Política de subcontratantes de dados

1. Propriedade e controlo dos dados do seu serviço

Para que seja possível prestar corretamente os serviços oferecidos pela SMARTFENSE, não existe outra forma operacional senão a de atuar como subcontratante (sob as suas instruções) no tratamento das suas informações. Por esse motivo, é necessário que você ou a sua organização possam confiar à SMARTFENSE a informação que controlam, para que seja efetivamente possível utilizar os nossos serviços ou solicitar assistência técnica para os nossos produtos.

Isto inclui informações sobre os seus clientes e os seus colaboradores (se for responsável pelo tratamento) ou dados que possui e utiliza em nome de outra pessoa para um fim específico, como um cliente a quem presta serviços (se for subcontratante). Os dados podem ser armazenados nos nossos servidores quando utiliza os nossos serviços. Toda a informação confiada à SMARTFENSE é coletivamente designada como “dados de serviço”.

Reconhecemos que você é o proprietário dos seus dados de serviço: fornecemos controlo total sobre os seus dados de serviço, permitindo-lhe (i) aceder aos seus dados de serviço, (ii) partilhar os seus dados de serviço através de integrações compatíveis de terceiros e (iii) solicitar a exportação ou eliminação dos seus dados de serviço.

2. O que é um subcontratante?

Um subcontratante é um sub-processador (de acordo com a classificação do RGPD) contratado pela SMARTFENSE — incluindo entidades do grupo SMARTFENSE — que tem ou pode vir a ter acesso ou tratar Dados de Serviço (que podem incluir Dados Pessoais).

A SMARTFENSE utiliza diferentes tipos de subcontratantes para executar funções distintas, conforme indicado nesta política.

3. Due diligence

A SMARTFENSE compromete-se a utilizar um processo de seleção comercialmente razoável, através do qual avalia as práticas de segurança, privacidade e confidencialidade dos subcontratantes propostos que terão ou poderão ter acesso aos Dados de Serviço.

A SMARTFENSE exige contratualmente que os seus subcontratantes aceitem obrigações equivalentes às exigidas da própria SMARTFENSE (como Subcontratante), conforme estabelecido no Acordo de Tratamento de Dados (“DPA”) da SMARTFENSE. Entre estas obrigações, devem incluir-se, no mínimo:

  • Tratar os Dados Pessoais de acordo com as instruções documentadas do responsável pelo tratamento (o Subscritor), conforme comunicadas por escrito pela SMARTFENSE ao subcontratante correspondente;
  • Utilizar apenas pessoal de confiança, sujeito a obrigações contratuais de confidencialidade e segurança de dados, conforme aplicável segundo a legislação de proteção de dados;
  • Fornecer formação periódica sobre segurança e proteção de dados ao pessoal que tenha acesso a Dados Pessoais;
  • Implementar e manter medidas técnicas e organizacionais adequadas (incluindo aquelas às quais a SMARTFENSE está contratualmente vinculada, quando relevantes para o tratamento de Dados Pessoais pelo subcontratante) e fornecer certificação anual que demonstre conformidade. Na ausência desta certificação, a SMARTFENSE reserva o direito de auditar o subcontratante;
  • Informar imediatamente a SMARTFENSE sobre qualquer violação real ou potencial de segurança;
  • Cooperar com a SMARTFENSE no atendimento de pedidos do responsável pelo tratamento, titulares dos dados ou autoridades de proteção de dados, conforme aplicável.

Esta política não concede aos Subscritores quaisquer direitos ou recursos adicionais e não deve ser interpretada como um acordo vinculativo. A informação aqui contida destina-se apenas a ilustrar o processo utilizado pela SMARTFENSE para a contratação de subcontratantes e a fornecer a lista atualizada de subcontratantes terceiros e redes de distribuição de conteúdos utilizados pela SMARTFENSE na data desta política.

Se é Subscritor da SMARTFENSE e deseja celebrar o nosso DPA, envie-nos um email para privacy@smartfense.com.

4. Medidas de Segurança da Informação

Os nossos subcontratantes, ao tratarem Dados de Serviço em nome do Subscritor no âmbito dos Serviços Empresariais, implementarão e manterão as seguintes medidas técnicas e organizacionais:

  1. Controlo de acesso físico: medidas razoáveis, como segurança presencial e instalações protegidas, para impedir o acesso físico não autorizado aos Dados de Serviço.
  2. Controlo de acesso ao sistema: medidas para impedir o uso não autorizado dos Dados de Serviço, incluindo autenticação por palavra-passe, autenticação de dois fatores, processos documentados de autorização e gestão de alterações, e registo de acessos.
  3. Controlo de acesso a dados: garantir que os Dados de Serviço sejam acessíveis apenas a pessoal devidamente autorizado, limitar o acesso direto à base de dados e garantir que os direitos de acesso sejam aplicados corretamente.
  4. Controlo de transmissão: garantir que seja possível verificar para que entidades os Dados de Serviço são transmitidos e que não possam ser lidos, copiados ou modificados sem autorização durante a transmissão.
  5. Controlo de introdução (input): garantir que seja possível verificar se os Dados de Serviço foram introduzidos, modificados ou eliminados e por quem; e que qualquer transferência seja realizada de forma segura.
  6. Proteção de dados: proteger contra destruição ou perda acidental, realizar backups seguros e encriptados e manter programas de segurança destinados a mitigar riscos comuns.
  7. Separação lógica: garantir que os Dados de Serviço sejam logicamente separados dos dados de outras partes.

5. Processo de contratação de novos subcontratantes

Para todos os Subscritores que assinaram o DPA padrão da SMARTFENSE, qualquer atualização na lista de subcontratantes será notificada através desta política. A SMARTFENSE compromete-se a manter esta lista atualizada regularmente.

O Subscritor pode opor-se por escrito ao tratamento dos seus Dados Pessoais por um novo subcontratante no prazo de trinta (30) dias após a atualização desta política. A objeção deve incluir motivos legítimos. Se o Subscritor não apresentar objeção dentro do prazo, o subcontratante será considerado aceite.

  1. A SMARTFENSE deixará de utilizar o novo subcontratante para tratar Dados Pessoais;
  2. A SMARTFENSE adotará medidas corretivas solicitadas pelo Subscritor, caso isto resolva a objeção;
  3. A SMARTFENSE poderá deixar de fornecer — ou o Subscritor poderá aceitar não utilizar — a funcionalidade específica que exige o subcontratante em questão.

6. Subcontratantes de infraestrutura: armazenamento e tratamento de dados de serviço

Os sistemas de produção da SMARTFENSE que armazenam Dados de Serviço estão localizados em instalações na Europa e nos seguintes subcontratantes de infraestrutura:

Subcontratante

Descrição

País

Dados tratados

Finalidade
Amazon, Inc. Fornecedor de serviços de infraestrutura UE (Irlanda) eu-west-1 Dados fornecidos pelo cliente:
Nome, Apelido, Email, ID de Colaborador, UPN, Idioma, Grupos, Áreas funcionais, Níveis hierárquicos, Telefone, Foto de perfil, Estado, Função.

Dados gerados pela plataforma:
Registos de auditoria, métricas e resultados de campanhas.

Fornecer a infraestrutura onde a plataforma opera.
Heroku Plataforma como serviço (PaaS) UE (Irlanda) eu-west-1 Dados fornecidos pelo cliente:
Nome, Apelido, Email, ID de Colaborador, UPN, Idioma, Grupos, Áreas funcionais, Níveis hierárquicos, Telefone, Foto de perfil, Estado, Função.

Dados gerados pela plataforma:
Registos de auditoria, métricas e resultados de campanhas.

Fornecer o ambiente de software onde a plataforma funciona.
Papertrail Gestão de logs UE (Irlanda) eu-west-1 Nome, Apelido, Email, Endereço IP, Informações do navegador, Dados de registo. Fornecer ferramentas para gestão de registos do sistema.

7. Subcontratantes específicos do serviço

A SMARTFENSE trabalha com determinados fornecedores para fornecer funcionalidades específicas nos Serviços. Estes subcontratantes têm acesso aos Dados de Serviço apenas para os fins autorizados.

Subcontratante

Descrição

País

Dados tratados

Finalidade
Servidor de Email Servidor utilizado para envio de emails aos utilizadores. Primário: https://www.hostgator.com (EUA)
Secundário: https://www.iplan.com.ar (Argentina) 		Email Enviar simulações de phishing e ransomware, bem como notificações gerais se não existir um servidor SMTP próprio.
Google Serviços corporativos da Google EUA Nome
Apelido
Email
Idioma
Estado 		Importar e autenticar utilizadores.
Microsoft Azure AD Serviço de diretório ativo na cloud da Microsoft EUA Nome
Apelido
Email
ID de Colaborador
UPN
Idioma
Grupos
Estado 		Importar e autenticar utilizadores.
Auth0 Gestor de identidades Região AWS UE (Frankfurt/Dublin) Nome
Apelido
Email
Estado 		Autenticação de utilizadores.
Keycloak Solução open source de identidade e acesso com SSO e MFA EUA Username
Email
Nome completo
Nome
Apelido 		Autenticação de utilizadores.
Okta Gestão de identidades e acessos (SSO, MFA) EUA Username
Email
Nome completo
Nome
Apelido 		Autenticação de utilizadores.
Slack Ferramenta de comunicação unificada EUA Email Envio de notificações aos utilizadores finais.
Microsoft Teams Plataforma de comunicação e colaboração EUA Email Envio de notificações aos utilizadores finais.
Vanta Plataforma de conformidade e segurança (SOC 2, ISO 27001) EUA Email Enviar registos de auditoria de campanhas para a Vanta.
SAP SuccessFactors Suite cloud de gestão de talento EUA Email Enviar registos de auditoria de campanhas para SAP SuccessFactors.