Acordo de processamento de encomendas (APD)

Versão; abril de 2023.
Sujeito a alterações em qualquer altura.

Preâmbulo
Este Acordo de Processamento de Dados (doravante "APD") especifica as obrigações relativas à proteção de dados decorrentes da relação contratual entre a ASMIQ I/O AG (doravante "Fornecedor") e os seus clientes (doravante "Cliente"). A relação contratual entre as partes baseia-se nos Termos e Condições Gerais (doravante "TCG") e na Política de Privacidade (doravante "APD"), pelo que estes são parte integrante da APD. O ATD aplica-se a todas as actividades decorrentes da relação contratual entre as Partes em que os funcionários do Prestador ou terceiros por ele contratados tratem dados pessoais (doravante "Dados") do Cliente. O Cliente pode contactar o responsável pela proteção de dados do Prestador em datenschutz@old.asmiq.io para todas as questões de proteção de dados que possam surgir.

  1. Objeto, duração e especificação do tratamento da encomenda
    1.1 O objeto e a duração da encomenda, bem como o tipo e a finalidade do tratamento são geralmente definidos nas CGV, a menos que as disposições seguintes contenham obrigações adicionais.
    1.2 O Anexo A da DPA especifica o objeto, a natureza e a finalidade do tratamento encomendado.
  2. Âmbito de aplicação e responsabilidade
    2.1 O Prestador trata os dados pessoais por conta do Cliente. Isto inclui as actividades especificadas nas CGU, no ESD, no Anexo A das CGU e na descrição atual do serviço no sítio Web do Prestador.
    2.2 No âmbito da relação contratual, o cliente é o único responsável pelo cumprimento das disposições legais de proteção de dados, em particular pela legalidade da transferência de dados para o fornecedor e pela legalidade do processamento de dados.
  3. Obrigações do prestador
    3.1 O Fornecedor processa os dados das pessoas em causa apenas no âmbito da relação contratual, em conformidade com as CGV, o DSE e a presente APD, salvo exceção legalmente regulamentada.
    3.2 O prestador de serviços concebe a organização interna na sua área de responsabilidade de modo a cumprir as exigências especiais da proteção de dados. O prestador toma medidas técnicas e organizativas para a proteção adequada dos dados do cliente que cumpram os requisitos legais aplicáveis. Estas medidas asseguram, nomeadamente, a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços relacionados com o tratamento a longo prazo. O cliente tem conhecimento destas medidas técnicas e organizativas e é responsável por garantir que estas oferecem um nível de proteção adequado aos riscos dos dados a tratar.
    3.3 As medidas adoptadas pelo prestador são especificadas no anexo B. As medidas técnicas e organizativas estão sujeitas ao progresso técnico e ao desenvolvimento futuro. A este respeito, o prestador pode, em qualquer altura, implementar medidas alternativas adequadas. Ao fazê-lo, o nível de segurança acordado contratualmente com a presente CGU não pode ser prejudicado.
    3.4 Se acordado, o prestador apoia o cliente, dentro das suas possibilidades, no cumprimento dos pedidos de proteção de dados e das reivindicações dos titulares dos dados e no cumprimento das obrigações de proteção de dados. De acordo com as CGV, o prestador tem o direito de exigir uma indemnização pelas despesas incorridas neste âmbito.
    3.5 Os funcionários envolvidos no tratamento dos dados do Cliente e outros terceiros que trabalham para o Fornecedor tratam os dados exclusivamente no âmbito da relação contratual, de acordo com as CGV, o DSE e o presente DPA e são obrigados a manter a confidencialidade.
    3.6 Se o prestador de serviços tiver conhecimento de uma violação da proteção de dados pessoais, deve tomar medidas razoáveis para proteger os dados e minimizar as possíveis consequências negativas para as pessoas em causa. Além disso, o prestador deve cumprir integralmente as disposições legais aplicáveis no que respeita à comunicação de violações de dados.
    3.7 O prestador cumpre integralmente as disposições aplicáveis em matéria de proteção de dados e revê regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento.
    3.8 O prestador processa e conserva os dados pessoais durante o período de vigência da relação contratual entre o prestador e o cliente. O prestador rectifica ou apaga os dados contratuais se o cliente assim o solicitar e se tal for abrangido pelo âmbito das instruções. Isto não se aplica aos dados que são necessários para um processamento posterior devido a regulamentos legais ou para fins internos obrigatórios. A disponibilização dos dados e a respectiva remuneração são reguladas nas CGV.
  4. Obrigações do cliente
    4.1 O Cliente tem de informar o Fornecedor imediatamente e na íntegra, por escrito ou através do centro de ajuda na Internet (sistema de bilhetes), caso detecte erros ou irregularidades nos resultados da encomenda no que diz respeito aos regulamentos de proteção de dados.
    4.2 O cliente indica ao prestador a pessoa de contacto para as questões de proteção de dados que surjam no âmbito da relação contratual, se esta for diferente da pessoa de contacto indicada.
    4.3 O cliente declara que é o único responsável por informar as pessoas afectadas pelo processamento de dados sobre o possível armazenamento e utilização de dados,
    -O Fornecedor processa e transmite os dados de acordo com as disposições do TCG, do DSE e do presente DPA. Se os titulares dos dados individuais não concordarem com o processamento de dados pretendido, o cliente é responsável por solicitar a eliminação dos respectivos dados através do centro de ajuda baseado na Web (sistema de bilhetes).
    4.4 Ao aceitar as CGV e o DSE, o Cliente declara expressamente o seu consentimento para a transmissão dos seus dados à empresa-mãe e às empresas associadas do Prestador. O Cliente liberta o Prestador de eventuais reclamações. A obtenção do consentimento das pessoas em causa é da responsabilidade do Cliente.
  5. Pedidos de informação das pessoas afectadas
    5.1 Se uma pessoa em causa contactar o prestador com pedidos de retificação, apagamento ou informação, o prestador encaminha a pessoa em causa para o cliente, desde que seja possível uma atribuição ao cliente de acordo com as informações fornecidas pela pessoa em causa. O prestador transmite o pedido da pessoa em causa ao cliente num prazo razoável. O Prestador pode apoiar o Cliente em caso de reclamação da proteção de dados por parte de uma pessoa em causa no âmbito das suas possibilidades. Neste caso, o prestador tem o direito de exigir uma indemnização pelas despesas. O prestador não é responsável se o pedido da pessoa em causa não for respondido pelo cliente, se não for respondido corretamente ou se não for respondido atempadamente.
  6. Opções de verificação
    6.1 O prestador fornece ao cliente, por meios adequados, provas do cumprimento das obrigações previstas no presente anexo. Esta prova deve assumir a forma de uma auto-auditoria e/ou de uma certificação ISO.
    6.2 Se forem necessárias inspecções pelo Cliente ou por um auditor contratado pelo Cliente em casos individuais (por exemplo, devido ao RGPD), estas devem ser realizadas durante o horário normal de expediente sem perturbar as operações após notificação, tendo em conta um prazo razoável. O prestador de serviços pode fazer depender este facto de uma notificação prévia com um prazo razoável e da assinatura de um acordo de confidencialidade relativo aos dados de outros clientes e às medidas técnicas e organizacionais em vigor. Se o auditor contratado pelo cliente tiver uma relação de concorrência com o prestador, o prestador pode rejeitar o auditor e propor uma pessoa neutra. O prestador pode cobrar ao cliente os custos associados à auditoria, nomeadamente se não forem detectadas irregularidades.
    6.3 Se uma autoridade de controlo da proteção de dados ou outra autoridade de controlo soberana do cliente efetuar uma inspeção, aplica-se o ponto 6.2. Não é necessário assinar um acordo de confidencialidade se esta autoridade de controlo estiver sujeita a uma obrigação de confidencialidade profissional ou legal, cuja violação seja punível ao abrigo do Código Penal alemão.
  7. Subcontratantes (outros transformadores)
    7.1 O Fornecedor pode contratar subcontratantes para cumprir o serviço contratual. A contratação de subcontratantes como subcontratantes pelo Prestador é permitida, desde que estes cumpram os requisitos da presente APD no âmbito do subcontrato. O Prestador deve celebrar acordos com os subcontratantes na medida do necessário para garantir medidas adequadas de proteção de dados e de segurança da informação. Os subcontratantes que não tenham acesso aos dados dos clientes ou que não processem dados pessoais como subcontratantes estão excluídos desta secção.
  8. Dever de informação
    8.1 Se os dados do cliente junto do prestador de serviços forem postos em causa por apreensão ou confisco, por um processo de insolvência ou de concordata ou por outros eventos ou medidas de terceiros, o prestador de serviços informa imediatamente o cliente desse facto. O prestador informa imediatamente todas as pessoas responsáveis neste contexto que a soberania e a propriedade dos dados pertencem exclusivamente ao cliente.
  9. Responsabilidade civil
    9.1 A responsabilidade é regida pelas disposições correspondentes das CGV.
  10. Diversos
    10.1 Em todos os outros aspectos, as disposições dos TCG e da DSE são aplicáveis. Em caso de contradição entre a APD e os TCG, prevalecem as disposições dos TCG. A invalidade de determinadas partes da APD não afectará a validade das CGV e das restantes disposições da APD. Os Apêndices A e B são parte integrante das CGU.

ASMIQ E/S AG
Baslerstrasse 60
8048 Zurique

Apêndice A Objeto, natureza e finalidade
Apêndice B Medidas técnicas e organizativas (MTO)

  1. Apêndice A - Objeto, natureza e finalidade
Objeto do pedido:Tratamento dos dados pessoais do cliente no âmbito da sua utilização dos serviços do prestador enquanto Software como Serviço.
Natureza e objetivo do tratamento previsto dos dados:Os dados pessoais tratados pelo cliente são transferidos para o fornecedor no âmbito dos serviços de software como serviço. O prestador trata estes dados exclusivamente em conformidade com as CGV e a descrição do serviço correspondente no sítio Web do prestador (gestão de encomendas, gestão de contactos (CRM), contabilidade, banca eletrónica, contabilidade dos salários, gestão de armazéns, gestão de projectos, etc.).
Tipo de dados pessoais:Os tipos de dados dependem dos dados transmitidos pelo cliente. Trata-se, nomeadamente (consoante a ordem), de
Dados pessoais (nome, data de nascimento, endereço, entidade patronal), incluindo dados de contacto (por exemplo, telefone, e-mail)
Dados contratuais, incluindo dados de faturação e pagamento
Histórico dos dados do contrato
Categorias de titulares de dados:As categorias de pessoas em causa dependem dos dados transmitidos pelo cliente. Trata-se, nomeadamente (consoante a ordem), de
Funcionários (incluindo candidatos e antigos funcionários) do cliente
Clientes do cliente
Partes interessadas do cliente
Prestador de serviços do cliente
Dados de contacto das pessoas de contacto
Eliminação, bloqueio e correção de dados:Os pedidos de supressão, bloqueio e correção devem ser dirigidos ao cliente; caso contrário, aplicam-se as disposições das CGV, do DSE e das presentes CGU.


Apêndice B - Medidas técnicas e organizativas (MTO)

  1. Confidencialidade
    1.1. Controlo de acesso
    1.1.1 Medidas físicas
    - Planeamento da construção de acordo com a norma SIA

1.1.2 Medidas técnicas
- Sistema de alarme contra intrusão (quando instalado)
- Sistema de alarme de incêndio
- Vigilância por vídeo pontual
- Sistema de controlo de acesso (eletrónico)

1.1.3 Medidas organizacionais
- Receção
- Registo de visitantes
- Seleção cuidadosa do pessoal

1.2 Controlo de acesso
1.2.1 Medidas técnicas
- Utilização de firewalls
- Software anti-malware
- Iniciar sessão com o ID de utilizador e a palavra-passe
- Acesso remoto através de VPN e/ou MFA (token de hardware, aplicação ou SMS (mTAN))
- Alteração forçada da palavra-passe de acordo com as especificações informáticas
- Impressora com função de autenticação (se for caso disso)

1.2.2 Medidas organizacionais
- Seleção da palavra-passe predefinida

1.3 Controlo de acesso / controlo de entrada
1.3.1 Medidas técnicas
- Atribuição de uma identidade única a cada conta
- Destruição física dos suportes de dados
- Eliminação não reversível dos suportes de dados

1.3.2 Medidas organizacionais
- Especificação da política de "mesa limpa" (se for caso disso)
- Especificação da destruição de ficheiros e suportes de dados (se for caso disso)

1.4 Controlo da separação
1.4.1 Medidas técnicas
- Utilização de firewalls
- Separação dos ambientes de produção, integração e teste
- Separação lógica de clientes (capacidade multi-cliente)

1.4.2 Medidas organizacionais
- Conceitos de autorização (utilizadores/ administradores/ super utilizadores)

  1. Integridade
    2.1 Controlo da transferência
    2.1.1 Medidas técnicas
  • Utilização de VPN
  • Transporte seguro de dados (SSL/TLS, SFTP (FTP sobre SSH))
  • Autenticação WLAN

2.1.2 Medidas organizacionais

  • Documentação dos destinatários dos dados e duração dos períodos de transferência ou eliminação previstos (transferência web "rumplet")
  • Seleção cuidadosa do pessoal e dos veículos
  • Acesso remoto/manutenção remota por defeito
  1. Disponibilidade (e resiliência)
    3.1 Controlo da disponibilidade
    3.1.1 Medidas técnicas
  • Centros de dados redundantes
  • Sistema UPS/unidade diesel
  • Cópias de segurança completas e incrementais regulares
  • Cópias de segurança offline (armazenamento de dados separado localmente)
  • Testes de recuperação regulares
  • Controlos de segurança regulares ao nível das infra-estruturas e das aplicações
  • Automação de edifícios: monitorização de salas de servidores (temperatura, humidade, fumo)
  • Proteção contra sobretensão
  • Sala de servidores protegida por alarme (alarme em caso de acesso não autorizado/porta aberta)

3.1.2 Medidas organizacionais

  • Processo de segurança para software e aplicações informáticas
  • Processo abrangente de cópia de segurança e recuperação (online/offline; no local/fora do local)
  • Plano de emergência (técnico, organizacional)
  • Processos normalizados para mudanças/saídas de empregados
  1. Procedimentos de revisão, apreciação e avaliação regulares
    4.1 Gestão da proteção de dados
    Na prestação de serviços aos seus clientes, o ASMIQ atribui grande importância ao tratamento responsável e em conformidade com a lei dos dados pessoais. O ASMIQ garante que os dados são tratados com grande cuidado e de acordo com as disposições legais relevantes da lei de proteção de dados.

4.1.1 Medidas técnicas

  • Documentação sobre proteção de dados para os trabalhadores (intranet)
  • Revisão periódica da eficácia das medidas técnicas de proteção
  • Gestão da proteção de dados com soluções de ferramentas de apoio (gestão de interfaces, diretórios de processamento, etc.)

4.1.2 Medidas organizacionais

  • Nomeação do(s) responsável(eis) pela proteção de dados
  • Obrigação dos trabalhadores de manter a confidencialidade
  • Garantia das obrigações de informação
  • Processo de tratamento dos pedidos de informação e de outros direitos das pessoas em causa

4.2 Gestão da resposta a incidentes
4.2.1 Medidas técnicas Pré-requisito:

  • Kit de ferramentas de resposta a incidentes
  • Serviços anti-phishing
  • Proteção DDoS

4.2.2 Medidas organizacionais

  • Processo de comunicação de violações de dados
  • Envolvimento dos responsáveis pela proteção de dados em incidentes de segurança e violações de dados
  • Envolvimento dos responsáveis pela segurança da informação em incidentes de segurança e violações de dados
  • Definição do papel das operações na gestão de crises

4.3 Privacidade e segurança desde a conceção
4.3.1 Medidas técnicas

  • Aplicação de diferentes ferramentas de segurança no contexto do desenvolvimento de software
  • Controlos de segurança para software desenvolvido internamente

4.3.2 Medidas organizacionais

  • Recomendações de medidas técnicas para o desenvolvimento seguro de software
  • Implantação de defensores da segurança (funcionários com conhecimentos profundos em matéria de segurança da informação e/ou proteção de dados)
  • Oportunidade de formação contínua em desenvolvimento de software
  1. Programa de gestão da segurança dos fornecedores
    O ASMIQ atribui grande importância ao trabalho seguro e em parceria com os seus fornecedores de serviços, porque o ASMIQ quer contribuir para a confiança digital e reforçar a confiança dos clientes nos seus produtos. O ASMIQ vê o contacto pessoal e de confiança com prestadores de serviços altamente críticos como a chave para uma colaboração segura e resiliente num ecossistema digital cada vez mais carregado de riscos. O ASMIQ considera os relatórios, as avaliações e os intercâmbios profissionais com os prestadores de serviços como um valor acrescentado a favor dos seus prestadores de serviços. O ASMIQ acredita que isto contribui para a otimização da segurança digital no interesse de todos os clientes.
  2. Desenvolvimento de software
    O ASMIQ baseia o seu desenvolvimento de software nas melhores práticas internacionais e estabeleceu uma configuração mínima de segurança para cada projeto. Dependendo da criticidade dos serviços ou produtos operados, são efectuados outros testes de segurança abrangentes com base no risco.

O ASMIQ utiliza os seguintes métodos para o desenvolvimento seguro de software:

  • Revisão segura do código com o objetivo de identificar erros, defeitos e incompatibilidades com os requisitos ou vulnerabilidades de segurança, bem como de melhorar a gestão do conhecimento.
  • Testes estáticos de segurança de aplicações (SAST) para verificar o código fonte, ficheiros binários e bytecode com cobertura da maioria das linguagens de programação (ferramenta de caixa branca)
  • Ferramenta de Teste de Segurança de Aplicações Dinâmicas (DAST) para reconhecer as condições que indicam vulnerabilidades de segurança numa aplicação em execução com testes aprofundados para vulnerabilidades de entrada e saída (ferramenta de caixa negra)
  • Ferramenta interactiva de teste da segurança das aplicações (IAST) como agente para testar o fluxo de dados para aceder ao código estático
  • Análise da composição do software (SCA) para analisar a composição do software de fonte aberta, incluindo dependências transitivas e para gerir licenças (FOSS)

O ASMIQ utiliza as seguintes ferramentas, entre outras, para o desenvolvimento de software:

  • Git/ Bitbucket (Revisão de código)
  • Sonar (SAST)
  • Fortify (SAST)
  • Seeker (IAST)
  • Raio X (SCA)
Deslocar para o topo