Proteção de Dados dos Clientes da Accenture

Este documento descreve as medidas técnicas e organizacionais, controles internos e rotinas de segurança da informação que a Accenture mantém para proteger os dados fornecidos por ou em nome de nossos clientes em conexão com um contrato de serviço ao cliente (“Dados do Cliente”). Essas medidas de segurança destinam-se a proteger os Dados do Cliente nos ambientes da Accenture (por exemplo, sistemas, redes, instalações) contra acesso, divulgação, alteração, perda ou destruição acidental, não autorizada ou ilegal. Quando os Dados do Cliente incluírem dados pessoais, nossa implementação e conformidade com essas medidas (e quaisquer medidas de segurança adicionais estabelecidas no contrato com o Cliente aplicável) são projetadas para fornecer um nível adequado de segurança em relação ao processamento dos dados pessoais. A Accenture poderá atualizar essas medidas a qualquer momento, sem aviso prévio, desde que tais revisões não reduzam ou degradem materialmente a proteção fornecida para os Dados do Cliente.

SALVAGUARDAS DE DADOS PADRÕES:

1. Organização de Segurança da Informação

a. Responsabilidade pela Segurança. A Accenture nomeará um ou mais representantes de segurança responsáveis pela coordenação e monitoramento das regras e procedimentos de segurança.

b. Funções e Responsabilidades de Segurança. O pessoal da Accenture com acesso aos Dados do Cliente estará sujeito a obrigações de confidencialidade.

c. Programa de Gerenciamento de Risco. A Accenture terá um programa de gestão de risco em vigor para identificar, avaliar e tomar as ações apropriadas com relação aos riscos relacionados ao processamento dos Dados do Cliente em conexão com o [Contrato / SOW] aplicável entre as Partes.

2. Gestão de Ativos

a. Inventário de Ativos. A Accenture manterá um inventário de ativos de sua infraestrutura, rede, aplicativos e ambientes em nuvem. A Accenture também manterá um inventário de suas mídias nas quais os Dados do Cliente são armazenados. O acesso aos inventários de tais mídias será restrito ao pessoal com autorização por escrito para tal acesso.

b. Tratamento de Dados. Accenture irá

1. Classificar os Dados do Cliente para ajudar a identificá-los e permitir que o acesso a eles seja adequadamente restrito.
   
   
2. Limitar a impressão dos Dados do Cliente de seus sistemas ao mínimo necessário para realizar os serviços e manter procedimentos para o descarte de materiais impressos que contenham Dados do Cliente.
   
   
3. Exigir que seu pessoal obtenha a autorização apropriada antes de armazenar os Dados do Cliente fora dos locais e sistemas aprovados contratualmente, acessar remotamente os Dados do Cliente ou processar Dados do Cliente fora das instalações das Partes.

3. Segurança de Recursos Humanos

a. Treinamento de Segurança. Accenture irá

1. Informar seu pessoal sobre os procedimentos de segurança relevantes e suas respectivas funções.
   
   
2. Informar o seu pessoal sobre as possíveis consequências da violação das regras e procedimentos de segurança.
   
   
3. Utilizar apenas dados anônimos nos treinamentos em seus ambientes.

4. Segurança Física e Ambiental

a. Acesso Físico às Instalações. A Accenture implementará e manterá procedimentos para limitar acessos autorizados às suas instalações onde os sistemas de informação que processam Dados do Cliente estão localizados.

b. Acesso Físico aos Componentes. A Accenture manterá registros da mídia de entrada e saída contendo Dados do Cliente, incluindo o tipo de mídia, o remetente / destinatário autorizado, data e hora, o número de mídia e os tipos de Dados do Cliente contidos em tais mídias.

c. Descarte de Componentes. A Accenture usará processos padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para excluir os Dados do Cliente quando eles não forem mais necessários.

5. Gestão de Comunicações e Operações

a. Política Operacional. A Accenture manterá documentos de segurança que descrevem suas medidas de segurança e os procedimentos e responsabilidades relevantes de seu pessoal que tem acesso aos Dados do Cliente.

b. Gerenciamento de Dispositivos Móveis (MDM) / Gerenciamento de Aplicativos Móveis (MAM). A Accenture manterá uma política para seus dispositivos móveis que:

1. Imponha a criptografia do dispositivo.
2. Proíbe o uso de aplicativos na lista negra.
3. Proíbe a inscrição de dispositivos móveis que tenham sido “jail broken”.

c. Procedimentos de Recuperação de Dados. Accenture irá

1. Possuir procedimentos específicos de recuperação de dados com relação aos seus sistemas, desenvolvidos para permitir a recuperação dos Dados do Cliente mantidos em seus sistemas.
   
   
2. Revisar seus procedimentos de recuperação de dados pelo menos uma vez por ano.
   
   
3. Registrar os esforços de restauração de dados em relação aos seus sistemas, incluindo a pessoa responsável, a descrição dos dados restaurados e, quando aplicável, a pessoa responsável e quais dados (se houver) tiveram que ser inseridos manualmente no processo de recuperação de dados.

d. Software Malicioso. A Accenture terá controles antimalware para ajudar a evitar que softwares mal-intencionados obtenham acesso não autorizado aos Dados do cliente, incluindo softwares mal-intencionados originados de redes públicas.

e. Dados que Saiam do Ambiente da Accenture. Accenture irá

1. Criptografar os Dados do Cliente que ela transmitir em redes públicas.
   
   
2. Proteger os Dados do Cliente na mídia que sai de suas instalações (por exemplo, por meio de criptografia).
   
   
3. Implementar ferramentas automatizadas onde for viável para reduzir os riscos de e-mail, cartas e / ou faxes mal direcionados a partir de seus sistemas.

f. Registro de Eventos.

i. Para seus sistemas contendo Dados do Cliente, a Accenture registrará eventos de forma consistente com suas políticas ou padrões declarados.

6. Controle de Acesso

a. Política de Acesso. A Accenture manterá um registro dos privilégios de segurança dos indivíduos que têm acesso aos Dados do Cliente por meio de seus sistemas.

b. Autorização de Acesso. Accenture irá

1. Manter e atualizar um registro do pessoal autorizado a acessar os Dados do Cliente por meio de seus sistemas.
   
   
2. Quando for responsável pelo provisionamento de acesso, fornecer prontamente as credenciais de autenticação.
   
   
3. Desativar as credenciais de autenticação quando essas credenciais não tiverem sido usadas por um período de tempo (esse período de não uso não deve exceder 90 dias).
   
   
4. Desativar as credenciais de autenticação após a notificação de que o acesso não é mais necessário (por exemplo, demissão de funcionário, reatribuição de projeto, etc.) dentro de dois dias úteis.
   
   
5. Identificar o pessoal que pode conceder, alterar ou cancelar o acesso autorizado aos dados e recursos.
   
   
6. Certificar-se de que, onde mais de um indivíduo tiver acesso aos seus sistemas contendo Dados do Cliente, os indivíduos tenham identificadores / logins exclusivos (ou seja, nenhum id compartilhado).

c. Menor Privilégio. Accenture irá

1. Permitir que seu pessoal de suporte técnico tenha acesso aos Dados do Cliente apenas quando necessário.
   
   
2. Manter controles que permitam o acesso de emergência aos sistemas de produção por meio de firefighter ids, ids temporários ou ids gerenciados por uma solução de gerenciamento de acesso privilegiado (PAM).
   
   
3. Restringir o acesso aos Dados do Cliente em seus sistemas apenas aos indivíduos que precisam de tal acesso para desempenhar suas funções.
   
   
4. Limitar o acesso aos Dados do Cliente em seus sistemas apenas aos dados minimamente necessários para executar os serviços.
   
   
5. Reforçar a segregação de funções entre seus ambientes de forma que nenhuma pessoa individual tenha acesso para realizar tarefas que criam um conflito de interesse de segurança (por exemplo, desenvolvedor / revisor, desenvolvedor / testador).

d. Integridade e Confidencialidade. A Accenture instruirá seu pessoal a desabilitar as sessões administrativas ao sair das instalações ou quando os computadores forem deixados sem supervisão.

e. Autenticação. Accenture irá

1. Utilizar as práticas padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para identificar e autenticar usuários que tentam acessar seus sistemas de informação.
   
   
2. Quando os mecanismos de autenticação são baseados em senhas, exigir que as senhas sejam renovadas regularmente.
   
   
3. Quando os mecanismos de autenticação são baseados em senhas, exigir que a senha contenha pelo menos oito caracteres e três dos quatro tipos de caracteres a seguir: numérico (0-9), minúsculo (az), maiúsculo (AZ), especial (por exemplo, !, *, &, etc.).
   
   
4. Certificar-se de que identificadores desativados ou expirados não sejam concedidos a outros indivíduos.
   
   
5. Monitorar as tentativas repetidas de obter acesso aos seus sistemas de informação usando uma senha inválida.
   
   
6. Manter procedimentos padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável) para desativar senhas que foram corrompidas ou divulgadas inadvertidamente.
   
   
7. Utilizar as práticas de proteção de senha padrão da indústria (por exemplo, ISO 27001, CIS Sans 20 e/ou NIST Cyber-Security Framework, conforme aplicável), incluindo práticas destinadas a manter a confidencialidade e integridade das senhas quando são atribuídas e distribuídas, bem como durante o armazenamento.

f. Autenticação multifatorial. A Accenture implementará a autenticação multifator para acesso interno e acesso remoto por rede privada virtual (VPN) a seus sistemas.

7. Teste de Penetração e Verificação de Vulnerabilidade de Sistemas Accenture.

a. Pelo menos anualmente, a Accenture realizará avaliações de penetração e vulnerabilidade nos ambientes de TI da Accenture de acordo com as políticas de segurança interna e práticas padrão da Accenture.

b. A Accenture concorda em compartilhar com o Cliente informações resumidas relacionadas a tais testes conduzidos pela Accenture, na medida aplicável aos Serviços.

c. Para maior clareza, no que se refere a tais testes de penetração e vulnerabilidade, o Cliente não terá direito a (i) dados ou informações de outros clientes ou clientes da Accenture; (ii) testar ambientes de TI de terceiros, exceto na medida em que a Accenture tenha o direito de permitir tais testes; (iii) qualquer acesso ou teste de infraestrutura ou ambientes de serviço compartilhado, ou (iv) qualquer outra Informação Confidencial da Accenture que não seja diretamente relevante para tais testes e Serviços.

d. Para quaisquer sistemas de TI da Accenture que sejam fisicamente dedicados ao Cliente, as Partes podem concordar em separado, planos de teste escritos e tais testes não excederão dois testes por ano.

8. Projeto e Gerenciamento de Redes e Aplicativos. Accenture irá

a. Possuir controles para evitar que indivíduos obtenham acesso não autorizado aos Dados do Cliente em seus sistemas.

b. Utilizar a prevenção contra perda de dados baseada em e-mail para monitorar ou restringir a movimentação de dados sensíveis.

c. Utilizar a filtragem da web baseada em rede para impedir o acesso a sites não autorizados.

d. Utilizar firefighter IDs ou IDs de usuário temporários para acesso de produção.

e. Utilizar detecção e / ou prevenção de intrusão de rede em seus sistemas.

f. Utilizar padrões de codificação seguros.

g. Procurar e corrigi vulnerabilidades OWASP em seus sistemas.

h. Na medida do tecnicamente possível, espera-se que as Partes trabalhem juntas para limitar a capacidade do pessoal da Accenture de acessar ambientes não pertencentes ao Cliente e não pertencentes à Accenture a partir dos sistemas do Cliente.

i. Manter os padrões de configuração de segurança de servidor, rede, infraestrutura, aplicativos e nuvem atualizados.

j. Realizar uma varredura em seus ambientes para garantir que as vulnerabilidades de configuração identificadas foram corrigidas.

9. Gerenciamento de Patch

a. A Accenture terá um procedimento de gerenciamento de patch que implanta patches de segurança para seus sistemas utilizados para processar Dados do Cliente, que inclua:

1. Tempo definido permitido para implementação de patches (não superior a 90 dias para patches altos ou médios conforme definido pelos padrões da Accenture); e
   
   
2. Processo estabelecido para lidar com patches de emergência ou críticos assim que possível.

10. Estações de Trabalho

a. A Accenture implementará controles para as estações de trabalho fornecidas que são usadas em conexão com a entrega / recebimento do serviço, incorporando o seguinte:

1. Agente de software que gerencia a conformidade geral da estação de trabalho e relata no mínimo uma vez por semana para um servidor central
   
   
2. Disco rígido criptografado
   
   
3. Processo de patching para que as estações de trabalho sejam corrigidas dentro do cronograma de patching documentado
   
   
4. Capacidade de impedir a instalação de software na lista negra
   
   
5. Antivírus com varredura mínima semanal
   
   
6. Firewalls instalados

11. Gerenciamento de Violação de Segurança da Informação

a. Processo de Resposta a Violação de Segurança. A Accenture manterá um registro de suas próprias violações de segurança em seus sistemas com uma descrição da violação, o período de tempo, as consequências da violação, o nome do denunciante e a quem a violação foi relatada e o processo de recuperação de dados.

b. Monitoramento de Serviço. O pessoal de segurança da Accenture analisará seus próprios registros como parte do processo de resposta a violações de segurança para propor esforços de remediação, se necessário.

12. Gestão de Continuidade de Negócios

a. A Accenture terá processos e programas alinhados à ISO 22301 para permitir a recuperação de eventos que afetam sua capacidade de desempenho de acordo com o Contrato.

MEDIDAS COMPLEMENTARES. Adicionalmente, de acordo com as orientações regulamentares após a decisão “Schrems II” do Tribunal de Justiça Europeu, a Accenture compromete-se, ainda, a manter as seguintes medidas técnicas, organizacionais e legais/contratuais adicionais em relação aos Dados do Cliente, incluindo dados pessoais.

Medidas Técnicas Complementares:

1. Os Dados do Cliente em trânsito entre entidades da Accenture serão fortemente criptografados com criptografia que:

a. seja o estado da arte,

b. garanta a confidencialidade pelo período de tempo necessário,

c. seja implementada por software com manutenção devida,

d. seja robusta e ofereça proteção contra ataques ativos e passivos por autoridades públicas, incluindo análise de criptografia, e

e. não contenha backdoors em hardware ou software, salvo acordo em contrário com o Cliente aplicável.

2. Os Dados do Cliente em repouso e armazenados por quaisquer entidades da Accenture serão fortemente criptografados com criptografia que:

a. seja o estado da arte,

b. garanta a confidencialidade pelo período de tempo necessário,

c. seja implementada por software com manutenção devida,

d. seja robusta e ofereça proteção contra ataques ativos e passivos por autoridades públicas, incluindo análise de criptografia, e

e. não contenha backdoors em hardware ou software, salvo acordo em contrário com o Cliente aplicável.

Medidas Organizacionais Complementares:

1. A transferência de Dados do Cliente entre entidades da Accenture e o processamento por quaisquer entidades da Accenture serão de acordo com:

a. as políticas e procedimentos internos da Accenture para gerenciar solicitações de autoridades públicas para acessar dados pessoais,

b. as políticas e procedimentos internos de acesso a dados e confidencialidade da Accenture,

c. as políticas e procedimentos internos de minimização de dados da Accenture, e

d. as políticas e procedimentos internos de segurança de dados e privacidade de dados da Accenture.

2. A Accenture manterá um registro documentado de solicitações de acesso a dados pessoais recebidos de autoridades públicas e a resposta fornecida, juntamente com a fundamentação legal e as partes envolvidas.

3. A Accenture fornecerá regularmente relatórios de solicitações de dados pessoais por autoridades públicas, se houver, ao Diretor de Conformidade da Accenture.

Medidas Complementares Jurídicas/Contratuais:

1. A Accenture manterá relatórios de avaliação atualizados regularmente com relação às leis de vigilância e práticas de privacidade para os países em que a Accenture processa os Dados do Cliente onde tal país não for formalmente reconhecido como fornecendo um nível de proteção essencialmente semelhante aos países da União Europeia e fornecerá cópias dos relatórios aplicáveis aos clientes mediante solicitação.
   
   
2. A entidade da Accenture que processa os Dados do Cliente certifica que, salvo acordo em contrário com o Cliente aplicável, (a) não criou intencionalmente backdoors ou programação semelhante que possa ser usada para acessar o sistema e/ou dados pessoais (b) não criou ou alterou propositadamente seus processos de negócios de uma maneira que facilite o acesso a dados ou sistemas pessoais, e (c) até onde é do conhecimento da Accenture, a lei nacional aplicável ou a política governamental não exige que a entidade da Accenture crie ou mantenha backdoors ou que facilite o acesso a dados pessoais ou sistemas ou que a entidade Accenture esteja de posse ou entregue a chave de criptografia sem uma ordem legalmente válida e após uma revisão legal apropriada.
   
   
3. Na medida permitida pela lei aplicável, a entidade ou entidades da Accenture que processam os Dados do Cliente informarão o cliente sobre as Solicitações do Governo relacionadas aos Dados Pessoais que a Accenture está processando em nome do cliente. Se, de acordo com a lei aplicável, a Accenture não tiver permissão para informar o cliente sobre uma Solicitação do Governo, a Accenture tomará medidas razoáveis para (i) obter licença administrativa ou judicial para informar o cliente o mais rápido possível ou (ii) solicitar que a respectiva Autoridade Governamental informe diretamente o cliente. Em qualquer caso, a Accenture tomará medidas razoáveis perante os tribunais ou em processos administrativos para contestar Solicitações do Governo que considere ilegais.
   
   
4. A Accenture informará o cliente aplicável sobre qualquer alteração na lei aplicável que afete a capacidade da Accenture de cumprir o mecanismo de transferência de dados utilizado.
   
   
5. A entidade da Accenture que processa os Dados do Cliente permitirá que o cliente aplicável verifique se seus dados pessoais foram divulgados às autoridades públicas por meio de procedimentos de auditoria acordados, conforme estabelecido no contrato do cliente aplicável.
   
   
6. A entidade da Accenture que processa os Dados do Cliente não se envolverá em nenhuma transferência posterior de Dados do Cliente, nem suspenderá as transferências em andamento, sem a aprovação do cliente, conforme exigido no contrato do cliente aplicável ou conforme exigido por lei.
   
   
7. Nada neste documento prejudicará os direitos do titular dos dados de recuperar danos da Accenture na medida permitida pela lei aplicável no caso de a Accenture divulgar os Dados do Cliente transferidos em violação de seus compromissos contidos na ferramenta de transferência escolhida.