Adendo de Segurança da Accruent
Este Adendo de Segurança ("Adendo") é estabelecido entre a Accruent e seu cliente aplicável (em nome de si mesmo e suas afiliadas, o "Cliente") e é incorporado por referência ao contrato de termos e condições ou outro acordo escrito ou eletrônico entre a Accruent e o Cliente (o "Contrato") referente à prestação dos Serviços da Accruent (conforme definido no Contrato) para refletir o acordo das partes e relação à segurança da informação. Exceto conforme expressamente estabelecido neste Adendo, o Contrato permanece inalterado e em pleno vigor e efeito. Em caso de conflito entre este Adendo e o Contrato, este Adendo prevalecerá. Termos utilizados, mas não definidos aqui, terão seus respetivos significados conforme estabelecido no Contrato.
- SEGURANÇA
A Accruent usará métodos e salvaguardas razoáveis projetados para proteger os Dados do Cliente, incluindo contra qualquer coleta, acesso, uso, armazenamento, descarte e divulgação não autorizados por seus funcionários, agentes ou subcontratados. Para cumprir suas obrigações nesta Seção, a Accruent deverá ter em vigor, no mínimo, salvaguardas físicas, técnicas, administrativas e organizacionais que garantam: (a) proteção das instalações comerciais, equipamentos de computação, equipamentos com capacidade de armazenamento de informações e sistemas de backup contendo os Dados do Cliente; (b) segurança de rede, aplicativos (incluindo bancos de dados) e plataforma; (c) sistemas comerciais projetados para otimizar a segurança e o descarte adequado dos Dados do Cliente de acordo com os termos deste Adendo e do Contrato; (d) transmissão e armazenamento seguros dos Dados do Cliente (incluindo criptografia que atenda ou exceda os padrões atuais do setor, conforme detalhado na Seção 7.2 abaixo); (e) mecanismos de autenticação e controle de acesso aos Dados do Cliente, sistemas operacionais e equipamentos; (f) segurança pessoal, incluindo verificações de antecedentes de acordo com a legislação aplicável; (g) treinamento anual para os funcionários da Accruent sobre salvaguardas físicas, técnicas e administrativas de segurança de informações e confidencialidade; (h) que os Dados do Cliente sejam armazenados em centros de dados que possuam controles de segurança padrão do setor; e (i) restrições para garantir que os arquivos de Dados do Cliente não sejam colocados em nenhum disco rígido de notebook ou mídia removível, como CD ou pendrive, a menos que estejam criptografados.
- VIOLAÇÃO DE DADOS
2.1 No caso de ocorrer uma Violação de Dados, a Accruent notificará o Cliente sobre a Violação de Dados o mais rápido possível, mas em nenhum caso posterior a setenta e duas (72) horas após o evento, com informações relevantes, incluindo a natureza da Violação de Dados, a natureza dos Dados do Cliente afetados, as categorias e o número de usuários envolvidos, o número de registos de Dados do Cliente envolvidos e as medidas tomadas para lidar com a Violação de Dados. "Violação de Dados" significa qualquer acesso, uso ou divulgação imprópria, não autorizada ou ilegal de informações pessoais de dados do sujeito, diretamente causada pela violação da Accruent deste Adendo.
2.2 A Accruent tomará medidas imediatas para remediar a Violação de Dados, quando razoavelmente possível, de acordo com a legislação aplicável. O Cliente é o único responsável por determinar se deve notificar as autoridades supervisoras ou reguladoras relevantes em relação a qualquer Violação de Dados.
- GERENCIAMENTO DE VULNERABILIDADES
3.1 A Accruent manterá políticas projetadas para garantir que os ativos, sistemas e software da Accruent usados para armazenar, processar, transmitir ou manter os Dados do Cliente estejam protegidos contra vulnerabilidades conhecidas ou relatadas a ameaças externas às funcionalidades ou segurança, instalando correções de segurança aplicáveis e necessárias dentro de um prazo razoável. A Accruent fornecerá resumos executivos de testes de penetração de aplicativos mediante solicitação por escrito.
3.2 A Accruent avaliará alertas, avisos e diretrizes de segurança de fontes externas relevantes para determinar: (a) exposição a tais vulnerabilidades e (b) medidas apropriadas para abordar o risco associado.
- RECUPERAÇÃO DE DESASTRES
4.1 A Accruent manterá uma política documentada e apropriada de recuperação de desastres projetada para permitir que ela continue ou retome a prestação dos Serviços de forma oportuna após um evento disruptivo ("Plano de Recuperação de Desastres"). No caso de um desastre ser declarado, a Accruent iniciará o Plano de Recuperação de Desastres e fará esforços comercialmente razoáveis para retomar o acesso aos Serviços do Cliente nas instalações do centro de dados de backup da Accruent, de acordo com os objetivos de tempo de recuperação da Accruent.
4.2 A Accruent testará e monitorará anualmente a eficácia de seu Plano de Recuperação de Desastres, incluindo salvaguardas, controles, sistemas e procedimentos, avaliará e modificará o Plano de Recuperação de Desastres conforme necessário para abordar os riscos internos e externos recém-identificados à segurança, confidencialidade e integridade dos Dados do Cliente.
- REGISTOS, INFORMAÇÕES E AUDITORIA
5.1 O Cliente pode, não mais do que uma vez por ano e com aviso por escrito de trinta (30) dias de antecedência, solicitar um relatório SOC 1 ou SOC 2, ou uma carta de ponte, entrando em contato com audit.compliance@accruent.com. O Cliente deve incluir informações sobre o(s) produto(s) da Accruent, o tipo de relatório de auditoria solicitado e as informações de contato na solicitação.
5.2 O Cliente pode, no máximo uma vez por ano e com aviso prévio por escrito de trinta (30) dias contínuos, enviar um questionário de segurança padrão do setor para que a Accruent complete.
- LOCALIZAÇÃO E CRIPTOGRAFIA DE DADOS
6.1 A Accruent trabalhará com provedores de hospedagem respeitáveis para seus Serviços SaaS que possuam precauções de segurança padrão do setor para o tipo de informação mantida, o que inclui, mas não se limita a procedimentos e medidas projetados para evitar o acesso não autorizado aos Serviços SaaS e o uso e/ou modificação não autorizados dos Dados do Cliente.
6.2 Os Dados do Cliente podem ser criptografados em repouso, em movimento ou ambos durante o transporte, de acordo com a tabela abaix