Adenda de Processamento de Dados

Última atualização em 6 de fevereiro de 2025

‍

Para obter uma versão assinada deste adendo, visite security.meetgeek.ai

Adendo de processamento de dados MeetGeek

Este Adendo de Processamento de Dados (“DPA”) regula o processamento de Dados do Cliente realizado pela MeetGeek, conforme fornecido pelo Cliente à MeetGeek por meio da API da MeetGeek ou de qualquer serviço da MeetGeek para empresas (“Serviços”), de acordo com os termos do Contrato do Cliente da MeetGeek (o “Contrato”) e está incorporado ao Contrato. Se e na medida em que houver conflito entre a linguagem deste DPA e o Contrato, os termos conflitantes deste DPA prevalecerão. Os termos em maiúsculas não definidos neste DPA terão o significado estabelecido no Contrato. Para fins deste DPA apenas, “Cliente” inclui qualquer Afiliada do Cliente.

A MeetGeek e o Cliente concordam em cumprir com suas respectivas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados (coletivamente, “Leis de Proteção de Dados”) em conexão com os Serviços. As Leis de Proteção de Dados incluem o Regulamento Geral de Proteção de Dados da União Europeia (Regulamento (UE) 2016/679) (“GDPR”) e a legislação e regulamentos subordinados aplicáveis.

Em relação ao Contrato, o Cliente é a pessoa que determina as finalidades e os meios pelos quais os Dados do Cliente (conforme definido abaixo) são processados (um “Controlador de Dados”), enquanto a MeetGeek processa os Dados do Cliente de acordo com as instruções do Controlador de Dados e em nome do Controlador de Dados (como um “Processador de Dados”). “Controlador de Dados” e “Processador de Dados” também possuem o mesmo significado conforme definido nas Leis de Proteção de Dados. Para fins do Contrato e deste DPA, (i) “Dados Pessoais” tem o significado atribuído ao termo “dados pessoais” ou “informações pessoais” pelas Leis de Proteção de Dados aplicáveis; e (ii) “Dados do Cliente” significa Dados Pessoais fornecidos pelo Cliente à MeetGeek que a MeetGeek processa em nome do Cliente para fornecer os Serviços. A MeetGeek processará os Dados do Cliente como Processador de Dados do Cliente para fornecer ou manter os Serviços e para os fins estabelecidos neste DPA, no Contrato e em quaisquer outros contratos aplicáveis entre o Cliente e a MeetGeek.

1.   Requisitos de processamento.  Como processador de dados, a MeetGeek irá:

a. processar os Dados do Cliente apenas (i) em nome do Cliente para fins de fornecimento e suporte dos Serviços da MeetGeek (incluindo para fornecer insights, relatórios, análises e monitoramento de abuso da plataforma, confiança e segurança); (ii) em conformidade com as instruções escritas recebidas do Cliente; e (iii) de maneira que ofereça um nível de proteção de privacidade não inferior ao exigido pelas Leis de Proteção de Dados;

b. informar prontamente o Cliente por escrito e cessar o processamento dos Dados do Cliente caso a MeetGeek não possa cumprir os requisitos deste DPA;

c. não fornecer ao Cliente qualquer remuneração em troca dos Dados do Cliente. As partes reconhecem e concordam que o Cliente não “vendeu” (conforme definido pela CCPA) os Dados do Cliente;

d. não “vender” (conforme definido pelas Leis de Privacidade dos EUA) ou “compartilhar” (conforme definido pela CCPA) Dados Pessoais;

e. informar prontamente o Cliente se, na opinião da MeetGeek, uma instrução do Cliente violar as Leis de Proteção de Dados aplicáveis;

f. exigir que (i) as pessoas empregadas pela MeetGeek e (ii) outras pessoas contratadas para atuar em nome da MeetGeek estejam sujeitas a um dever de confidencialidade em relação aos Dados do Cliente e cumpram as obrigações de proteção de dados aplicáveis à MeetGeek sob o Contrato e este DPA;

g. envolver as organizações ou pessoas listadas em https://meetgeek.ai/subprocessors para processar os Dados do Cliente (cada um sendo um “Subprocessador”, e a lista disponível no URL acima sendo a “Lista de Subprocessadores”) para ajudar a MeetGeek a cumprir suas obrigações de acordo com este DPA ou delegar total ou parcialmente as atividades de processamento a tais Subprocessadores. O Cliente consente com o uso de tais Subprocessadores. Caso o Cliente assine notificações por e-mail conforme previsto na Lista de Subprocessadores no site, a MeetGeek notificará o Cliente sobre quaisquer mudanças que pretenda fazer na Lista de Subprocessadores com pelo menos 30 dias de antecedência antes que as mudanças entrem em vigor (por meio de e-mail, publicação ou notificação em um portal online de nossos serviços ou outros meios razoáveis). Se o Cliente não concordar com o uso de um novo Subprocessador, poderá notificar a MeetGeek dentro de quinze (15) dias alegando motivos razoáveis relacionados à proteção dos Dados do Cliente, seguindo as instruções estabelecidas na Lista de Subprocessadores ou entrando em contato com [email protected]. Em tal caso, a MeetGeek terá o direito de resolver a objeção por meio de uma das seguintes opções: (i) A MeetGeek cancelará seus planos de usar o Subprocessador em relação ao processamento dos Dados do Cliente ou oferecerá uma alternativa para fornecer seus Serviços sem tal Subprocessador; (ii) A MeetGeek tomará as medidas corretivas solicitadas pelo Cliente na notificação de objeção e continuará a usar o Subprocessador; (iii) A MeetGeek poderá deixar de fornecer, ou o Cliente poderá concordar em não usar, temporária ou permanentemente, o aspecto ou recurso específico dos Serviços da MeetGeek que envolveria o uso de tal Subprocessador; ou (iv) O Cliente poderá deixar de fornecer Dados do Cliente à MeetGeek para processamento envolvendo tal Subprocessador. Se nenhuma das opções acima for comercialmente viável, a critério razoável da MeetGeek, e as objeções não forem resolvidas satisfatoriamente entre as partes dentro de trinta (30) dias do recebimento, pela MeetGeek, da notificação de objeção do Cliente, então qualquer uma das partes poderá rescindir quaisquer assinaturas, formulários de pedido ou uso dos Serviços que não possam ser fornecidos sem o uso do novo Subprocessador por justa causa. Nesse caso, o Cliente será reembolsado por quaisquer taxas pré-pagas para as assinaturas, formulários de pedido ou uso aplicáveis na medida em que cubram períodos ou termos posteriores à data de tal rescisão. Esse direito de rescisão é o único e exclusivo recurso do Cliente caso ele se oponha razoavelmente a qualquer novo Subprocessador. A MeetGeek firmará contratos com cada Subprocessador, vinculando-os a fornecer um nível de proteção de dados e segurança da informação não inferior aos termos deste DPA.

h. mediante solicitação razoável, no máximo uma vez por ano, fornecer ao Cliente as políticas de privacidade e segurança da MeetGeek e outras informações necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA e nas Leis de Proteção de Dados aplicáveis;

i. quando exigido por lei e mediante notificação razoável e acordos de confidencialidade apropriados, cooperar com avaliações, auditorias ou outras medidas realizadas pelo Cliente ou em seu nome, às suas próprias custas, de maneira que minimize a interrupção dos negócios da MeetGeek, para confirmar que a MeetGeek está processando os Dados do Cliente em conformidade com este DPA. O Cliente coordenará o tempo e o escopo da auditoria com a MeetGeek para minimizar o impacto nos serviços da MeetGeek; excluirá os dados de outros clientes da MeetGeek (incluindo dados pessoais) da auditoria; obterá aprovação da MeetGeek antes de usar quaisquer ferramentas ou softwares na infraestrutura da MeetGeek; não incluirá na auditoria quaisquer dados sensíveis (incluindo dados pessoais ou dados que possam comprometer a segurança dos serviços descritos no Contrato); e concederá à MeetGeek a oportunidade razoável de revisar o relatório de auditoria e resolver quaisquer questões ou discrepâncias. O Cliente manterá os resultados de qualquer auditoria confidenciais e não os divulgará, salvo se exigido por lei.

Se permitido por lei, a MeetGeek poderá disponibilizar ao Cliente um resumo dos resultados de uma auditoria de terceiros ou relatórios de certificação relevantes para a conformidade da MeetGeek com este DPA. Tais resultados, e/ou os resultados de quaisquer auditorias, avaliações ou outras medidas, serão considerados Informações Confidenciais da MeetGeek.

j. na medida em que o Cliente permita ou instrua a MeetGeek a processar Dados do Cliente sujeitos às Leis de Privacidade dos EUA de forma anonimizada, desidentificada e/ou agregada como parte dos Serviços, a MeetGeek adotará medidas razoáveis para impedir que esses dados desidentificados sejam usados para inferir informações sobre, ou de outra forma serem vinculados a, uma pessoa ou família específica; não tentará reidentificar os dados, exceto para fins de garantir que seus processos de desidentificação estejam em conformidade com as Leis de Proteção de Dados ou estejam funcionando conforme o esperado; e, antes de compartilhar dados desidentificados com qualquer outra parte, incluindo Subprocessadores, obrigará contratualmente esses destinatários a cumprir os requisitos desta disposição.

k. quando os Dados do Cliente estiverem sujeitos à CCPA, não (i) reterá, usará, divulgará ou processará os Dados do Cliente, exceto conforme necessário para os propósitos comerciais especificados no Contrato ou neste DPA; (ii) reterá, usará, divulgará ou processará os Dados do Cliente de qualquer forma fora do relacionamento comercial direto entre a MeetGeek e o Cliente; ou (iii) combinará quaisquer Dados do Cliente com Dados Pessoais que a MeetGeek receba de ou em nome de terceiros ou colete de suas próprias interações com indivíduos, salvo quando permitido sob a CCPA e solicitado pelo Cliente.

l. quando exigido por lei, concederá ao Cliente os direitos de (i) tomar medidas razoáveis e apropriadas para garantir que a MeetGeek use os Dados do Cliente em conformidade com as Leis de Proteção de Dados, exercendo as disposições de auditoria estabelecidas neste DPA; e (ii) interromper e remediar o uso não autorizado dos Dados do Cliente, por exemplo, solicitando que a MeetGeek forneça uma confirmação por escrito de que os Dados do Cliente aplicáveis foram excluídos.

2.   Aviso ao cliente.  O MeetGeek informará o Cliente se o MeetGeek tomar conhecimento de:

a. qualquer solicitação legalmente vinculante para divulgação de Dados do Cliente por parte de uma autoridade policial, salvo se a MeetGeek estiver legalmente proibida de informar o Cliente, por exemplo, para preservar a confidencialidade de uma investigação conduzida por autoridades policiais;

b. qualquer notificação, inquérito ou investigação por parte de uma autoridade pública independente estabelecida por um Estado-Membro de acordo com o Artigo 51 do GDPR (uma “Autoridade Supervisora”) em relação aos Dados do Cliente; ou

c. qualquer reclamação ou solicitação (em particular, pedidos de acesso, retificação ou bloqueio de Dados do Cliente) recebida diretamente dos titulares dos dados do Cliente. A MeetGeek não responderá a nenhuma dessas solicitações sem a autorização prévia por escrito do Cliente.

3.   Assistência ao cliente.  A MeetGeek fornecerá assistência razoável ao Cliente em relação a:

a. informações necessárias, levando em conta a natureza do processamento, para responder a solicitações recebidas de titulares de dados do Cliente nos termos das Leis de Proteção de Dados, incluindo solicitações de acesso, retificação, exclusão, restrição, portabilidade, objeção, bloqueio ou eliminação de Dados do Cliente que a MeetGeek processa para o Cliente. Caso um titular de dados envie uma solicitação diretamente à MeetGeek, a MeetGeek a encaminhará prontamente ao Cliente;

b. a investigação de qualquer violação de segurança da MeetGeek que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a Dados do Cliente processados pela MeetGeek para o Cliente (uma “Violação de Dados Pessoais”); e

c. quando apropriado, a preparação de avaliações de impacto sobre a proteção de dados em relação ao processamento de Dados do Cliente pela MeetGeek e, quando necessário, a realização de consultas com qualquer autoridade supervisora com jurisdição sobre esse processamento.

4.   Processamento necessário.  Se a MeetGeek for obrigada pelas Leis de Proteção de Dados a processar quaisquer Dados do Cliente por um motivo diferente do previsto no Contrato, a MeetGeek informará o Cliente dessa exigência antes de qualquer processamento, salvo se legalmente proibido.

5.   Segurança . A MeetGeek tomará as seguintes medidas para garantir a segurança dos Dados do Cliente:

a. manterá medidas organizacionais e técnicas razoáveis e apropriadas (incluindo controles de pessoal, instalações, hardware e software, armazenamento e redes, controles de acesso, monitoramento e registro de eventos, detecção de vulnerabilidades e violações, resposta a incidentes e criptografia) para proteger contra acesso não autorizado ou acidental, perda, alteração, divulgação ou destruição de Dados do Cliente e para proteger os direitos dos titulares dos dados;

b. tomará medidas adequadas para garantir que seu pessoal proteja a segurança, privacidade e confidencialidade dos Dados do Cliente de acordo com os requisitos deste DPA;

c. notificará o Cliente sobre qualquer Violação de Dados Pessoais cometida pela MeetGeek, seus Subprocessadores ou terceiros atuando em nome da MeetGeek, sem demora injustificada após tomar conhecimento de tal Violação de Dados Pessoais.

6.   Obrigações do cliente.

O Cliente:

a. declara, garante e se compromete a possuir e manter durante toda a vigência do Contrato todos os direitos, consentimentos e autorizações necessários para fornecer os Dados do Cliente à MeetGeek e autorizar a MeetGeek a usá-los, divulgá-los, retê-los e processá-los conforme previsto neste DPA, no Contrato e/ou em outras instruções de processamento fornecidas à MeetGeek;

b. cumprirá todas as Leis de Proteção de Dados aplicáveis;

c. cooperará razoavelmente com a MeetGeek para auxiliá-la no cumprimento de quaisquer obrigações relacionadas a solicitações dos titulares de dados do Cliente;

d. reconhece e concorda que ele, e não a MeetGeek, é responsável por certas configurações e decisões de design para os serviços e pela implementação segura dessas configurações e decisões, de maneira compatível com as Leis de Proteção de Dados aplicáveis;

e. compromete-se a fornecer Dados do Cliente à MeetGeek apenas por meio de mecanismos acordados, como, por exemplo, evitar o envio de Dados do Cliente por e-mail ou por meio de tickets de suporte técnico, salvo quando permitido expressamente. O Cliente garante que só transferirá Dados do Cliente à MeetGeek usando mecanismos seguros, razoáveis e apropriados, na medida em que estejam sob seu controle;

f. não tomará nenhuma medida que (i) torne a provisão de Dados do Cliente à MeetGeek uma “venda” conforme definido pelas Leis de Privacidade dos EUA ou um “compartilhamento” sob a CCPA; ou (ii) caracterize a MeetGeek como não sendo um “fornecedor de serviços” sob a CCPA ou um “processador” conforme definido pelas Leis de Privacidade dos EUA.

7.   Cláusulas contratuais padrão.   

a. A MeetGeek processará os Dados do Cliente originados no Espaço Econômico Europeu de acordo com as Cláusulas Contratuais Padrão adotadas pela Comissão da UE em 4 de junho de 2021 (“Cláusulas da UE”), que são consideradas automaticamente incorporadas a este DPA, conforme os seguintes módulos:

i. O Módulo Dois (Controlador para Processador) das Cláusulas da UE aplica-se quando o Cliente é um controlador e a MeetGeek processa Dados do Cliente como um processador.

ii. O Módulo Três (Processador para Subprocessador) das Cláusulas da UE aplica-se quando o Cliente é um processador e a MeetGeek processa Dados do Cliente como um subprocessador.

b. Para cada módulo das Cláusulas da UE, quando aplicável:

i. A cláusula opcional de adesão no Item 7 não se aplica;

ii. No Item 9, a Opção 2 (autorização geral por escrito) se aplica, e o período mínimo de aviso prévio para alterações nos Subprocessadores será conforme estabelecido na Seção 1(g) deste DPA;

iii. No Item 11, a linguagem opcional não se aplica;

iv. Todos os colchetes no Item 13 são removidos;

v. No Item 17 (Opção 1), as Cláusulas da UE serão regidas pelo Estado-Membro da UE onde o exportador de dados está localizado;

vi. No Item 18(b), disputas serão resolvidas nos tribunais do Estado-Membro da UE onde o exportador de dados está localizado;

vii. O Anexo A deste DPA contém as informações exigidas no Anexo I e Anexo III das Cláusulas da UE;

viii. O Anexo B deste DPA contém as informações exigidas no Anexo II das Cláusulas da UE.

c. Os Dados do Cliente originados na Suíça serão processados conforme as Cláusulas da UE, com as seguintes alterações:

i. “FDPIC” refere-se ao Comissário Federal Suíço de Proteção de Dados e Informação;

ii. “Revised FADP” refere-se à versão revisada da Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2020, que entrou em vigor em 1º de janeiro de 2023;

iii. O termo “Estado-Membro da UE” não será interpretado de maneira a excluir titulares de dados na Suíça de exercerem seus direitos no local de sua residência habitual (Suíça) conforme o Item 18(c);

iv. As Cláusulas da UE também protegem os dados de entidades jurídicas até a entrada em vigor da Revised FADP;

v. O FDPIC atuará como a “autoridade supervisora competente” na medida em que a transferência de dados seja regida pela FADP.

d. Com relação aos Dados do Cliente originados do Reino Unido, as partes cumprirão as disposições da Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o Modelo de Adendo B.1.0 emitido pelo Information Commissioner’s Office e apresentado ao Parlamento conforme o artigo 119A da Lei de Proteção de Dados de 2018, conforme revisado pela Seção 18 dessas Cláusulas Obrigatórias.

As partes também concordam que (i) as informações incluídas na Parte 1 do Adendo do Reino Unido são as descritas no Anexo I do Apêndice A deste DPA; e (ii) qualquer uma das partes pode encerrar o Adendo do Reino Unido conforme a Seção 19 do mesmo.

8.   Prazo; Devolução e exclusão de dados.  Este DPA permanecerá em vigor enquanto a MeetGeek realizar operações de processamento de Dados do Cliente em nome do Cliente ou até a rescisão do Contrato (e todos os Dados do Cliente tenham sido retornados ou excluídos conforme este DPA).

A MeetGeek reterá os Dados do Cliente enviados pela API por um período máximo de trinta (30) dias, após o qual serão excluídos, exceto quando for legalmente obrigada a mantê-los, caso em que os Dados do Cliente serão isolados e protegidos contra qualquer processamento adicional, exceto conforme exigido pelas leis aplicáveis. Após a rescisão deste DPA, a MeetGeek instruirá cada Subprocessador a excluir os Dados do Cliente dentro de trinta (30) dias da rescisão do DPA, salvo se proibido por lei. Para maior clareza, a MeetGeek pode continuar a processar informações derivadas dos Dados do Cliente que tenham sido anonimizadas, desidentificadas e/ou agregadas, de forma que não sejam mais consideradas Dados Pessoais conforme as Leis de Proteção de Dados aplicáveis, para aprimorar os sistemas e serviços da MeetGeek.

Anexo A

‍

A. LISTA DE FESTAS

Exportador (es) de dados: o cliente dos Serviços identificado nos documentos de registro dos Serviços aplicáveis

‍Importador (es) de dados:

Nome: MeetGeek,

Endereço: Calea Vacaresti 203A, Bucareste, UE

Nome, cargo e detalhes de contato da pessoa de contato:

Dan Huru

Chefe do Departamento Jurídico Comercial

[email protected]

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: O desempenho dos serviços descritos no contrato ao qual estão anexados.

Assinatura e data:  

Função (controlador/processador): Processador

‍

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos Usuários de aplicativos exportadores de dados.

Categorias de dados pessoais transferidos

Nome, informações de contato, informações demográficas ou outras informações fornecidas pelo usuário em dados não estruturados.

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurança adicionais.

Nenhum dado confidencial deve ser transferido, a menos que o usuário os inclua inesperadamente em dados não estruturados.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

Contínuo.

Natureza do processamento

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

Finalidade (s) da transferência de dados e processamento adicional

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Durante a vigência do contrato

Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento

O desempenho dos serviços descritos no contrato ao qual este apêndice está anexado.

‍

C. AUTORIDADE SUPERVISORA COMPETENTE

Identifique a (s) autoridade (s) supervisora (s) competente (s) de acordo com a Cláusula 13

A autoridade de proteção de dados do Estado-Membro da UE em que o exportador está estabelecido.

Anexo B

‍

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

‍

INTRODUÇÃO

A MeetGeek mantém um programa de segurança da informação projetado para proteger seus sistemas, dados e dados do cliente. Este Adendo descreve o programa de segurança da informação e os padrões de segurança que a MeetGeek mantém com relação aos Serviços e ao tratamento de dados enviados por ou em nome do Cliente aos Serviços (os “Dados do Cliente”). Os termos em maiúsculas não definidos neste Anexo II têm os significados dados no DPA ou no Contrato.

Para saber mais sobre as medidas de segurança técnica e organizacional da MeetGeek para proteger os dados do cliente, consulte o Portal de Segurança MeetGeek em https://security.meetgeek.ai (o “Portal de Segurança”). As medidas de segurança abaixo incluem o subconjunto das informações disponíveis no Portal de Segurança que se aplica a este DPA.

‍

MEDIDAS DE SEGURANÇA

Controles corporativos de identidade, autenticação e autorização. A MeetGeek mantém as melhores práticas do setor para autenticar e autorizar o acesso interno de funcionários e serviços, incluindo as seguintes medidas:

○ O MeetGeek usa login único (SSO) para autenticar serviços de terceiros usados na entrega dos Serviços. Controles de acesso baseados em funções (RBAC) são usados ao provisionar acesso interno aos Serviços;

○ A autenticação multifatorial obrigatória é usada para autenticação no provedor de identidade do MeetGeek.

○ Identificadores de login exclusivos são atribuídos a cada usuário;

○ Estabeleceu processos de revisão e aprovação para quaisquer solicitações de acesso aos serviços que armazenam Dados do Cliente;

○ Auditorias de acesso periódicas projetadas para garantir que os níveis de acesso sejam apropriados para as funções que cada usuário desempenha;

○ Procedimentos estabelecidos para revogar prontamente os direitos de acesso após a separação dos funcionários;

○ Procedimentos estabelecidos para relatar e revogar credenciais comprometidas (como senhas e chaves de API); e

○ Procedimentos de redefinição de senha estabelecidos, incluindo procedimentos projetados para verificar a identidade de um usuário antes de uma senha nova, substituída ou temporária.

Controles de identidade, autenticação e autorização do cliente. A MeetGeek mantém as melhores práticas do setor para autenticar e autorizar clientes nos Serviços, incluindo as seguintes medidas:

○ Uso de um serviço de gerenciamento de acesso de identidade de terceiros para gerenciar a identidade do cliente, o que significa que o MeetGeek não armazena senhas fornecidas pelo usuário em nome dos usuários; e

○ Separar logicamente os dados do cliente por conta da organização usando identificadores exclusivos. Dentro de uma conta da organização, contas de usuário exclusivas são suportadas.

Infraestrutura em nuvem e segurança de rede. A MeetGeek mantém as melhores práticas do setor para proteger e operar sua infraestrutura em nuvem, incluindo as seguintes medidas:

○ Ambientes separados de produção e não produção; ○ Os recursos primários de back-end são implantados por trás de uma VPN.

○ Os Serviços são auditados rotineiramente quanto a vulnerabilidades de segurança.

○ Segredos de aplicativos e contas de serviço são gerenciados por um serviço de gerenciamento de segredos;

○ As políticas de segurança de rede e os firewalls são configurados para acesso com menos privilégios em relação a um conjunto preestabelecido de fluxos de tráfego permitidos. Os fluxos de tráfego não permitidos são bloqueados; e ○ Os registros de serviços são monitorados quanto à segurança e disponibilidade.

Controle do sistema e da estação de trabalho. A MeetGeek mantém as melhores práticas do setor para proteger os sistemas corporativos da MeetGeek, incluindo laptops e infraestrutura local, incluindo:

○ Gerenciamento de terminais de estações de trabalho corporativas;

○ Gerenciamento de terminais de dispositivos móveis;

○ Aplicação automática de configurações de segurança em estações de trabalho;

○ Gerenciamento obrigatório de patches; e

○ Manter registros de segurança apropriados.

Controle de acesso a dados. A MeetGeek mantém as melhores práticas do setor para impedir que usuários autorizados acessem dados além de seus direitos de acesso autorizados e para impedir a entrada, leitura, cópia, remoção, modificação ou divulgação não autorizadas de dados. Essas medidas incluem o seguinte:

○ O acesso dos funcionários aos Serviços segue o princípio do menor privilégio. Somente funcionários cuja função de trabalho envolva apoiar a prestação de Serviços são credenciados no ambiente de Serviços; e

○ Os dados do cliente enviados aos Serviços são usados somente de acordo com os termos do DPA, do Contrato e de quaisquer outros acordos contratuais aplicáveis em vigor com o Cliente.

Controle de divulgação. A MeetGeek mantém as melhores práticas do setor para impedir o acesso, alteração ou remoção não autorizados de dados durante a transferência e para proteger e registrar todas as transferências. Essas medidas incluem:

○ Criptografia de dados em repouso em armazenamentos de dados de produção usando algoritmos de criptografia fortes;

○ Criptografia de dados em trânsito;

○ Trilha de auditoria para todas as solicitações de acesso a dados para armazenamentos de dados de produção;

○ A criptografia de disco inteiro é necessária em todas as estações de trabalho corporativas;

○ Controles de gerenciamento de dispositivos necessários em todas as estações de trabalho corporativas; ○ Restrições ao uso de mídia portátil ou removível; e ○ Os dados do cliente podem ser excluídos mediante solicitação.

Controle de disponibilidade. A MeetGeek mantém as melhores práticas do setor para manter a funcionalidade dos Serviços por meio de intenções acidentais ou maliciosas, incluindo:

○ Garantir que os sistemas possam ser restaurados em caso de interrupção;

○ Garantir que os sistemas estejam funcionando e que as falhas sejam relatadas; e

○ Soluções antimalware e de detecção/prevenção de intrusões implementadas de forma abrangente em nosso ambiente

Controle de segregação. A MeetGeek mantém as melhores práticas do setor para o processamento separado de dados coletados para diferentes propósitos, incluindo:

○ Segregação lógica dos dados do cliente;

○ Restrição do acesso aos dados armazenados para diferentes finalidades, de acordo com as funções e responsabilidades da equipe;

○ Segregação das funções do sistema de informações comerciais; e

○ Segregação de ambientes de sistemas de informações de teste e produção.

Gestão de riscos. A MeetGeek mantém as melhores práticas do setor para detectar e gerenciar riscos de segurança cibernética, incluindo:

○ Modelagem de ameaças para documentar e fazer a triagem de fontes de risco de segurança para priorização e remediação;  

○ Os testes de penetração são realizados nos Serviços pelo menos uma vez por ano, e quaisquer itens de remediação identificados são resolvidos o mais rápido possível em um cronograma compatível com o risco associado. Mediante solicitação, o MeetGeek fornecerá detalhes resumidos dos testes realizados e se os problemas identificados foram resolvidos;  

○ Contratos anuais de um auditor externo independente e qualificado para realizar análises periódicas das práticas de segurança da MeetGeek em relação aos padrões de auditoria reconhecidos, incluindo auditorias de certificação SOC 2 Tipo II. Mediante solicitação razoável, o MeetGeek fornecerá detalhes resumidos; e

○ Um programa de gerenciamento de vulnerabilidades projetado para garantir a correção imediata das vulnerabilidades que afetam os Serviços.

Pessoal. A MeetGeek mantém as melhores práticas do setor para verificar, treinar e gerenciar pessoal com relação a questões de segurança, incluindo:

○ Verificações de antecedentes, quando legalmente permitidas, de funcionários com acesso aos Dados do Cliente ou que apoiam outros aspectos dos Serviços;

○ Treinamento anual de segurança para funcionários e treinamento suplementar de segurança, conforme apropriado.

Controle de acesso físico. A MeetGeek mantém as melhores práticas do setor para impedir o acesso físico não autorizado às instalações da MeetGeek, incluindo:

○ Controles de barreira física, incluindo portas e portões trancados;

○ Equipe de segurança no local 24 horas por dia;

○ Sistemas de vigilância por vídeo e alarme 24 horas, incluindo vigilância por vídeo de áreas comuns e pontos de entrada e saída das instalações;

○ Sistemas de controle de acesso que exigem biometria ou identificação com foto e PIN para entrada em todas as instalações da MeetGeek pelo pessoal da MeetGeek;

○ Protocolos de identificação, login e escolta de visitantes; e ○ Registro das saídas e entradas das instalações.

Gerenciamento de riscos de terceiros. A MeetGeek mantém as melhores práticas do setor para gerenciar riscos de segurança de terceiros, inclusive com relação a qualquer subprocessador ou subcontratado a quem a MeetGeek forneça dados de clientes, incluindo as seguintes medidas:

○ Contratos escritos elaborados para garantir que qualquer agente concorde em manter salvaguardas razoáveis e apropriadas para proteger os Dados do Cliente; e

○ Avaliações de segurança de fornecedores: Todos os terceiros passam por um processo formal de avaliação de fornecedores mantido pela equipe de segurança da MeetGeek.

Resposta a incidentes de segurança. A MeetGeek mantém um plano de resposta a incidentes de segurança para responder e resolver eventos que comprometam a confidencialidade, disponibilidade ou integridade dos Serviços ou Dados do Cliente, incluindo o seguinte:

○ O MeetGeek agrega registros do sistema para segurança e observabilidade geral de uma variedade de sistemas para facilitar a detecção e a resposta; e

○ Se a MeetGeek tomar conhecimento de que ocorreu uma violação de dados pessoais, a MeetGeek notificará o Cliente de acordo com o DPA.

Avaliações de segurança. A MeetGeek realiza testes regulares de segurança e vulnerabilidade para avaliar se os principais controles são implementados adequadamente e são eficazes, conforme medidos de acordo com os padrões de segurança do setor e suas políticas e procedimentos, e para garantir a conformidade contínua com as obrigações impostas por lei, regulamentação ou contrato com relação à segurança dos dados do cliente, bem como à manutenção e estrutura dos sistemas de informação da MeetGeek.