O presente Acordo de Processamento de Dados (“APD” ou “Acordo”) é celebrado entre:
| Campo | Detalhes |
|---|---|
| Nome da empresa | [NOME COMPLETO DO CLIENTE] |
| Endereço registrado | [MORADA] |
| N.º de IVA/Número da Empresa | [NÚMERO DE IVA] |
| Contato para Proteção de Dados | [E-MAIL/CONTATO DO DPO] |
| Representante de assinatura | [NOME, TÍTULO] |
| Campo | Detalhes |
|---|---|
| Nome da empresa | Xygeni Security, SL |
| Endereço registrado | C/Pasión 4, 2 Planta, 47001 Valladolid, Espanha |
| NIF | B09620287 |
| Contato para Proteção de Dados | info@xygeni.io |
| Representante de assinatura | [NOME, TÍTULO] |
O Controlador e o Processador serão referidos individualmente como uma “Parte” e coletivamente como as “Partes”.
Este DPA faz parte do Contrato Principal de Prestação de Serviços ou Termos de Serviço (“Contrato Principal”) entre as Partes, que rege o fornecimento pela Xygeni de seus serviços de segurança de aplicativos e software supply chain security serviços (os “Serviços”). Em caso de conflito entre este DPA e o Contrato Principal, este DPA prevalecerá em relação a questões de proteção de dados.
Para os fins deste DPA:
As Partes reconhecem e concordam que:
Quando a Xygeni processa dados pessoais para os seus próprios fins (por exemplo, gestão de contas, faturação, análises para melhoria de serviços), atua como Controladora independente. Esse processamento é regido pela Política de Privacidade da Xygeni e está fora do âmbito deste DPA.
O objeto, a natureza, a duração e a finalidade do tratamento, bem como os tipos de Dados Pessoais tratados e as categorias de Titulares dos Dados, estão definidos no Anexo 1 (Detalhes do Tratamento) desta DPA.
O Processador deverá processar os Dados do Cliente apenas na medida necessária para prestar os Serviços descritos no Contrato Principal e de acordo com as instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo por lei aplicável. Nesse caso, o Processador deverá informar o Controlador sobre essa exigência legal antes do processamento, a menos que seja proibido por lei por motivos de interesse público relevante.
O Controlador instrui o Processador a processar os Dados do Cliente conforme necessário para: (a) fornecer os Serviços de acordo com o Contrato Principal; (b) cumprir as instruções do Controlador comunicadas por escrito de tempos em tempos; e (c) cumprir as obrigações do Processador nos termos deste DPA.
O Processador deverá informar imediatamente o Controlador se, em sua opinião razoável, uma instrução do Controlador infringir a legislação de proteção de dados aplicável. Nesse caso, o Processador terá o direito de interromper o processamento de acordo com tal instrução até que o Controlador a esclareça ou modifique.
O Controlador garante e declara que: (a) possui uma base legal válida nos termos do Artigo 6 do RGPD (e, quando aplicável, do Artigo 9) para o processamento dos Dados Pessoais relevantes; (b) forneceu todos os avisos necessários e obteve todos os consentimentos necessários; e (c) a transferência dos Dados do Cliente para o Processador não viola nenhuma lei aplicável.
O Processador deverá processar os Dados do Cliente apenas de acordo com as instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo pela legislação aplicável da UE ou de um Estado-Membro. O Processador não deverá processar os Dados do Cliente para os seus próprios fins nem divulgá-los a terceiros, exceto quando necessário para prestar os Serviços ou conforme exigido por lei.
O Processador deverá assegurar que as pessoas autorizadas a processar os Dados do Cliente tenham commitOs dados do cliente devem estar sujeitos a um compromisso de confidencialidade ou a uma obrigação legal apropriada de confidencialidade. O acesso aos dados do cliente será limitado aos funcionários, contratados e subcontratados que necessitem de acesso para a prestação dos serviços.
O processador deverá implementar e manter medidas técnicas e organizacionais adequadas para proteger os Dados do Cliente contra processamento não autorizado ou ilegal e contra perda, destruição, dano, alteração ou divulgação acidental, levando em consideração:
Tais medidas devem incluir, no mínimo, as estabelecidas no Anexo 2 (Medidas de Segurança Técnicas e Organizacionais) deste DPA. A certificação ISO 27001 do Processador comprova a existência de um sistema básico de gestão de segurança da informação. O Processador deverá manter a certificação ISO 27001 ou equivalente durante toda a vigência deste DPA.
O processador deverá, tendo em conta a natureza do processamento, auxiliar o controlador, através de medidas técnicas e organizacionais adequadas, na medida do possível, no cumprimento da obrigação do controlador de responder aos pedidos de exercício de direitos.cisDireitos dos titulares dos dados de acordo com a legislação de proteção de dados aplicável (incluindo os direitos de acesso, retificação, apagamento, restrição, portabilidade e oposição, conforme os artigos 15 a 22 do RGPD).
O Processador deverá: (a) notificar imediatamente o Controlador caso receba uma solicitação de um Titular dos Dados em relação aos Dados do Cliente; (b) não responder a tais solicitações, exceto mediante instruções documentadas do Controlador ou conforme exigido pela legislação aplicável; e (c) fornecer ao Controlador assistência razoável para responder a tais solicitações dentro dos prazos legais aplicáveis (30 dias, conforme o Artigo 12 do RGPD).
O processador deverá auxiliar o controlador a garantir o cumprimento das obrigações previstas nos artigos 32 a 36 do RGPD, levando em consideração a natureza do processamento e as informações disponíveis ao processador, inclusive no que diz respeito a:
Após a rescisão ou expiração do Contrato Principal, ou mediante solicitação do Controlador, o Processador deverá, a critério do Controlador, excluir ou devolver ao Controlador todos os Dados do Cliente em sua posse, e deverá excluir as cópias existentes, a menos que a legislação aplicável da UE ou de um Estado-Membro exija o armazenamento dos Dados Pessoais. O Processador deverá confirmar a conclusão da exclusão por escrito no prazo de 30 dias a partir da data em que a exclusão ocorrer.
Processador standard O cronograma de retenção de dados (estabelecido no Anexo 1) será aplicado, a menos que o Controlador faça uma solicitação de exclusão anterior.
O Processador deverá disponibilizar ao Controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA, e deverá permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Controlador ou por um auditor por ele designado.
O processador poderá cumprir essa obrigação fornecendo:
O Processador deverá notificar o Controlador sem demora injustificada e, em qualquer caso, dentro de 48 horas após tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados do Cliente. Tal notificação deverá incluir, na medida em que estiver disponível no momento:
Nos casos em que não seja possível fornecer todas as informações acima simultaneamente, as informações poderão ser fornecidas em fases, sem demora indevida. O Processador deverá cooperar com o Controlador e tomar as medidas razoáveis que o Controlador possa exigir para auxiliar na investigação, mitigação e remediação da violação.
As Partes reconhecem que a obrigação, nos termos do Artigo 33 do RGPD, de notificar a autoridade de controlo competente (Agencia Española de Protección de Datos — AEPD, ou outra autoridade relevante) no prazo de 72 horas após tomar conhecimento de uma Violação de Dados Pessoais recai sobre o Controlador, na qualidade de responsável pelo tratamento dos dados. A notificação do Processador ao Controlador, nos termos desta Cláusula, visa permitir que o Controlador cumpra esta obrigação regulamentar. A notificação do Processador não constitui uma admissão de culpa ou responsabilidade.
O Controlador concede ao Processador autorização geral para contratar Subprocessadores conforme listado no Anexo 3 (Subprocessadores Aprovados) deste DPA. O Processador deverá impor a cada Subprocessador obrigações de proteção de dados equivalentes às estabelecidas neste DPA, em particular, fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas.
O Processador deverá notificar o Controlador sobre quaisquer alterações pretendidas relativas à adição ou substituição de Subprocessadores, através de: (a) atualização da lista de Subprocessadores publicada em https://xygeni.io/legal/subprocessors com a data revisada de “Última atualização”; e (b) envio de notificação por escrito ao Controlador com pelo menos dez (10) dias de antecedência à entrada em vigor da alteração. O Controlador poderá opor-se à alteração por motivos razoáveis de proteção de dados no prazo de sete (7) dias a contar da referida notificação. Caso o Controlador se oponha e as Partes não consigam resolver a objeção, o Controlador poderá rescindir o Contrato Principal mediante notificação prévia razoável, sem penalidades.
Caso o Processador contrate um Subprocessador, o Processador permanecerá totalmente responsável perante o Controlador pelo cumprimento das obrigações desse Subprocessador, na medida em que este não cumpra suas obrigações de proteção de dados.
Para cada subprocessador, o processador deverá:
O processador não deverá transferir os Dados do Cliente para um país fora do Espaço Econômico Europeu (EEE), a menos que:
Quando forem necessários Termos de Conformidade de Segurança (SCCs), o Processador deverá, mediante solicitação do Controlador, executar os SCCs aplicáveis com o Controlador e/ou com o Subprocessador relevante. O módulo aplicável dos SCCs será o Módulo Dois (Controlador para Processador) para transferências do Controlador para o Processador e o Módulo Três (Processador para Subprocessador) para transferências subsequentes do Processador para os Subprocessadores.
A autoridade supervisora competente para efeitos das Cláusulas Contratuais Padrão é a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos — AEPD), salvo acordo em contrário por escrito.
O Processador deverá manter e disponibilizar ao Controlador, mediante solicitação, um registro atualizado de todas as transferências internacionais de Dados do Cliente e o mecanismo de transferência aplicável a cada uma delas.
9. Avaliações de impacto da proteção de dados
Quando uma atividade de processamento de dados for suscetível de resultar em elevado risco para os direitos e liberdades das pessoas singulares e o Controlador for obrigado a realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) nos termos do Artigo 35.º do RGPD, o Processador deverá prestar ao Controlador a assistência e as informações razoáveis necessárias para permitir a realização da AIPD. O Processador deverá responder aos pedidos razoáveis do Controlador relacionados com a AIPD no prazo de 15 dias úteis.
O processador deverá manter, a pedido do controlador, um registo das atividades de processamento realizadas em nome do controlador, em conformidade com o artigo 30.º, n.º 2, do RGPD, incluindo: o nome e os dados de contacto do processador e de quaisquer subprocessadores; as categorias de processamento realizadas em nome do controlador; as transferências de dados pessoais para um país terceiro; e uma descrição geral das medidas de segurança técnicas e organizacionais.
A responsabilidade de cada Parte perante a outra, nos termos deste DPA ou em conexão com ele, estará sujeita às limitações e exclusões estabelecidas no Contrato Principal. Caso um Titular dos Dados tenha sofrido danos em decorrência de um processamento que viole a legislação de proteção de dados aplicável, cada Parte será responsável pelos danos causados pelo processamento que viole o RGPD, de acordo com os artigos 82 e 83 do RGPD. Nada nesta Cláusula limita a responsabilidade de qualquer das Partes perante os Titulares dos Dados nos termos da legislação aplicável.
Este DPA entrará em vigor na data do Contrato Principal (ou na data de assinatura deste DPA, se posterior) e permanecerá em vigor durante toda a vigência do Contrato Principal. A rescisão do Contrato Principal por qualquer motivo rescindirá automaticamente este DPA.
Após a rescisão, as obrigações do Processador nos termos da Cláusula 5.6 (exclusão ou devolução de dados) permanecerão em vigor e o Processador deverá concluir a exclusão ou devolução dos Dados do Cliente no prazo de 30 dias a contar da rescisão. As cláusulas relativas à confidencialidade, responsabilidade, lei aplicável e auditoria também permanecerão em vigor após a rescisão.
Este DPA será regido e interpretado de acordo com as leis da Espanha. As Partes submetem-se à jurisdição não exclusiva dos tribunais de Madri para a resolução de qualquer disputa decorrente deste DPA ou a ele relacionada. Na medida em que qualquer disposição deste DPA conflitar com as Cláusulas Contratuais Padrão (SCCs), as SCCs prevalecerão.
Total acordo: Este DPA, juntamente com seus anexos e o Contrato Principal, constitui o acordo integral entre as Partes com relação ao objeto do presente e substitui todos os acordos, entendimentos ou declarações anteriores relativos ao processamento de dados.
Alterações: Este DPA só poderá ser alterado por acordo escrito assinado por representantes autorizados de ambas as Partes.
Divisibilidade: Caso alguma disposição deste DPA seja considerada inválida ou inexequível, as demais disposições permanecerão em pleno vigor e efeito.
Precedência: Em caso de conflito entre este DPA e os Anexos, prevalecerá o corpo do DPA, a menos que o Anexo declare explicitamente o contrário. Em caso de conflito entre este DPA e as Cláusulas Contratuais Padrão (quando aplicáveis), prevalecerão as Cláusulas Contratuais Padrão.
O objeto do processamento é o fornecimento, pela Xygeni, de application security posture management, software supply chain security análise, detecção de vulnerabilidades, CI/CD monitoramento de segurança e serviços relacionados, conforme descrito no Contrato Principal.
Coleta, organização, estruturação, armazenamento, análise, recuperação, uso, divulgação por transmissão, alinhamento ou combinação, restrição, eliminação ou destruição de Dados do Cliente.
O processamento dos dados do cliente é realizado com o único propósito de fornecer os serviços ao controlador, incluindo: detecção e relatório de vulnerabilidades de segurança; análise de risco da cadeia de suprimentos de software; CI/CD pipeline security Monitoramento; detecção de anomalias; e suporte ao cliente.
O Processador deverá processar os Dados do Cliente durante a vigência do Contrato Principal. Após o término, o Processador deverá reter os Dados do Cliente por 3 meses após a data de término da assinatura antes da exclusão, a menos que o Controlador solicite a exclusão antecipada. Os dados da conta de teste são retidos por 1 mês após o término do período de teste.
| Categoria | Exemplos |
|---|---|
| Dados da conta do usuário | Nome, endereço de e-mail, nome de usuário, hash da senha, função, organização |
| Dados de atividade e utilização | Conecte-se eventos, chamadas de API, registros de atividades de varredura, carimbos de data/hora, endereços IP |
| Metadados de descoberta de segurança | Nomes de repositórios, caminhos de arquivos (onde as descobertas ocorrem), metadados de dependências, pipeline referências de configuração |
| Dados de comunicação | Solicitações de suporte, correspondência por e-mail relacionada aos Serviços |
Os titulares dos dados incluem: funcionários, contratados e outros usuários autorizados do Controlador que acessam os Serviços; colaboradores (desenvolvedores, contas de bots, agentes de compilação) para repositórios e pipelinemonitorados pelos Serviços; e representantes e pessoas de contato do Controlador.
Os Serviços não foram concebidos para processar dados pessoais de categoria especial, conforme definido no Artigo 9 do RGPD. O Controlador garante que não submeterá dados pessoais de categoria especial aos Serviços sem o prévio acordo por escrito com a Xygeni e a implementação de salvaguardas adicionais adequadas.
A Xygeni implementa as seguintes medidas técnicas e organizacionais para proteger os Dados do Cliente, em conformidade com o sistema de gestão de segurança da informação certificado pela ISO 27001 da Xygeni:
