FALE CONOSCO

EULA

Contrato do Dropbox Business

Publicado em 14 de setembro de 2016

Este Contrato do Dropbox Business (“Contrato”) é celebrado entre o Dropbox International Unlimited Company se sua organização for sediada fora dos Estados Unidos, Canadá e México (“América do Norte”) ou, se sua organização for sediada na América do Norte, entre o Dropbox, Inc., uma empresa de Delaware (cada uma, “Dropbox”), e a empresa que concorda com estes termos (“Cliente”). Este contrato rege o acesso e uso do software cliente do Dropbox Business e de seus serviços (em conjunto, “Dropbox Business”), assim como os Serviços Beta que forem disponibilizados a você (em conjunto com o Dropbox Business, os “Serviços”). Ao clicar em “Concordo”, assinar o contrato para os Serviços ou usar os Serviços, você concorda com este Contrato como o Cliente.

Na medida em que o Dropbox, Inc. estará, em nome do Cliente, processando Dados do Cliente que estão sujeitos às leis nacionais que implementam a Diretiva de proteção de dados da UE (95/46/CE) (“Leis de proteção de dados da União Europeia”), ao clicar em “Concordo” você também aceita as Cláusulas contratuais padrão da UE com o Dropbox, Inc. para a transferência de dados pessoais para processadores estabelecidos no Anexo 1.

Se você estiver celebrando este Contrato e o Anexo 1 (se aplicável) para usar os Serviços em uma organização, você está celebrando este Contrato em nome dessa organização. Você precisa ter poder para vincular essa organização aos termos do Contrato; do contrário, você não pode assinar os Serviços.

  1. Serviços.
    1. Prestação dos Serviços. O Cliente e os usuários da conta de Serviços do Cliente (“Usuários Finais“) podem acessar e usar os Serviços em conformidade com este Contrato.
    2. Processamento de dados. O Dropbox vai usar, no mínimo, medidas técnicas e organizacionais de segurança de acordo com o padrão do setor para transferir, armazenar e processar os Dados de clientes. Essas medidas destinam-se a proteger a integridade dos Dados de clientes e impedir o acesso, uso e processamento não autorizado ou ilegal de Dados de clientes. O Cliente concorda que o Dropbox pode transferir, armazenar e processar os Dados de clientes nos Estados Unidos e em países diferentes do país do Cliente. Na medida em que os Dados do cliente estão sujeitos às Leis de proteção de dados da UE, e estão sendo processados pelo Dropbox como processador de dados atuando em nome do Cliente (como controlador de dados), o Dropbox usará e processará estes Dados do cliente conforme as instruções do próprio Cliente para poder fornecer os Serviços e cumprir com as obrigações aceitas pelo Dropbox dentro do Contrato. “Dados de clientes” significam Dados armazenados e Dados da conta. “Dados armazenados” significam os arquivos e dados estruturados enviados aos Serviços pelo Cliente ou pelos Usuários finais. “Dados da conta” significam as informações de conta e contato enviadas aos Serviços pelo Cliente ou pelos Usuários finais.
    3. Modificações nos Serviços. O Dropbox pode atualizar os Serviços de tempos em tempos. Caso o Dropbox altere os Serviços de forma que reduza substancialmente sua funcionalidade, o Dropbox informará ao Cliente através do endereço de e-mail associado à sua conta.
    4. Software. Alguns serviços permitem ao Cliente fazer o download do software do Dropbox, que pode ser atualizado automaticamente. O Cliente pode usar o software somente para acessar os Serviços. Caso qualquer componente do software seja oferecido sob uma licença de código aberto, o Dropbox disponibilizará a licença para o Cliente e suas disposições podem expressamente substituir alguns dos termos deste Contrato.
    5. Serviços Beta. O Dropbox pode oferecer recursos ou produtos que ainda estão sendo testados e avaliados. Esses produtos e recursos são identificados como alfa, beta, prévia, acesso antecipado ou avaliação (ou outras palavras ou frases de significado semelhante) (em conjunto, “Serviços Beta”). Não obstante qualquer disposição em contrário no presente Contrato ou no Anexo 1, os seguintes termos se aplicam a todos os Serviços Beta: (a) você pode usar ou recusar-se a usar quaisquer Serviços Beta; (b) os Serviços Beta podem não receber suporte ou podem ser alterados a qualquer momento, sem aviso; (c) os Serviços Beta podem não ter o mesmo nível de confiabilidade ou disponibilidade que o Dropbox Business; (d) Os Serviços Beta não passaram pelas mesmas medidas de segurança e auditoria às quais o Dropbox Business foi submetido; e (e) O DROPBOX NÃO SERÁ RESPONSÁVEL POR QUAISQUER QUESTÕES QUE SURJAM A PARTIR DE OU EM CONEXÃO COM OS SERVIÇOS BETA. USE-OS POR SUA PRÓPRIA CONTA E RISCO.
  2. Obrigações dos Clientes.
    1. Conformidade. O Cliente é responsável pela utilização dos Serviços por seus Usuários finais. O Cliente e seus Usuários finais devem usar os Serviços em conformidade com a Política de uso aceitável. O Cliente é responsável pela obtenção, junto aos Usuários finais, de quaisquer autorizações necessárias para permitir que os administradores exerçam as atividades descritas no presente Contrato e para que o Dropbox forneça os Serviços. O Cliente cumprirá as leis e regulamentos aplicáveis ​​ao uso dos Serviços pelo Cliente.
    2. Administração dos Serviços pelo Cliente. O Cliente pode especificar Usuários finais como “Administradores” pela seção de Administração. Os Administradores poderão acessar, divulgar, restringir ou remover Dados de clientes das contas dos Serviços. Os Administradores também poderão monitorar, restringir ou encerrar o acesso a contas dos Serviços. As responsabilidades do Dropbox não se estendem à gestão ou à administração interna dos Serviços. O Cliente é responsável por (i) manter a confidencialidade das senhas e das contas de Administrador, (ii) gerenciar o acesso às contas de Administrador e (iii) assegurar que o uso dos Serviços por parte dos Administradores esteja em conformidade com este Contrato. O Cliente reconhece que se o Cliente adquirir os Serviços através de um revendedor e delegar a quaisquer funcionários desse revendedor a função de Administrador da conta de Serviços do Cliente, esse revendedor pode controlar as informações da conta, inclusive os Dados do Cliente, e acessar a conta de Serviços do Cliente conforme descrito acima.
    3. Uso e acesso não autorizados. O Cliente impedirá o uso não autorizado dos Serviços por seus Usuários finais e encerrará qualquer uso ou acesso não autorizado aos Serviços. Os Serviços não se destinam a Usuários finais com idade inferior a 13 anos. O Cliente declarará que não permite que nenhuma pessoa com idade inferior a 13 anos use os Serviços. O Cliente deverá notificar o Dropbox imediatamente a respeito de qualquer uso ou acesso não autorizado aos Serviços.
    4. Usos restritos. O Cliente (i) não venderá, revenderá ou alugará os Serviços; (ii) não usará os Serviços para atividades em que o uso ou falha dos Serviços possam provocar lesão corporal ou morte; e (iii) não fará engenharia reversa dos Serviços, nem auxiliará ninguém a fazê-lo, a menos que essa restrição seja proibida por lei.
    5. Solicitações de terceiro.
      1. Solicitação de terceiro” significa uma solicitação apresentada por um terceiro, requisitando registros relacionados ao uso dos Serviços por um Usuário final, incluindo informações contidas na conta de um Usuário final ou na conta de Serviços de um Cliente. As Solicitações de terceiros podem incluir decisões judiciais, intimações ou mandados de busca válidos, ou qualquer outra solicitação para a qual haja consentimento escrito dos Usuários finais, permitindo tal divulgação.
      2. O Cliente é responsável por atender às Solicitações de terceiros usando seu próprio acesso às informações. O Cliente buscará obter as informações necessárias para atender às Solicitações de terceiros e entrará em contato com o Dropbox apenas no caso de não conseguir obter essas informações mesmo com esforços diligentes.
      3. O Dropbox envidará esforços comercialmente razoáveis até onde for permitido por lei e dentro dos termos da Solicitação de terceiro, para (A) notificar imediatamente o Cliente do recebimento de uma Solicitação de terceiro, (B) cumprir com os pedidos comercialmente razoáveis do Cliente em relação aos seus esforços de se opor a uma Solicitação de terceiro e (C) fornecer ao Cliente informações ou ferramentas necessárias para que o Cliente atenda à Solicitação de terceiro (se o Cliente não conseguir obter as informações de outra forma). Se o Cliente não atender imediatamente a qualquer Solicitação de terceiro, então o Dropbox poderá atendê-la, mas não será obrigado a fazê-lo.
  3. Serviços de terceiros. Se o Cliente usar qualquer serviço de terceiro (por exemplo, um serviço que use a API do Dropbox) em conjunto com os Serviços, (a) o Dropbox não será responsável por qualquer ato ou omissão de um terceiro, incluindo o acesso ou uso do terceiro sobre o uso de informações do Cliente e (b) o Dropbox não garante nem dá suporte a nenhum serviço fornecido pelo terceiro.
  4. Suspensão
    1. De Contas de Usuário final pelo Dropbox. Se um Usuário final (i) violar este Contrato ou (ii) usar os Serviços de forma que o Dropbox acredite razoavelmente que gerará responsabilidade, então o Dropbox poderá solicitar ao Cliente que suspenda ou encerre a conta do Usuário final em questão. Se o Cliente não suspender ou encerrar imediatamente a conta do Usuário final, então o Dropbox poderá fazê-lo.
    2. Emergências de segurança. Não obstante qualquer provisão constante neste Contrato, se houver uma Emergência de Segurança, então o Dropbox poderá suspender automaticamente o uso dos Serviços. O Dropbox envidará esforços razoáveis para adequar a suspensão conforme necessário, a fim de evitar ou resolver a Emergência de segurança. “Emergência de Segurança” significa (i) uso dos Serviços que interrompa ou possa interromper os Serviços, o uso dos Serviços por outros clientes ou da infraestrutura usada para prestar os Serviços e (ii) acesso não autorizado de terceiros aos Serviços.
  5. Direitos de propriedade intelectual.
    1. Reserva de Direitos. Exceto quando expressamente previsto neste documento, este Contrato (i) não concede ao Dropbox quaisquer Direitos de propriedade intelectual sobre Dados de Clientes, ou (ii) não concede ao Cliente quaisquer Direitos de propriedade intelectual sobre os Serviços ou sobre as marcas registradas e características de identidade visual do Dropbox. O termo “Direitos de propriedade intelectual” designa os direitos mundiais atuais e futuros protegidos pela legislação de patentes, direitos autorais, segredos comerciais, marcas registradas, direitos morais e outros direitos similares.
    2. Permissões limitadas. O Cliente concede ao Dropbox somente os direitos limitados que são razoavelmente necessários ao Dropbox para oferecer os Serviços (ex: para hospedar os Dados armazenados). Essas permissões também se estendem a nossas afiliadas e terceiros de confiança com quem o Dropbox trabalha para oferecer os Serviços (ex: provedor de pagamento usado para processar o pagamento de taxas).
    3. Sugestões. O Dropbox pode, a seu critério e para qualquer propósito, usar, modificar e incorporar em nossos produtos e serviços, licença e sublicença, qualquer opinião, comentário ou sugestão que Clientes ou Usuários finais enviem ao Dropbox ou publiquem nos fóruns do Dropbox, sem que isso gere qualquer obrigação em relação ao Cliente.
    4. Lista de clientes. O Dropbox pode incluir o nome do Cliente em uma lista de clientes do Dropbox no website do Dropbox ou em materiais promocionais.
  6. Tarifas e pagamento.
    1. Tarifas. O Cliente pagará todas as tarifas aplicáveis, e desde já autoriza o Dropbox ou Revendedor do cliente a cobrá-las usando o método de pagamento selecionado pelo Cliente. As tarifas não são reembolsáveis, exceto conforme exigido por lei. O Cliente é responsável por fornecer ao Dropbox ou Revendedor do cliente informações completas e precisas de faturamento e contato. O Dropbox pode suspender ou encerrar os Serviços se as tarifas estiverem em atraso.
    2. Renovações automáticas e períodos de avaliação. SE A CONTA DO CLIENTE ESTIVER CONFIGURADA COM RENOVAÇÃO AUTOMÁTICA, OU SE ESTIVER EM PERÍODO DE AVALIAÇÃO, O DROPBOX (OU REVENDEDOR DO CLIENTE) PODERÁ AUTOMATICAMENTE COBRAR A TARIFA PELA RENOVAÇÃO OU AO FINAL DO PERÍODO DE AVALIAÇÃO, EXCETO SE O CLIENTE NOTIFICAR O DROPBOX (OU O REVENDEDOR DO CLIENTE, SE APLICÁVEL) DE QUE DESEJA CANCELAR OU DESABILITAR A RENOVAÇÃO AUTOMÁTICA. O Dropbox poderá revisar as taxas de Serviço, notificando o Cliente no mínimo 30 dias antes da próxima cobrança.
    3. Impostos. O Cliente é responsável por todos os impostos. O Dropbox ou Revendedor do cliente cobrará impostos quando for obrigado a fazê-lo. Caso seja obrigado por lei a reter impostos, o Cliente deve fornecer ao Dropbox ou ao Revendedor do cliente um recibo de imposto oficial ou outra documentação adequada.
    4. Ordens de compra. Se o cliente exige o uso de uma ordem de compra ou número da ordem de compra, o Cliente (i) deve fornecer o número do pedido no momento da compra e (ii) concorda que quaisquer termos e condições de uma ordem de compra do Cliente não se aplicam a este Contrato e são nulos. Se o Cliente estiver efetuando a compra através de um revendedor, todos os termos e condições do Revendedor do cliente ou constantes de uma ordem de compra entre o Cliente e seu revendedor que entrem em conflito com o Contrato do Dropbox Business são nulos.
  7. Duração e rescisão.
    1. Duração. Este Contrato continuará em vigor até que a assinatura do Cliente aos Serviços vença ou seja encerrada, ou até que o Contrato seja rescindido.
    2. Rescisão por descumprimento. Tanto o Dropbox quanto o Cliente podem rescindir este contrato se (i) a outra parte estiver em descumprimento relevante do Contrato e não solucionar tal circunstância dentro de 30 dias após o recebimento de aviso por escrito ou (ii) a outra parte cessar suas operações comerciais ou estiver sujeita a procedimentos de falência, e os procedimentos não forem extintos dentro de 90 dias.
    3. Efeitos da rescisão. Se o presente Contrato for rescindido: (i) os direitos concedidos pelo Dropbox ao Cliente cessarão imediatamente (exceto conforme estabelecido nesta seção), (ii) o Dropbox poderá fornecer ao Cliente acesso à sua conta às tarifas vigentes para que o Cliente possa exportar seus Dados armazenados, e (iii) após um período comercialmente razoável, o Dropbox poderá excluir quaisquer Dados armazenados referentes à conta do Cliente. As seções a seguir permanecerão válidas com o término ou rescisão deste Contrato: 2(e) (Solicitações de terceiros), 5 (Direitos de propriedade intelectual), 6 (Tarifas e Pagamento), 7(c) (Efeitos da rescisão), 8 (Indenização) , 9 (Declaração de exoneração de responsabilidade), 10 (Limitação de Responsabilidade), 11 (Disputas) e 12 (Disposições gerais).
  8. Indenização.
    1. Pelo Cliente . O Cliente indenizará, defenderá e isentará o Dropbox de e contra todas as responsabilidades, indenizações e custos (incluindo custos de conciliação e honorários advocatícios razoáveis) provenientes de uma ação judicial de terceiros contra o Dropbox e suas afiliadas em relação a (i) Dados do cliente, (ii) uso dos Serviços pelo Cliente em violação deste Contrato; ou (iii) uso dos Serviços pelo Usuário final em violação deste Contrato.
    2. Pelo Dropbox. O Dropbox indenizará, defenderá e isentará o Cliente de e contra todas as responsabilidades, indenizações e custos (incluindo custos de conciliação e honorários advocatícios razoáveis) provenientes de uma ação judicial de terceiros contra o Cliente na medida em que se baseie em uma alegação de que a tecnologia do Dropbox usada para prestar os Serviços ao Cliente viola ou se apropria indevidamente de qualquer direito autoral, segredo comercial, patente dos EUA ou marca comercial do terceiro. Em nenhuma circunstância, o Dropbox terá qualquer obrigação sob esta seção proveniente (i) do uso de quaisquer Serviços de forma modificada ou em combinação com materiais não fornecidos pelo Dropbox e (ii) de quaisquer conteúdos, informações ou dados fornecidos pelo Cliente, Usuários finais ou outros terceiros.
    3. Possível violação. Se o Dropbox acreditar que os Serviços violam ou que se pode alegar que violem os Direitos de propriedade intelectual de um terceiro, então o Dropbox pode (i) obter o direito para o Cliente, às custas do Dropbox, de continuar usando os Serviços; (ii) fornecer uma substituição funcionalmente equivalente que não viole os direitos; ou (iii) modificar os Serviços para que não mais violem os direitos. Caso o Dropbox não acredite que as opções descritas nesta seção sejam comercialmente razoáveis, então o Dropbox poderá suspender ou rescindir o uso, pelo Cliente, dos Serviços afetados (reembolsando proporcionalmente as tarifas já pagas pelos Serviços).
    4. Geral. A parte que busca indenização notificará imediatamente a outra parte da ação judicial e cooperará com a outra parte na defesa da ação judicial. A parte indenizante terá controle e autoridade totais sobre a defesa; entretanto, (i) qualquer conciliação que exija que a parte que busca indenização admita responsabilidade requer consentimento prévio por escrito, e tal consentimento não deverá ser injustificadamente negado ou objeto de atraso, e (ii) a outra parte poderá se unir à defesa por meio de seu próprio advogado, às suas custas. AS INDENIZAÇÕES REFERIDAS ACIMA SÃO AS ÚNICAS MEDIDAS JUDICIAIS DO DROPBOX E DO CLIENTE SOB ESTE CONTRATO POR VIOLAÇÃO, PELA OUTRA PARTE, DOS DIREITOS DE PROPRIEDADE INTELECTUAL DE UM TERCEIRO.
  9. Declaração de exoneração de responsabilidade. OS SERVIÇOS SÃO FORNECIDOS “COMO ESTÃO”. ATÉ ONDE FOR PERMITIDO PELA LEI, EXCETO CONFORME EXPRESSAMENTE DECLARADO NESTE CONTRATO, NEM O CLIENTE, NEM O DROPBOX E SUAS AFILIADAS, FORNECEDORES E DISTRIBUIDORES FAZEM GARANTIAS DE QUALQUER TIPO, QUER EXPRESSAS, IMPLÍCITAS, LEGAIS OU DE OUTRA FORMA, INCLUINDO GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM USO ESPECÍFICO, OU NÃO VIOLAÇÃO. O CLIENTE É RESPONSÁVEL POR MANTER E ARMAZENAR UM BACKUP DE TODOS OS DADOS ARMAZENADOS.
  10. Limitação de responsabilidade.
    1. Limitação de responsabilidade indireta. ATÉ O LIMITE MÁXIMO PERMITIDO POR LEI, COM EXCEÇÃO DAS OBRIGAÇÕES DE INDENIZAÇÃO DO DROPBOX OU DO CLIENTE, NENHUMA DAS PARTES NEM SUAS AFILIADAS, FORNECEDORES E DISTRIBUIDORES DO DROPBOX SERÃO RESPONSABILIZADOS AO ABRIGO DESTE CONTRATO POR (I) DANOS INDIRETOS, INCIDENTAIS, CONSEQUENTES, EXEMPLARES OU PUNITIVOS, OU (II) PERDA DE USOS, DADOS, NEGÓCIOS, RECEITAS OU LUCROS (EM AMBOS OS CASOS, TANTO DIRETOS QUANTO INDIRETOS), MESMO CASO A PARTE SAIBA OU SOUBESSE QUE TAIS DANOS ERAM POSSÍVEIS E MESMO CASO UMA MEDIDA JUDICIAL FALHE EM SEU PROPÓSITO FUNDAMENTAL.
    2. Limitação no valor da responsabilidade. ATÉ O LIMITE MÁXIMO PERMITIDO POR LEI, A RESPONSABILIDADE AGREGADA DO DROPBOX SOB ESTE CONTRATO SERÁ O VALOR MENOR ENTRE US$ 100.000 E O VALOR PAGO PELO CLIENTE REFERENTE AOS SERVIÇOS SOB ESTE CONTRATO DURANTE OS DOZE MESES ANTERIORES AO EVENTO QUE ORIGINOU A RESPONSABILIDADE.
  11. Disputas.
    1. Resolução informal. O Dropbox deseja atender às suas preocupações, sem a necessidade de um processo judicial formal. Antes de entrar com uma ação, cada uma das partes compromete-se a tentar resolver a disputa em contato com a outra por meio dos procedimentos de notificação na seção 12(e). Caso uma disputa não seja resolvida no prazo de 30 dias após a notificação, o Cliente ou o Dropbox podem dar entrada em um processo formal.
    2. Acordo de arbitragem. O Cliente e o Dropbox concordam em resolver quaisquer reclamações relativas a este Contrato ou aos Serviços por meio de arbitragem final e vinculante, exceto conforme estabelecido a seguir. A Associação Americana de Arbitragem (AAA) administrará a arbitragem ao abrigo de suas Regras para arbitragem comercial. A arbitragem ocorrerá em São Francisco (CA), ou em qualquer outro lugar que seja objeto de acordo mútuo.
    3. Exceções ao acordo de arbitragem. Qualquer das partes pode entrar com uma ação nos tribunais federais ou estaduais da comarca de São Francisco, na Califórnia, apenas como medida cautelar para impedir o uso não autorizado ou abuso dos Serviços, ou violação de Direitos de propriedade intelectual sem primeiramente engajar-se no processo de resolução informal descrito acima. O foro e a competência jurisdicional devem ser objeto de acordo mútuo entre o Cliente e o Dropbox.
    4. PROIBIÇÃO DE AÇÕES COLETIVAS. Você apenas pode resolver com o Dropbox disputas a nível individual, e não pode entrar com uma ação coletiva, consolidada ou por substituição derivada. Arbitragens coletivas, ações coletivas, ações de interesse público e consolidação com outras arbitragens não são permitidas.
  12. Disposições gerais.
    1. Modificação dos Termos. O Dropbox poderá revisar este Contrato de tempos em tempos, e a versão mais atualizada sempre estará publicada no site do Dropbox Business. Se o Dropbox, a seu critério exclusivo, considerar uma revisão relevante, o Dropbox notificará o Cliente (por exemplo, enviando um e-mail para o endereço associado à conta em questão). Outras revisões podem ser publicadas no blog ou na página de Termos do Dropbox, e o Cliente será responsável por verificar essas publicações regularmente. Caso continue a acessar ou usar os Serviços após as revisões entrarem em vigor, fica entendido que o Cliente concorda em seguir o Contrato revisado. Caso não concorde com os termos do Contrato revisado, o Cliente poderá encerrar os Serviços dentro dos primeiros 30 dias após receber a notificação da alteração.
    2. Cláusula de integralidade de entendimentos. Este Contrato, incluindo a fatura do Cliente e o formulário de compra do Dropbox (se for o caso), constitui a integralidade do contrato entre o Cliente e o Dropbox no que diz respeito ao objeto material deste Contrato e revoga e substitui qualquer entendimento e acordo anterior ou contemporâneo, escrito ou verbal, em relação ao objeto deste Contrato. Em caso de conflito entre os documentos que compõem este Contrato, os documentos seguirão a ordem de precedência a seguir: fatura do Dropbox, formulário de compra do Dropbox, o Contrato.
    3. Lei aplicável. O CONTRATO SERÁ REGIDO PELAS LEIS DA CALIFÓRNIA, EXCETO NO QUE DIZ RESPEITO AOS SEUS PRINCÍPIOS QUE REGEM CONFLITOS ENTRE LEIS DE DIFERENTES JURISDIÇÕES.
    4. Autonomia das cláusulas. Disposições nulas serão modificadas para refletir a intenção das partes e somente até onde for necessário para que se tornem exigíveis, e as demais disposições do Contrato continuarão válidas.
    5. Notificações. As notificações devem ser enviadas por correspondência aérea, de primeira classe, ou serviço expresso de courier e são consideradas entregues quando recebidas. As notificações enviadas a você também podem ser enviadas ao endereço de e-mail da conta aplicável, e são consideradas entregues quando enviadas. As notificações para o Dropbox devem ser enviadas para Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, aos cuidados do Legal Department [Departamento Jurídico].
    6. Renúncia. Renunciar a qualquer descumprimento não representa renúncia a qualquer descumprimento subsequente.
    7. Cessão. O Cliente não pode ceder ou transferir este Contrato, ou qualquer direito ou obrigação sob o seu abrigo sem o consentimento escrito do Dropbox. O Dropbox não pode ceder este Contrato sem notificar o Cliente; porém, o Dropbox pode ceder este Contrato a uma afiliada ou em conexão com uma fusão, aquisição, reorganização corporativa, ou venda de todos, ou substancialmente todos os seus ativos, sem obrigação de notificar o Cliente. Qualquer outra tentativa de transferência ou cessão é nula.
    8. Cláusula de independência. O Dropbox e o Cliente não são sócios nem agentes, mas são partes independentes.
    9. Força maior. Exceto por obrigações de pagamento, nem o Dropbox nem o Cliente será responsabilizado por execução inadequada causada por uma condição que esteja fora do controle razoável da parte (por exemplo, desastre natural, ato de guerra ou terrorismo, tumultos, reivindicações trabalhistas, ações governamentais e problemas de internet).
    10. Inexistência de terceiros beneficiários. Não há nenhum terceiro beneficiário deste Contrato. Sem limitar esta seção, os Usuários finais de um Cliente não configuram terceiros beneficiários aos direitos do Cliente sob este Contrato.
    11. Restrições de exportação. A exportação e reexportação de Dados de clientes por meio dos Serviços podem ser controladas pelos Regulamentos de Administração de Exportação dos Estados Unidos ou outros embargos ou restrições de exportação aplicáveis. Os Serviços não poderão ser usados nos seguintes países: Cuba, Irã, Coreia do Norte, Sudão, ou Síria ou qualquer outro país que esteja sujeito a embargo pelos Estados Unidos. O Cliente não deverá usar os Serviços em violação de qualquer restrição à exportação ou embargo imposto pelos Estados Unidos ou qualquer outra jurisdição aplicável. Além disso, o Cliente deve garantir que os Serviços não sejam fornecidos a pessoas que constem na “Table of Denial Orders”, na “Entity List” ou na Lista de Cidadãos Especialmente Designados.

Anexo 1

Decisão da comissão C(2010)593

Cláusulas contratuais padrão (processadores)

Para efeitos do artigo 26(2) da Diretiva 95/46 /EC para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não asseguram um nível adequado de proteção de dados

Nome da organização a exportar os dados: O Cliente que é parte do Contrato do Dropbox Business com o Dropbox International Unlimited Company
(o exportador de dados)

e

Nome da organização importadora de dados: Dropbox, Inc.
Address: 333 Brannan Street, San Francisco, CA 94107 USA
(a importadora de dados)

cada um deles, uma “parte”, em conjunto “as partes”,

TENDO CONCORDADO com as seguintes Cláusulas contratuais (as Cláusulas), a fim de apresentarem garantias adequadas no que diz respeito à proteção da privacidade e dos direitos e liberdades dos indivíduos no que tange à transferência do exportador para o importador dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para efeito das Cláusulas:

  1. dados pessoais‘, ‘categorias específicas de dados‘, ‘processar/processamento‘, ‘controlador‘, ‘processador‘, ‘pessoa em causa‘ e ‘autoridade de controle‘ devem ter os mesmos significados que na Diretiva 95/46/EC do Parlamento europeu, e do Conselho de 24 de outubro de 1995 sobre a proteção de indivíduos com vistas ao processamento de dados pessoais e à movimentação livre destes dados1;
  2. o exportador de dados‘ diz respeito ao controlador que transfere os dados pessoais;
  3. o importador de dados‘ diz respeito ao subcontratante que concorda em receber do exportador os dados pessoais que devem ser processados em seu nome após a transferência, de acordo com suas instruções e com os termos das Cláusulas, e que não está sujeito ao sistema de um terceiro país, garantindo proteção adequada nos termos do Artigo 25(1) da Diretiva 95/46/EC;
  4. o subprocessador‘ diz respeito a qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados, ou de qualquer outro subprocessador do importador de dados, dados pessoais destinados exclusivamente a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e as condições do subcontrato escrito;
  5. a lei de proteção de dados aplicável‘ diz respeito à legislação que protege as liberdades e direitos fundamentais de indivíduos, especialmente seu direito à privacidade no que tange o processamento de dados pessoais aplicáveis a um controlador de dados no Estado-membro em que o exportador de dados esteja estabelecido;
  6. medidas técnicas e organizacionais de segurança‘ dizem respeito àquelas medidas cujo objetivo é proteger dados pessoais contra destruição acidental ou ilícita, ou perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o processamento envolver a transmissão de dados pela rede e contra todas as outras formas de processamento ilícito.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias específicas de dados pessoais, quando aplicáveis, estão especificados no Apêndice 1, que é parte integrante das Cláusulas.

Cláusula 3

Cláusula de terceiros beneficiários

  1. A pessoa em causa pode impor contra o exportador de dados a presente Cláusula, a Cláusula 4(b) até (i), Cláusula 5(a) até (e), e (g) até (j), Cláusula 6(1) e (2), Cláusula 7, Cláusula 8(2), e Cláusulas 9 a 12 como terceiro beneficiário.
  2. A pessoa em causa pode impor contra o importador de dados a presente Cláusula, a Cláusula 5(a) até (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2), e Cláusulas de 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou deixado de existir juridicamente, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força de lei, e, como resultado de tal fato, essa entidade sucessora assume os direitos e obrigações do exportador de dados e, nesse caso, a pessoa em causa poderá impor esta cláusula contra tal entidade.
  3. A pessoa em causa pode impor contra o subprocessador a presente Cláusula, a Cláusula 5(a) até (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8(2), e cláusulas de 9 a 12, nos casos em que tanto o exportador quanto o importador de dados tenha desaparecido de fato ou deixado de existir juridicamente, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força de lei, e, como resultado de tal fato, essa entidade sucessora assume os direitos e obrigações do exportador de dados e, nesse caso, a pessoa em causa poderá impor esta cláusula contra tal entidade. Tal responsabilidade civil do subprocessador deve ser limitada às suas próprias operações de processamento ao abrigo das Cláusulas.
  4. As partes não se opõem que uma pessoa em causa seja representada por uma associação ou outra entidade caso a pessoa em causa assim o desejar explicitamente e se permitido pela legislação nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e declara:

  1. que o processamento, incluindo a própria transferência, dos dados pessoais tem sido e continuará a ser realizado em conformidade com as disposições pertinentes da lei de proteção de dados aplicável (e, quando aplicável, que foi notificada às autoridades competentes do Estado-membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;
  2. que instruiu e que, durante a realização dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e em conformidade com a lei de proteção de dados aplicável e às Cláusulas;
  3. que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2deste contrato;
  4. que, após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita, perda acidental, alteração, divulgação ou acesso não autorizados, particularmente quando o processamento implicar a transmissão de dados através de uma rede, e contra qualquer outra forma de processamento ilícito, e que essas medidas asseguram um nível de segurança adequado aos riscos apresentados pelo processamento e pela natureza dos dados a serem protegidos, tendo em conta o estado da arte e os custos da sua implementação;
  5. que vai assegurar o cumprimento das medidas de segurança;
  6. que, se a transferência envolver categorias específicas de dados, a pessoa em causa será informada com antecedência, ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não fornece proteção adequada, nos termos da Diretiva 95/46/CE;
  7. que transmitirá qualquer notificação recebida do importador de dados ou qualquer subprocessador nos termos da Cláusula 5(b) e Cláusula 8(3) para a autoridade de controle de proteção de dados se o exportador de dados decidir continuar a transferência ou anular a suspensão;
  8. que colocará à disposição das pessoas em causa, sob solicitação, um exemplar das cláusulas, com exceção do Apêndice 2, e um resumo sucinto das medidas de segurança, bem como uma cópia de qualquer contrato de serviço de subprocessamento que deve ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que se pode removê-las;
  9. que, em caso de subprocessamento, a atividade de processamento é realizada em conformidade com a Cláusula 11 por um subprocessador que proporciona pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos das pessoas em causa que o importador de dados, ao abrigo das Cláusulas; e
  10. que garantirá conformidade com a Cláusula 4(a) até (i).

Cláusula 5

Obrigações do importador de dados2

O importador de dados concorda e declara:

  1. processar os dados pessoais apenas em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; se não puder cumprir essas obrigações por qualquer motivo, ele concorda em informar imediatamente ao exportador de dados de sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
  2. que não tem nenhuma razão para acreditar que a legislação aplicável a ele o impede de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma mudança nessa legislação que provavelmente venha a ter algum efeito colateral substancial sobre as garantias e obrigações previstas pelas Cláusulas, notificará imediatamente essa alteração ao exportador de dados assim que for informado, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
  3. que implementou as medidas técnicas e organizacionais de segurança previstas no Apêndice 2 antes de processar os dados pessoais transferidos;
  4. que notificará imediatamente o exportador de dados sobre:
    1. qualquer pedido obrigatório de divulgação dos dados pessoais por uma autoridade legal, a menos que impedido de outra forma, tal como por uma proibição prevista no código penal para preservar a confidencialidade de uma investigação policial,
    2. qualquer acesso acidental ou não autorizado, e
    3. qualquer pedido recebido diretamente das pessoas em causa sem responder a esse pedido, a menos que tenha sido de outra forma autorizado a fazê-lo;
  5. lidar rápida e adequadamente com todas as solicitações de informação do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e respeitar o parecer da autoridade de supervisão no que diz respeito ao processamento dos dados transferidos;
  6. a pedido do exportador de dados, submeter suas instalações de processamento de dados à auditoria das atividades de processamento cobertas pelas Cláusulas, a ser realizada pelo exportador de dados ou um organismo de inspeção composto por membros independentes e que esteja de posse das qualificações profissionais exigidas, vinculados por um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;
  7. colocar à disposição da pessoa em causa, mediante solicitação, um exemplar das Cláusulas ou qualquer contrato existente de subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que se pode remover tais informações comerciais, com exceção do Apêndice 2, que deve ser substituído por um resumo sucinto das medidas de segurança nos casos em que a pessoa em causa não possa obter uma cópia do exportador de dados;
  8. que, em caso de subprocessamento, informou previamente o exportador de dados e obteve o seu consentimento prévio e por escrito;
  9. que os serviços de processamento do subprocessador ocorrerão de acordo com a Cláusula 11;
  10. enviar imediatamente uma cópia de qualquer contrato de subprocessador concluído ao abrigo das Cláusulas para o exportador de dados.

Cláusula 6

Responsabilidade

  1. As partes concordam que qualquer pessoa em causa que tenha sofrido um dano em virtude de alguma violação das obrigações previstas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem direito a receber uma indenização do exportador de dados pelo dano sofrido.
  2. Se uma pessoa em causa não puder fazer um pedido de indenização contra o exportador de dados nos termos do parágrafo 1º, como resultado de uma violação por parte do importador de dados ou seu subprocessador de quaisquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11 devido ao fato do exportador de dados ter desaparecido de fato ou deixado de existir juridicamente, ou ter declarado falência, o importador de dados concorda que a pessoa em causa pode apresentar solicitação contra o importador de dados como se fosse o exportador de dados, a menos que alguma entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, caso em que a pessoa em causa pode fazer valer os seus direitos contra essa entidade.
    O importador de dados não pode invocar o descumprimento de obrigações por parte de um subprocessador a fim de fugir de suas próprias responsabilidades.
  3. Se uma pessoa em causa não for capaz de fazer um pedido de indenização contra o exportador ou importador de dados nos termos referidos nos parágrafos 1 e 2, como resultado de uma violação por parte do importador de dados ou seu subprocessador de quaisquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11 devido ao fato de tanto o exportador quanto o importador de dados terem desaparecido de fato ou deixado de existir juridicamente, ou terem declarado falência, o subprocessador concorda que a pessoa em causa pode emitir uma reclamação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento ao abrigo das Cláusulas como se fosse o exportador ou importador de dados, a menos que alguma entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, caso em que a pessoa em causa pode fazer valer os seus direitos contra essa entidade. A responsabilidade do subprocessador deve ser limitada às suas próprias operações de processamento ao abrigo das Cláusulas.

Cláusula 7

Mediação e jurisdição

  1. O importador de dados concorda que, se a pessoa em causa invocar contra ele os direitos de terceiros beneficiários e/ou solicitar indenização ao abrigo das Cláusulas, o importador de dados aceitará a decisão da pessoa em causa:
    1. de submeter o litígio à mediação por uma pessoa independente ou, quando aplicável, pela autoridade de controle;
    2. de submeter o litígio aos tribunais do Estado-membro em que o exportador de dados está estabelecido.
  2. As partes concordam que a escolha feita pela pessoa em causa não prejudicará os direitos materiais ou processuais para obter reparação em conformidade com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com autoridades de controle

  1. O exportador de dados concorda em depositar um exemplar do presente contrato para a autoridade de controle caso solicitado, ou se tal depósito for exigido nos termos da lei de proteção de dados aplicável.
  2. As partes concordam que a autoridade de controle tem o direito de realizar uma auditoria do importador de dados, bem como de qualquer subprocessador, com o mesmo objetivo e sujeita às mesmas condições aplicáveis ​​a uma auditoria do exportador de dados sob a lei de proteção de dados aplicável.
  3. O importador de dados notificará imediatamente o exportador de dados sobre a existência de legislação que lhe seja aplicável, ou a qualquer subprocessador, que impeça a realização de uma auditoria do importador de dados, ou a qualquer subprocessador, nos termos do parágrafo 2. Nesse caso o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9

Lei governamental

As Cláusulas devem ser regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.

Cláusula 10

Alteração do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas de caráter comercial sempre que necessário, desde que não contrariem a Cláusula.

Cláusula 11

Subprocessamento

  1. O importador de dados não poderá subcontratar qualquer de suas operações de processamento realizadas em nome do exportador de dados ao abrigo das Cláusulas sem o consentimento prévio e por escrito do exportador de dados. Sempre que o importador de dados subcontrata as suas obrigações ao abrigo das Cláusulas, com o consentimento do exportador de dados, deve fazê-lo apenas por meio de um acordo escrito com o subprocessador que imponha as mesmas obrigações sobre o subprocessador que são impostas ao importador de dados no âmbito do Cláusulas3. Quando o subprocessador falhar em cumprir suas obrigações de proteção de dados no âmbito do referido acordo escrito, o importador de dados continua a ser plenamente responsável perante o exportador de dados pelo desempenho das obrigações do subcontratante por força desse contrato.
  2. O contrato escrito prévio entre o importador de dados e o subprocessador deve prever igualmente uma cláusula para terceiro beneficiário, tal como previsto na Cláusula 3 para casos em que a pessoa em causa não puder reivindicar um pedido de indenização, conforme referido no parágrafo 1º da Cláusula 6, contra o exportador ou o importador de dados, devido ao fato deles terem desaparecido de fato, tenham deixado de existir juridicamente ou tenham declarado falência, e nenhuma entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou importador de dados por contrato ou por força de lei. Tal responsabilidade do subprocessador deve ser limitada às suas próprias operações de processamento ao abrigo das Cláusulas.
  3. As disposições relativas a aspectos de proteção de dados para subprocessamento do contrato referido no parágrafo 1º devem ser regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.
  4. O exportador de dados deve manter uma lista de contratos de subprocessamento concluídos ao abrigo das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5(j), que deve ser atualizada pelo menos uma vez por ano. A lista deve estar disponível para a autoridade de controle de proteção de dados responsável pelo exportador de dados.

Cláusula 12

Obrigação após a conclusão dos serviços de processamento de dados pessoais

  1. As partes concordam que, com o encerramento da prestação de serviços de processamento de dados, o importador de dados e o subprocessador devem, à escolha do exportador de dados, devolver ao exportador de dados todos os dados pessoais transferidos e suas cópias, ou devem destruir todos os dados pessoais e certificar ao exportador de dados que isso foi feito, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados declara que vai certificar a confidencialidade dos dados pessoais transferidos e não irá mais processar ativamente os dados pessoais transferidos.
  2. O importador de dados e o subprocessador garantem que mediante solicitação do exportador de dados e/ou da autoridade de controle, submeterão suas instalações de processamento de dados à auditoria das medidas referidas no parágrafo 1.

Disposições adicionais

Termos em letra maiúscula usados nas Seções A até C e nos Apêndices, mas não definidos nas Cláusulas, devem ter o significado fornecido pelo contrato do Dropbox Business entre o exportador de dados e o Dropbox International Unlimited Company.

  1. Auditoria de segurança. O importador de dados mantém certificações ISO/IEC 27001:2013 e ISO/IEC 27018:2014, que são emitidas por um auditor terceirizado independente. O importador de dados continuará a passar por auditorias regulares ISO/IEC 27001:2013 e ISO/IEC 27018, necessárias para manter tais certificações para os Serviços durante o Termo. O importador de dados também passará por auditorias regulares do Service Organization Control 2 (SOC 2) de tipo II. Sujeito a obrigações de confidencialidade do importador de dados e não mais do que uma vez por ano, o importador fornecerá ao exportador de dados uma cópia do relatório SOC 2 Tipo II mediante solicitação por escrito. O importador de dados disponibilizará novos relatórios SOC 2 conforme sejam concluídos, sujeitos a requisitos de confidencialidade do importador de dados. O importador de dados revisa regularmente as suas organizações terceirizadas subcontratadas, que se submetem a auditorias do Standards for Attestation Engagements No. 16 (SSAE 16) / International Standard on Assurance Engagements No. 3402 (ISAE 3402) Service Organization Control 1 (SOC 1) Tipo II ou Service Organization Control 2 (SOC 2) Tipo II, que avaliam o design e a eficácia de suas políticas, procedimentos e controles de segurança.

    O exportador de dados concorda que as obrigações do importador de dados estabelecidas nesta Seção A satisfaz plenamente os direitos de auditoria nos termos da Cláusula 5(f) e 12(2) das Cláusulas.

  2. Subprocessamento. O importador de dados pode contratar outras empresas para fornecer partes limitadas dos Serviços (incluindo serviços de apoio) em seu nome, e o exportador de dados aprova a que o importador de dados subcontrate o processamento de dados pessoais junto a esses subprocessadores, conforme descrito nas Cláusulas . O importador de dados garantirá que qualquer subprocessador terá acesso e utilizará os dados pessoais apenas para fornecer os Serviços, conforme estabelecido em um acordo escrito entre o importador de dados e o subprocessador. O exportador de dados reconhece que todos os requisitos aplicáveis ​​ao importador de dados ao abrigo das Cláusulas em matéria de acordos com subprocessadores devem ser satisfeitos na íntegra, desde que o contrato de subprocessamento entre o importador de dados e o subprocessador forneça, pelo menos, o mesmo nível de proteção de dados exigidos pelo Contrato do Dropbox Business.
  3. Responsabilidade. As cláusulas estarão sujeitas às limitações e exclusões de responsabilidade contidas na seção “Limitação de Responsabilidade” do Contrato do Dropbox Business, de modo que a responsabilidade total do importador de dados e do Dropbox International Unlimited Company, no seu conjunto, não devem exceder os limites estabelecidos no Contrato do Dropbox Business. Para que não restem dúvidas, o exportador de dados não terá direito à recuperação de danos tanto do importador de dados quanto do Dropbox International Unlimited Company em relação à mesma perda.

Apêndice 1 às Cláusulas contratuais padrão

Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Os Estados-membros podem completar ou especificar, de acordo com os seus procedimentos nacionais, qualquer informação adicional necessária a ser contida neste Apêndice.

Exportador de dados

O exportador de dados é (favor especificar brevemente suas atividades relevantes à transferência):

O Cliente do Contrato do Dropbox Business com o Dropbox International Unlimited Company.

Importador de dados

O importador de dados é (favor especificar brevemente suas atividades relevantes à transferência):

Dropbox, Inc., provedor global de serviços de nuvem para indivíduos e empresas. O Dropbox, Inc. e seus afiliados fornecem um site, software e aplicativos para dispositivos móveis que permitem que pessoas armazenem arquivos, sincronizem-nos entre múltiplos dispositivos e colaborem com outras pessoas. Os serviços do Dropbox, Inc. também podem ser acessados pelas Interfaces de programação de aplicativos (APIs).

Pessoas em causa

Os dados pessoais transferidos dizem respeito às seguintes categorias de pessoas em causa (especifique):

Os usuários finais do exportador de dados e dos afiliados do exportador de dados, incluindo funcionários, consultores e prestadores de serviço do exportador de dados, bem como quaisquer indivíduos que colaborem ou compartilhem com esses usuários finais usando os serviços fornecidos pelo importador de dados.

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especifique):

Dados de organização e informações, tanto on-line quanto off-line, que identifiquem os usuários finais, bem como documentos, imagens e outros conteúdos ou dados em formato eletrônico armazenados ou transmitidos por usuários finais por meio de serviços do importador de dados.

Processamento de operações

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (especifique):

O importador de dados ou seus subprocessadores usarão e processarão dados pessoais, e o exportador de dados instrui o importador de dados para usar e processar dados pessoais, a fim de fornecer os Serviços nos termos do Contrato do Dropbox Business.

Apêndice 2 às Cláusulas contratuais padrão

Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados em conformidade com as Cláusulas 4(d) e 5(c) (ou documento / legislação em anexo):

Contato de privacidade de dados

Você pode entrar em contato com o escritório de privacidade de dados do importador de dados pelo e-mail privacy@dropbox.com

Medidas de segurança

O importador de dados implementou e irá manter proteções administrativas, técnicas e físicas adequadas para proteger os dados pessoais conforme descrito de forma mais detalhada no Whitepaper de segurança do Dropbox Business (disponível a partir da Data de vigência em: https://www.dropbox.com/…/Security_Whitepaper.pdf) e adicionalmente descrito abaixo. O importador de dados pode atualizar essas medidas de segurança ao longo do tempo, com a versão mais recente disponível na URL acima (ou outra URL comunicada pelo importador de dados), desde que o importador de dados notifique o exportador de dados caso atualize as medidas de segurança de uma forma que materialmente diminua os recursos de segurança administrativos, técnicos ou físicos descritos ali ou no Apêndice 2.

  1. Serviços de segurança
    1. Arquitetura do Dropbox. O serviço do importador de dados é projetado com múltiplas camadas de proteção, incluindo a transferência de dados, criptografia, configuração de rede, e controles em nível de aplicativo, que são distribuídos através de uma infraestrutura segura e escalável. Usuários finais do serviço do importador de dados podem acessar arquivos e pastas a qualquer momento do desktop, da internet e de clientes móveis. Todos esses clientes se conectam a servidores seguros para fornecer acesso a arquivos, permitir o compartilhamento de itens com outras pessoas e atualizar os dispositivos vinculados quando arquivos são adicionados, alterados ou excluídos. Os serviços podem ser utilizados e acessados por meio de diversas interfaces. Cada uma tem configurações e recursos de segurança que processam e protegem dados de usuários, ao mesmo tempo em que permitem a facilidade de acesso.
    2. Confiabilidade. O serviço do importador de dados é desenvolvido com múltiplas camadas de redundância para proteger contra a perda de dados e garantir disponibilidade.
    3. Criptografia. Para proteger os dados em trânsito entre o exportador e o importador de dados, o importador usa criptografia Secure Sockets Layer (SSL) / Transport Layer Security (TLS) para transferência de dados, criando um túnel seguro protegido por padrões avançados de criptografia AES de 128-bits ou superior. Os dados de arquivos em repouso são criptografados usando o padrão de criptografia AES de 256-bit. A infraestrutura de gerenciamento da criptografia da chave do importador de dados é desenvolvida com controles de segurança operacionais, técnicos e processuais, com um acesso direto bastante limitado às chaves. A geração, troca e armazenamento de chaves de criptografia são distribuídos para que o processamento seja descentralizado.
    4. Recursos de gerenciamento de usuário. Usuários finais dos serviços do importador de dados podem restaurar arquivos perdidos e recuperar versões anteriores de arquivos, garantindo que as alterações nesses arquivos possam ser rastreadas e recuperadas. O serviço do importador de dados permite o uso de um procedimento de autenticação em dois passos que adiciona uma camada extra de proteção.
    5. Central de dados. Os sistemas corporativos e de produção do importador de dados estão alojados em centrais de dados de empresas terceirizadas localizadas nos Estados Unidos. O importador de dados revisa todos os relatórios de Service Organization Control (SOC) 1 e/ou SOC 2 de todas as centrais de dados contratadas ao menos uma vez por ano para verificação de que os controles de segurança são eficientes.
  2. Segurança de informação.
    1. Políticas. O importador de dados estabeleceu um conjunto abrangente de políticas de segurança que cobrem as áreas de segurança da informação, segurança física, resposta a incidentes, acesso lógico, acesso a produção física, gerenciamento de alterações e atendimento. Essas políticas são analisadas e aprovadas pelo menos anualmente. A equipe do importador de dados é notificada a respeito das atualizações a essas políticas e recebem treinamento de segurança.
    2. Acesso físico e Política de funcionários. As políticas internas do importador de dados exigem procedimentos de admissão de funcionários que incluam a verificação de antecedentes (conforme permitido pelas leis locais), aceitação da política de segurança, comunicação de atualizações em políticas de segurança e acordos de não divulgação. Todo acesso pessoal é imediatamente cancelado quando um funcionário ou prestador de serviço deixa a empresa. O importador de dados emprega controles técnicos de acesso e políticas internas para proibir os funcionários ou prestadores de serviço de acessar arbitrariamente dados de arquivos e restringir o acesso a metadados e outras informações relacionadas a contas de usuários finais. A fim de proteger a privacidade e a segurança do usuário final, apenas um pequeno número de funcionários ou prestadores de serviço tem acesso ao ambiente onde os arquivos dos usuários finais são armazenados. A gerência manterá registro da solicitação de acesso (com a justificativa) e da aprovação, e o acesso é concedido por pessoas competentes.
    3. Segurança de rede. O importador de dados mantém técnicas de segurança de rede e monitoramento que têm o objetivo de oferecer várias camadas de proteção e defesa. O importador de dados emprega técnicas de proteção padrão para o nosso setor, incluindo firewalls, monitoramento de segurança de rede e sistemas de detecção de intrusos para garantir que apenas o tráfego admissível possa acessar a infraestrutura do importador de dados.
    4. Gerenciamento de alterações. O importador de dados garante que alterações relacionadas à segurança foram autorizadas antes de sua implementação nos ambientes de produção. Alterações no código fonte são iniciadas por desenvolvedores que gostariam de fazer melhorias no aplicativo ou serviço do importador de dados. Alterações na infraestrutura do importador de dados são restritas apenas a funcionários autorizados. Alterações ao nível do aplicativo dos serviços devem passar por procedimentos automatizados de Garantia de Qualidade (QA) para verificar se os requisitos de segurança estão sendo cumpridos. O êxito nos procedimentos de controle de qualidade leva à implementação da alteração.
    5. Conformidade. O importador de dados, seus provedores de central de dados e seus provedores de serviços gerenciados passam por auditorias de segurança regulares que são realizadas por uma empresa terceirizada independente. O importador de dados continuará a participar de auditorias ISO/IEC 27001:2013 e ISO/IEC 27018:2014 com regularidade. O importador de dados também revisa os relatórios SOC 1 e/ou SOC 2 para todas as organizações subcontratadas. Caso um relatório SOC 1 e/ou SOC 2 de uma organização subcontratada não esteja disponível, o importador de dados realizará visitas de segurança ao local, para verificar se os controles físicos, ambientais e operacionais aplicáveis à questão da segurança satisfazem nossos critérios de controle e exigências contratuais. O importador de dados avalia certificações e atestados de conformidade adicionais, conforme disponibilizados ao importador de dados pelos provedores subcontratados, de forma contínua.
  3. Segurança física
    1. Infraestrutura. O acesso físico a instalações de empresas subcontratadas que abrigam os sistemas de produção é restrito a funcionários autorizados pelo importador de dados, conforme necessidade funcional. Quaisquer indivíduos que necessitem de acesso adicional às instalações do ambiente de produção recebem acesso através da aprovação explícita do gerente adequado.
    2. Escritório. A equipe de segurança física do importador de dados é responsável por promover políticas de segurança física e de supervisionar a segurança do escritório do importador. O acesso às áreas que contêm serviços corporativos é restrito ao pessoal autorizado por meio de funções elevadas e garantidas por um sistema de uso de crachás.

Notas de rodapé

  1. As partes podem reproduzir definições e significados contidos na Diretiva 95/46/EC nesta Cláusula caso seja considerado melhor que o contrato exista de forma independente. ↩
  2. Requisitos obrigatórios da legislação nacional aplicáveis ​​ao importador de dados, que não vão além do que é necessário numa sociedade democrática com base em um dos interesses enumerados no artigo 13(1) da Diretiva 95/46/CE, ou seja, se constituem uma medida necessária para salvaguardar a segurança nacional, defesa, segurança pública, prevenção, investigação, detecção e repressão de infrações penais ou de violações éticas das profissões regulamentadas, um importante interesse econômico ou financeiro do Estado ou a proteção da pessoa em causa ou dos direitos e liberdades de outrem, não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos de tais requisitos obrigatórios que não vão além do que é necessário numa sociedade democrática são, nomeadamente, as sanções reconhecidas internacionalmente, exigências de relatórios fiscais ou exigências de informações relacionadas ao combate da lavagem de dinheiro.
  3. Este requisito pode ser satisfeito pelo subprocessador que coassina o contrato celebrado entre o exportador e o importador de dados ao abrigo da presente Decisão.
Logo-Figo-inc-2
Revenda Dropbox Empresas e Dropbox Sign para o Brasil!
Soluções

Termos de uso

Contato

  • timevendas@figobr.com
  • (11) 4063 9639
Facebook-f Instagram Linkedin Youtube
Copyright © 2009-2023 Figo Technologies Brasil Ltda.