Cláusula 1ª.: A RRSIGN sendo o OPERADOR das informações, manterá armazenado no banco de dados dos seus sistemas, “DADOS PESSOAIS” que foram inseridos pelos usuários autorizados, sendo a Contratante o CONTROLADOR destes dados pessoais. Desta forma a RRSIGN, Declara sob as penas da lei que:
a) Declara estar apta ao cumprimento das obrigações ora contratadas, que deverão ser prestadas com total observância à legislação vigente, quer na esfera federal, estadual ou municipal, bem como a adotar técnicas organizacionais e de sistemas, para garantir a segurança da informação.
b) Implementa e mantém medidas de segurança técnicas, organizacionais e administrativas apropriadas para proteger adequadamente os dados pessoais da CONTRATANTE, incluindo o uso de criptografia e pseudônimos quando aplicável.
c) Governança de seus colaboradores para tratamentos dos dados com ela compartilhados.
d) Mantém um programa de segurança da informação para assegurar que cada sistema usado para tratar Dados Pessoais, está protegido por medidas de segurança organizacionais, administrativas, técnicas e físicas apropriadas para “PROTEGER” os Dados Pessoais da CONTRATANTE adequadamente.
e) Os métodos de segurança que a RRSIGN emprega para proteger dados pessoais em repouso e em trânsito incluem o uso de criptografia, quando apropriado, e a separação física e lógica de redes quando aplicável.
f) Todos os locais em que a RRSIGN trata de dados pessoais, incluindo seus centros de dados, serviços de nuvem e escritórios, são protegidos por sistemas de segurança para o acesso não autorizado.
g) Todos os sistemas da RRSIGN utilizados pela CONTRATANTE e que mantêm dados pessoais, exigem controle de acesso individuais e com possibilidade de senhas fortes e 2FA, sendo gerenciados e controlados as suas permissões de acessos a critério único e exclusivo da CONTRATANTE.
h) Os dados pessoais compartilhados pela CONTRATANTE, ficam restritos para utilização da RRSIGN, salvo quando necessários à execução dos serviços contratados. Se houver necessidade de subcontratação de empresas, a RRSIGN deverá submeter expressa e previamente à CONTRATANTE, para sua apreciação e aceite.
Cláusula 2ª.: A CONTRATANTE é a única responsável pelos dados imputados e extraídos dos nossos sistemas, sendo a CONTRATANTE a responsável por sua Política de Segurança de utilização dos softwares, como o cadastro dos usuários, senhas de acesso e segurança de acesso e visualização dos dados, com base no perfil de acesso dos usuários definidos pela própria CONTRATANTE.
Cláusula 3ª.: A CONTRATANTE e a RRSIGN serão plenamente responsáveis pelo resguardo e sigilo das informações a que tiverem acesso, uma da outra, sendo que deverá ser considerada informação confidencial, toda e qualquer informação oral ou escrita que seja de conhecimento da Contratante e da RRSIGN, independente de conter ou não a expressão "CONFIDENCIAL". E estarão obrigadas, inclusive após o término do contrato e por prazo indeterminado, a manter sigilo sobre as informações obtidas em razão de seus serviços prestados e a não disponibilizar para terceiros todos e quaisquer termos, existência e condições do contrato, bem como qualquer informação ou documento que vierem a ter acesso, em virtude do contrato, de modo a preservar a natureza confidencial das informações a que tiveram acesso e proteger o segredo comercial e/ou industrial, respondendo civil e penalmente pela violação do sigilo, inclusive por danos morais e/ou materiais que venham provocar com eventual divulgação ou utilização das informações em favor de terceiros.
Somente poderão ser reveladas informações confidenciais por exigência legal ou ordem judicial, sendo que se alguma das partes for obrigada a apresentá-las, deverá, dentro de 24 horas contadas do recebimento da ordem judicial, notificar a outra parte, de tal obrigação.
Cláusula 4ª.: A CONTRATANTE e RRSIGN são ambas responsáveis a informar uma a outra qualquer divulgação não autorizada de dados e informações pessoais, ameaça de divulgação, ou risco de vazamento de dados compartilhados, que tiverem conhecimento, em razão do contrato, sendo que a parte que tomou conhecimento de tal fato, deverá notificar a outra parte imediatamente e por escrito, na pessoa do responsável pelo presente contrato em um prazo máximo de 24 horas.
A notificação deverá conter, minimamente:
a) descrição da natureza dos dados pessoais afetados;
b) informações dos titulares envolvidos;
c) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, observado os segredos comerciais e industriais;
d) indicação dos riscos relacionados ao incidente;
e) se houver atraso na notificação, indicar quais os motivos;
f) descrever as medidas tomadas ou que serão tomadas para mitigar ou reverter os efeitos e ou prejuízos.