. Todos os problemas de segurança descobertos são mitigados em conformidade com a política de remediação da Equinix. Os níveis de risco são baseados na Metodologia de Classificação de Risco da OWASP.

A equipe interna de Segurança de Produtos da Equinix realiza testes de penetração em cada um de seus produtos anualmente. Além disso, a Equinix Metal contrata um fornecedor externo para identificar vulnerabilidades exploráveis ​​por meio de testes de penetração em seus aplicativos web, APIs e serviços de backbone de rede usados ​​para operar os produtos Equinix Metal . Testes de penetração externos de terceiros são realizados anualmente.

  1. Medidas para identificação e autorização do usuário

O acesso aos serviços do Equinix Metal é gerenciado por meio de um componente de Identity and Access Management que suporta MFA para autenticação de usuários, bem como federação que permite que os clientes usem seu próprio IDP (provedor de identidade). Todos os registros de acesso são registrados com segurança e mantidos para solução de problemas e necessidades forenses. As senhas nunca são armazenadas em texto simples e são protegidas por meio de um mecanismo de hashing compatível com os padrões do setor.

  1. Medidas para a proteção de dados durante a transmissão

Com relação ao processamento realizado pela Equinix, a Equinix Metal não instigará nenhuma transferência de Dados do Cliente na Equinix Metal. O Cliente permanece responsável por garantir que medidas sejam implementadas para a proteção de quaisquer Dados do Cliente durante a transmissão.

  1. Medidas para a proteção de dados durante o armazenamento

A Equinix Metal utiliza software para fornecer aos clientes a capacidade de provisionar e desprovisionar seu hardware de forma segura. Quando ações físicas são necessárias para reparo e manutenção dos servidores que contêm os Dados do Cliente, diversas medidas são tomadas para rastrear as atividades e alça com os dados em segurança.

Antes de qualquer atividade do cliente ou dados do cliente serem armazenados nos servidores Equinix Metal, os servidores são processados em um estado em que as unidades e a memória são limpas de dados ou formatos armazenados anteriormente. Os clientes escolhem o sistema operacional a ser instalado e fornecem seus detalhes de configuração que serão aplicados pela Equinix e, em seguida, o Cliente recebe os meios para acessar seu servidor. O cliente é totalmente responsável por proteger seus dados armazenados no servidor.

Depois que o servidor for provisionado, a Equinix Metal não terá acesso nem se envolverá em atividades que acesso os Dados do Cliente. Se for necessário acesso físico a um dispositivo de armazenamento de dados em caso de falha ou atualização, a unidade removida será apagada antes de ser descartada ou reutilizada. Quando um servidor Equinix Metal é desprovisionado, o processo automatizado executa rotinas de destruição de dados nos dispositivos de armazenamento para remover todos os Dados do Cliente e tenta verificar se ainda existem Dados do Cliente após a destruição. Se algum desses processos de destruição automatizados falhar, o Cliente será notificado e o processo será executado novamente até que seja concluído ou seja realizada manutenção física para substituir e destruir o dispositivo com falha.

  1. Medidas para garantir a segurança física dos locais onde os dados pessoais são processados

A Equinix usa perímetros de segurança para proteger áreas que contêm informações críticas de clientes, instalações de processamento de informações ou outros pontos críticos de entrada de dados para seus sistemas. As áreas seguras são protegidas por controles de entrada apropriados, como portas com armadilhas, perímetros de gaiolas trancadas e dispositivos de acesso com cartão para garantir que somente o pessoal autorizado tenha permissão de acesso. A Equinix só fornece acesso e informações a funcionários ou prestadores de serviços que tenham uma necessidade comercial legítima para tais privilégios. Quaisquer visitantes que não sejam funcionários e que tenham acesso às instalações da Equinix são autorizados e acompanhados por um funcionário da Equinix. Os visitantes são claramente diferenciados dos funcionários usando um crachá de visitante e devem entregar sua identificação de visitante ao sair das instalações. Um registro de visitantes é mantido para registrar o acesso físico às instalações, bem como às salas de computadores e centros de dados onde os Dados do Cliente são armazenados ou transmitidos. Os registros são mantidos por um período mínimo de três meses. O acesso físico a tomadas de rede, pontos de acesso sem fio, gateways e dispositivos portáteis é restrito. Os pontos de acesso, como áreas de entrega e carregamento, e outros pontos em que pessoas não autorizadas podem entrar nas instalações são controlados e isolados para evitar o acesso não autorizado às instalações do data center. O subsistema de controle de acesso permite que usuários autorizados entrem no edifício e passem pelas várias portas da instalação. Leitores biométricos de geometria da mão ou de impressões digitais, cartões de proximidade e outras tecnologias permitem que os usuários se identifiquem no sistema e, mediante autenticação, obtenham acesso a áreas específicas.

  1. Medidas para garantir o registro de eventos

Todos os eventos de desprovisionamento são rastreados em nosso banco de dados e os registros são gerenciados e mantidos de acordo com as políticas da Equinix Metal.

Em geral, a Equinix usa um sistema global para monitorar a integridade dos servidores e da infraestrutura da empresa. Os alertas são gerados automaticamente e alimentados em um sistema de registro e alerta. Isso inclui registros de acesso, registros de processamento, bem como registros que indicam as operações dos serviços essenciais necessários para o funcionamento dos produtos. Os registros são armazenados de forma segura e o acesso é restrito a pessoas autorizadas.

  1. Medidas para garantir a configuração do sistema, incluindo a configuração padrão

A Equinix não é responsável por monitorar a integridade ou a disponibilidade do hardware implantado ou utilizado pelo Cliente nos data centers Equinix IBX . Em vez disso, a Equinix recomenda que os Clientes implementem mecanismos de monitoramento adequados e alertem a equipe da Equinix, por e-mail ou telefone de suporte, sobre qualquer problema relacionado ao hardware ou aos serviços de rede compartilhada. A Equinix trabalhará com o Cliente para resolver o problema.

  1. Medidas para TI interna e isso governança e gestão de segurança

O ambiente de produção utilizado para a prestação de serviços aos clientes da Equinix é separado do ambiente utilizado pelos funcionários da Equinix para a realização de suas operações diárias. O ambiente empresa para a realização das operações diárias é protegido pelos seguintes mecanismos.

Fortalecimento: As diretrizes e os padrões de proteção da Equinix são documentados e executados durante as compilações do sistema.

Acesso remoto VPN: quando os funcionários da Equinix Metal acessam remotamente as redes ou sistemas corporativos da Equinix Metal, eles devem usar soluções de acesso remoto e VPN fornecidas pela empresa e a autenticação de dois fatores é necessária.

  1. Medidas para certificação/garantia de processos e produtos

O processo de desprovisionamento segue as diretrizes do NIST 800-53 e esses processos são auditados regularmente.

A Equinix mantém certificações e atestados de segurança (SOC2, ISO 27001 e CSA). O status dessas certificações é listado e atualizado regularmente. Auditores externos terceirizados são contratados para realizar avaliações e auditorias anuais a fim de validar a postura de segurança. A avaliação CSA Star Nível 1 da Equinix está disponível publicamente no site da Cloud Security Alliance, e nosso certificado ISO 27001 e o resumo do relatório de avaliação SOC2 Tipo 2 podem ser solicitados à Equinix mediante acordo de confidencialidade (NDA). A lista de certificações obtidas para cada um de nossos data centers pode ser encontrada online em Certificações, Padrões e Conformidade IBX®.

  1. Medidas para garantir a minimização dos dados

Com relação ao processamento realizado pela Equinix, a Equinix Metal não poderá garantir a minimização de dados, pois o Cliente determina sozinho os Dados do Cliente colocados no servidor da Equinix Metal que seriam removidos como parte do processamento realizado pela Equinix.

  1. Medidas para garantir a retenção limitada de dados

Com relação ao processamento realizado pela Equinix, a Equinix Metal não reterá nenhum Dado do Cliente, e o Cliente será responsável por garantir que o Cliente retenha todos os Dados do Cliente necessários.

  1. Medidas para garantir a responsabilização

Com relação ao processamento realizado pela Equinix, a Equinix Metal não será responsável por determinar o acesso aos Dados do Cliente, e o Cliente será responsável pelas medidas para garantir a responsabilidade de quaisquer Dados do Cliente na Equinix Metal.

  1. Medidas para permitir a portabilidade de dados e garantir a exclusão

Com relação ao processamento realizado pela Equinix, a Equinix Metal não será capaz de suportar a portabilidade de dados e o Cliente permanece responsável por garantir que possa extrair quaisquer Dados do Cliente da Equinix Metal e transferi-los para sistemas alternativos.

Esta página foi útil?