Contrato de Processamento de Dados - Managed Solutions
Este Contrato de Processamento de Dados ("DPA") complementa e faz parte do contrato entre o Cliente e a Equinix ("Contrato") que rege o fornecimento das Managed Solutions ao Cliente ("Serviços"), na medida em que as Leis de Proteção de Dados se aplicam ao Processamento de Dados Pessoais do Cliente pela Equinix.
Dessa forma, as Partes concordaram e firmaram este DPA para reger essa atividade de Processamento.
Definições. Quaisquer termos em maiúsculas não definidos abaixo terão o significado que lhes é atribuído no Contrato.
"CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Código Civil, seção 1798.100 e seguintes.
“Controlador” significa a entidade que determina as finalidades e os meios do Processamento de Dados Pessoais.
"Publicidade comportamental entre contextos" tem o significado que lhe é dado pela CCPA.
“Dados do Cliente” incluem todos os dados carregados, armazenados, recebidos, recuperados, transmitidos ou de outra forma processados pelo Cliente como parte do uso dos Serviços.
“Dados Pessoais do Cliente” significa todos os Dados Pessoais que fazem parte dos Dados do Cliente.
"Acordo SCC do Cliente" significa o acordo entre o Cliente e a Equinix, incorporando as Cláusulas Contratuais Padrão, que faz parte deste DPA, que entra em vigor no início de qualquer Transferência Restrita e que está estabelecido em Equinix – Acordo SCC do Cliente.
“Leis de Proteção de Dados” significa todas as leis que regulam o Processamento de Dados Pessoais que são aplicáveis ao Processamento de Dados do Cliente pela Equinix em conexão com os Serviços.
“Titular dos Dados” significa o indivíduo vivo identificado ou identificável ao qual os dados pessoais se referem.
“GDPR” significa Regulamento Geral de Proteção de Dados, Regulamento (UE) 2016/679.
“Dados Pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável e cuja coleta, uso, divulgação, armazenamento ou outro processamento é regulado pelas Leis de Proteção de Dados.
"Violação de Dados Pessoais" significa uma violação de segurança, levando à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma Processados.
“Processador” significa a entidade que processa Dados Pessoais em nome do Controlador.
“Processamento” (incluindo “Processado” e “Processar”) significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais, como acesso, coleta, registro, organização, armazenamento, recuperação, consulta, uso e conforme este termo possa ser definido posteriormente pelas Leis de Proteção de Dados.
"Transferência Restrita" significa qualquer transferência internacional ou transfronteiriça de Dados Pessoais do Cliente que, na ausência das Cláusulas Contratuais Padrão ou outro mecanismo legal aplicável, seria ilegal segundo as Leis de Proteção de Dados.
"Incidente de segurança" Um evento que tem o potencial de violar as políticas de segurança ou confidencialidade da Equinix ou de outra forma ameaçar a capacidade da Equinix de manter segurança, confidencialidade ou disponibilidade adequadas relacionadas a dados, pessoal ou outros recursos da Equinix .
"Vender" tem o significado que lhe é dado pela CCPA.
"Cláusulas Contratuais Padrão" ou "CCP" significa, conforme aplicável a qualquer Transferência Restrita entre as partes, as cláusulas contratuais padrão relevantes para a transferência internacional de Dados Pessoais (i) estabelecidas na Decisão Europeia de Implementação (UE) 2021/914 ("CCPs da UE"); (ii) estabelecidas no Adendo do Reino Unido; ou (iii) emitidas por uma autoridade competente sob qualquer outra Lei de Proteção de Dados aplicável.
"Publicidade direcionada" tem o significado que lhe é dado pela CCPA.
“Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão emitidas pelo Comissário de Informações do Reino Unido sob a seção 119A(1) da Lei de Proteção de Dados de 2018.
1. EXECUÇÃO DO TRATAMENTO
1.1 Se a Equinix processar Dados Pessoais do Cliente como resultado da prestação de Serviços, o Cliente atuará como Controlador e a Equinix como Processadora, e as disposições deste DPA serão aplicáveis e serão interpretadas em conformidade com, e complementadas por, os termos das Políticas de Produto para os Serviços e o Modelo de Responsabilidade Compartilhada, que descrevem as responsabilidades das Partes e podem ser encontrados aqui: Modelo de Responsabilidade Compartilhada
1.2 Cada Parte cumprirá com suas respectivas obrigações sob as Leis de Proteção de Dados e fornecerá pelo menos o nível de proteção aos Dados Pessoais do Cliente conforme exigido pelas Leis de Proteção de Dados.
1.3 O escopo e a natureza do Processamento de Dados Pessoais do Cliente pela Equinix estão definidos no Anexo 1 deste DPA.
1.4 O Cliente determinará as finalidades e os meios do Processamento de Dados Pessoais do Cliente. O Cliente, sem prejuízo das obrigações da Equinix sob o Contrato e este DPA, e sem limitação às suas obrigações sob as Leis de Proteção de Dados, tomará todas as medidas necessárias para garantir que os Dados Pessoais do Cliente possam ser legalmente disponibilizados e Processados pela Equinix para os fins instruídos pelo Cliente sob o Contrato e este DPA.
1.5 A Equinix processará Dados Pessoais do Cliente somente para a finalidade comercial específica de cumprir suas obrigações sob o Contrato e este DPA. O Contrato e este DPA constituem as instruções completas por escrito do Cliente para a Equinix em relação ao Processamento de Dados Pessoais do Cliente. Não obstante o acima exposto, a Equinix poderá Processar Dados Pessoais do Cliente para cumprir as Leis de Proteção de Dados aplicáveis, mas informará o Cliente sobre essa exigência legal antes do Processamento, a menos que tal lei proíba tal informação. O Cliente tem o direito, mediante notificação, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais do Cliente pela Equinix.
1.6 Exceto quando expressamente permitido pelas Leis de Proteção de Dados, a Equinix não venderá, reter, usará, compartilhará, divulgará ou de outra forma Processará Dados Pessoais do Cliente, seja em formato agregado ou individual:
-
1.6.1 para qualquer finalidade comercial ou qualquer outra finalidade, incluindo a prestação de serviços a um negócio diferente do propósito específico descrito na Seção 1.5
-
1.6.2 fora do relacionamento comercial direto entre a Equinix e o Cliente; ou
-
1.6.3 para Publicidade Comportamental Multicontexto ou Publicidade Direcionada.
1.7 A Equinix concorda que quaisquer Dados Pessoais do Cliente agregados, anônimos, desidentificados ou pseudônimos que receba do Cliente ou em seu nome, ou que gere por meio da prestação dos Serviços, não poderão ser reassociados ou reidentificados com um indivíduo. A Equinix se comprometerá publicamente a não tentar reidentificar tais informações. A Equinix não combinará Dados Pessoais do Cliente com Dados Pessoais que receba de outra(s) pessoa(s), ou em seu nome, ou que colete em suas próprias interações com titulares dos dados, exceto conforme permitido pelas Leis de Proteção de Dados.
1.8 Como Controlador, o Cliente é responsável por informar os titulares dos dados sobre o Processamento de Dados Pessoais do Cliente e por responder às solicitações de exercício dos direitos dos titulares dos dados, de acordo com as Leis de Proteção de Dados. O Cliente reconhece que a Equinix configurou os Serviços e implementou medidas técnicas e organizacionais adequadas, projetadas para permitir que o Cliente acesso, modifique e exclua Dados Pessoais do Cliente sem assistência adicional da Equinix. Considerando a natureza do Processamento e a extensão limitada do acesso da Equinix aos Dados Pessoais do Cliente, a Equinix fornecerá ao Cliente, mediante solicitar, qualquer assistência adicional razoavelmente necessária para permitir que o Cliente cumpra com os direitos dos titulares dos dados.
1.9 O Cliente autoriza a Equinix a contratar qualquer Afiliado ou terceiro como um Processador adicional ("Subprocessador"), sujeito à Equinix:
-
1.9.1 celebrar um contrato de processamento de dados com o Cliente que esteja em conformidade com as Leis de Proteção de Dados;
-
1.9.2 notificar o Cliente com antecedência sobre quaisquer alterações no uso de Subprocessadores, dando assim ao Cliente a oportunidade de se opor; e
-
1.9.3 permanecer responsável perante o Cliente por qualquer falha de um Subprocessador em cumprir suas obrigações em relação ao Processamento de Dados Pessoais do Cliente.
Os Subprocessadores contratados pela Equinix na data do Contrato são aqueles estabelecidos no Anexo 2 deste DPA.
2. SEGURANÇA
2.1 Em sua capacidade como Processadora de Dados Pessoais do Cliente, e levando em consideração o de última geração, os custos de implementação e a natureza, escopo, contexto e propósitos do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades de pessoas físicas, a Equinix tomará medidas de segurança técnicas e organizacionais apropriadas que considere razoavelmente necessárias para proteger os Dados Pessoais do Cliente e auxiliará o Cliente, na medida em que isso seja razoavelmente viável, com as obrigações de segurança do Cliente sob as Leis de Proteção de Dados. As Partes reconhecem que, em certos casos, a Equinix pode oferecer medidas de segurança técnicas e organizacionais adicionais como produtos e serviços comerciais separados, cuja escolha cabe inteiramente ao Cliente. Os controles de segurança da Equinix, que juntamente com o compromisso assumido nesta Seção 2.1, constituem a única responsabilidade da Equinix com relação à segurança dos Dados do Cliente. Os controles de segurança da Equinix são descritos no Anexo 3. Além disso, essas medidas também estão em conformidade com os requisitos estabelecidos na ISO 27001. Uma descrição dos controles de segurança para esses requisitos está disponível ao Cliente, mediante solicitar.
2.2 A Equinix notificará o Cliente sem demora injustificada ao tomar conhecimento de qualquer Violação de Dados Pessoais. Na medida em que as informações estiverem disponíveis para a Equinix, ela fornecerá ao Cliente informações sobre a natureza e as prováveis consequências da Violação de Dados Pessoais e sobre as medidas que foram ou serão tomadas para lidar com a Violação de Dados Pessoais, além de quaisquer outras informações às quais o Cliente tenha direito de acordo com as Leis de Proteção de Dados.
2.3 A Equinix garantirá que as pessoas autorizadas a processar Dados Pessoais do Cliente tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada.
3. AUDITORIAS
3.1 Programa de Auditoria da Equinix. A Equinix contrata auditores externos para avaliar a adequação de suas medidas de segurança em relação ao Processamento de Dados Pessoais de Clientes. Essas auditorias são realizadas pelo menos uma vez por ano, às expensas da Equinix. As auditorias são realizadas por profissionais de segurança terceirizados, qualificados e independentes, selecionados pela Equinix, e resultam na geração de um resumo confidencial da auditoria ("Relatório de Auditoria"). A Equinix fornecerá ao Cliente, mediante solicitar por escrito e em intervalos razoáveis, uma cópia de seu Relatório de Auditoria mais recente. Todos esses Relatórios de Auditoria são Informações Confidenciais da Equinix e são fornecidos para uso exclusivo do Cliente.
3.2 Auditoria do Cliente. O Cliente concorda que quaisquer direitos de auditoria garantidos pelas Leis de Proteção de Dados serão satisfeitos pela produção deste Relatório de Auditoria. Na medida em que o Cliente puder demonstrar que o Relatório de Auditoria não fornece informações suficientes para verificar a conformidade da Equinix com este DPA, ou quando o Cliente for obrigado a providenciar uma auditoria adicional por qualquer autoridade supervisora, as Partes concordarão mutuamente sobre o escopo do plano de auditoria do Cliente que: (a) garanta o uso de um terceiro independente; (b) forneça à Equinix um aviso prévio razoável, por escrito, do início da auditoria; (c) exija acesso ao pessoal e à infraestrutura da Equinix apenas durante o horário comercial normal; (d) aceite a cobrança ao Cliente pelas taxas vigentes da Equinix pelo tempo gasto pelo pessoal da Equinix na auditoria; (e) ocorra no máximo uma vez por ano; (f) restrinja suas conclusões apenas a dados relevantes para o Cliente; e (g) obrigue o Cliente e seu auditor terceirizado, na medida permitida por lei ou regulamento, a manter a confidencialidade de quaisquer informações divulgadas ou coletadas de outra forma durante o curso da auditoria do Cliente.
4. DEVOLUÇÃO OU EXCLUSÃO DE CONTEÚDO DO CLIENTE
4.1 A Equinix fornecerá ao Cliente, mediante solicitar por escrito do Cliente, qualquer assistência adicional razoavelmente necessária para permitir que o Cliente exclua ou devolva Dados Pessoais do Cliente, às custas e despesas do cliente.
4.2 Retenção Exigida por Lei. Não obstante qualquer disposição em contrário nesta Seção 4, a Equinix poderá reter Dados Pessoais do Cliente, ou qualquer parte deles, se exigido pela lei ou regulamentação aplicável, incluindo a Lei de Proteção de Dados, desde que tais Dados Pessoais do Cliente permaneçam protegidos de acordo com os termos do Contrato, este DPA e a Lei de Proteção de Dados.
5. TRANSFERÊNCIAS INTERNACIONAIS
5.1 Caso ocorra uma Transferência Restrita entre as partes, estas concordam em celebrar as Cláusulas Contratuais Padrão, conforme estabelecido no Contrato de Cláusulas Contratuais Padrão do Cliente da Equinix, disponível em: Equinix – Contrato de Cláusulas Contratuais Padrão do Cliente, ou outro mecanismo legal aplicável. O Contrato de Cláusulas Contratuais Padrão do Cliente é incorporado a este DPA e faz parte integrante dele, entrando em vigor no início da Transferência Restrita entre as partes.
6. PEDIDOS DE INFORMAÇÕES
6.1 A Equinix, mediante solicitar e levando em consideração a natureza do Processamento e as informações disponíveis à Equinix, auxiliará razoavelmente o Cliente em relação às obrigações do Cliente em relação à proteção de dados ou avaliações de impacto à privacidade exigidas pelas Leis de Proteção de Dados.
7. DIVERSOS
7.1 O Cliente reconhece e concorda que a Equinix pode, a seu exclusivo critério, modificar este DPA de tempos em tempos, o que, em sua opinião razoável, é necessário para garantir a conformidade contínua das Partes com as Leis de Proteção de Dados, e que tais termos modificados do DPA entrarão em vigor após a publicação.
7.2 As disposições deste DPA fazem parte e são complementares aos termos do Contrato. Em caso de qualquer ambiguidade, conflito ou inconsistência entre os termos deste DPA e os termos do Contrato, os termos do DPA prevalecerão. Este DPA substitui quaisquer outros contratos firmados pela Equinix em sua capacidade de Processadora de Dados Pessoais do Cliente com relação aos Serviços.
Anexo 1 do Contrato de Processamento de Dados
Conforme a cláusula 1.3, este é o escopo e a natureza do Processamento Equinix.
| Tier Name | Product examples | Purpose of Processing | Equinix Role | Customer Role | Categories of Personal Data |
|---|---|---|---|---|---|
| Infrastructure as a Service | Managed Private Cloud | (a) Backup, support, planning, and enabling migration, deployment, and development of Services; Encryption (enabled by default for data at rest in MPC Storage) (b) Infrastructure management (preventing, detecting, investigating, mitigating, and repairing problems, including security incidents and problems identified in the Services; and (c) Enhancing delivery, efficacy, quality, and security of our Services, including keeping Services up to date, and enhancing reliability, efficacy, quality, and security and fixing defects. | Data Processor | Data Controller | As determined by Customer |
| Enhanced Platform as a Service | Managed Private Backup | As above | Data Processor | Data Controller | As determined by Customer |
| Infrastructure as a Service | Managed Private Storage | As above | Data Processor | Data Controller | As determined by Customer |
Anexo 2 do Contrato de Processamento de Dados
Conforme cláusula 1.9, esta é a lista de Subprocessadores:
Globally: Equinix Services Inc.
Equinix (US) Enterprises Inc.
Equinix (UK) Enterprises Ltd.
Equinix (Germany) Enterprises GmbH
Equinix (Netherlands) Enterprises BV
Virtu Secure Webservices BV
Equinix (Italy) Enterprises SRL
Equinix (Japan) Enterprises KK
Equinix (Japan) Technology Services KK
Equinix do Brasil Solucoes de Tecnologia en Informatica Ltda
Equinix do Brasil Telecommunicacoes Ltda
Equinix MX Services SA de CV
Equinix (Canada) Enterprises Ltd.
Equinix (Sweden) Enterprises AB
Equinix (France) Enterprises SAS
Equinix (Spain) Enterprises SAU
Equinix (Finland) Enterprises Oy
Equinix (Ireland) Enterprises Ltd
Anexo 3 - MEDIDAS TÉCNICAS E ORGANIZACIONAIS
A tabela abaixo ilustra as Medidas Técnicas e Organizacionais implementadas pela Equinix para a prestação dos Serviços:
| Domain | Practices |
|---|---|
| Organization of Information Security Organizational Context Risk Management Strategy Roles, Responsibilities, and Authorities Policy Oversight | Equinix has organized governance of Information Security around the following teams and programs which review, evaluate and enhance Equinix security practices: Audit and compliance – Equinix formally complies with various industry standards, such as ISO 27001. Audit attestations and certificates are provided by qualified third-party auditors. These auditors coordinate activities with various business and technology teams like Business Assurance Services, Internal Audit, and Operations. Information Security team – Working closely with the legal organization, this team is charged to follow global and business unit guidelines to help ensure compliance with local and federal laws and regulations. Information Security Risk Management - Working closely with business representatives to establish Equinix' priorities, constraints, risk tolerance and appetite statements, and ensuring that assumptions are established, communicated, and used to support operational risk decisions. Information Security policies – The Equinix Information Security team administers and enforces a comprehensive set of confidential Information security policies that is reviewed and endorsed by senior management. This team ensures that the internal policies are global in scope, covering country-specific and region-specific laws, regulations, and business requirements. Areas covered by these internal security policies include, but are not limited to: acceptable use of technology, anti-virus and malware, data backup and retention, data classification, labeling and handling, logical access, passwords, patch management, mobile devices, personal computers, remote access and VPN, and social media. |
| Information Protection Human Resource Security | Equinix has implemented and maintains employee security training programs regarding information security risks and requirements. The security awareness training programs are reviewed and updated at least annually. Where permitted by law, and to the extent available from applicable governmental authorities, Equinix requires each employee to undergo a background check. |
| Asset Management | Asset Inventory - Equinix has implemented processes that focus on identifying and cataloging all assets used to deliver services. This process includes physical assets, virtual assets and intangible assets like software licenses. By maintaining an accurate up to date inventory, Equinix can effectively track its assets, monitor their usage, and plan for maintenance. Asset Handling - This involves implementing technical and organizational measures to protect assets from damage, theft, or unauthorized access. Technical measures may include implementing security systems to safeguard physical assets, such as surveillance cameras and access control systems. Equinix may employ encryption and authentication protocols to protect customer data stored on digital assets. Organizational measures involve establishing policies and procedures for asset handling, including guidelines for asset maintenance, usage, and disposal. |
| Physical and Environmental Security | Safeguarding physical security of every IBX Center where information systems processing and storing customer data are located is a high operational priority. Each IBX Center uses an array of security equipment, techniques and procedures to monitor the facility and to control and record access. Access – The access control subsystem allows authorized users inside the building and within the facility. Biometric security devices, proximity cards and other technologies identify users to the access control system, and upon authentication allow contacts to navigate the IBX as permitted. Alarm Monitoring and Intrusion Detection – The alarm monitoring and intrusion detection subsystem monitor the status of various devices associated with the security system. Monitoring devices include door position switches, glass break detectors, motion detectors, and tamper switches. If the status of any device changes from their secure state, an alarm is activated, the event is recorded, and appropriate measure is taken. CCTV – The closed-circuit television subsystem provides the display, control, recording and playback of live video from cameras throughout the facility, as well as outside the facility where legally permitted. This system is integrated with the alarm monitoring and intrusion detection subsystem, so in the event of an alarm, cameras are displayed automatically to view the event in real time. |
| Communications and Operations Management | Vulnerability Assessments - Equinix performs regular internal and external vulnerability assessments and penetration testing of the Equinix EMS information systems and will investigate identified issues and track them to resolution in a timely manner. Malicious Software - Equinix has anti-malware controls to help avoid malicious software gaining unauthorized access to customer data including malicious software originating from public networks. Change Management - Equinix maintains controls designed to log, authorize, test, approve and document changes to existing resources and will document change details within its change management or deployment tools. Equinix will test changes according to its change management standards prior to migration to production. Equinix will maintain processes designed to detect unauthorized changes to the Equinix information systems and track identified issues to a resolution. Data Integrity - Equinix maintains controls designed to provide data integrity during transmission, storage, and processing within the Equinix Services information systems. Event Logging - Equinix logs, or enables Customer to log, access and use information systems containing customer data -specific to that customer- registering the access ID, time, authorization granted or denied, and relevant activity. Backup/Restore – Customer Data is backed up where applicable via backup tooling. Equinix employees managing these backups have no access to the Customer Data. In case a restore is required, Customer can request this restore. |
| Access Control | Equinix makes the Customer Data accessible only to authorized personnel, and only as necessary to maintain and provide the Equinix Services. Equinix maintains access policies and controls to manage authorizations for access to the customer data from each network connection and user through the use of firewalls, controlled access connectivity or functionally equivalent technology and authentication controls. Data Segregation - Equinix maintains access controls designed to restrict unauthorized access to Customer Data and segregate each Customer's Data from other Customers' Data. User access controls - Relates to access to Equinix information include, but are not limited to: - least privilege principles based on personnel job functions - review and approval prior to provisioning access - at least quarterly review of access privileges - when necessary, revoke access privileges in a timely manner - two-factor authentication for access to the Customer Data - monitoring by Equinix (or enabled Customers) for anomalies in access activity such as for example (but not limited to) repeated attempts to gain access to the information system using an invalid password. |
| Information Security | Incident Management Incident Response Process - Equinix maintains incident response plans (runbooks) to respond to potential security threats to the Managed Solution Services. Equinix runbooks will have defined processes to detect, mitigate, investigate, and report security incidents. The Equinix runbooks include incident verification, attack analysis, containment, data collection, and problem remediation. For each Security Breach that is a Security Incident, appropriate notification by Equinix EMS will be made in compliance with local regulations. Service Monitoring - Equinix monitors on a continuous basis, or enables Customer to monitor, for anomalies related to security events (for example but not limited to repeated attempts to gain access to the information system using an invalid password). |
| Business Continuity Management | Emergency and Contingency plans - Equinix maintains emergency and contingency plans for the facilities in which Equinix information systems that process Customer Data are located. These plans will be tested annually. Data recovery - Equinix redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state. |