Contrato de Processamento de Dados - Metal

Este Contrato de Processamento de Dados ("DPA") complementa e faz parte do contrato de serviços entre o Cliente e a Equinix que rege o uso do Equinix Metal pelo Cliente (o "Contrato"), na medida em que as Leis de Proteção de Dados se aplicam ao processamento de Dados Pessoais do Cliente pela Equinix.

O Cliente é responsável por remover todos os Dados do Cliente do(s) servidor(es) Equinix Metal no ou antes do final do prazo do Contrato. Se os Dados do Cliente não forem removidos do(s) servidor(es) Equinix Metal pelo Cliente, a Equinix excluirá os Dados do Cliente como parte de suas atividades de desprovisionamento. Se o desprovisionamento da Equinix do(s) Equinix Metal server(s) resultar na exclusão de Dados Pessoais do Cliente, tal ação poderá ser considerada um ato de processamento.

Consequentemente, as Partes concordaram e firmaram este DPA para reger tal atividade de processamento.

1. DEFINIÇÕES

Os termos não definidos neste documento terão o significado atribuído a eles no Acordo.

Controlador de Dados Pessoais" significa a entidade que determina as finalidades e os meios de processamento de Dados Pessoais 1,1 ".

Dados do Cliente 1,2 "" significa todos os dados carregados, armazenados, recebidos, recuperados, transmitidos por meio de ou processado de outra forma pelo Cliente como parte do uso do Equinix Metal.

Dados Pessoais do Cliente 1,3 "" significa todos os Dados Pessoais que fazem parte dos Dados do Cliente.

Leis de Proteção de Dados" significa todas as leis na jurisdição apropriada, incluindo o Estado da Califórnia, a União Europeia, o Espaço Econômico Europeu e/ou seus estados membros, a Suíça e/ou o Reino Unido que regulam o Processamento de Dados Pessoais que são aplicáveis ao Processamento de Dados Pessoais do Cliente pela 1,4 " em conexão com os Serviços Digitais.

1,5 " Metal" significa os Serviços Digitais que compreendem o fornecimento de servidores bare metal (conhecidos como Equinix Metal), fornecidos sob demanda ou como parte de uma assinatura, pela Equinix nos termos do Contrato.

Dados Pessoais da 1,6 "" significa qualquer informação relacionada a uma pessoa física identificada ou identificável e cuja coleta, uso, divulgação, armazenamento ou processamento seja regulado pelas Leis de Proteção de Dados.

"Violação de Dados Pessoais" significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a 1,7 ", dados pessoais do cliente transmitidos, armazenados ou processados de outra forma.

Processamento de Dados Pessoais", "Processado", "Processo" significa qualquer operação ou conjunto de operações realizadas com Dados Pessoais, como acesso, coleta, registro, organização, processamento, processamento, processamento, processamento e processamento de Dados Pessoais 1,8 ". armazenamento, recuperação, consulta, uso e conforme este termo pode ser definido de acordo com as Leis de Proteção de Dados.

Processador 1,9 "" significa a entidade que processa Dados Pessoais em nome do Controlador.

Modelo de Responsabilidade Compartilhada 1,10 "" significa a divisão de responsabilidade entre um Cliente e a Equinix para vários serviços Equinix que podem ser analisados em: Modelo de Responsabilidade Compartilhada

2. PROCESSAMENTO DE DADOS

2,1 Se a Equinix processar Dados Pessoais como resultado do desprovisionamento da Equinix Metal, o Cliente atuará como Controlador e a Equinix atuará como Processador, e este DPA será aplicável. As Partes cumprirão suas respetivas obrigações sob as Leis de Proteção de Dados. O escopo e a natureza do processamento de Dados Pessoais do Cliente pela Equinix estão definidos no Anexo 1 deste DPA.

2,2 Na medida em que o Cliente não usar os controles disponíveis para remover os Dados do Cliente de um Equinix Metal server antes da expiração ou rescisão de um Pedido aplicável, o Cliente, como Controlador, instrui a Equinix, como Processador, a remover todos os Dados do Cliente, incluindo Dados Pessoais do Cliente, da Equinix Metal após a expiração ou rescisão do Pedido aplicável de acordo com a Seção 5,1 deste DPA. O Cliente tomará todas as medidas necessárias para garantir que os Dados Pessoais do Cliente sejam legalmente disponibilizados e processados pela Equinix para os fins instruídos pelo Cliente nos termos deste DPA.

2,3 A Equinix processará apenas os Dados Pessoais do Cliente estabelecidos na Seção 2,2 deste DPA, que formam as instruções completas por escrito do Cliente para a Equinix em relação ao processamento de Dados Pessoais do Cliente.

2,4 Como Controlador, o Cliente é responsável por informar os titulares dos dados sobre o processamento de Dados Pessoais do Cliente e por responder a solicitações para exercer os direitos dos titulares dos dados de acordo com as Leis de Proteção de Dados. O Cliente reconhece ainda que a Equinix configurou o Equinix Metal e implementou medidas técnicas e organizacionais apropriadas que são projetadas para permitir que o Cliente acesse, modifique e exclua Dados do Cliente sem assistência adicional da Equinix e que impedem que a Equinix acesse, modifique ou exclua Dados do Cliente durante a vigência de um Pedido. Dado o exposto acima, bem como a natureza do processamento e a extensão limitada do processamento de Dados Pessoais do Cliente pela Equinix, a Equinix não pode fornecer ao Cliente qualquer assistência adicional razoavelmente necessária para permitir que o Cliente cumpra os direitos do titular dos dados.

2,5 A Equinix não usa subprocessadores para o processamento descrito aqui. Se essa posição mudar, a Equinix notificará o Cliente.

3. SEGURANÇA

3,1 Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, a Equinix tomará medidas de segurança técnicas e organizacionais apropriadas que a Equinix, a seu exclusivo critério, considere razoavelmente necessárias para proteger a infraestrutura Equinix Metal e o ambiente físico no qual está localizada. Os controles de segurança da Equinix na data do DPA estão descritos no Anexo 2.

3,2 O Cliente é responsável por desenvolver, implementar, manter e empregar proteções administrativas e técnicas apropriadas que, a critério exclusivo do Cliente, sejam razoavelmente e adequadamente projetadas para proteger a segurança dos Dados do Cliente, incluindo, sem limitação: (i) criptografar os Dados do Cliente que são armazenados e processados no Equinix Metal; (ii) utilizar deteção e monitoramento de intrusão, firewalls e software de proteção antivírus; e outras medidas de segurança relacionadas consistentes com os padrões do setor em vigor na época; (iii) armazenar regularmente os dados do Cliente; (iv) implementar medidas de correção apropriadas para mitigar perda, interrupção, exclusão, corrupção ou modificação dos Dados do Cliente; e (v) remover os Dados do Cliente da Equinix Metal antes do vencimento ou rescisão de um pedido.

3,3 A Equinix notificará o Cliente sem demora indevida ao tomar conhecimento de qualquer Violação de Dados Pessoais. Na medida em que as informações estiverem disponíveis para a Equinix, forneça ao Cliente informações sobre a natureza e a provável consequência das medidas de Violação de Dados Pessoais que foram ou serão tomadas para resolver a Violação de Dados Pessoais, e quaisquer outras informações que o Cliente exija de acordo com as Leis de Proteção de Dados.

3,4 A Equinix garantirá que as pessoas autorizadas por ela a processar Dados Pessoais do Cliente como parte da Equinix Metal tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada.

3,5 As Partes concordam que seu processamento de Dados Pessoais do Cliente, incluindo suas respectivas obrigações de implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos Dados Pessoais do Cliente, deve estar sempre alinhado com o Modelo de Responsabilidade Compartilhada da Equinix, conforme se aplica à Equinix Metal.

4. AUDITORIAS

4,1 Programa de Auditoria da Equinix. A Equinix usa auditores externos para verificar a adequação de suas medidas de segurança com relação ao processamento de Dados Pessoais do Cliente. Tais auditorias são realizadas pelo menos uma vez por ano, às custas da Equinix, por profissionais independentes de segurança terceirizados selecionados pela Equinix e resultam na geração de um resumo confidencial da auditoria ("Relatório de Auditoria"). A Equinix disponibilizará ao Cliente o Relatório de Auditoria e todas as informações adicionais razoavelmente necessárias para demonstrar a conformidade da Equinix com suas obrigações estabelecidas neste DPA. Na medida em que o Cliente puder demonstrar que o Relatório de Auditoria não fornece informações suficientes para verificar a conformidade da Equinix com este Adendo, ou quando o Cliente for obrigado a organizar uma auditoria adicional por qualquer autoridade supervisora, as partes deverão concordar mutuamente com um plano e escopo de auditoria.

5. DEVOLUÇÃO OU ELIMINAÇÃO DO CONTEÚDO DO CLIENTE

5,1 A Equinix fornecerá ao Cliente as ferramentas técnicas apropriadas que permitirão ao Cliente excluir ou recuperar quaisquer Dados Pessoais do Cliente armazenados na Equinix Metal. O Cliente removerá todos os Dados do Cliente de acordo com a Seção 3,2. Antes de reutilizar os servidores Equinix Metal para outro cliente, a Equinix tomará medidas para desprovisionar os servidores Equinix Metal, que limpam o hardware e o devolvem a um estado conhecido e higienizam a mídia de armazenamento, o que resulta na exclusão de todos os dados que permaneceram anteriormente nos servidores Equinix Metal, mas para evitar dúvidas, a Equinix não aceita responsabilidade ou obrigação pela falha do Cliente em apagar ou remover os Dados do Cliente do Equinix Metal.

6. TRANSFERÊNCIAS INTERNACIONAIS

6,1 No processamento previsto pelo desprovisionamento de um servidor Equinix Metal, as Partes reconhecem e concordam que não haverá qualquer forma de transferência internacional de quaisquer Dados Pessoais do Cliente. Se as Partes concordarem que esta posição seja alterada, as partes concordarão em firmar salvaguardas adicionais para tal transferência, conforme exigido pela lei aplicável, como o módulo apropriado das Cláusulas Contratuais Padrão da UE.

7. PEDIDOS DE INFORMAÇÃO

7,1 A Equinix deverá, mediante solicitação e levando em consideração a natureza do processamento e as informações disponíveis para a Equinix, auxiliar o Cliente a garantir o cumprimento de suas obrigações em relação à proteção de dados ou avaliações de impactos na privacidade sob as Leis de Proteção de Dados.

8. DIVERSOS

8,1 Sujeito à Seção 8,2, quaisquer emendas a este DPA serão acordadas pelas Partes por escrito.

8,2 A Equinix pode, mediante notificação, fazer qualquer alteração a este DPA que, em sua opinião razoável, seja necessária para garantir a conformidade contínua das partes com as Leis de Proteção de Dados.

8,3 Este DPA: (A) faz parte e é complementar aos termos do Contrato e (b) prevalece sobre quaisquer termos conflitantes do Contrato. Este DPA substitui quaisquer outros acordos celebrados pela Equinix na sua qualidade de Processador de Dados Pessoais do Cliente.

Anexo 1 do Contrato de Processamento de Dados

Camada	Nome da camada	Exemplos de produtos	Processando atividade	Função na Equinix	Função do cliente	Categorias de Dados Pessoais	Frequência de transferência
Tier 1	Co-localização Bare Metal as a Service [BMaaS]	IBX Equinix Metal	Eliminação padrão do disco rígido no servidor	Processador de dados	Controlador de dados	Conforme determinado pelo cliente	Conforme determinado pelo cliente

Cronograma 2: Medidas técnicas e organizacionais

Descrição das medidas técnicas e organizacionais implementadas pela Equinix Metal (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento e os riscos para os direitos e liberdades das pessoas físicas.

1. Medidas de pseudonimização e criptografia de dados pessoais

   Em relação à atividade de processamento realizada pela Equinix, isso não é relevante porque a atividade de processamento envolve a remoção de quaisquer dados, incluindo dados pessoais, do Equinix Metal server.

   No contexto do Equinix Metal, as medidas de pseudonimização e criptografia de dados pessoais continuam sendo responsabilidade do cliente, pois a Equinix não pode realizar essas medidas no escopo do Equinix Metal.

2. Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento

   Em relação ao processamento realizado pela Equinix, a Equinix Metal instiga uma operação baseada em software que limpa o Equinix Metal server, que não liberará nenhum dado restante no Equinix Metal server, mas removerá os dados conforme descrito no parágrafo 7 abaixo.

3. Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico

   Em relação ao processamento realizado pela Equinix, a intenção é excluir e remover quaisquer Dados residuais do Cliente do Equinix Metal server, incluindo quaisquer Dados Pessoais do Cliente, e, consequentemente, não haverá capacidade de restaurar e acessar os Dados do Cliente uma vez iniciada a atividade de processamento da Equinix. Projetar uma arquitetura DE TI com resiliência e replicação apropriada continua sendo responsabilidade do Cliente. Os servidores Equinix Metal não são vendidos em uma arquitetura redundante.

   A Equinix mantém uma página de status pública para a Equinix Metal localizada em https://status.equinixmetal.com/ para comunicar interrupções do sistema ou incidentes de degradação de serviço de forma rápida e eficaz aos seus clientes. A Equinix notifica qualquer Cliente afetado por uma violação de segurança.

4. Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento

   A Equinix avalia regularmente a Equinix Metal Platform por meio de auditorias de conformidade, por exemplo, SOC-2 ou ISO 27001. Essas auditorias abrangem a avaliação dos processos e do código usados para manter uma postura segura em relação aos controles especificados em cada auditoria.

   Em relação ao Equinix Metal, a verificação de vulnerabilidades é realizada em todos os níveis para os produtos Equinix. Para reduzir o risco para a infraestrutura da Equinix e complementar as práticas de segurança existentes, verificações de vulnerabilidade de rotina são realizadas em todos os sistemas de infraestrutura crítica. Todos os problemas de segurança descobertos são mitigados em conformidade com a política de remediação da Equinix. Os níveis de risco são baseados na metodologia de classificação de risco OWASP.

   A equipe interna de Segurança de Produtos da Equinix realiza testes de penetração em cada um de seus produtos anualmente. Além disso, a Equinix Metal contrata um fornecedor externo para identificar vulnerabilidades exploráveis por meio de testes de penetração em suas aplicações voltadas para a web, APIs e serviços de backbone de rede usados para operar os produtos Equinix Metal. Testes de penetração externa de terceiros são realizados anualmente.

5. Medidas de identificação e autorização do usuário

   O acesso aos Equinix Metal Services é gerenciado por meio de um componente de Identity and Access Management que suporta MFA para autenticação de usuários, bem como federação que permite que os clientes usem seu próprio IdP (Identity Provider). Todos os logs de acesso são registrados com segurança e retidos para solução de problemas e necessidades forenses. As senhas nunca são armazenadas em texto simples e são protegidas usando um mecanismo de hash compatível com os padrões do setor.

6. Medidas para a proteção de dados durante a transmissão

   Em relação ao processamento realizado pela Equinix, a Equinix Metal não instigará nenhuma transferência de Dados do Cliente no Equinix Metal. O Cliente permanece responsável por garantir que as medidas sejam implementadas na proteção de quaisquer Dados do Cliente durante a transmissão.

7. Medidas para a proteção de dados durante o armazenamento

   A Equinix Metal usa software para fornecer aos clientes a capacidade de provisionar e desprovisionar seu hardware de forma segura. Quando ações físicas são necessárias para reparo e manutenção dos servidores que contêm os Dados do Cliente, várias etapas são tomadas para rastrear as atividades e lidar com os dados com segurança.

   Antes que qualquer atividade do Cliente ou Dados do Cliente sejam armazenados nos servidores Equinix Metal, os servidores são processados em um estado em que os drives e a memória são limpos de dados ou formatos armazenados anteriormente. Os Clientes escolhem qual sistema operacional instalar e fornecem seus detalhes de configuração que serão aplicados pela Equinix e, em seguida, o Cliente recebe os meios para acessar seu servidor. O Cliente é totalmente responsável por proteger seus dados armazenados no servidor.

   Uma vez que o servidor é provisionado, a Equinix Metal não tem acesso nem se envolve em atividades que acessariam os Dados do Cliente. Se for necessário acesso físico a um dispositivo de armazenamento de dados em caso de falha ou atualização, a unidade removida será limpa antes de descartá-la ou reutilizá-la. Quando um servidor Equinix Metal é desprovisionado, o processo automatizado executa rotinas de destruição de dados nos dispositivos de armazenamento para remover todos os Dados do Cliente e tenta verificar se algum dado do Cliente ainda existe após a destruição. Se algum desses processos de destruição automatizada falhar, o Cliente será notificado e o processo será executado novamente até que a conclusão ou manutenção física seja realizada para substituir e destruir o dispositivo com defeito.

8. Medidas para garantir a segurança física dos locais em que os dados pessoais são processados

   A Equinix usa perímetros de segurança para proteger áreas que contêm informações críticas do Cliente, instalações de processamento de informações ou outros pontos críticos de entrada de dados para seus sistemas. As áreas seguras são protegidas por controles de entrada apropriados, como portas de segurança, perímetros de gaiola trancados e dispositivos de acesso a cartões, para garantir que somente pessoal autorizado tenha permissão de acesso. A Equinix só fornece acesso e informações a funcionários ou contratados que tenham uma necessidade comercial legítima para tais privilégios. Todos os visitantes não funcionários que tenham permissão para acessar as instalações da Equinix são autorizados e acompanhados por um funcionário da Equinix. Os visitantes são claramente distinguidos dos funcionários que usam um crachá de visitante e devem entregar sua identificação de visitante ao sair da instalação. Um registro de visitantes é mantido para registrar o acesso físico à instalação, bem como para salas de computadores e data centers onde os Dados do Cliente são armazenados ou transmitidos. Os registros são mantidos por um período mínimo de três meses. O acesso físico a tomadas de rede, pontos de acesso sem fio, gateways e dispositivos portáteis é restrito. Os pontos de acesso, como áreas de entrega e carregamento, e outros pontos onde pessoas não autorizadas podem entrar nas instalações são controlados e isolados para evitar o acesso não autorizado às instalações do data center. O subsistema de controle de acesso permite que usuários autorizados entrem no prédio e passem pelas várias portas dentro da instalação. Leitores biométricos de geometria manual ou de impressões digitais, cartões de proximidade e outras tecnologias permitem que os usuários se identifiquem com o sistema e, após a autenticação, obtenham acesso a áreas específicas.

9. Medidas para garantir o registro de eventos

   Todos os eventos de desprovisionamento são rastreados em nosso banco de dados e os registros são gerenciados e retidos de acordo com nossas políticas Equinix Metal.

   Geralmente, a Equinix usa um sistema global para monitorar a integridade dos servidores e da infraestrutura da empresa. Os alertas são gerados automaticamente e alimentados em um sistema de registro e alerta. Isso inclui registros de acesso, registros de processamento, bem como registros que indicam as operações dos serviços críticos necessários para que os produtos funcionem. Os logs são armazenados de forma segura e o acesso é restrito a pessoas autorizadas.

10. Medidas para garantir a configuração do sistema, incluindo a configuração padrão

    A Equinix não é responsável pelo monitoramento da integridade ou disponibilidade de hardware implantado ou usado pelo Cliente nos data centers IBX da Equinix. Em vez disso, a Equinix recomenda que os clientes implementem mecanismos de monitoramento apropriados e alertem a equipe da Equinix, por e-mail ou telefone de suporte, sobre qualquer problema relacionado a hardware ou serviços de rede compartilhada. A Equinix trabalhará com o Cliente para resolver o problema.

11. Medidas para governança e gerenciamento internos DE TI e segurança de TI

    O ambiente de produção usado para fornecer serviços aos clientes da Equinix é separado do ambiente usado pelos funcionários da Equinix para conduzir suas operações diárias. O ambiente corporativo para a realização de operações diárias é protegido usando os seguintes mecanismos.

    Fortalecimento: As diretrizes e padrões de fortalecimento da Equinix são documentados e realizados durante a construção do sistema.

    VPN de acesso remoto: Quando a equipe da Equinix Metal acessa remotamente as redes ou sistemas corporativos da Equinix Metal, ela precisa usar soluções de acesso remoto e VPN fornecidas pela empresa, e a autenticação de dois fatores é necessária.

12. Medidas para certificação/garantia de processos e produtos

    O processo de desprovisionamento segue as diretrizes do NIST 800-53 e esses processos são auditados regularmente.

    A Equinix mantém certificações e atestados de segurança (SOC2, ISO 27001 e CSA). O status destes é listado e atualizado regularmente. Auditores externos de terceiros são aproveitados para conduzir avaliações e auditorias anuais para validar a postura de segurança. A avaliação CSA Star Nível 1 da Equinix está disponível publicamente no site da Cloud Security Alliance e nosso certificado ISO 27001 e resumo do relatório de avaliação SOC2 Tipo 2 podem ser solicitados à Equinix sob NDA. A lista de certificações obtidas para cada um de nossos data centers pode ser encontrada on-line em IBX® Certificações, Padrões e Conformidade.

13. Medidas para garantir a minimização dos dados

    Em relação ao processamento realizado pela Equinix, a Equinix Metal não poderá garantir a minimização de dados, pois o Cliente determina sozinho os Dados do Cliente colocados no Equinix Metal server que seriam removidos como parte do processamento realizado pela Equinix.

14. Medidas para garantir a retenção limitada de dados

    Em relação ao processamento realizado pela Equinix, a Equinix Metal não reterá quaisquer Dados do Cliente, e o Cliente será responsável por garantir que o Cliente retenha quaisquer Dados do Cliente necessários.

15. Medidas para garantir a prestação de contas

    Em relação ao processamento realizado pela Equinix, a Equinix Metal não será responsável por determinar o acesso aos Dados do Cliente, e o Cliente será responsável por medidas para garantir a responsabilidade de quaisquer Dados do Cliente no Equinix Metal.

16. Medidas para permitir a portabilidade de dados e garantir a eliminação

    Em relação ao processamento realizado pela Equinix, a Equinix Metal não poderá suportar a portabilidade de dados e o Cliente permanece responsável por garantir que possa extrair quaisquer Dados do Cliente da Equinix Metal e transferi-los para sistemas alternativos.