Adendo de Processamento de Dados

O site G2 utiliza a API Crowdin Translation. A G2 tem feito esforços razoáveis para fornecer traduções precisas, no entanto, nenhuma tradução automática ou informatizada é perfeita e não se destina nem se espera que substitua os métodos de tradução humanos ou tradicionais. O texto oficial é a versão inglesa do site do G2. Esta tradução para outro idioma diferente do inglês é fornecida apenas para sua conveniência e não deve ser utilizada para fins legais. Quaisquer discrepâncias ou diferenças criadas na tradução não são vinculativas e não têm qualquer efeito legal para efeitos de conformidade ou execução. Caso surja alguma dúvida quanto à veracidade da informação apresentada pela versão traduzida do site, consulte a versão inglesa do site, que é a versão oficial.

Este Adendo de Processamento de Dados (“DPA”) é entre G2.com, Inc. (“G2”) e a entidade identificada na Ordem de Serviço (“Cliente”) e está incorporado ao Acordo de Serviço Principal (“Acordo”), ou a um acordo similar em relação aos Serviços, entre as partes. Os termos capitalizados não definidos aqui têm os significados atribuídos no Acordo.

Este DPA aplica-se apenas quando os Dados Pessoais são transferidos pelo Cliente (Controlador) para G2 (Processador) para os seguintes fins:

Finalidade	Titular dos Dados	Dados Pessoais Transferidos do Cliente para G2
Campanha de Avaliação	Clientes do Cliente	Primeiro Nome + Email
Convite para my.G2	Funcionários do cliente	Nome + Apelido + E-mail

1. Âmbito.

Este DPA estabelece como G2 irá Processar Dados Pessoais (ou um termo similar conforme definido pelas Leis de Privacidade aplicáveis) fornecidos pelo Cliente sob o Acordo.

As partes concordam em cumprir as leis de proteção de dados aplicáveis (“Leis de Privacidade”). Os detalhes do Processamento estão no Anexo A. “Processar” (e seus afins) é definido de acordo com as Leis de Privacidade aplicáveis.

2. Obrigações do Cliente.

O Cliente é o único responsável por (a) fornecer aviso ou obter consentimento de uma pessoa a quem os Dados Pessoais se relacionam (“Titular dos Dados”), conforme exigido pelas Leis de Privacidade; (b) fornecer apenas os Dados Pessoais mínimos necessários para que G2 cumpra suas obrigações; (c) garantir a precisão e completude dos Dados Pessoais e realizar atualizações, incluindo o tratamento de solicitações de exclusão de Dados Pessoais; (d) qualquer Processamento não autorizado fora do controle de G2 ou de um Subprocessador; (e) garantir que os Dados Pessoais não contenham Categorias Especiais ou Dados Pessoais Sensíveis (conforme definido pelas Leis de Privacidade); (f) gerenciar comunicações com controladores de terceiros; e (g) revisar as informações de segurança de dados da G2 para atender às obrigações legais. O Cliente não deve solicitar que a G2 processe em violação das Leis de Privacidade. Se a G2 acreditar que uma instrução viola as Leis de Privacidade, a G2 pode se recusar a Processar sem qualquer penalidade. Para qualquer exigência legal não coberta por este DPA, o Cliente deve notificar a G2 em legal@g2.com. A G2 não é responsável por iniciar este processo e pode se recusar, sem incorrer em qualquer penalidade, a Processar Dados Pessoais se as exigências excederem este DPA.

3. Uso de Dados Pessoais.

O Cliente instrui a G2 a Processar Dados Pessoais (a) para cumprir suas obrigações sob o Acordo e de acordo com o Anexo A, (b) conforme exigido por lei e em conformidade com as Leis de Privacidade, ou (c) para quaisquer outros propósitos permitidos pelo Cliente por escrito. A G2 não “compartilhará” ou “venderá” Dados Pessoais (conforme definido pelo CCPA).

4. Privacidade e Segurança.

G2 implementará medidas de segurança razoáveis para proteger Dados Pessoais, conforme descrito no Anexo B. Certificações e auditorias de terceiros estão disponíveis mediante solicitação por escrito do Cliente para security@g2.com (“Salvaguardas”). A G2 pode atualizar as Salvaguardas sem aviso ou aprovação prévia do Cliente, mas não reduzirá materialmente os padrões atuais.

5. Subprocessadores.

O Cliente autoriza a G2 a contratar terceiros ou subcontratados para Processar Dados Pessoais em seu nome (“Subprocessadores”). G2 garantirá que os Subprocessadores concordem com obrigações semelhantes de proteção de dados, conforme estabelecido neste DPA. Exceto conforme indicado no Acordo ou neste DPA, a responsabilidade da G2 pelos Subprocessadores é limitada na medida como se a G2 estivesse realizando os serviços diretamente, e não excederá o valor efetivamente recuperado pela G2 deste Subprocessador. O Cliente fornece à G2 uma autorização geral para contratar Subprocessadores.

A G2 mantém uma lista de seus Subprocessadores em https://legal.g2.com/subprocessors, onde o Cliente é obrigado a assinar as notificações de novos Subprocessadores (“Notificação de Subprocessador”). . Se o Cliente se opuser a um novo Subprocessador, o Cliente deve notificar a G2 por escrito em privacy@G2.com dentro de 10 dias úteis após a G2 enviar uma Notificação de Subprocessador. Se uma objeção for feita a tempo, a G2 fará esforços razoáveis para evitar o uso do Subprocessador contestado, mas se não for encontrada nenhuma solução dentro de 30 dias úteis, o Cliente pode rescindir o Acordo e o DPA de acordo com as disposições de rescisão do Acordo.

6. Cooperação e Auditorias.

A G2 fornecerá assistência razoável para ajudar o Cliente a cumprir as Leis de Privacidade referentes a (a) este DPA; (b) avaliações de impacto sobre a privacidade ou (c) sujeitas aos termos desta Seção 6, auditorias da G2 conforme exigido pelas Leis de Privacidade (coletivamente, “Obrigações de Auditoria da G2”); o Cliente pode auditar a G2 uma vez em qualquer período de 12 meses consecutivos, a menos que exigido de outra forma pelas Leis de Privacidade.

Com relação às Obrigações de Auditoria da G2, sujeitas às obrigações de confidencialidade estabelecidas no Acordo e mediante solicitação por escrito do Cliente, a G2 fornecerá ao Cliente ou, se exigido pelas Leis de Privacidade, à autoridade reguladora competente do Cliente, (a) um resumo de auditorias ou certificações recentes de terceiros, (b) relatórios semelhantes de Subprocessadores para a G2, ou (c) outras informações exigidas pelas Leis de Privacidade.

Se as Leis de Privacidade exigirem uma auditoria no local (“Auditorias no Local”), o Cliente e a G2 concordarão com o escopo, o tempo e a duração com pelo menos 30 dias de antecedência de qualquer auditoria.

As Auditorias no Local serão limitadas apenas às instalações da G2, o Cliente cobrirá todos os custos, os participantes devem cumprir com a confidencialidade e outros requisitos, exclusivamente determinados pela G2, e devem ocorrer durante o horário comercial normal da G2. A menos que exigido de outra forma pelas Leis de Privacidade, o Cliente deve enviar a solicitação para uma Auditoria no Local à G2 em privacy@g2.com com pelo menos 30 dias de antecedência por escrito. A G2 não é obrigada a violar as Leis de Privacidade ou outras obrigações legais ou contratuais que tenha com seus clientes ou usuários. O Cliente deve informar a G2 de quaisquer problemas de conformidade encontrados durante a Auditoria no Local dentro de 10 dias úteis. A G2 pode adaptar o escopo de uma Auditoria no Local para evitar riscos em relação às suas obrigações legais e contratuais com outros clientes e usuários da G2.

As auditorias sob as Cláusulas Contratuais Padrão da UE e do Reino Unido (“SCCs”) seguirão esta Seção 6.

7. Transferências de Dados Transfronteiriços.

A G2 Processa Dados Pessoais nos Estados Unidos. Transferências de Dados Pessoais da UE ou do Reino Unido para uma jurisdição que não é reconhecida pela UE ou pelo Reino Unido como tendo proteção de dados adequada, ou onde transferências de dados contempladas por este DPA não são de outra forma restritas sob as Leis de Privacidade, as Cláusulas Contratuais Padrão da UE e o Acordo Internacional de Transferência de Dados do Reino Unido (“Acordo do Reino Unido”) se aplicam, conforme incorporado pelo Apêndice C. Ao assinar o Pedido de Serviço, ambas as partes aceitam as Cláusulas Contratuais Padrão da UE e o Acordo do Reino Unido.

Para transferências de Dados Pessoais da UE (“Dados Pessoais da UE”) para os EUA, a G2 participa do programa de Estrutura de Privacidade de Dados UE-EUA. Programa de Estrutura de Privacidade de Dados (“DPF”) e concorda em cumprir o DPF na medida em que o Cliente também participar do DPF.

8. Violação de Dados Pessoais.

Se a G2 for negligente e comprometer materialmente ou causar destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente ou outro evento impactante sobre os Dados Pessoais do Cliente que gere uma obrigação para a G2 notificar o Cliente sob as Leis de Privacidade relacionadas à notificação de violação de segurança (coletivamente, uma “Violação de Dados Pessoais”), a G2 notificará o Cliente sem demora da confirmação de tal Violação de Dados Pessoais no Email de Segurança especificado no Pedido de Serviço. A G2 compartilhará as seguintes informações assim que estiverem disponíveis para a G2: (a) uma breve descrição da Violação de Dados Pessoais, incluindo sua data, (b) detalhes dos Dados Pessoais impactados, (c) ações que a G2 está tomando para investigar e mitigar, (d) informações de contato para mais perguntas, e (e) quaisquer outras informações exigidas pelas Leis de Privacidade.

Se as Leis de Privacidade exigirem notificação a terceiros, a G2 reembolsará o Cliente por custos razoáveis diretamente relacionados à notificação e qualquer monitoramento de crédito exigido (“Custos de Notificação”), excluindo honorários advocatícios ou custos relacionados incorridos pelo Cliente.

A G2 cooperará com a investigação razoável do Cliente, conforme exigido pelas Leis de Privacidade. Se as Leis de Privacidade exigirem notificação a terceiros, a G2 reembolsará o Cliente por custos razoáveis diretamente incorridos pelo Cliente para esta notificação legalmente exigida e qualquer monitoramento de crédito legalmente exigido (“Custos de Notificação”). Os Custos de Notificação não incluirão qualquer taxa legal ou custos relacionados incorridos pelo Cliente.

9. Gestão de Informações.

Após a conclusão dos Serviços, a G2 devolverá ou excluirá todas as cópias dos Dados Pessoais, a menos que a retenção seja exigida por lei ou de outra forma inviável, caso em que a G2 reterá os Dados Pessoais apenas conforme necessário e poderá processá-los apenas para o propósito de prevenir a devolução ou exclusão.

10. Indenização.

Sujeito à Seção 12 do Acordo, o Cliente concorda em reembolsar, indenizar e isentar a G2 de todos os custos incorridos em resposta ou mitigação de quaisquer perdas sofridas pela G2, incluindo, mas não se limitando a, quaisquer perdas relacionadas a uma reclamação de terceiros contra a G2 em relação ao Processamento de Dados Pessoais onde tal Processamento seja consistente com as instruções de Processamento do Cliente, o Acordo e/ou este DPA.

11. Limitação de Responsabilidade.

Exceto conforme expressamente declarado neste DPA, a única responsabilidade da G2 e o único recurso do Cliente por violação deste DPA pela G2 não excederão as taxas pagas pelo Cliente à G2 sob o Pedido de Serviço que dá origem à reivindicação nos 12 meses anteriores à reivindicação. Em nenhuma circunstância a G2 será responsável por quaisquer danos especiais, indiretos, incidentais, consequenciais ou punitivos, incluindo lucros cessantes incorridos pelo Cliente.

12. Interpretação e Atualizações.

A G2 atualizará este DPA periodicamente, sem aviso ao Cliente, em conformidade material com as Leis de Privacidade e sem diminuir materialmente as proteções aqui estabelecidas. Aplica-se a seguinte ordem de precedência no caso de um conflito em relação ao Processamento de Dados Pessoais: (a) o Acordo Internacional de Transferência de Dados, (b) este DPA, (c) o Acordo, e (d) as Leis de Privacidade.

13. Prazo.

Este DPA começa na Data de Vigência e permanece em vigor até que o Acordo seja encerrado ou até que a G2 pare de Processar Dados Pessoais em nome do Cliente.

APÊNDICE A

Descrição do Processamento

Partes	Exportador & Controlador: Cliente As informações do Cliente são conforme estabelecidas no Pedido de Serviço.
Partes	Importador & Processador: G2.com, Inc. 100 South Wacker Drive, Suite 600, Chicago, IL 60606
Categorias de Titulares de Dados Cujo Dados Pessoais são Transferidos & Categorias de Dados Pessoais Transferidos	Campanha de Avaliação (se aplicável) Titular de Dados: Clientes do Cliente Dados Pessoais: Nome e email
Dados Sensíveis Transferidos	O Cliente não transferirá Dados Sensíveis para a G2.
Frequência da Transferência	Contínuo.
Natureza do Processamento	Para fornecer os Serviços.
Propósito do Processamento, Transferência de Dados e Processamento Adicional	Para fornecer os Serviços.
Duração do Processamento	Conforme estabelecido na Seção 13.
Transferências de Subprocessador	Conforme estabelecido na Seção 5.

APÊNDICE B

Medidas Técnicas e Organizacionais

A G2 implementou as seguintes medidas técnicas e organizacionais para a proteção da segurança, confidencialidade e integridade dos Dados Pessoais:

Controle de Acesso: Prevenção de Acesso Não Autorizado ao Produto	Processamento terceirizado: A G2 hospeda seus Serviços com provedores de infraestrutura em nuvem terceirizados. A G2 mantém relações contratuais com fornecedores para fornecer os Serviços de acordo com seu DPA. A G2 confia em contratos, políticas de privacidade e programas de conformidade de fornecedores para proteger os dados processados ou armazenados por esses fornecedores.
	Segurança física e ambiental: A G2 hospeda sua infraestrutura de produto com provedores de infraestrutura terceirizada multi-inquilino. Os controles de segurança física e ambiental são auditados para conformidade com SOC 2 Tipo I e ISO 27001, 27017, 17018, entre outras certificações.
	Autenticação: O G2 implementou uma política de senha uniforme para os produtos de seus clientes. Os clientes que interagem com os produtos via interface do usuário devem se autenticar antes de acessar dados de Clientes não públicos.
	Autorização: Os dados do Cliente são armazenados em sistemas de armazenamento multi-tenant acessíveis aos Clientes apenas por meio de interfaces de usuário e interfaces de programação de aplicativos. Os clientes não têm permissão para acessar diretamente a infraestrutura de aplicativo subjacente. O modelo de autorização em cada um dos produtos do G2 é projetado para garantir que apenas os indivíduos devidamente designados possam acessar recursos, visualizações e opções de personalização relevantes. A autorização aos conjuntos de dados é realizada através da validação das permissões do usuário em relação aos atributos associados a cada conjunto de dados.
	Acesso a Interface de Programação de Aplicativos (API): APIs públicas de produtos podem ser acessadas usando uma API.
Controle de Acesso: Prevenindo o Uso Não Autorizado do Produto	O G2 implementa controles de acesso padrão da indústria e capacidades de detecção para as redes internas que suportam seus produtos.
	Controles de acesso: Os mecanismos de controle de acesso à rede são projetados para impedir que o tráfego de rede usando protocolos não autorizados alcance a infraestrutura do produto. As medidas técnicas implementadas diferem entre os provedores de infraestrutura e incluem implementações de Nuvem Privada Virtual (VPC), atribuição de grupos de segurança e regras de firewall tradicionais.
	Detecção e prevenção de intrusão: O G2 implementou uma solução de Firewall de Aplicações Web (WAF) para proteger sites de clientes hospedados e outras aplicações acessíveis pela internet. O WAF é projetado para identificar e prevenir ataques contra serviços de rede disponíveis publicamente.
	Análise de código estático: Revisões de segurança do código armazenado nos repositórios de código fonte do G2 são realizadas. Verificação das melhores práticas de codificação e falhas de software identificáveis.
	Testes de penetração: O G2 mantém relações com provedores de serviços de teste de penetração reconhecidos no setor para realizar testes anuais de penetração. O objetivo dos testes de penetração é identificar e resolver vetores de ataque previsíveis e cenários potenciais de abuso.
Controle de Acesso: Limitações de Privilégios & Requisitos de Autorização	Acesso ao produto: Um subconjunto dos funcionários do G2 tem acesso aos produtos e aos dados dos Clientes por meio de interfaces controladas. O objetivo de fornecer acesso a um subconjunto de funcionários é oferecer suporte eficaz ao Cliente, solucionar problemas potenciais, detectar e responder a incidentes de segurança e implementar segurança de dados. Todas essas solicitações são registradas. Os funcionários recebem acesso com base em sua função, e revisões de concessões de privilégios de alto risco são iniciadas regularmente. Os papéis dos funcionários são revisados pelo menos uma vez a cada 6 meses.
	Verificações de antecedentes: Todos os funcionários do G2 são submetidos a uma verificação de antecedentes por terceiros antes de receberem uma oferta de emprego, de acordo com as leis aplicáveis e na medida em que estas o permitam. Todos os funcionários são obrigados a se comportar de maneira consistente com as diretrizes da empresa, requisitos de confidencialidade e padrões éticos.
Controle de Transmissão	Em trânsito: O G2 exige criptografia HTTPS (também referida como SSL ou TLS) em cada uma de suas interfaces de login. A implementação HTTPS do G2 utiliza algoritmos e certificados que seguem os padrões da indústria.
Controle de Transmissão	Em repouso: O G2 armazena senhas de usuários seguindo políticas que seguem práticas padrão da indústria para segurança. O G2 implementou tecnologias para garantir que os dados armazenados sejam criptografados em repouso.
Controle de Entrada	Detecção: O G2 concebeu sua infraestrutura para registrar extensas informações sobre o comportamento do sistema, tráfego recebido, autenticação do sistema e outras solicitações de aplicativos. Sistemas internos agregaram dados de logs e alertaram os funcionários apropriados sobre atividades maliciosas, não intencionais ou anômalas. O pessoal do G2, incluindo segurança, operações e suporte, está preparado para responder a incidentes conhecidos.
	Resposta e acompanhamento: O G2 mantém um registro de incidentes de segurança conhecidos que inclui descrição, datas e horários de atividades relevantes, e disposição do incidente. Incidentes de segurança suspeitos e confirmados são investigados por pessoal de segurança, operações ou suporte, e etapas apropriadas de resolução são identificadas e documentadas. Para quaisquer incidentes confirmados, o G2 tomará medidas apropriadas para minimizar danos ao produto e ao Cliente ou divulgação não autorizada.
	Comunicação: Se o G2 tomar conhecimento de acesso ilegal a dados não-G2 armazenados dentro de seus Serviços, o G2: 1) notificará os Clientes afetados sobre o incidente; 2) fornecerá uma descrição das etapas que o G2 está tomando para resolver o incidente; e 3) fornecerá atualizações de status ao contato do Cliente, conforme o G2 considerar necessário. Notificações de incidentes, se houver, serão entregues a um ou mais contatos do Cliente em um formato selecionado pelo G2, o que pode incluir email ou telefone.
Controle de Disponibilidade	Disponibilidade da infraestrutura: Os provedores mantêm um mínimo de redundância N+1 para serviços de energia, rede e HVAC.
	Tolerância a falhas: Estratégias de backup e replicação são projetadas para garantir redundância e proteções de failover durante uma falha significativa de processamento. Os dados dos Clientes são respaldados em múltiplos repositórios de dados duráveis.
	Réplicas e backups online: Onde possível, bancos de dados de produção são projetados para replicar dados entre pelo menos 1 banco de dados primário e 1 banco de dados secundário. Todos os bancos de dados são respaldados e mantidos usando pelo menos métodos padrão da indústria.
	Os produtos do G2 são projetados para garantir redundância e failover contínuo. As instâncias de servidor que suportam os produtos também são arquitetadas com o objetivo de prevenir pontos de falha únicos. Este design ajuda as operações do G2 a manter e atualizar os aplicativos de produtos e o backend enquanto limita o tempo de inatividade.

APÊNDICE C

EU & UK GDPR

Seção 1 - UE:Para transferências de dados da UE, os SCCs da UE são incorporados neste DPA da seguinte forma:

Termo SCC da UE	Alteração/Opção Selecionada
Módulo	Módulo 2 (Controlador para Processador).
Cláusula 7 (Cláusula de Ancoragem)	A opção não está incluída.
Cláusula 9 (Uso de Subprocessadores)	Opção 2 deverá ser aplicada. Conforme estabelecido no Apêndice.
Cláusula 11 (Reparação)	Opção não incluída.
Cláusula 13 (Supervisão)	Opções são incluídas, conforme aplicável.
Cláusula 17 (Lei Aplicável)	Irlanda.
Cláusula 18 (Escolha de Foro e Jurisdição)	Irlanda.
Anexo I.A (Lista de Partes)	Conforme estabelecido no Apêndice A.
Anexo I.B (Descrição da Transferência)	Conforme estabelecido no Apêndice A.
Anexo I.C (Autoridade Supervisora Competente)	Conforme estabelecido no Apêndice A.
Anexo II (Medidas Técnicas e Organizacionais)	Conforme estabelecido no Apêndice B.

Seção 2 - Reino Unido: Para transferências de dados do Reino Unido, o Adendo do Reino Unido está incorporado neste DPA da seguinte forma:

Termo do Adendo do Reino Unido	Alteração/Opção Selecionada
Tabela 1: Data de Início	Conforme estabelecido na Seção 13.
Tabela 1: Partes	Conforme estabelecido no Apêndice A.
Tabela 2: Adendo EU SCC	Conforme estabelecido na Seção 1 deste Apêndice C.
Tabela 3: Informações do Apêndice	Conforme estabelecido na Seção 1 deste Apêndice C.
Tabela 4: Encerramento deste Adendo	Importador.
Cláusulas Obrigatórias	As Cláusulas Obrigatórias estão incorporadas neste Apêndice C. As ‘Cláusulas Obrigatórias Alternativas da Parte 2’ não são selecionadas.