Conformidade RGPD

Segurança do tratamento

Quando você toma a decisão de confiar seus dados a um serviço de nuvem como o Cloudeezy®, nós entendemos o que está em jogo. É por isso que decidimos colocar à sua disposição as medidas tomadas pela nossa organização para proteger os seus dados.

Este Contrato de Subcontratação é parte integrante do Contrato de Serviços Cloudeezy® celebrado entre o Cliente e a Reendex S.A.S.U.

Os termos que começam com uma letra maiúscula e não estão definidos neste DPA terão o significado que lhes é dado no Acordo.

Para efeitos da execução e execução do Contrato, os Dados Pessoais na acepção do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (PDSR) podem ser comunicados a Cloudeezy® e/ou Cloudeezy® pode ter acesso aos mesmos.

A finalidade deste Contrato de Subcontratação é definir as condições nas quais a Cloudeezy® se compromete a realizar, com a única finalidade de estrita execução do Contrato, por conta exclusiva do Cliente e durante a vigência do Contrato, as operações de Tratamento de Dados Pessoais. As Partes comprometem-se, a partir da assinatura do Contrato, a cumprir o Regulamento de Protecção de Dados.

No âmbito do Contrato, o Cliente actua como responsável pelo tratamento dos dados no âmbito do DPSP, no que diz respeito aos Dados Pessoais, e Cloudeezy® actua como subcontratante no âmbito do DPSP.

O Cliente garantiu, com base nas informações fornecidas pela Cloudeezy® e outras informações à sua disposição, que a Cloudeezy® oferece garantias suficientes, nomeadamente em termos de experiência, recursos, capacidades e fiabilidade, para implementar as medidas técnicas e organizacionais necessárias para garantir que o Tratamento de Dados Pessoais previsto no Contrato seja efectuado de forma a cumprir o Regulamento de Protecção de Dados.

Cloudeezy® declara e garante que implementou todas as medidas técnicas e organizacionais necessárias para assegurar que o Tratamento de Dados Pessoais seja realizado de acordo com o Regulamento de Protecção de Dados, incluindo o RGPD.

1. Definições

Para além dos termos e expressões definidos neste Contrato de Subcontratação ("Contrato de Subcontratação"), os termos e expressões "Organização Internacional", "Responsável pela Protecção de Dados" e "Violação de Dados Pessoais" terão o mesmo significado que lhes é atribuído na DPMR. Além disso, os seguintes termos e expressões devem ter os significados abaixo, quer sejam utilizados no singular ou no plural:

- Dados Pessoais" significa qualquer informação relativa a uma pessoa singular identificada ou identificável, directa ou indirectamente, em particular por referência a um identificador, tal como um nome, um número de identificação, dados de localização ou um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social, que possam ser comunicados ou disponibilizados no contexto da execução e execução do Contrato;

- Medidas de segurança", as medidas de segurança previstas no Regulamento de Protecção de Dados e quaisquer outras obrigações previstas no Regulamento de Protecção de Dados para garantir a segurança e confidencialidade dos Dados Pessoais, incluindo as actividades a realizar em caso de Violação de Dados Pessoais, em especial para evitar ou reduzir os efeitos adversos da Violação de Dados Pessoais sobre as Pessoas em causa;

- Agente" refere-se aos empregados, pessoas autorizadas ou qualquer outra pessoa física autorizada a realizar operações de Processamento de Dados Pessoais comunicados ou disponibilizados pela Cloudeezy® e/ou seus possíveis Subcontratados subseqüentes;

- Pessoa Preocupada" significa as pessoas singulares identificadas ou identificáveis a quem os Dados Pessoais se referem;

- O "regulamento sobre a protecção de dados" remete para a RGPD, Lei n° 78-17 de 6 de Janeiro de 1978 relativa ao tratamento de dados, ficheiros e liberdades e suas sucessivas evoluções ("Loi Informatique et Libertés"), Directiva 2002/58/CE do Parlamento Europeu e do Conselho relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas, de 12 de Julho de 2002, bem como todas as disposições legislativas, regulamentos, orientações, pareceres, certificações, aprovações, recomendações ou decisões judiciais finais relativas à protecção de dados pessoais aplicáveis ao tratamento de dados pessoais, já em vigor ou que entrarão em vigor durante a vigência do presente Acordo de Subcontratação, incluindo as medidas, orientações e pareceres do Grupo de Trabalho referido no artigo 29.o da Directiva 95/46/CE do Comité Europeu para a Protecção de Dados referido nos artigos 63.o e seguintes da DPMR e de qualquer outra autoridade competente. Em caso de contradição entre a Lei de Protecção de Dados, a DPMR e/ou as medidas adoptadas pelas autoridades competentes na sua aplicação, prevalecerão as disposições da DPMR e as medidas adoptadas para a sua aplicação.

- "Tratamento(s)" significa o tratamento de Dados Pessoais na acepção da DGR, confiado à Cloudeezy® no contexto do Acordo e descrito no presente Contrato de Subcontratação.

2. Tratamento(s) sujeito(s) a Subcontratação

2.1. O Processamento realizado pela Cloudeezy® para os fins deste Contrato de Subcontratação só diz respeito aos tipos de Dados Pessoais e às categorias de Pessoas Preocupadas definidas pelo Cliente.

2.2 A Cloudeezy® compromete-se a garantir a confidencialidade dos Dados Pessoais e a assegurar que todos os Colaboradores e Subcontratados subsequentes autorizados a processar os Dados Pessoais ao abrigo deste Contrato de Subcontratação respeitem a confidencialidade dos Dados Pessoais. A obrigação de confidencialidade dos Dados Pessoais permanecerá em vigor cinco anos após a expiração do Contrato.

3. Natureza, objectivos e métodos do Processamento

3.1 Cloudeezy®, como Subcontratante do Tratamento, compromete-se, às suas próprias custas, a :

  1. processar os Dados Pessoais com a finalidade exclusiva de executar o Contrato dentro dos limites e de acordo com os termos e condições estipulados no Contrato, neste Contrato de Subcontratação e no Regulamento de Protecção de Dados;
  2. não definir de forma independente as modalidades do Processamento de Dados Pessoais e não agir como um controlador independente do Processamento em relação a eles;
  3. cumprir escrupulosamente as instruções escritas dadas pelo Cliente e informar o Cliente se considerar que uma instrução infringe o Regulamento de Protecção de Dados ou, de um modo mais geral, a legislação aplicável;
  4. Só processar Dados Pessoais que sejam estritamente necessários para o cumprimento do Contrato ou para o cumprimento de obrigações legais;
  5. processar os Dados Pessoais de forma lícita e de acordo com o Contrato, este Contrato de Subcontratação e os requisitos estabelecidos no Regulamento de Protecção de Dados;
  6. informar o Cliente de quaisquer requisitos para modificar, actualizar, corrigir ou apagar Dados Pessoais e comprometer-se a actualizar, modificar, corrigir ou apagar, a pedido do Cliente;
  7. assistir e colaborar com o Cliente em caso de pedido das autoridades competentes, das Pessoas Pretendidas e a fim de cumprir as obrigações decorrentes do Regulamento de Protecção de Dados;
  8. disponibilizar ao Cliente todas as informações em seu poder necessárias para demonstrar o cumprimento das obrigações previstas no Regulamento de Protecção de Dados.

3.2 Cloudeezy® está expressamente proibido de utilizar a totalidade ou parte dos Dados Pessoais, para qualquer finalidade, por conta própria ou de terceiros, seja durante a vigência do Contrato ou após a sua expiração.

4. Registro de Atividades de Tratamento

4.1. Em conformidade com o artigo 30, parágrafo 2, do RGPD, Cloudeezy® compromete-se a manter um registo separado, permanentemente actualizado, relativo a todas as categorias de actividades relacionadas com o Tratamento de Dados Pessoais realizadas em nome do Cliente.

Esta incluirá:

  1. o nome e os dados de contacto da Cloudeezy® e dos seus Subcontratados subsequentes, os do Cliente e, se aplicável, do Responsável pela Protecção de Dados do Cliente e da Cloudeezy® ;
  2. as categorias dos Tratamentos realizados em nome do Cliente;
  3. quando apropriado, transferências de Dados Pessoais para um país terceiro ou para uma Organização Internacional e, no caso das transferências referidas no segundo parágrafo do n.o 1 do artigo 49.o do GDMP, documentos que atestem a existência das garantias adequadas impostas pelo artigo 49.o do GDMP; e
  4. uma descrição geral das medidas de segurança técnicas e organizacionais a que se refere o n.º 1 do artigo 32:
    1. pseudonimização e encriptação de Dados Pessoais ;
    2. meios para assegurar a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;
    3. os meios para restaurar a disponibilidade e o acesso aos Dados Pessoais dentro dos prazos apropriados em caso de incidente físico ou técnico;
    4. um procedimento para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

4.2 Cloudeezy® compromete-se a fornecer sem demora ao Cliente uma cópia do registo referido na cláusula 4.1, a pedido do Cliente e/ou das autoridades competentes.

4.3. Cloudeezy® compromete-se a fornecer ao Cliente todas as informações relativas ao Tratamento de Dados Pessoais que o Cliente necessite razoavelmente para poder estabelecer o seu próprio registo de actividades relacionadas com o tratamento referido no artigo 30, parágrafo 1, da RGPD.

5. Obrigações relativas aos Participantes

5.1. Cloudeezy® compromete-se a garantir que os Agentes tenham acesso exclusivo aos Dados Pessoais estritamente necessários para o cumprimento do Contrato ou para o cumprimento das obrigações legais e tratará exclusivamente tais Dados Pessoais, em todos os casos, dentro dos limites e termos deste Contrato de Subcontratação, do Contrato e do Regulamento de Protecção de Dados.

5.2. Cloudeezy® também se compromete a autorizar o Tratamento de Dados Pessoais apenas aos Agentes que :

  1. em virtude da sua experiência, competências e formação, são capazes de assegurar o cumprimento dos Regulamentos de Protecção de Dados e quem deve ter acesso aos mesmos para poder cumprir o Contrato;
  2. tenham recebido formação, pelo menos uma vez por ano, sobre as obrigações previstas no Regulamento de Protecção de Dados;
  3. foram designados por escrito como Responsáveis de Operações de Processamento;
  4. Obrigada, por escrito, a observar estritas obrigações de confidencialidade durante o Processamento de Dados Pessoais;

e garantir escrupulosamente que os Colaboradores cumpram escrupulosamente as instruções recebidas e as obrigações que lhes incumbem.

5.3. Cloudeezy® compromete-se a estabelecer medidas físicas, técnicas e organizacionais destinadas a garantir que :

  1. cada Representante pode ter acesso exclusivamente aos Dados Pessoais que podem ser objeto de Processamento de acordo com a autorização que este Representante tem, dada a atividade que este Representante deve realizar dentro da estrutura do Contrato;
  2. qualquer Tratamento de Dados Pessoais que constitua uma violação do presente Contrato de Subcontrato, do Contrato e/ou do Regulamento de Protecção de Dados são prontamente identificados e comunicados ao Cliente, inclusive de acordo com o procedimento e dentro dos prazos referidos no artigo 8º, em caso de violação de Dados Pessoais; e
  3. no termo do Contrato ou da missão confiada ao Agente, o Agente cessará imediatamente o Processamento de Dados Pessoais e abster-se-á de guardar quaisquer cópias dos Dados Pessoais sob qualquer forma, em particular em formato electrónico ou papel.

6. Subempreiteiros subsequentes

6.1. Cloudeezy® só pode utilizar outro subcontratado ("Subcontratado Subsequente") para realizar actividades de Processamento específicas. A pedido do Cliente, a Cloudeezy® fornecerá ao Cliente uma lista dos Subcontratados Externos envolvidos no Contrato e informará o Cliente de quaisquer alterações a esses Subcontratados Externos.

6.2. Cloudeezy® assegurará que cada Subcontratado Final apresente garantias adequadas em relação ao Regulamento de Protecção de Dados no que diz respeito às medidas técnicas e organizacionais adoptadas para o Processamento de Dados Pessoais e assegurará que cada Subcontratado Final cesse imediatamente o Processamento de Dados Pessoais se estas garantias não forem cumpridas. Se um Subcontratado Final não cumprir com as suas obrigações no que diz respeito à protecção de Dados Pessoais, a Cloudeezy® permanece totalmente responsável perante o Cliente pelo cumprimento das suas obrigações por parte do Subcontratado Final.

6.3. Cloudeezy® deverá assegurar que cada Subcontratado Subsequente esteja sujeito às obrigações de confidencialidade adequadas e que se compromete a cumprir as obrigações deste Contrato de Subcontrato em nome e de acordo com as instruções do Cliente, através de um acordo escrito com conteúdo semelhante ao do Contrato de Subcontrato.

7. Medidas de segurança

7.1. Cloudeezy® compromete-se a adoptar Medidas de Segurança que respeitem as disposições do Regulamento de Protecção de Dados e do presente Acordo de Subcontratação.

7.2. Mais especificamente, Cloudeezy®, tendo em conta a situação actual, os custos de implementação e a natureza, finalidade, contexto e finalidades do Tratamento de Dados Pessoais, bem como o risco que o Tratamento apresenta para os direitos e liberdades dos indivíduos e a probabilidade e gravidade deste risco, compromete-se a aplicar medidas técnicas e operacionais adequadas para garantir um nível de segurança adequado ao risco envolvido no tratamento de dados pessoais, incluindo, se for caso disso, as medidas previstas no n.o 1 do artigo 32.o da DPMR. Em todos os casos, Cloudeezy® compromete-se :

  1. a adoptar, como requisito mínimo, todas as medidas técnicas e organizativas impostas pelo Regulamento de Protecção de Dados ;
  2. manter os Dados Pessoais separados de outros dados tratados em seu nome ou em nome de terceiros, apenas nos locais indicados pelo Cliente; e
  3. enviar, a pedido do Cliente, informações relativas, nomeadamente, às medidas físicas, organizacionais e técnicas adoptadas para o Tratamento de Dados Pessoais pela Cloudeezy® e pelos seus próprios Subcontratados Subsequentes, bem como quaisquer outras informações adicionais que possam ser solicitadas pelo Cliente em relação às medidas físicas, técnicas e organizacionais implementadas no âmbito do Tratamento de Dados Pessoais.

8. Violação de Dados Pessoais

8.1. Em caso de violação de dados pessoais, incidentes que possam comprometer a segurança dos dados pessoais (por exemplo: perda, dano ou destruição de dados pessoais, independentemente do meio ou formato (papel, electrónico ou outro), acesso não autorizado de terceiros a dados pessoais ou qualquer outra violação de dados pessoais), incluindo violações de dados pessoais decorrentes da conduta de qualquer subcontratante subsequente e/ou Cloudeezy® , Cloudeezy® , Cloudeezy® , Cloudeezy® , Cloudeezy® , Cloudeezy® :

  1. informar o Cliente sem demora após tomar conhecimento da violação através de uma notificação enviada por e-mail para o endereço de contacto do Cliente e fornecer-lhe as informações relevantes para que o Cliente, se necessário, possa notificar a autoridade de supervisão competente da violação; e
  2. em colaboração com o Cliente, adoptará imediatamente e, em qualquer caso, sem demora indevida, qualquer medida que se revele necessária para minimizar os riscos de qualquer tipo de pesagem sobre os Dados Pessoais e decorrentes da Violação dos mesmos e implementará qualquer operação que possa ser necessária para remediar a Violação dos Dados Pessoais, a fim de mitigar os seus possíveis efeitos nocivos e investigar a causa da mesma.
    • Para os fins deste Contrato de Subcontratação, a Cloudeezy® representa e garante que ela e quaisquer Subcontratados subsequentes adoptaram medidas técnicas e organizacionais que tornam improvável que uma possível Violação dos Dados Pessoais ameace os direitos e liberdades das Pessoas Pretendidas correspondentes, incluindo através de tecnologias como a encriptação que tornam os Dados Pessoais incompreensíveis para qualquer pessoa não autorizada a aceder aos mesmos.
    • Cloudeezy® compromete-se a manter um registo com as Violações de Dados Pessoais relacionadas com os Dados Pessoais objecto do presente Contrato de Subcontratação, as circunstâncias a eles associadas, as suas consequências, as medidas adoptadas para as remediar e qualquer violação do presente Contrato de Subcontratação.

9. Direitos das Pessoas Preocupadas

Cloudeezy® compromete-se a colaborar com o Cliente em medida razoável, a fim de garantir a satisfação, nos prazos e de acordo com os procedimentos previstos na lei, dos pedidos de exercício dos direitos das Pessoas Pretendidas, previstos no Regulamento de Protecção de Dados e, de uma forma mais geral, a fim de garantir o pleno cumprimento do Regulamento de Protecção de Dados. A este respeito, Cloudeezy® compromete-se a informar o Cliente sobre qualquer pedido de exercício de direitos feito pelas Pessoas Pretendidas em questão.

10. Comunicação e transferência de dados pessoais

Cloudeezy® se compromete, como parte do Tratamento que é objeto deste Contrato de Subcontratação,

  1. abster-se de divulgar ou comunicar os Dados Pessoais a terceiros, incluindo quaisquer Subcontratados Subsequentes, a menos que o Regulamento aplicável ou o Contrato o preveja expressamente ou que o Cliente o autorize por escrito; e
  2. abster-se de transmitir, divulgar ou armazenar Dados Pessoais num país fora da União Europeia sem o consentimento prévio e expresso do Cliente. Se Cloudeezy® for obrigado a transferir Dados Pessoais para um país terceiro ou para uma organização internacional, por força da lei da União ou da lei do Estado-Membro a que está sujeito, deve informar o Cliente antes do tratamento e justificar o carácter imperativo desta obrigação, a menos que a lei em causa proíba tais informações por razões importantes de interesse público.

11. Controle

11.1. Cloudeezy® compromete-se a fornecer ao Cliente, a pedido deste, qualquer documento razoavelmente necessário para garantir o cumprimento das obrigações decorrentes do presente Contrato de Subcontratação.

11.2 Cloudeezy® reconhece que o Cliente pode, às suas próprias custas, ter as medidas organizacionais, técnicas e de segurança adotadas pela Cloudeezy® em relação ao Tratamento de Dados Pessoais avaliados por um terceiro de confiança, reconhecidos como auditores independentes das Partes e designados pela Cloudeezy®, nas condições a serem definidas pela Cloudeezy® e pelo Cliente e dentro dos limites de manutenção da confidencialidade e segurança dos demais clientes da Cloudeezy®.

12. Compensação

O Cliente reconhece e concorda expressamente que a Cloudeezy® pode ser remunerada pela atividade do Subcontratado do Tratamento realizado por ele e seus Subcontratados subseqüentes no âmbito deste Contrato de Subcontratação.

13. Fim do Contrato

No final do Contrato, por qualquer motivo, Cloudeezy® cessará imediatamente todo o Processamento de Dados Pessoais e apagará os Dados Pessoais e quaisquer cópias dos mesmos, seja em formato electrónico ou em papel, dos sistemas informáticos, arquivos ou qualquer outro lugar ou dispositivo onde os Dados Pessoais sejam armazenados, no prazo de dez dias úteis, a menos que a retenção dos Dados Pessoais seja exigida pela lei aplicável, caso em que tal retenção só terá lugar dentro dos limites estritamente previstos por tal lei. Cabe, portanto, ao Cliente assegurar que os seus Dados Pessoais sejam retidos antes do final do Contrato.

14. Eliminação e Restituição de Dados Pessoais

No final do Serviço (em particular no caso de rescisão ou não renovação), Cloudeezy® compromete-se a eliminar, nos termos do Contrato, qualquer Conteúdo (em particular informações, dados, arquivos, sistemas, aplicações e outros elementos) reproduzido, armazenado, hospedado ou de outra forma utilizado pelo Cliente como parte dos Serviços, a menos que um pedido emitido por uma autoridade legal ou judicial competente, ou a lei aplicável da União Europeia ou de um Estado-Membro da União Europeia, exija o contrário. O Cliente é o único responsável por garantir que as operações necessárias (tais como backup, transferência para uma solução de terceiros, snapshots, etc.) para a retenção de Dados Pessoais sejam realizadas, em particular antes do término ou expiração dos Serviços, e antes de realizar qualquer operação para apagar, atualizar ou reinstalar os Serviços. A este respeito, o Cliente é informado de que a cessação e expiração de um Serviço por qualquer motivo (incluindo, mas não limitado a, não renovação), bem como certas operações de actualização ou reinstalação dos Serviços, podem resultar automaticamente na eliminação irreversível de qualquer Conteúdo (incluindo informações, dados, ficheiros, sistemas, aplicações e outros elementos) reproduzido, armazenado, alojado ou utilizado de outra forma pelo Cliente em ligação com os Serviços, incluindo qualquer potencial backup.

15. Responsabilidade

Cloudeezy® só pode ser considerada responsável pelos danos causados pelo processamento pelo qual (i) não cumpriu as obrigações previstas na DPMR que incumbem especificamente aos subcontratantes ou pelo qual (ii) agiu fora ou contrariamente às instruções legais do Cliente. Nesses casos, é aplicável a cláusula de Responsabilidade do Contrato. Se Cloudeezy® e o Cliente estiverem envolvidos numa operação de processamento de dados no âmbito deste Contrato que tenha causado danos a um envolvido, o Cliente pagará primeiro o montante total da compensação real (ou qualquer outra compensação) devida ao envolvido e, em seguida, reclamará da Cloudeezy® a parte da compensação correspondente à quota-parte de responsabilidade da Cloudeezy® pelos danos, ficando especificado que as disposições de limitação de responsabilidade do Contrato permanecerão aplicáveis.

16. Auditorias

Cloudeezy® fornece ao Cliente todas as informações necessárias para (a) demonstrar a conformidade com os requisitos da DGR e (b) realizar auditorias. Estas informações estão disponíveis na documentação padrão no site Cloudeezy® ou no site do Serviço que opera uma marca Cloudeezy® subscrita pelo Cliente. Informações adicionais podem ser fornecidas ao Cliente mediante solicitação ao Suporte Cloudeezy®. Se um Serviço é certificado, cumpre com um código de conduta ou está sujeito a procedimentos de controlo específicos, Cloudeezy® disponibilizará, mediante pedido escrito do Cliente, os certificados e relatórios de controlo correspondentes. Se as informações, relatórios e certificados acima mencionados se revelarem insuficientes para permitir ao Cliente demonstrar que as obrigações estabelecidas na DGR são cumpridas, Cloudeezy® e o Cliente devem então reunir-se para acordar as condições operacionais, de segurança e financeiras para uma inspecção técnica no local. Em qualquer caso, as condições desta inspecção não devem afectar a segurança de outros clientes Cloudeezy®.

A inspecção no local acima referida e a comunicação de certificados e relatórios de inspecção podem dar origem a uma taxa adicional razoável. Qualquer informação comunicada ao Cliente ao abrigo desta cláusula que não esteja disponível no Web Site Cloudeezy® ou no Web Site do Serviço que explore uma marca registada Cloudeezy® subscrita pelo Cliente será considerada informação confidencial de Cloudeezy® nos termos do Contrato. Antes de divulgar tais informações, Cloudeezy® pode exigir a assinatura de um acordo de confidencialidade específico. Não obstante o acima exposto, o Cliente está autorizado a responder aos pedidos da autoridade reguladora competente desde que qualquer divulgação de informação seja estritamente limitada ao que for solicitado pela referida autoridade. Neste caso, e a menos que seja proibido pela lei aplicável, o Cliente deve consultar previamente a Cloudeezy® sobre qualquer divulgação necessária.


Anexo 2 da Convenção, de acordo com o artigo 28º do GDPR

Medidas técnicas e organizacionais de acordo com o Art. 32 do GDGR e emendas

1. Privacidade

  • Controle de acesso físico
    • Frotas de centros de dados
      • sistema de controle eletrônico de entrada física com diário de bordo
      • vedação perimetral de alta segurança em todo o parque do centro de dados
      • distribuição documentada das chaves concedidas aos funcionários do fornecedor e aos clientes de colocação - para racks de colocação (para cada Cliente, apenas para o seu rack)
      • políticas de acompanhamento e designação de hóspedes no edifício
      • Pessoal do centro de dados 24 horas
      • vigilância por vídeo nas entradas e saídas; sistemas de fecho de portas de segurança e salas de servidores
      • para pessoas externas ao fornecedor (visitantes do centro de dados), o acesso ao edifício só é permitido na empresa de um funcionário do centro de dados
    • Monitorização
      • sistema electrónico de controlo de acesso físico com diário de bordo
      • monitoramento de vídeo para todas as entradas e saídas
  • Controlo de acesso electrónico
    • Para implementações de servidores gerenciados, hospedagem web e serviços de armazenamento
      • O acesso é protegido por senha e apenas os funcionários do fornecedor têm acesso a senhas. As senhas devem ser mantidas a um comprimento mínimo e as novas senhas devem ser alteradas regularmente.
      • a senha do Cliente para a interface de administração, após a implementação inicial, só pode ser alterada pelo Cliente; a senha deve estar de acordo com as diretrizes pré-definidas. Além disso, o Cliente pode usar a autenticação de dois fatores para garantir ainda mais sua conta.
  • Controlo de acesso interno
    • Para os sistemas de administração interna do fornecedor
      • o provedor deve impedir o acesso não autorizado, aplicando atualizações de segurança regulares e usando tecnologia de última geração
      • um processo de autorização obrigatório e à prova de revisão para os funcionários do fornecedor.
    • Para a produção do serviço de armazenamento
      • o provedor deve impedir o acesso não autorizado, aplicando atualizações de segurança regulares e usando tecnologia de última geração
      • um processo de autorização obrigatório e à prova de revisão para os funcionários do fornecedor; e
      • apenas o cliente é responsável pelos dados / software transferidos no que diz respeito à segurança e atualizações
  • Controle de transferência
    • Frotas de centros de dados
      • Os discos que estavam rodando em servidores cancelados serão repetidamente apagados (apagados) de acordo com as políticas de proteção de dados no final do contrato. Após extensos testes, os discos escaneados serão reutilizados.
      • Os discos defeituosos que não possam ser apagados com segurança devem ser destruídos (retalhados) directamente no centro de dados.
  • Controle de isolamento
    • Para os sistemas de administração interna do fornecedor
      • os dados devem ser isolados física ou logicamente e gravados separadamente de outros dados
      • As cópias de segurança de dados também devem ser feitas usando um sistema similar de isolamento físico ou lógico
    • Para a produção do serviço de armazenamento
      • os dados devem ser isolados física ou logicamente e gravados separadamente de outros dados
      • As cópias de segurança de dados também devem ser feitas usando um sistema similar de isolamento físico ou lógico

2. Integridade (Art. 32(1)(b) da RDA)

  • Controle de transferência de dados
    • todos os empregados são treinados de acordo com o Art. 32(4) da DPMR e são obrigados a garantir que os dados pessoais sejam processados de acordo com os regulamentos de protecção de dados
    • eliminação de dados de acordo com as normas de protecção de dados após a rescisão do contrato
    • as opções de transmissão de dados criptografados são fornecidas como parte da descrição do serviço da comissão principal
  • Controle de entrada de dados
    • Para os sistemas de administração interna do fornecedor
      • os dados são introduzidos ou recolhidos pelo Cliente
      • as alterações de dados são gravadas
    • Para a produção do serviço de armazenamento
      • os dados são introduzidos ou recolhidos pelo cliente
      • as alterações de dados são gravadas

3. Disponibilidade e resiliência (art. 32, par. 1, cláusula b do GDGR)

  • Verificação da disponibilidade
    • Para os sistemas de administração interna do fornecedor
      • conceito de backup e restauração com backups diários de todos os dados relevantes
      • uso profissional de programas de segurança (antivírus, firewall, programas de criptografia, filtros de spam)
      • uso de espelhamento de disco em todos os servidores relevantes
      • monitorização de todos os servidores relevantes
      • utilização de uma fonte de alimentação ininterrupta ou de um sistema de energia de emergência
      • Protecção DDoS permanentemente activa

Outros artigos semelhantes