logo
Global Customer Data Processing Schedule

Effective March 20, 2026

 

ANEXO DE PROCESSAMENTO DE DADOS GLOBAL

 

Este Anexo de Processamento de Dados Global faz parte do Contrato Master da Hyland, do Formulário de Pedido ou de outro contrato entre o Cliente e a Hyland, que incorpora este Anexo de Processamento de Dados Global por referência (o “Documento de Incorporação”). Conforme utilizado neste documento, o termo “Contrato” significa o Documento de Incorporação, incluindo este Anexo de Processamento de Dados Global, bem como qualquer outro contrato no qual o Documento de Incorporação esteja incluído.

 

1. DEFINIÇÕES

 

Todos os termos em maiúsculas utilizados neste Anexo de Processamento de Dados Global (este “DPA” ou este “Anexo”) terão o significado que lhes tiver sido atribuído neste Anexo ou, caso não estejam definidos neste Anexo, em qualquep outra parte do Contrato. Caso um termo definido seja definido em 2 (dois) ou mais locais do Contrato, o termo será interpretado de forma a incluir todas as definições, conforme o contexto exigir.

 

“Determinação de Adequação” significa uma determinação final de uma Autoridade Reguladora de que as leis de um País Terceiro fornecem um nível adequado de proteção para os Dados Pessoais quando esses Dados Pessoais são transferidos da jurisdição da Autoridade Reguladora para um País Terceiro. 

 

“SCCs do Brasil” significa as Cláusulas Contratuais Padrão (SCCs) aprovadas pela Autoridade Nacional de Proteção de Dados, de acordo com os termos do Capítulo V da Resolução CD/ANPD nº 19/2024. 

 

“CPRA” significa, coletivamente, a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia, codificada no Código Civil da Califórnia, parágrafo 1798.100 e seguintes, e seus regulamentos finais de implementação. 

 

“Dados Pessoais do Cliente” significa quaisquer Dados Pessoais enviados pelo Cliente ou em seu nome à Hyland para o fornecimento de Produtos ou a prestação de Serviços. 

 

“Lei(s) de Proteção de Dados” significa qualquer lei, regulamento ou diretiva aplicável ao Processamento de Dados Pessoais com base na localização dos Titulares de Dados, nas atividades de Processamento ou no estabelecimento das Partes.

 

“Titular de Dados” significa uma pessoa física de quem os Dados Pessoais são Processados. 

 

“SCCs da UE ” significa a Decisão de Execução da Comissão (UE) 2021/914 que estabelece as Cláusulas Contratuais Padrão para a transferência de dados para Países Terceiros. 

 

“HIPAA” significa a Lei de Portabilidade e Responsabilidade do Seguro Saúde de 1996, conforme alterada. 

 

“LGPD” significa a Lei Geral de Proteção de Dados Brasileira (LGPD, Lei nº 13.709/2018). 

 

“Partes” significa a Hyland e o Cliente, cada qual referido neste DPA como uma “Parte”.

 

“Dados Pessoais” significa qualquer informação individualmente identificável relativa a um Titular de Dados identificado ou identificável, que esteja protegida pela Lei de Proteção de Dados aplicável. 

 

“Violação de Dados Pessoais” significa uma violação de segurança resultando em perda ou destruição, alteração, divulgação ou acesso não autorizado aos Dados Pessoais do Cliente. 

 

“Processamento” significa qualquer operação ou conjunto de operações realizadas envolvendo os Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, exclusão ou destruição. 

 

“Autoridade Reguladora” significa a autoridade supervisora ou órgão regulador competente, nos termos da Lei de Proteção de Dados aplicável.

 

“Serviços” significa serviços de suporte técnico, serviços profissionais, serviços relacionados à oferta hospedada da Hyland ou outros serviços aplicáveis fornecidos pela Hyland ao Cliente, conforme definido no Contrato.

 

“Subprocessadora” significa uma entidade que Processa Dados Pessoais a pedido da Hyland em nome do Cliente. 

 

“País Terceiro” significa qualquer país que não esteja sujeito a uma Determinação de Adequação, nos termos das Leis de Proteção de Dados aplicáveis, emitida pela Autoridade Reguladora do país onde se encontra a entidade que transfere os Dados Pessoais.

 

2.            PROCESSAMENTO DE DADOS PESSOAIS PELA HYLAND 

 

2.1         Instruções para o Processamento de Dados Pessoais. A Hyland Processará os Dados Pessoais do Cliente somente de acordo com as instruções documentadas do Cliente, que incluem o seguinte: (a) Processamento de acordo com o Contrato ou o Formulário de Pedido aplicável, (b) Processamento iniciado pelo Cliente no uso de qualquer Produto ou Serviço e (c) Processamento para cumprir outras instruções documentadas razoavelmente fornecidas pelo Cliente, desde que tais instruções sejam consistentes com os termos do Contrato, a menos que exigido de outra forma por lei. Cada Parte deverá cumprir as obrigações que lhe são aplicáveis nos termos das Leis de Proteção de Dados. 

 

2.2         Descrição do Processamento. A descrição do Processamento de Dados Pessoais pela Hyland encontra-se no Apêndice A

 

3.            MEDIDAS DE SEGURANÇA DA HYLAND PARA DADOS PESSOAIS

 

3.1         Medidas de segurança física, técnica e organizacional. A Hyland deverá manter medidas de segurança técnicas e organizacionais razoáveis e adequadas, concebidas para proteger os Dados Pessoais do Cliente contra perda ou destruição, alteração, divulgação ou acesso não autorizados, conforme descrito com mais detalhes no Apêndice B (as “Medidas Técnicas e Organizacionais”). 

 

3.2  Processamento por Subprocessadoras. A Hyland contratará apenas as Subprocessadoras listadas em https://community.hyland.com/en/connect/hyland-sub-processor-list (a “Lista de Subprocessadoras”) (que poderá ser atualizada pela Hyland periodicamente, sem alteração deste DPA). A Hyland firmou um contrato por escrito com cada Subprocessadora, contendo obrigações de proteção de dados para proteger os Dados Pessoais do Cliente da mesma forma garantida aos Titulares de Dados de acordo com a Lei de Proteção de Dados aplicável. A Hyland permanecerá responsável perante o Cliente pelos atos ou pelas omissões de suas Subprocessadoras. A Hyland notificará o Cliente acerca de quaisquer novas Subprocessadoras que pretenda contratar, atualizando a Lista de Subprocessadoras, à qual o Cliente pode se inscrever, com os nomes das novas Subprocessadoras. Nos casos em que tais direitos sejam concedidos pela Lei de Proteção de Dados aplicável, o Cliente poderá opor-se a qualquer nova Subprocessadora, exclusivamente por motivos razoáveis relacionados a preocupações com a proteção de dados, notificando a Hyland (de acordo com o Contrato) acerca dos motivos da objeção e os fundamentos de tal objeção, no prazo de dez dias corridos após a Hyland atualizar a Lista de Subprocessadoras para incluir a nova Subprocessadora. Em caso de tal objeção, a Hyland poderá optar por não contratar a nova Subprocessadora para Processar os Dados Pessoais do Cliente. Se a Hyland continuar a utilizar a nova Subprocessadora após a objeção razoável do Cliente, este poderá, mediante notificação à Hyland, optar por suspender ou rescindir as partes do Serviço afetadas pela utilização da nova Subprocessadora (sem prejuízo das taxas acumuladas ou dos direitos da Hyland de acordo com os termos do Contrato).

 

3.3         Confidencialidade dos Dados Pessoais. A Hyland tratará os Dados Pessoais do Cliente como confidenciais e garantirá que o pessoal da Hyland (incluindo contratados independentes) que esteja autorizado a acessar os Dados Pessoais do Cliente: (a) tenha celebrado compromissos de confidencialidade contratualmente vinculativos adequados (ou esteja sujeito a uma obrigação de confidencialidade); (b) esteja ciente da natureza confidencial dos Dados Pessoais do Cliente; e (c) tenha recebido treinamento adequado relacionado ao Processamento de Dados Pessoais do Cliente.

 

3.4         Auditorias de Tecnologia da Informação. A Hyland permitirá auditorias por parte do Cliente de acordo com o Contrato. Caso o Contrato não aborde auditorias por parte do Cliente, conforme tais direitos sejam concedidos pela Lei de Proteção de Dados aplicável, mediante solicitação razoável do Cliente, mas não mais do que uma vez por ano, a Hyland permitirá que o Cliente realize uma auditoria das políticas e dos registros de segurança e privacidade da Hyland em relação ao Processamento de Dados Pessoais do Cliente, bem como qualquer outra documentação que o Cliente possa razoavelmente solicitar para demonstrar a conformidade da Hyland com os requisitos deste DPA. Na medida em que o Cliente optar por realizar uma auditoria de acordo com o Contrato ou a frase imediatamente anterior, conforme aplicável, nas instalações físicas da Hyland, tal auditoria será limitada às áreas físicas onde ocorre o Processamento de Dados Pessoais do Cliente. O Cliente está proibido de distribuir ou publicar os resultados de tal auditoria a terceiros (exceto a uma autoridade supervisora competente) sem a prévia aprovação por escrito da Hyland. A critério da Hyland e mediante notificação prévia, o Cliente reembolsará os custos razoáveis da Hyland em relação a qualquer solicitação nesse sentido, de acordo com as taxas de serviços profissionais vigentes da Hyland (lista de taxas disponível mediante solicitação). Todas essas auditorias estarão sujeitas às obrigações de confidencialidade das Partes. Caso o Cliente contrate uma terceira parte para realizar uma auditoria, as Partes concordam que: (a) antes da auditoria, a terceira parte auditora e a Hyland celebrarão diretamente contratos de confidencialidade adequados; (b) quaisquer relatórios ou informações da Hyland coletados durante a auditoria poderão ser utilizados apenas para uso interno do Cliente; e (c) as disposições desta subseção aplicáveis ao Cliente aplicam-se igualmente à terceira parte auditora. 

 

3.5         Devolução ou Destruição de Dados Pessoais. A Hyland deverá excluir ou devolver os Dados Pessoais do Cliente de acordo com o Contrato. Caso o Contrato não mencione a exclusão ou devolução dos Dados Pessoais do Cliente, mediante solicitação por escrito do Cliente, a Hyland deverá providenciar a devolução imediata e segura e/ou a destruição permanente e segura de todos os Dados Pessoais do Cliente que estiverem em sua posse e controle, juntamente com todas as cópias (se houver), no prazo de 30 dias a partir da data da solicitação e, quando solicitado por escrito pelo Cliente, certificar que tal destruição tenha sido realizada. A Hyland não é obrigada a devolver ou destruir os Dados Pessoais do Cliente armazenados em mídias de backup ou arquivamento, mas deverá continuar a estender as proteções estabelecidas neste DPA a tais Dados Pessoais do Cliente enquanto estes permanecerem em sua posse. 

 

3.6         Solicitações Dirigidas à Hyland. Conforme legalmente permitido, a Hyland notificará o Cliente sem demora indevida após o recebimento de: (a) qualquer solicitação real ou presumida de (ou em nome de) um Titular de Dados exercendo seus direitos de acordo com os termos das Leis de Proteção de Dados; ou (b) qualquer correspondência ou comunicação de uma Autoridade Reguladora ou outra agência governamental. O Cliente será responsável por responder diretamente a tais solicitações. O Cliente reconhece e concorda que a Hyland não divulgará quaisquer Dados Pessoais do Cliente em resposta a qualquer solicitação nesse sentido sem a prévia autorização por escrito do Cliente, a menos que a Hyland seja obrigada a fazê-lo por lei aplicável. 

 

3.7         Solicitação de Informações. A pedido razoável do Cliente e na medida em que o Cliente não tenha acesso às informações relevantes, a Hyland prestará ao Cliente a cooperação e a assistência razoáveis necessárias para ajudá-lo a cumprir sua obrigação, nos termos das Leis de Proteção de Dados, de realizar avaliações relativas ao Tratamento de Dados Pessoais do Cliente. A critério da Hyland e mediante notificação prévia, o Cliente reembolsará os custos razoáveis da Hyland relacionados a tal solicitação, de acordo com as tarifas de serviços profissionais vigentes da Hyland (lista de tarifas disponível mediante solicitação). 

 

3.8         Denúncia de Violação de Dados Pessoais. A Hyland notificará o Cliente sem demora injustificada assim que tomar conhecimento de uma Violação de Dados Pessoais. A Hyland envidará esforços razoáveis para identificar a causa de tal Violação de Dados Pessoais e tomará as medidas que considerar necessárias e razoáveis para remediar a causa da Violação de Dados Pessoais. Em relação a tal Violação de Dados Pessoais, a Hyland auxiliará ainda o Cliente, considerando as informações disponíveis para a Hyland e a natureza do seu Processamento, no cumprimento das obrigações de notificação de Violação de Dados Pessoais do Cliente, se houver, nos termos das Leis de Proteção de Dados aplicáveis. Qualquer notificação apresentada pela Hyland nos termos desta subseção não deverá ser interpretada como uma admissão de culpa por parte da Hyland. 

 

4.            OBRIGAÇÕES DO CLIENTE RELATIVAMENTE A DADOS PESSOAIS 

 

4.1         O Cliente deverá, quando exigido pela Lei de Proteção de Dados aplicável, notificar terceiros de forma objetiva, sem prejudicar intencional ou injustificadamente a reputação da Hyland. A Hyland terá a oportunidade razoável de analisar qualquer notificação que a mencione nominalmente e terá o direito de revisar qualquer declaração relacionada à Hyland e aos Produtos ou Serviços.   

 

4.2         O Cliente deverá garantir que não está sujeito a qualquer proibição ou restrição que: (a) o impeça ou restrinja de divulgar ou transferir os Dados Pessoais do Cliente para a Hyland; (b) o impeça ou restrinja de conceder à Hyland acesso aos Dados Pessoais do Cliente; e/ou (c) impeça ou restrinja a Hyland de Processar os Dados Pessoais do Cliente, em cada caso, conforme necessário para que a Hyland forneça qualquer Produto ou execute os Serviços. 

 

4.3         O Cliente deverá garantir que todos os avisos exigidos pelas Leis de Proteção de Dados aplicáveis tenham sido fornecidos aos Titulares de Dados (e, quando exigido pelas Leis de Proteção de Dados aplicáveis, os consentimentos obtidos) e que sejam suficientes em escopo para permitir que a Hyland Processe os Dados Pessoais do Cliente de acordo com este Contrato e as Leis de Proteção de Dados aplicáveis.

 

4.4         O Cliente deverá garantir que todos os Dados Pessoais do Cliente divulgados ou transferidos para a Hyland sejam apenas a quantidade mínima necessária para usar qualquer Produto ou executar os Serviços. 

 

4.5         O Cliente deverá implementar e manter medidas de segurança técnicas e organizacionais razoáveis e adequadas, suficientes para impedir o acesso não autorizado aos Produtos ou Serviços por meio dos sistemas de informação do Cliente. 

 

4.6         O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais do Cliente fornecidos à Hyland e pelos meios pelos quais o Cliente obteve os Dados Pessoais do Cliente..

 

5.            TERMOS ESPECÍFICOS DA JURISDIÇÃO 

 

5.1         As Partes reconhecem que certas jurisdições exigem que as Partes forneçam proteções adicionais para os Dados Pessoais por meio de termos contratuais escritos quando os Dados Pessoais forem transferidos para um País Terceiro. Tais termos específicos da jurisdição estão descritos abaixo e, na medida em que forem aplicáveis, serão incorporados por referência a este DPA. Em caso de conflito entre quaisquer termos específicos da jurisdição e o Contrato, os termos específicos da jurisdição prevalecerão.     

 

5.1.1      Termos Específicos da Jurisdição do EEE: Estes termos (disponíveis em https://legal.hyland.com/jurisdiction-specific-terms-eea) aplicam-se quando (a) o Cliente (i) estiver localizado no Espaço Econômico Europeu ou na Suíça (coletivamente, “EEE”) ou (ii) estiver contratando em nome de qualquer membro de seu grupo corporativo localizado no EEE; e (b) a Hyland Processar Dados Pessoais do Cliente de um país fora do EEE que não esteja sujeito a uma Determinação de Adequação. 

 

5.1.2      Termos Específicos da Jurisdição do Reino Unido: Estes termos (disponíveis em https://legal.hyland.com/jurisdiction-specific-terms-uk) aplicam-se quando (a) o Cliente (i) estiver localizado no Reino Unido (“RU”), ou (ii) estiver contratando em nome de um membro do seu grupo empresarial localizado no RU; e (b) a Hyland Processar Dados Pessoais do Cliente de um país fora do RU que não esteja sujeito a uma Determinação de Adequação. 

 

5.1.3      Termos Específicos da Jurisdição do Brasil: Estes termos (disponíveis em https://legal.hyland.com/jurisdiction-specific-terms-brazil) aplicam-se quando (a) o Cliente estiver localizado no Brasil e (b) a Hyland Processar Dados Pessoais do Cliente de um país fora do Brasil e que não esteja sujeito a uma Determinação de Adequação. 

 

5.1.4      Termos Específicos da Jurisdição da Califórnia: Estes termos (disponíveis em https://legal.hyland.com/jurisdiction-specific-terms-california) aplicam-se quando (a) o Cliente estiver sujeito à CPRA e (b) a Hyland Processar Dados Pessoais de Titulares de Dados que residem na Califórnia. 

 

5.1.5      Termos Específicos da Jurisdição dos Estados Unidos: Estes termos (disponíveis em https://legal.hyland.com/business-associate-agreement) aplicam-se quando a Hyland Processar Dados Pessoais do Cliente que constituem Informações de Saúde Protegidas, conforme definido e sujeito à HIPAA. 

 

As Partes podem modificar ou adicionar termos específicos da jurisdição, conforme exigido pelas Leis de Proteção de Dados aplicáveis, mediante alteração escrita deste DPA.             

 

6.            PRAZO E RESCISÃO 

 

6.1         Prazo. Este DPA terá vigência a partir da Data de Entrada em Vigor e será automaticamente rescindido mediante a rescisão ou expiração do Contrato.

 

6.2         Efeito. Após o término deste DPA, a Hyland deverá devolver ou destruir quaisquer Dados Pessoais do Cliente, conforme estabelecido na Seção 3.5 acima. 

 

7.            DISPOSIÇÕES GERAIS 

 

7.1         Modificação. As Partes concordam em alterar este DPA periodicamente, conforme necessário, para que as Partes permaneçam em conformidade com as Leis de Proteção de Dados aplicáveis. 

 

7.2         Conflito. Este DPA substitui qualquer disposição inconsistente no Contrato e/ou em outros contratos existentes entre a Hyland e o Cliente com relação às obrigações das Partes de cumprir as Leis de Proteção de Dados no que diz respeito aos Dados Pessoais do Cliente. Em caso de conflito entre este DPA, o Contrato e os termos de quaisquer Termos Específicos da Jurisdição aplicáveis, os termos dos Termos Específicos da Jurisdição aplicáveis prevalecerão em relação aos Dados Pessoais sujeitos a esses Termos Específicos da Jurisdição. 

 

7.3         Idioma. A Hyland poderá disponibilizar outras versões deste documento em outros idiomas neste site. A versão em inglês deste documento prevalecerá sobre qualquer versão deste documento disponibilizada neste site em outro idioma, caso o Documento Incorporador esteja em inglês. Se o Documento Incorporador estiver em um idioma diferente do inglês (este idioma, o “Outro Idioma”), mas este documento não estiver disponível neste site em Outro Idioma, a versão em inglês prevalecerá sobre qualquer outra versão deste documento que possa ser disponibilizada neste site em outro idioma.

 

 

APÊNDICE A

 

Descrição do Processamento e Detalhes da Transferência

 

Objeto e duração do Processamento

O objeto do Processamento é o fornecimento de Produtos e Serviços pela Hyland, conforme o Contrato. 

 

A duração do Processamento corresponde ao prazo do Contrato, acrescido de qualquer período de rescisão, se aplicável. 

 

Categorias de Titulares de Dados cujos Dados Pessoais são Processados 

 

Qualquer Titular de Dados cujos Dados Pessoais sejam Processados pela Hyland de acordo com os termos do Contrato, o que pode incluir as seguintes categorias de Titulares de Dados: 

- Empregados do Cliente (empregados atuais, potenciais e antigos do Cliente) 

- Fornecedores do Cliente (assessores, consultores, fornecedores, contratados, subcontratados e outros profissionais contratados pelo Cliente e pela equipe relacionada, atuais e antigos) 

  • Clientes e Usuários Finais (usuários potenciais, atuais e antigos dos serviços ou produtos do Cliente)

 

Natureza e finalidade do Processamento

O objetivo do processamento é permitir que a Hyland forneça os Produtos e Serviços 

 

A natureza do Processamento pode incluir, mas não se limita a, coleta, registro, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição.

 

Categorias de Dados Pessoais Processados

Quaisquer Dados Pessoais enviados pelo Cliente à Hyland de acordo com os termos do Contrato.

Categorias de Dados Pessoais Sensíveis Processados

Não se prevê a recolha antecipada de quaisquer Dados Pessoais Sensíveis por parte da Hyland.

 

O Cliente fornecerá à Hyland as seguintes categorias de Dados Pessoais Sensíveis, conforme o Contrato:

 

PARA USO EXCLUSIVO DA SCCS DA UE E DA SCCS DO BRASIL

 

Exportador de Dados 

 

Cliente, conforme definido neste DPA. 

Importador de Dados   

 

Hyland, conforme definido neste DPA. 

Frequência da Transferência 

 

De forma contínua (serviços relacionados às ofertas hospedadas ou serviços em nuvem da Hyland).

Em caráter pontual (suporte técnico, serviços profissionais ou outros serviços aplicáveis).

Período de Retenção 

 

 

Para clientes de hospedagem ou nuvem, os dados são retidos durante a vigência do Contrato   ou da Assinatura do Produto aplicável, incluindo qualquer período de transição aplicável, sujeito a um período mais curto que o Cliente possa escolher, excluindo permanentemente os Dados Pessoais do Serviço de Nuvem. Os Dados Pessoais fornecidos à Hyland durante a prestação de suporte técnico ou serviços profissionais são retidos apenas pelo tempo necessário para os fins para os quais os Dados Pessoais foram transferidos e, em nenhum caso, por um período superior ao permitido pelas leis do país do Cliente.

Subprocessadoras 

 

A Hyland pode usar as subprocessadoras listadas em https://community.hyland.com/en/connect/hyland-sub-processor-list

Autoridade Supervisora Competente

Para qualquer Cliente UE/EEE, a autoridade supervisora competente é a autoridade supervisora do Estado-Membro da UE/EEE onde o Cliente está estabelecido. 

 

 

PARA USO EXCLUSIVO DA SCCS DO BRASIL

 

Qualificação do Exportador de Dados

 

O número CNPJ do Cliente, conforme especificado no Contrato ou fornecido à Hyland mediante solicitação.

Qualificação do Importador de Dados

N/A

 

 

 

 

 

 

 

 

 

 

 

 

PARA USO EXCLUSIVO COM OS TERMOS ESPECÍFICOS DA JURISDIÇÃO DO REINO UNIDO

Número de Registro Oficial do Exportador de Dados 

 

Número de registro oficial do Cliente, conforme especificado no Contrato ou fornecido à Hyland mediante solicitação.

Número de Registro Oficial do Importador de Dados

O número de registro oficial da Hyland, conforme especificado no Contrato ou fornecido ao Cliente mediante solicitação.

 

 

 

APÊNDICE B

 

Medidas Técnicas e Organizacionais

 

Considerando: 

•     a tecnologia de ponta, 

•     os custos de implementação e 

•     a natureza, o âmbito, o contexto e 

•     a finalidade do Processamento, bem como 

•     o risco de probabilidade e gravidade variáveis para os direitos e as liberdades das pessoas físicas 

 

A Hyland implementará as medidas técnicas e organizacionais estabelecidas no Contrato Principal da Hyland. Na medida em que o Contrato Principal da Hyland não especifique as medidas de segurança técnicas e organizacionais aplicáveis, a Hyland implementará as medidas de segurança técnicas e organizacionais estabelecidas neste Apêndice B, conforme segue: 

 

1.            Medidas para criptografia 

•     criptografia de dispositivos móveis, como laptops, tablets e smartphones 

•     criptografia de mídias de armazenamento móvel (CD/DVD-ROM, pen drives, discos rígidos externos)

•     armazenamento criptografado de senhas 

•     opção de criptografia para e-mails e anexos de e-mail confidenciais 

•     compartilhamento seguro de dados (por exemplo, SSL, FTPS, TLS) 

•     WLAN segura

 

2.            Medidas para garantir a confidencialidade 

a.            Medidas para garantir que pessoas não autorizadas não tenham acesso aos Dados Pessoais do Cliente: 

•     sistema de controle de acesso, leitor de documentos (cartão magnético/com chip) 

•     proteções de porta (abridor de porta elétrico, fechadura numérica etc.) 

•     proteção das instalações, incluindo seguranças na sede da Hyland 

•     sistema de alarme 

•     vigilância por vídeo 

•     medidas especiais de proteção para a sala de servidores 

•     áreas proibidas 

•     regras para visitantes (por exemplo: busca na recepção, registro do horário de visita, crachá de visitante, acompanhamento dos visitantes até a saída após a visita) 

 

b.           Medidas que impedem que pessoas não autorizadas utilizem os sistemas que Processam os Dados Pessoais do Cliente: 

•     login pessoal e individual para cadastro nos sistemas ou na rede da empresa 

•     processo de autorização para autorizações de acesso 

•     limitação de usuários autorizados 

•     autenticação única 

•     autenticação de dois fatores 

•     senhas da BIOS para laptops corporativos 

•     procedimentos de senha (indicação dos parâmetros da senha em relação à complexidade e ao intervalo de atualização) 

•     registro de acesso 

•     login adicional do sistema para determinados aplicativos 

•     bloqueio automático dos clientes após um determinado período de inatividade do usuário (incluindo protetor de tela protegido por senha ou modo de espera automático) 

•     firewall

 

c.            Medidas que garantem que apenas pessoas autorizadas tenham acesso aos sistemas que Processam Dados Pessoais do Cliente e que os Dados Pessoais do Cliente não possam ser lidos, copiados, modificados ou removidos sem autorização:

•     avaliações/registro do processamento de dados 

•     processo de autorização para autorizações 

•     rotinas de aprovação 

•     perfis / funções 

•     criptografia em repouso e em trânsito para os Dados Pessoais do Cliente transferidos para a Hyland por meio de sua ferramenta segura de transferência de arquivos 

•     sistema de Gerenciamento de Dispositivos Móveis para dispositivos móveis corporativos e dispositivos móveis pessoais aprovados (os dispositivos móveis não fazem parte da solução hospedada) 

•     segregação de funções, “segregação de tarefas” 

•     destruição de registros e dispositivos de armazenamento de acordo com a norma NIST 800-88, quando aplicável 

•     registros relacionados a atividades cibernéticas mantidos por no mínimo seis meses 

 

3.            Medidas para garantir a integridade 

•     direitos de acesso 

•     registro do lado do sistema 

•     sistema de gerenciamento de documentos (DMS) com histórico de alterações 

•     software de segurança/registro 

•     responsabilidades funcionais, responsabilidades especificadas pela organização 

•     conexões de dados remotas tuneladas (VPN = rede privada virtual)

•     assinatura eletrônica 

•     registro de transferência ou transporte de dados 

•     registro de acessos de leitura

 

4.            Medidas para garantir e restabelecer a disponibilidade 

•     conceito de segurança para software e aplicações de TI 

•     procedimentos de backup, quando aplicável 

•     armazenamento de dados em uma rede segura 

•     instalação de atualizações de segurança conforme necessário 

•     configuração de um sistema de alimentação ininterrupta 

•     instalações de arquivamento adequadas para documentos em papel 

•     proteção contra incêndio e/ou água para a sala de servidores 

•     sala de servidores com ar-condicionado 

•     proteção contra vírus 

•     firewall

•     plano de continuidade de negócios 

•     exercícios bem-sucedidos de recuperação de desastres 

•     armazenamento de dados redundante e localmente isolado (armazenamento externo), conforme aplicável 

 

5.            Medidas para garantir a resiliência 

•     plano de emergência em caso de avaria da máquina / plano de recuperação de negócios 

•     fonte de alimentação redundante 

•     capacidade suficiente de sistemas de TI e instalações 

•     processo logisticamente controlado para evitar picos de energia 

•     sistemas/instalações redundantes 

•     resiliência e gestão de erros 

 

6.            Procedimento para revisão, avaliação e análise periódicas da eficácia das medidas técnicas e organizacionais 

•     procedimentos para controles/auditorias regulares 

•     conceito para revisão, avaliação e análise regulares 

•     sistema de relatórios 

•     testes de penetração 

•     testes de emergência 

•     certificações aplicáveis 

 

7.            “Controle de instruções / controle de atribuições” 

•     processo de emissão e/ou cumprimento de instruções 

•     especificação das pessoas de contato e/ou empregados responsáveis 

•     controle/verificação de que a tarefa está sendo executada de acordo com as instruções 

•     treinamento/instrução de todos os empregados com acesso autorizado 

•     auditoria independente do cumprimento das instruções 

•     compromisso dos empregados em manter a confidencialidade 

•     contrato sobre penalidades por infrações às instruções 

•     gerente/coordenador de proteção de dados 

•     registro das atividades de processamento de acordo com o artigo 30, parágrafo 2 do GDPR, conforme aplicável 

•     política de Resposta a Incidentes de Segurança documentada, incluindo processos de escalonamento para Violações de Dados Pessoais 

•     diretrizes/instruções elaboradas para garantir medidas técnico-organizacionais para a segurança do processamento 

•     processo para encaminhamento de solicitações de titulares de dados

 

 

 

A versão mais atual deste documento online será aquela em vigor às 12:00am EST (horário padrão do leste dos EUA) da data indicada em tal versão online.