logo
CIC Security Terms

Effective April 15, 2026

 

Segurança

 

DEFINITIONS  

 

“NIST” significa National Institute for Standards and Technology. 

 

"Incidente de Segurança” significa a determinação pela Hyland de uma divulgação efetiva de Dados do Cliente não criptografados a uma pessoa ou empresa não autorizada que comprometa a segurança, confidencialidade ou integridade dos Dados do Cliente.

 

1. A Hyland mantém e gerencia um programa de segurança detalhado por escrito que foi projetado para proteger: (a) a segurança e a integridade dos Dados do Cliente; (b) contra ameaças e perigos que possam impactar negativamente os Dados do Cliente; e (c) contra o acesso não autorizado aos Dados do Cliente. Esse programa inclui o seguinte:

 

1.1. Gerenciamento de Riscos.

 

1.1.1 Conduzir uma avaliação anual de riscos projetada para identificar ameaças e vulnerabilidades nas proteções administrativas, físicas, legais, regulamentares e técnicas usadas para proteger o Produto.

 

1.1.2 Manutenção de um processo de remediação de riscos documentado para atribuir a responsabilidade pelos riscos identificados, estabelecer planos e cronogramas de remediação e fornecer monitoramento periódico do progresso.

 

1.2. Programa de Segurança da Informação.

 

1.2.1 Manutenção de um programa de segurança da informação detalhado e documentado que inclua políticas e procedimentos baseados em práticas padrão do setor, que podem incluir a ISO 27001/27002 ou outros padrões equivalentes. Tal programa de segurança da informação deverá incluir, conforme aplicável: (a) segurança física e cibernética adequada onde os Dados do Cliente serão processados e/ou armazenados; e (b) precauções razoáveis tomadas com relação ao emprego da equipe da Hyland.

 

1.2.2 Revisar e atualizar tais políticas anualmente.

 

4.3 Organização da Segurança da Informação. Atribuir responsabilidades de segurança a indivíduos ou grupos apropriados para facilitar a proteção do Produto e de bens associados.

 

1.4. Segurança de Recursos Humanos.

 

1.4.1 Exigir que todos os empregados da Hyland passem por uma triagem detalhada durante o processo de contratação.

 

1.4.2 Realizar verificações de antecedentes e validação de referências para determinar se as qualificações do candidato são apropriadas para o cargo proposto.

 

1.4.3 Sujeito a quaisquer restrições impostas pela lei aplicável e com base na jurisdição, conduzir verificações de antecedentes criminais, validação de emprego e verificação de educação, conforme aplicável.

 

1.4.4 Garantir que todos os empregados da Hyland estejam sujeitos a compromissos de confidencialidade e não divulgação antes que o acesso seja fornecido ao Produto ou aos Dados do Cliente.

 

1.4.5 Assegurar que os empregados da Hyland aplicáveis recebam treinamento de conscientização de segurança projetado para fornecer aos empregados com conhecimento de segurança da informação para garantir a segurança, disponibilidade e confidencialidade dos Dados do Cliente.

 

1.4.6 Quando da separação ou mudança de função de um empregado da Hyland, garantir que o acesso de qualquer empregado da Hyland ao Produto seja revogado em tempo hábil e que todos os bens aplicáveis da Hyland, tanto de informação quanto físicos, sejam devolvidos.

 

1.5. Gestão de Bens.

 

1.5.1 Garantir que os Dados do Cliente sejam criptografados e armazenados em um local seguro, sujeito a rígidos controles de acesso físico.

 

1.5.2 Manter políticas e procedimentos de gerenciamento de bens e informações, incluindo a propriedade dos bens, um inventário dos bens, diretrizes de classificação e padrões de manuseio relativos aos bens da Hyland.

 

1.5.3 Observação: O Produto é hospedado na Nuvem da Amazon Web Services (AWS) (AWS Cloud), onde a segurança e a conformidade são responsabilidades compartilhadas entre a AWS e a Hyland. A AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na AWS Cloud. Essa infraestrutura é composta de hardware, software, rede e instalações que executam os serviços do AWS Cloud. A AWS opera, gerencia e controla os componentes, desde o sistema operacional de hospedagem e a camada de virtualização até a segurança física das instalações em que o serviço opera, incluindo o manuseio e a desativação da mídia. Os Controles de Gerenciamento de Dispositivos da AWS (AWS Device Management Controls) podem ser encontrados em: https://aws.amazon.com/compliance/data-center/controls/#Device_Management.

 

1.6. Controles de Acesso.

 

1.6.1 Manutenção de uma política de acesso e dos procedimentos correspondentes. Os procedimentos de acesso definirão o processo de solicitação, aprovação e provisionamento de acesso para a equipe da Hyland. O processo de acesso restringirá o acesso do usuário da Hyland (local e remoto) com base na função de trabalho do usuário da Hyland (com base no cargo/perfil, acesso apropriado) para aplicativos e bancos de dados.

 

1.6.2 Documentar procedimentos para: (a) integração e desligamento de usuários da equipe da Hyland em tempo hábil; e (b) limite de inatividade de usuários da equipe da Hyland que leva à suspensão da conta e limite de remoção.

 

1.6.3 Limitar o acesso da Hyland aos Dados do Cliente à sua equipe que tenha a necessidade de acessar os Dados do Cliente como condição para o desempenho dos serviços da Hyland nos termos do Contrato. Para tais empregados da Hyland, a Hyland deverá utilizar o princípio do "menor privilégio" (“least privilege”) e o conceito de "mínimo necessário". A Hyland deverá exigir senhas fortes sujeitas a requisitos de complexidade e rotação periódica, bem como o uso de autenticação multifator (multi-factor authentication).

 

1.6.4 Garantir que os controles de acesso estejam em vigor para o acesso aos Dados do Cliente pela Hyland. Nota: O Cliente controla o seu: acesso do usuário, permissões do usuário e retenção de Dados do Cliente na medida em que tais controles estejam disponíveis para o Cliente.

 

1.7. Limites do Sistema.

 

1.7.1 Nota: A Hyland não é responsável por quaisquer componentes do sistema que não estejam dentro do Produto, incluindo dispositivos de rede, conectividade de rede, estações de trabalho, servidores e software de propriedade e operados pelo Cliente ou outros terceiros.

 

1.7.2 Nota: Os processos executados dentro do Produto estão limitados àqueles que são executados por um empregado da Hyland (ou terceiro autorizado pela Hyland) ou processos que são executados dentro dos limites do sistema estabelecidos pela Hyland, em sua totalidade.

 

1.7.3 Nota: Certos processos comerciais poderão ultrapassar esses limites, o que significa que uma ou mais tarefas são executadas fora dos limites do sistema estabelecidos pela Hyland para o Produto, uma ou mais tarefas são executadas por indivíduos que não são empregados da Hyland (ou terceiros autorizados), ou uma ou mais tarefas são executadas com base em solicitações por escrito feitas pelo Cliente. Em tais casos, a Hyland fornecerá suporte para tais processos na medida em que eles ocorram dentro dos limites do sistema estabelecidos pela Hyland, mas a Hyland não será responsável por fornecer suporte para tais processos na medida em que eles ocorram fora de tais limites do sistema estabelecidos. Exemplos de processos comerciais que ultrapassam esses limites incluem, mas não se limitam a, alterações de configuração do Produto, processamento que ocorre no Produto, autorização de usuário e transferências de arquivos.

 

1.8. Criptografia.

 

1.8.1 Garantir que os Dados do Cliente sejam carregados (uploaded)  no Produto somente em um formato criptografado compatível, tal como TLS ou outro método equivalente.

 

1.8.2 Criptografar os Dados do Cliente em repouso e em trânsito em redes públicas.

 

1.8.3 Nota: Quando o uso da funcionalidade de criptografia puder ser controlado ou modificado pelo Cliente e o Cliente optar por modificar o seu uso ou desativar qualquer funcionalidade de criptografia, o Cliente o fará por sua própria conta e risco.

 

1.9. Segurança das Operações.

 

1.9.1 Manutenção de controles de gerenciamento de mudanças para garantir que as mudanças feitas pela Hyland nos sistemas de produção sejam devidamente autorizadas e revisadas antes da implementação. Nota: O Cliente é responsável por testar todas as alterações de configuração, alterações de autenticação e atualizações implementadas pelo Cliente ou pela Hyland. Caso o Cliente solicite que a Hyland implemente alterações em seu nome, tal solicitação deverá ser feita por escrito e apresentada pelos Administradores Autorizados do Cliente designados pelo Cliente por meio de um caso de suporte ou estabelecido em um contrato separado.

 

1.9.2 Fazer alterações de configuração programadas, que se espera que afetem o acesso do Cliente ao Produto, durante uma janela de manutenção planejada. Nota: A Hyland poderá fazer alterações de configuração que não se espera que afetem o Cliente durante o horário comercial normal.

 

1.9.3 Utilizar tecnologias que estejam configuradas para atender aos padrões comuns da indústria, projetados para proteger os Dados do Cliente no Produto contra infecções por vírus ou cargas maliciosas similares.

 

1.9.4 Implementar procedimentos de recuperação de desastres (disaster recovery) e continuidade de negócios (business continuity) de acordo com o Nível de Serviço aplicável adquirido pelo Cliente.

 

1.9.5 Manter os registros de segurança por um ano.

 

1.9.6 Manter requisitos de fortalecimento do sistema e padrões de configuração para os componentes implementados no Produto.

 

1.9.7 Realizar varreduras de vulnerabilidade regularmente e corrigi-las em tempo hábil. Caso qualquer patch de segurança afetar materialmente de forma adversa o Produto, a Hyland envidará esforços razoáveis para implementar controles de compensação até que um patch de segurança esteja disponível que não afete materialmente de forma adversa o Produto. Mediante solicitação por escrito, a Hyland fornecerá um relatório executivo de sua mais recente varredura de vulnerabilidade externa.

 

1.9.8 Realização de testes de penetração externa, pelo menos anualmente, em uma instância do Produto que seja representativa da configuração usada pelos Clientes em geral e apresentação de um resumo executivo do teste de penetração mais recente ao Cliente, mediante solicitação.

 

1.9.9. Permitir que o Cliente, anualmente (mas não mais do que uma vez durante qualquer período de 12 meses), conduza um teste de penetração em um website do Produto, configurado pela Hyland, que seja autorizado para testes de penetração, desde que: (1) o Cliente apresente um formulário de Autorização de Teste de Penetração (Penetration Testing Authorization) com antecedência; (2) antes de conduzir o teste, a Hyland e o Cliente concordem mutuamente com o cronograma, o escopo e o preço; (3) o teste seja realizado por conta e custo exclusivos do Cliente; e (4) caso o Cliente contrate um terceiro para auxiliar no teste, o terceiro deverá ser previamente autorizado pela Hyland e celebrar um contrato de confidencialidade diretamente com a Hyland, de acordo com a cláusula de Restrições de Uso do Contratado do Contrato. Nota: Qualquer teste realizado sem acordo mútuo com relação a cronograma, escopo e critérios poderá ser considerado um ataque hostil (hostile attack), o que poderá desencadear respostas automatizadas e manuais, incluindo a comunicação da atividade às agências policiais locais e federais, bem como a suspensão imediata do acesso ou uso do Produto pelo Cliente; e o Cliente está proibido de distribuir ou publicar os resultados dos testes de penetração sem a aprovação prévia por escrito da Hyland.

 

1.9.10 Manutenção de um centro de operações de segurança 24 horas por dia, 7 dias por semana.

 

1.10. Parceria com Fornecedores. Manter um programa de gerenciamento de fornecedores (vendor management program) para seus fornecedores essenciais e avaliar os fornecedores essenciais anualmente.

 

1.11. Resposta a Incidentes de Segurança.

 

1.11.1 Empregar padrões de resposta a Incidentes de Segurança baseados nos padrões aplicáveis do setor, tal como ISO 27001 e NIST, para manter os componentes de segurança das informações do ambiente do Produto.

 

1.11.2 As respostas aos Incidentes de Segurança seguem a sequência documentada de resposta a Incidentes de Segurança da Hyland. Essa sequência inclui a fase de acionamento do Incidente de Segurança, a fase de avaliação, a fase de escalonamento, a fase de resposta, a fase de recuperação, a fase de redução de escalonamento e a fase de revisão pós-Incidente de Segurança.

 

1.11.3 Se a Hyland tiver determinado que a instância do Produto do Cliente foi afetada negativamente por um Incidente de Segurança, entregar um resumo da análise da causa raiz. Tal notificação não será atrasada injustificadamente, mas ocorrerá após as ações corretivas iniciais tiverem sido tomadas para conter a ameaça à segurança ou estabilizar o Produto.

 

1.11.4 A análise da causa raiz incluirá a duração do evento, a resolução, o resumo técnico, os problemas pendentes e o acompanhamento, incluindo as medidas que o Cliente precisa tomar para evitar novos problemas. As informações do Produto, incluindo os elementos de dados que exigem medidas adicionais de confidencialidade e segurança (incluindo as de outros clientes afetados pelo evento), não serão divulgadas publicamente. Se o Cliente precisar de detalhes adicionais de um Incidente de Segurança, o Cliente deverá enviar uma solicitação à equipe de suporte da Hyland Cloud aplicável e tratada caso a caso para proteger a confidencialidade e a segurança das informações solicitadas.

 

1.11.5 Notificar o Cliente sobre um Incidente de Segurança dentro de 48 horas. 

 

1.12. Aspectos de Segurança da Informação da Gestão de Continuidade de Negócios.

 

1.12.1 Manutenção de um plano de continuidade de negócios (business continuity plan) e recuperação de desastres (disaster recovery plan).

 

1.12.2 Revisar e testar anualmente os processos de continuidade dos negócios e recuperação de desastres.

 

1.13. Auditorias e Avaliações.

 

1.13.1 Monitorar a conformidade com seu programa de segurança da informação. Isso inclui revisões internas periódicas. Os resultados serão compartilhados com a liderança da Hyland e os desvios serão rastreados até a correção.

 

1.13.2 Manter um programa periódico de auditoria externa. Atestados completos serão fornecidos ao Cliente mediante solicitação por escrito.

 

1.13.3 Permitir que o Cliente, anualmente (mas não mais do que uma vez durante qualquer período de 12 meses), conduza auditorias (que incluem avaliações, questionários, revisões guiadas ou outras solicitações para validar os controles de segurança da Hyland) das operações da Hyland que participam da entrega e suporte contínuos do Produto (cada uma delas, uma “Investigação de Segurança"), desde que:

 

(a) a Investigação de Segurança proposta não se sobreponha ou, de outra forma, abranja as mesmas informações ou informações semelhantes, ou o escopo de: (1) quaisquer controles já previstos por uma auditoria ou avaliação externa já realizada pela Hyland, tal como um relatório SOC 2, ISO 27001 ou outra auditoria ou avaliação semelhante que seja disponibilizada ao Cliente mediante solicitação do Cliente; ou (2) qualquer conteúdo já fornecido pela Hyland através de seu SIG, CAIQ ou questionário semelhante preenchido que seja disponibilizado ao Cliente mediante solicitação.

 

(b) A Hyland e o Cliente concordam mutuamente com o cronograma, escopo, taxas (se houver) e critérios de Investigação de Segurança;

 

(c) documentação confidencial e restrita, tal como políticas, práticas e procedimentos internos da Hyland, incluindo qualquer documentação solicitada pelo Cliente que não possa ser removida das instalações da Hyland em decorrência de limitações físicas ou restrições de políticas, não será fornecida externamente ou removida das instalações da Hyland e tais revisões deverão (a critério da Hyland) ser conduzidas no local, na sede corporativa da Hyland em Ohio, ou através de um compartilhamento seguro de tela (secure screenshare) que poderá ser organizado pela Hyland para proibir qualquer tipo de cópia ou captura de tela;

 

(d) a Hyland não permitirá o acesso a sistemas internos ou dispositivos utilizados para hospedar ou dar suporte às ofertas da Hyland; e

 

(e) na medida em que o Cliente desejar contratar um terceiro para realizar tal Investigação de Segurança: (1) a Hyland deverá aprovar o terceiro com antecedência e por escrito; (2) o Cliente deverá fazer com que tal terceiro (A) celebre um contrato de confidencialidade com a Hyland de acordo com a cláusula de Restrições de Uso do Contratado do Contrato, e (B) concorde em cumprir com os padrões de segurança da Hyland; e (3) o Cliente gerenciará o engajamento com o terceiro e garantirá que o terceiro entenda o escopo da Investigação de Segurança conforme mutuamente acordado entre a Hyland e o Cliente e como o Cliente utiliza o Produto.

 

Quando necessário, a Hyland fornecerá acomodações privadas e razoáveis na sede corporativa da Hyland em Ohio para análise de dados e reuniões. Mediante solicitação por escrito com antecedência razoável, a Hyland e o Cliente poderão concordar mutuamente em disponibilizar os empregados ou contratados necessários para entrevistas pessoalmente ou por telefone durante a referida Investigação de Segurança, às custas e despesas do Cliente. O Cliente fica proibido, e o Cliente deverá proibir cada terceiro contratado para realizar uma Investigação de Segurança de distribuir ou publicar os resultados de tal Investigação de Segurança sem a aprovação prévia por escrito da Hyland. Não obstante qualquer disposição em contrário no Contrato, nada no Contrato (incluindo esta cláusula) exigirá que a Hyland ou qualquer de suas afiliadas divulgue informações que estejam sujeitas a privilégio advogado-cliente (attorney-client privilege).

 

2. Idioma de Controle. A Hyland poderá disponibilizar outras versões deste documento em outros idiomas neste local online. A versão em inglês deste documento prevalecerá sobre qualquer versão deste documento disponibilizada neste local online em outro idioma se o Documento de Incorporação estiver em inglês. Se o Documento de Incorporação estiver em um idioma que não seja inglês (tal idioma, o “Outro Idioma”), mas este documento não for disponibilizado neste local on-line no Outro Idioma, a versão em inglês prevalecerá sobre qualquer outra versão deste documento que possa ser disponibilizada neste local on-line em outro idioma.

 

 

 

A versão mais atual deste documento será aquela em vigor a partir das 12:00 am EST (horário padrão do leste dos EUA) da data estampada em tal versão on-line.