Adenda de Processamento de Dados

Última atualização em 10 de outubro de 2023

‍

Para obter uma versão assinada deste adendo, visite security.meetgeek.ai

Adendo de processamento de dados MeetGeek

Este Adendo de Processamento de Dados (”DPA”) rege o processamento pela MeetGeek dos dados do cliente fornecidos pelo cliente à MeetGeek por meio da API da MeetGeek ou de quaisquer serviços da MeetGeek para empresas (”Serviços”) sob os termos do MeetGeek Termos de uso, Contrato empresarial ou outro contrato entre o Cliente e a MeetGeek que rege o uso dos Serviços pelo Cliente (o”Contrato”) e está incorporado ao Contrato. Se e na medida em que o idioma deste DPA entre em conflito com o Contrato, os termos conflitantes neste DPA prevalecerão. Os termos em maiúsculas não definidos neste DPA têm o significado estabelecido no Contrato. Apenas para fins deste DPA, “Cliente” inclui qualquer entidade afiliada do Cliente que (a) tenha preenchido um Formulário de Pedido com a MeetGeek e que (b) direta ou indiretamente, por meio de um ou mais controles intermediários, seja controlada ou esteja sob controle comum com o Cliente.  

A MeetGeek e o Cliente concordam em cumprir suas respectivas obrigações de acordo com as leis aplicáveis de privacidade e proteção de dados (coletivamente,”Leis de proteção de dados”) em conexão com os Serviços. As leis de proteção de dados podem incluir, dependendo das circunstâncias, Cal. Civ. Código § 1798.100 et seq., conforme alterado pela Lei de Direitos de Privacidade da Califórnia de 2020 (Lei de Privacidade do Consumidor da Califórnia) (”CCPA”), Colorado. Rev. Stat. § 6-1-1301 et seq. (a Lei de Privacidade do Colorado) (”CPA”), Lei de Privacidade de Dados de Connecticut (”CTDPA”), Utah Code Ann. § 13-61-101 et seq. (Lei de Privacidade do Consumidor de Utah) (”XÍCARA”), VA Code Ann. § 59.1-575 et seq. (Lei de Proteção de Dados do Consumidor da Virgínia) (”VCDPA”) (coletivamente”Leis de privacidade dos EUA”) e o Regulamento Geral de Proteção de Dados da União Europeia (Regulamento (UE) 2016/679) (”GDPR”) e legislação e regulamentos subordinados aplicáveis que implementam essas leis.

Em conexão com o Contrato, o Cliente é a pessoa que determina as finalidades e os meios pelos quais os Dados do Cliente (conforme definido abaixo) são processados (a”Controlador de dados”), enquanto o MeetGeek processa os dados do cliente de acordo com as instruções do controlador de dados e em nome do controlador de dados (como um”Processador de dados”). “Controlador de dados” e “processador de dados” também significam os conceitos equivalentes nas Leis de Proteção de Dados. Para os fins do Contrato e deste DPA, (i) “Dados Pessoais” tem o significado atribuído ao termo “dados pessoais” ou “informações pessoais” de acordo com as Leis de Proteção de Dados aplicáveis; e (ii)”Dados do cliente” significa Dados Pessoais que o Cliente fornece à MeetGeek que a MeetGeek processa em nome do Cliente para fornecer os Serviços. A MeetGeek processará os Dados do Cliente como Processador de Dados do Cliente para fornecer ou manter os Serviços e para os fins estabelecidos neste DPA, no Contrato e/ou em quaisquer outros acordos aplicáveis entre o Cliente e a MeetGeek.

‍

1.   Requisitos de processamento.  Como processador de dados, o MeetGeek concorda em:

a. processar os Dados do Cliente somente (i) em nome do Cliente com a finalidade de fornecer e apoiar os Serviços da MeetGeek (inclusive para fornecer insights, relatórios, análises e abuso de plataforma, monitoramento de confiança e segurança); (ii) em conformidade com as instruções escritas recebidas do Cliente; e (iii) de uma forma que forneça não menos do que o nível de proteção de privacidade exigido pelas Leis de Proteção de Dados;

b. informe imediatamente o Cliente por escrito se a MeetGeek não puder cumprir os requisitos deste DPA;

c. não fornecer remuneração ao Cliente em troca dos Dados do Cliente. As partes reconhecem e concordam que o Cliente não “vendeu” (conforme definido pela CCPA) o Cliente

Dados para MeetGeek;

d. não “vender” (como esse termo é definido pelas Leis de Privacidade dos EUA) ou “compartilhar” (conforme esse termo é definido pela CCPA)

Dados pessoais;

e. informe o Cliente imediatamente se, na opinião da MeetGeek, uma instrução do Cliente violar o aplicável

Leis de proteção de dados;

f. exigir que (i) as pessoas empregadas por ela e (ii) outras pessoas contratadas para atuar em nome da MeetGeek estejam sujeitas a um dever de confidencialidade com relação aos Dados do Cliente e cumpram as obrigações de proteção de dados aplicáveis à MeetGeek nos termos do Contrato e deste DPA;

g. envolver as organizações ou pessoas listadas em https://meetgeek.ai/subprocessors para processar os Dados do Cliente (cada um”)Subprocessador,” e a lista na URL anterior, a”Lista de subprocessadores”) para ajudar a MeetGeek a cumprir suas obrigações de acordo com este DPA ou para delegar todas ou parte das atividades de processamento a esses subprocessadores. O cliente concorda com o uso de tais subprocessadores. Se o Cliente assinar as notificações por e-mail, conforme fornecido no site da Lista de Subprocessadores, a MeetGeek notificará o Cliente sobre quaisquer alterações que a MeetGeek pretenda fazer na Lista de Subprocessadores pelo menos 15 dias antes de as alterações entrarem em vigor (o que pode ser por e-mail, publicação ou notificação em um portal on-line para nossos serviços ou outros meios razoáveis). Caso o Cliente não deseje consentir com o uso de tal Subprocessador adicional, o Cliente poderá notificar a MeetGeek de que o Cliente não consente dentro de quinze (15) dias por motivos razoáveis relacionados à proteção dos Dados do Cliente, seguindo as instruções estabelecidas na Lista de Subprocessadores ou entrando em contato com security@meetgeek.ai. Nesse caso, a MeetGeek terá o direito de sanar a objeção por meio de uma das seguintes opções: (i) a MeetGeek cancelará seus planos de usar o Subprocessador com relação ao processamento de Dados do Cliente ou oferecerá uma alternativa para fornecer seus Serviços ou serviços sem esse Subprocessador; (ii) A MeetGeek tomará as medidas corretivas solicitadas pelo Cliente no aviso de objeção do Cliente e continuará a usar o Subprocessador; (iii) A MeetGeek poderá deixar de fornecer, ou o Cliente pode concordar em não usar, temporária ou permanentemente, o aspecto ou recurso específico do os Serviços ou serviços da MeetGeek que envolveriam o uso de tal Subprocessador; ou (iv) o Cliente pode deixar de fornecer Dados do Cliente à MeetGeek para processamento envolvendo tal Subprocessador. Se nenhuma das opções acima for comercialmente viável, no julgamento razoável da MeetGeek, e as objeções não tiverem sido resolvidas de forma satisfatória para as partes dentro de trinta (30) dias após o recebimento da notificação de objeção do Cliente pela MeetGeek, qualquer uma das partes poderá rescindir quaisquer assinaturas, formulários de pedido ou uso dos Serviços que não possam ser fornecidos sem o uso do novo Subprocessador por justa causa e, nesse caso, o Cliente ser reembolsado por quaisquer taxas pré-pagas pelas assinaturas, formulários de pedido ou uso aplicáveis, na medida em que cubram períodos ou termos após a data de tal rescisão. Esse direito de rescisão é o único e exclusivo recurso do Cliente se o Cliente se opuser a qualquer novo Subprocessador. A MeetGeek firmará acordos contratuais com cada Subprocessador, vinculando-os a fornecer um nível comparável de proteção de dados e segurança da informação ao aqui previsto.

h. mediante solicitação razoável, no máximo uma vez por ano, forneça ao Cliente as políticas de privacidade e segurança da MeetGeek e outras informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e nas leis de proteção de dados aplicáveis;

i. quando exigido por lei e mediante notificação razoável e acordos de confidencialidade apropriados, coopere com avaliações, auditorias ou outras etapas realizadas por ou em nome do Cliente às custas exclusivas do Cliente e de uma maneira que seja minimamente prejudicial aos negócios da MeetGeek, necessárias para confirmar que a MeetGeek está processando os Dados do Cliente de maneira consistente com este DPA. Quando permitido por lei, a MeetGeek pode, em vez disso, disponibilizar ao cliente um resumo dos resultados de uma auditoria de terceiros ou relatórios de certificação relevantes para a conformidade da MeetGeek com este DPA. Esses resultados e/ou os resultados de tais avaliações, auditorias ou outras etapas devem ser as Informações Confidenciais da MeetGeek;

j. na medida em que o Cliente permita ou instrua a MeetGeek a processar Dados do Cliente sujeitos às Leis de Privacidade dos EUA de forma não identificada, anônima e/ou agregada como parte dos Serviços, a MeetGeek, a MeetGeek deve (i) adotar medidas razoáveis para impedir que tais dados não identificados sejam usados para inferir informações ou serem vinculados a uma determinada pessoa física ou familiar; (ii) não tentar reidentificar as informações, exceto que o MeetGeek pode tentar reidentificar as informações apenas com o propósito de determinar se os processos de desidentificação estão em conformidade com os dados

As leis de proteção ou estão funcionando conforme o esperado; e (iii) antes de compartilhar dados não identificados com qualquer outra parte, incluindo subprocessadores, obrigam contratualmente esses destinatários a cumprir os requisitos desta disposição;

k. quando os Dados do Cliente estão sujeitos à CCPA, não (i) retêm, usam, divulgam ou processam de outra forma

Dados do cliente, exceto conforme necessário para os fins comerciais especificados no Contrato ou neste DPA; (ii) reter, usar, divulgar ou processar os dados do cliente de qualquer maneira fora da relação comercial direta entre a MeetGeek e o Cliente; ou (iii) combinar quaisquer dados do cliente com dados pessoais que a MeetGeek receba de ou em nome de terceiros ou colete das próprias interações da MeetGeek com indivíduos, desde que a MeetGeek possa combinar Dados do cliente para uma finalidade permitida pela CCPA, se instruídos a fazê-lo pelo Cliente ou conforme de outra forma permitida pela CCPA;

l. quando exigido por lei, conceda ao Cliente o direito de (i) tomar medidas razoáveis e apropriadas para garantir que a MeetGeek use os Dados do Cliente de maneira consistente com as Leis de Proteção de Dados, exercendo as disposições de auditoria estabelecidas neste DPA acima; e (ii) interromper e remediar o uso não autorizado dos Dados do Cliente, por exemplo, solicitando que a MeetGeek forneça confirmação por escrito de que os Dados do Cliente aplicáveis foram excluídos.

2.   Aviso ao cliente.  O MeetGeek informará o Cliente se o MeetGeek tomar conhecimento de:

a. qualquer solicitação legalmente vinculativa de divulgação de Dados do Cliente por uma autoridade policial, a menos que a MeetGeek seja proibida por lei de informar o Cliente, por exemplo, para preservar a confidencialidade de uma investigação pelas autoridades policiais;

b. qualquer notificação, inquérito ou investigação de uma autoridade pública independente estabelecida por um estado membro de acordo com o artigo 51 do GDPR (a)”Autoridade supervisora”) com relação aos Dados do Cliente; ou

c. qualquer reclamação ou solicitação (em particular, solicitações de acesso, retificação ou bloqueio de Dados do Cliente) recebida diretamente dos titulares dos dados do Cliente. O MeetGeek não responderá a nenhuma solicitação desse tipo sem a autorização prévia por escrito do Cliente.

3.   Assistência ao cliente.  A MeetGeek fornecerá assistência razoável ao Cliente em relação a:

a. informações necessárias, levando em consideração a natureza do processamento, para responder às solicitações recebidas de acordo com as Leis de Proteção de Dados dos titulares de dados do Cliente em relação ao acesso ou à retificação, exclusão, restrição, portabilidade, objeção, bloqueio ou exclusão de Dados do Cliente que

Processos MeetGeek para o cliente. No caso de um titular de dados enviar tal solicitação diretamente para

MeetGeek, MeetGeek enviará prontamente tal solicitação ao Cliente;

b. a investigação de qualquer violação da segurança da MeetGeek que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso não autorizado aos Dados do Cliente processados por

MeetGeek para o cliente (a)”Violação de dados pessoais”); e

c. quando apropriado, a preparação de avaliações de impacto de proteção de dados com relação ao processamento de dados do cliente pela MeetGeek e, quando necessário, a realização de consultas com qualquer autoridade supervisora com jurisdição sobre esse processamento.

4.   Processamento necessário.  Se a MeetGeek for obrigada pelas Leis de Proteção de Dados a processar quaisquer Dados do Cliente por um motivo diferente do Contrato, a MeetGeek informará o Cliente sobre esse requisito antes de qualquer processamento, a menos que seja legalmente proibido.

5.   Segurança  A MeetGeek irá:

a. manter medidas de segurança organizacional e técnica razoáveis e apropriadas (inclusive com relação a pessoal, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro, detecção de vulnerabilidades e violações, resposta a incidentes e criptografia) para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição de

Dados do cliente e para proteger os direitos dos sujeitos desses dados do cliente;

b. tomar as medidas apropriadas para confirmar que o pessoal da MeetGeek está protegendo a segurança, privacidade e confidencialidade dos Dados do Cliente de acordo com os requisitos deste DPA; e

c. notificar o Cliente sobre qualquer violação de dados pessoais pela MeetGeek, seus subprocessadores ou quaisquer outros terceiros agindo em nome da MeetGeek sem demora injustificada após a MeetGeek tomar conhecimento de tal violação de dados pessoais.

6.   Obrigações do cliente.

a. O Cliente declara, garante e concorda que tem e deve manter durante todo o prazo todos os direitos, consentimentos e autorizações necessários para fornecer os Dados do Cliente à MeetGeek e autorizar a MeetGeek a usar, divulgar, reter e processar os Dados do Cliente conforme contemplado por este DPA, o Contrato e/ou outras instruções de processamento fornecidas à MeetGeek.

b. O cliente deve cumprir todas as leis de proteção de dados aplicáveis.

c. O Cliente deve cooperar razoavelmente com a MeetGeek para ajudar a MeetGeek a cumprir qualquer uma de suas obrigações em relação a quaisquer solicitações dos titulares de dados do Cliente.

d. Sem prejuízo das obrigações de segurança da MeetGeek na Seção 5 deste DPA, o Cliente reconhece e concorda que, em vez da MeetGeek, é responsável por determinadas configurações e decisões de design dos serviços e que o Cliente, e não a MeetGeek, é responsável por implementar essas configurações e decisões de design de maneira segura, em conformidade com as leis de proteção de dados aplicáveis.

e. O cliente não deve fornecer dados do cliente ao MeetGeek, exceto por meio de mecanismos acordados. Por exemplo, o Cliente não deve incluir Dados do Cliente além das informações técnicas de contato ou, em tickets de suporte técnico, transmitir os Dados do Cliente do usuário ao MeetGeek por e-mail. Sem limitação ao exposto acima, o Cliente declara, garante e concorda que só transferirá os Dados do Cliente para a MeetGeek usando mecanismos seguros, razoáveis e apropriados, na medida em que tais mecanismos estejam sob o controle do Cliente.

f. O Cliente não deve tomar nenhuma ação que (i) torne o fornecimento de Dados do Cliente à MeetGeek um

“venda” de acordo com as Leis de Privacidade dos EUA ou uma “ação” sob a CCPA (ou conceitos equivalentes sob as Leis de Privacidade dos EUA); ou (ii) tornar a MeetGeek não uma “prestadora de serviços” de acordo com a CCPA ou “processadora” de acordo com as Leis de Privacidade dos EUA.

7.   Cláusulas contratuais padrão.   

a. A MeetGeek processará os dados do cliente originários do Espaço Econômico Europeu de acordo com as cláusulas contratuais padrão adotadas pela Comissão da UE em 4 de junho de 2021 (”SCCs da UE”) que são considerados inseridos (e incorporados a este DPA por esta referência) e preenchidos da seguinte forma:

i. O Módulo Dois (Controlador para Processador) dos SCCs da UE se aplica quando o Cliente é um controlador e a MeetGeek está processando os Dados do Cliente como um processador.

ii. O módulo três (processador para subprocessador) dos SCCs da UE se aplica quando o cliente é um processador e a MeetGeek está processando os dados do cliente como um subprocessador.

b. Para cada módulo das SCCs da UE, quando aplicável, aplica-se o seguinte:

i. A cláusula de encaixe opcional na Cláusula 7 não se aplica;

ii. Na Cláusula 9, a Opção 2 (autorização geral por escrito) se aplica, e o período mínimo para notificação prévia das alterações do subprocessador será o estabelecido na Seção 1 (g) deste DPA.

iii. Na Cláusula 11, o idioma opcional não se aplica; iv. Todos os colchetes na Cláusula 13 são removidos;

v. Na Cláusula 17 (Opção 1), os SCCs da UE serão regidos pelo estado membro da UE onde o exportador de dados está localizado;

vi. Na Cláusula 18 (b), as disputas serão resolvidas perante os tribunais do estado membro da UE onde o exportador de dados está localizado;

vii. O Anexo A deste DPA contém as informações exigidas nos Anexos I e III da UE

SCCs; viii. O Anexo B deste DPA contém as informações exigidas no Anexo II das SCCs da UE; e

c. Os dados do cliente originários da Suíça devem ser processados de acordo com as SCCs da UE com as seguintes alterações:

i. “FDPIC” significa o Comissário Federal Suíço de Proteção de Dados e Informações.

ii. “FADP revisado” significa a versão revisada do FADP de 25 de setembro de 2020, que está programada para entrar em vigor em 1º de janeiro de 2023.

iii. O termo “Estado-Membro da UE” não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de processar seus direitos em seu local de residência habitual (Suíça), de acordo com a Cláusula 18 (c).

iv. As SCCs da UE também protegem os dados de entidades jurídicas até a entrada em vigor do FADP revisado.

v. O FDPIC atuará como a “autoridade supervisora competente” na medida em que a transferência de dados relevante seja regida pelo FADP

d. Com relação aos Dados do Cliente originários do Reino Unido, as partes cumprirão os termos da Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo do Adendo B.1.0 emitido pelo Gabinete do Comissário da Informação e apresentado ao Parlamento de acordo com o S119a da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado na Seção 18 dessas Cláusulas Obrigatórias (a”Adendo do Reino Unido”). As partes também concordam (i) que as informações incluídas na Parte 1 do Adendo do Reino Unido são as estabelecidas no Anexo I do Apêndice A deste

DPA e (ii) que qualquer uma das partes possa encerrar o Adendo do Reino Unido, conforme estabelecido na Seção 19 do Adendo do Reino Unido.

8.   Prazo; Devolução e exclusão de dados.  Este DPA permanecerá em vigor enquanto a MeetGeek realizar operações de processamento de dados do cliente em nome do cliente ou até a rescisão do Contrato (e todos

Os dados do cliente foram devolvidos ou excluídos de acordo com este DPA). A MeetGeek reterá os Dados do Cliente enviados pela API por no máximo trinta (30) dias, após os quais serão excluídos, exceto quando a MeetGeek for obrigada a reter cópias de acordo com as leis aplicáveis. Nesse caso, a MeetGeek isolará e protegerá esses Dados do Cliente de qualquer processamento posterior, exceto na medida exigida pelas leis aplicáveis. Com a rescisão do DPA, a MeetGeek orientará cada Subprocessador a excluir os Dados do Cliente dentro de trinta (30) dias após a rescisão do DPA, a menos que seja proibido por lei. Para maior clareza, a MeetGeek pode continuar processando informações derivadas dos Dados do Cliente que foram desidentificados, anonimizados e/ou agregados, de forma que os dados não sejam mais considerados Dados Pessoais de acordo com as Leis de Proteção de Dados aplicáveis e de uma maneira que não identifique indivíduos ou Clientes para melhorar os sistemas e serviços da MeetGeek.

Anexo A

‍

A. LISTA DE FESTAS

Exportador (es) de dados: o cliente dos Serviços identificado nos documentos de registro dos Serviços aplicáveis

‍Importador (es) de dados:

Nome: MeetGeek,

Endereço: Calea Vacaresti 203A, Bucareste, UE

Nome, cargo e detalhes de contato da pessoa de contato:

Dan Huru

Chefe do Departamento Jurídico Comercial

security@meetgeek.ai

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: O desempenho dos serviços descritos no contrato ao qual estão anexados.

Assinatura e data:  

Função (controlador/processador): Processador

‍

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos Usuários de aplicativos exportadores de dados.

Categorias de dados pessoais transferidos

Nome, informações de contato, informações demográficas ou outras informações fornecidas pelo usuário em dados não estruturados.

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurança adicionais.

Nenhum dado confidencial deve ser transferido, a menos que o usuário os inclua inesperadamente em dados não estruturados.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

Contínuo.

Natureza do processamento

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

Finalidade (s) da transferência de dados e processamento adicional

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Durante a vigência do contrato

Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

‍

C. AUTORIDADE SUPERVISORA COMPETENTE

Identifique a (s) autoridade (s) supervisora (s) competente (s) de acordo com a Cláusula 13

A autoridade de proteção de dados do Estado-Membro da UE em que o exportador está estabelecido.

Anexo B

‍

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

‍

INTRODUÇÃO

A MeetGeek mantém um programa de segurança da informação projetado para proteger seus sistemas, dados e dados do cliente. Este Adendo descreve o programa de segurança da informação e os padrões de segurança que a MeetGeek mantém com relação aos Serviços e ao tratamento de dados enviados por ou em nome do Cliente aos Serviços (os “Dados do Cliente”). Os termos em maiúsculas não definidos neste Anexo II têm os significados dados no DPA ou no Contrato.

Para saber mais sobre as medidas de segurança técnica e organizacional da MeetGeek para proteger os dados do cliente, consulte o Portal de Segurança MeetGeek em https://security.meetgeek.ai (o “Portal de Segurança”). As medidas de segurança abaixo incluem o subconjunto das informações disponíveis no Portal de Segurança que se aplica a este DPA.

‍

MEDIDAS DE SEGURANÇA

Controles corporativos de identidade, autenticação e autorização. A MeetGeek mantém as melhores práticas do setor para autenticar e autorizar o acesso interno de funcionários e serviços, incluindo as seguintes medidas:

○ O MeetGeek usa login único (SSO) para autenticar serviços de terceiros usados na entrega dos Serviços. Controles de acesso baseados em funções (RBAC) são usados ao provisionar acesso interno aos Serviços;

○ A autenticação multifatorial obrigatória é usada para autenticação no provedor de identidade do MeetGeek.

○ Identificadores de login exclusivos são atribuídos a cada usuário;

○ Estabeleceu processos de revisão e aprovação para quaisquer solicitações de acesso aos serviços que armazenam Dados do Cliente;

○ Auditorias de acesso periódicas projetadas para garantir que os níveis de acesso sejam apropriados para as funções que cada usuário desempenha;

○ Procedimentos estabelecidos para revogar prontamente os direitos de acesso após a separação dos funcionários;

○ Procedimentos estabelecidos para relatar e revogar credenciais comprometidas (como senhas e chaves de API); e

○ Procedimentos de redefinição de senha estabelecidos, incluindo procedimentos projetados para verificar a identidade de um usuário antes de uma senha nova, substituída ou temporária.

Controles de identidade, autenticação e autorização do cliente. A MeetGeek mantém as melhores práticas do setor para autenticar e autorizar clientes nos Serviços, incluindo as seguintes medidas:

○ Uso de um serviço de gerenciamento de acesso de identidade de terceiros para gerenciar a identidade do cliente, o que significa que o MeetGeek não armazena senhas fornecidas pelo usuário em nome dos usuários; e

○ Separar logicamente os dados do cliente por conta da organização usando identificadores exclusivos. Dentro de uma conta da organização, contas de usuário exclusivas são suportadas.

Infraestrutura em nuvem e segurança de rede. A MeetGeek mantém as melhores práticas do setor para proteger e operar sua infraestrutura em nuvem, incluindo as seguintes medidas:

○ Ambientes separados de produção e não produção; ○ Os recursos primários de back-end são implantados por trás de uma VPN.

○ Os Serviços são auditados rotineiramente quanto a vulnerabilidades de segurança.

○ Segredos de aplicativos e contas de serviço são gerenciados por um serviço de gerenciamento de segredos;

○ As políticas de segurança de rede e os firewalls são configurados para acesso com menos privilégios em relação a um conjunto preestabelecido de fluxos de tráfego permitidos. Os fluxos de tráfego não permitidos são bloqueados; e ○ Os registros de serviços são monitorados quanto à segurança e disponibilidade.

Controle do sistema e da estação de trabalho. A MeetGeek mantém as melhores práticas do setor para proteger os sistemas corporativos da MeetGeek, incluindo laptops e infraestrutura local, incluindo:

○ Gerenciamento de terminais de estações de trabalho corporativas;

○ Gerenciamento de terminais de dispositivos móveis;

○ Aplicação automática de configurações de segurança em estações de trabalho;

○ Gerenciamento obrigatório de patches; e

○ Manter registros de segurança apropriados.

Controle de acesso a dados. A MeetGeek mantém as melhores práticas do setor para impedir que usuários autorizados acessem dados além de seus direitos de acesso autorizados e para impedir a entrada, leitura, cópia, remoção, modificação ou divulgação não autorizadas de dados. Essas medidas incluem o seguinte:

○ O acesso dos funcionários aos Serviços segue o princípio do menor privilégio. Somente funcionários cuja função de trabalho envolva apoiar a prestação de Serviços são credenciados no ambiente de Serviços; e

○ Os dados do cliente enviados aos Serviços são usados somente de acordo com os termos do DPA, do Contrato e de quaisquer outros acordos contratuais aplicáveis em vigor com o Cliente.

Controle de divulgação. A MeetGeek mantém as melhores práticas do setor para impedir o acesso, alteração ou remoção não autorizados de dados durante a transferência e para proteger e registrar todas as transferências. Essas medidas incluem:

○ Criptografia de dados em repouso em armazenamentos de dados de produção usando algoritmos de criptografia fortes;

○ Criptografia de dados em trânsito;

○ Trilha de auditoria para todas as solicitações de acesso a dados para armazenamentos de dados de produção;

○ A criptografia de disco inteiro é necessária em todas as estações de trabalho corporativas;

○ Controles de gerenciamento de dispositivos necessários em todas as estações de trabalho corporativas; ○ Restrições ao uso de mídia portátil ou removível; e ○ Os dados do cliente podem ser excluídos mediante solicitação.

Controle de disponibilidade. A MeetGeek mantém as melhores práticas do setor para manter a funcionalidade dos Serviços por meio de intenções acidentais ou maliciosas, incluindo:

○ Garantir que os sistemas possam ser restaurados em caso de interrupção;

○ Garantir que os sistemas estejam funcionando e que as falhas sejam relatadas; e

○ Soluções antimalware e de detecção/prevenção de intrusões implementadas de forma abrangente em nosso ambiente

Controle de segregação. A MeetGeek mantém as melhores práticas do setor para o processamento separado de dados coletados para diferentes propósitos, incluindo:

○ Segregação lógica dos dados do cliente;

○ Restrição do acesso aos dados armazenados para diferentes finalidades, de acordo com as funções e responsabilidades da equipe;

○ Segregação das funções do sistema de informações comerciais; e

○ Segregação de ambientes de sistemas de informações de teste e produção.

Gestão de riscos. A MeetGeek mantém as melhores práticas do setor para detectar e gerenciar riscos de segurança cibernética, incluindo:

○ Modelagem de ameaças para documentar e fazer a triagem de fontes de risco de segurança para priorização e remediação;  

○ Os testes de penetração são realizados nos Serviços pelo menos uma vez por ano, e quaisquer itens de remediação identificados são resolvidos o mais rápido possível em um cronograma compatível com o risco associado. Mediante solicitação, o MeetGeek fornecerá detalhes resumidos dos testes realizados e se os problemas identificados foram resolvidos;  

○ Contratos anuais de um auditor externo independente e qualificado para realizar análises periódicas das práticas de segurança da MeetGeek em relação aos padrões de auditoria reconhecidos, incluindo auditorias de certificação SOC 2 Tipo II. Mediante solicitação razoável, o MeetGeek fornecerá detalhes resumidos; e

○ Um programa de gerenciamento de vulnerabilidades projetado para garantir a correção imediata das vulnerabilidades que afetam os Serviços.

Pessoal. A MeetGeek mantém as melhores práticas do setor para verificar, treinar e gerenciar pessoal com relação a questões de segurança, incluindo:

○ Verificações de antecedentes, quando legalmente permitidas, de funcionários com acesso aos Dados do Cliente ou que apoiam outros aspectos dos Serviços;

○ Treinamento anual de segurança para funcionários e treinamento suplementar de segurança, conforme apropriado.

Controle de acesso físico. A MeetGeek mantém as melhores práticas do setor para impedir o acesso físico não autorizado às instalações da MeetGeek, incluindo:

○ Controles de barreira física, incluindo portas e portões trancados;

○ Equipe de segurança no local 24 horas por dia;

○ Sistemas de vigilância por vídeo e alarme 24 horas, incluindo vigilância por vídeo de áreas comuns e pontos de entrada e saída das instalações;

○ Sistemas de controle de acesso que exigem biometria ou identificação com foto e PIN para entrada em todas as instalações da MeetGeek pelo pessoal da MeetGeek;

○ Protocolos de identificação, login e escolta de visitantes; e ○ Registro das saídas e entradas das instalações.

Gerenciamento de riscos de terceiros. A MeetGeek mantém as melhores práticas do setor para gerenciar riscos de segurança de terceiros, inclusive com relação a qualquer subprocessador ou subcontratado a quem a MeetGeek forneça dados de clientes, incluindo as seguintes medidas:

○ Contratos escritos elaborados para garantir que qualquer agente concorde em manter salvaguardas razoáveis e apropriadas para proteger os Dados do Cliente; e

○ Avaliações de segurança de fornecedores: Todos os terceiros passam por um processo formal de avaliação de fornecedores mantido pela equipe de segurança da MeetGeek.

Resposta a incidentes de segurança. A MeetGeek mantém um plano de resposta a incidentes de segurança para responder e resolver eventos que comprometam a confidencialidade, disponibilidade ou integridade dos Serviços ou Dados do Cliente, incluindo o seguinte:

○ O MeetGeek agrega registros do sistema para segurança e observabilidade geral de uma variedade de sistemas para facilitar a detecção e a resposta; e

○ Se a MeetGeek tomar conhecimento de que ocorreu uma violação de dados pessoais, a MeetGeek notificará o Cliente de acordo com o DPA.

Avaliações de segurança. A MeetGeek realiza testes regulares de segurança e vulnerabilidade para avaliar se os principais controles são implementados adequadamente e são eficazes, conforme medidos de acordo com os padrões de segurança do setor e suas políticas e procedimentos, e para garantir a conformidade contínua com as obrigações impostas por lei, regulamentação ou contrato com relação à segurança dos dados do cliente, bem como à manutenção e estrutura dos sistemas de informação da MeetGeek.