Aceitar subprocessadores de missão

Aceitar Subprocessadores de Missão

A Accept Mission usa certos subprocessadores para auxiliar no fornecimento dos serviços da Accept Mission. Um subprocessador é um processador de dados terceirizado contratado pela Accept Mission que concorda em receber dados pessoais da Accept Mission destinados às atividades de processamento a serem realizadas (i) em nome dos Clientes da Accept Mission; (ii) de acordo com as instruções do Cliente, conforme comunicado pela Accept Mission; e (iii) de acordo com os termos de um contrato escrito entre a Accept Mission e os subprocessadores.

A Accept Mission impõe termos de proteção de dados a cada subprocessador em relação a seus controles de segurança e leis aplicáveis para a proteção de dados pessoais. Mais informações relacionadas às medidas de segurança do subprocessador podem ser encontradas nos links externos abaixo.

Quando a contratação de um subprocessador exigir a transferência transfronteiriça de dados pessoais, a Accept Mission realizou Avaliações de Impacto de Transferência para tal transferência de dados.

A Accept Mission mantém uma lista atualizada dos nomes e locais de todos os subprocessadores abaixo.

Duração do processamento: Para cada subprocessador abaixo, o processamento de dados pessoais será pela duração que o Cliente usar e continuar a usar o Accept Mission e pelos períodos de retenção estabelecidos no contrato do cliente com o Accept Mission.

Contratos de Processamento de Dados

Temos em vigor Contratos de Processamento de Dados (“DPA”) escritos com todos os nossos subprocessadores. O DPA é um contrato entre um controlador de dados e um processador de dados e abrange os itens exigidos pelo art. 28 do RGPD. Isso inclui as funções e responsabilidades das partes quando os dados pessoais são processados.

De acordo com o Regulamento Geral de Proteção de Dados (GDPR), as cláusulas contratuais que garantem salvaguardas adequadas de proteção de dados podem ser usadas como base para transferências de dados da UE para países terceiros. Isso inclui cláusulas de contrato modelo – as chamadas cláusulas contratuais padrão (“SCC”) – que foram “pré-aprovadas” pela Comissão Europeia. Todos os nossos subprocessadores fora da UE possuem SCC.

Subprocessadores de terceiros

A Accept Mission trabalha com outros terceiros para fornecer funções ou recursos específicos dentro do Serviço. Esses provedores terão acesso a informações pessoais relevantes (de maneira identificável e anônima) para fornecer suas funções relevantes. O uso da informação é limitado aos propósitos específicos.

Relevante para os usuários finais

Os subprocessadores a seguir são usados para fornecer o Serviço de Missão de Aceitação e fazem parte da cadeia de processamento de dados confidenciais, pessoais e outros dos usuários finais.

Microsoft Azure

Função: Infraestrutura do servidor

Dados pessoais: IP do usuário final, URL do usuário final, referenciador do usuário final, navegador do usuário final, dispositivo do usuário final, eventos do usuário final, configurações do usuário final

Dados sensíveis: Conteúdo do cliente

Outros dados: Subdomínio do cliente, e-mail da empresa do cliente, nome do cliente, e-mail do cliente, configurações do cliente, eventos

Medidas do fornecedor: Infraestrutura seguraCriptografia em repousoCriptografia em trânsitoConformidade e Certificações, Privacidade

Certificações: Lista de todas as certificações

Medidas adicionais: A Accept Mission hospeda exclusivamente seu Serviço na Infraestrutura de Nuvem do Azure. Padrão, todos os nossos servidores estão hospedados na Europa Ocidental, onde são criptografados em repouso. Os backups também são executados no Azure Cloud Infrastructure West EU.

Retenção: Accept Mission não expira automaticamente os dados em servidores Accept Mission. O cliente tem a opção de excluir o conteúdo e os usuários finais individuais e em massa, bem como excluir todos os dados em seu espaço de trabalho (de acordo com o GDPR).

Entidade: Microsoft

Localização dos dados: Oeste da UE

Base jurídica: DPA (SCC)

SendGrid

Função: Infraestrutura de e-mail. Os e-mails de aplicativos são enviados via SendGrid.

Dados pessoais: Endereços de e-mail de usuários finais, nomes de usuários finais

Dados sensíveis: Nenhum

Outros dados: Conteúdo do e-mail

Medidas do fornecedor: Medidas de segurançaGDPR

Certificações: SOC2 Tipo II

Medidas adicionais: Aceitar Missão aplica o TLS 1.1 completo. criptografia de ponta a ponta em trânsito para todos os emails.

Retenção: Os provedores de e-mail SendGrid retêm a atividade de mensagens de e-mail (como aberturas e cliques) por até 90 dias. Estatísticas de envio agregadas e listas de supressão (rejeições, cancelamentos) e relatórios de spam são armazenados indefinidamente.

Entidade: Twilio Inc.

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)‍

Sentinela

Função: Rastreamento de erros em tempo real, monitoramento e registro para melhoria do serviço.

Dados pessoais: Endereços IP do usuário final

Dados sensíveis: Nenhum

Outros dados: Informações do navegador, informações do dispositivo, URL,

Medidas do fornecedor: Limpeza de PIIMedidas de segurança

Certificações: SOC2 Tipo II, HIPAA

Medidas adicionais:  Os dados no Sentinela são totalmente criptografado e limpo para dados pessoais.

Retenção: O rastreamento de erros do Sentry retém logs de atividades (como erros e solicitações) por até 90 dias. As estatísticas de desempenho agregadas (erros, tempos de carregamento) são armazenadas indefinidamente.

Entidade: Sentinela Inc.

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)

Google Analytics

FunçãoAnálise de visitantes anônimos para melhoria do produto.

Dados sensíveis: Nenhum

Dados pessoais: Nenhum

Outros dados: Subdomínio do cliente, nome da empresa do cliente, informações do navegador, informações do dispositivo, IP anônimo, eventos, URL, referenciador

Medidas do fornecedor: Infraestrutura seguraCriptografia em repousoCriptografia em trânsitoConformidade e CertificaçõesPrivacidade

Certificações: ISO27001/17/18, SOC1/2/3, PCI DSS, HIPAA

Medidas adicionais: Embora as informações de eventos, dispositivos e comportamentos sejam enviadas ao Google Analytics, esses dados não são pessoalmente identificáveis. Os endereços IP são anonimizados removendo os últimos dígitos. Compartilhamento de dados do Google está desabilitado e os termos de proteção de dados do controlador-controlador não são aplicáveis; O Google não usa os dados em outros produtos ou para criar perfis de usuário. Para obter informações detalhadas sobre como Accept Mission usa dados analíticos, consulte o Para% s ou Política de Privacidade.

Retenção: Os dados de contatos inativos são excluídos após 14 meses.

Entidade: Google Inc.

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)

Relevante para os clientes

Os subprocessadores a seguir são usados apenas em conexão com dados relacionados diretamente ao Cliente que se inscreveu em um Accept Mission Workspace e não com usuários finais convidados para a plataforma.

Hupspot

Função: CRM

Dados sensíveis: Nomes, endereços de e-mail

Dados pessoais: Nomes, endereços de e-mail, números de telefone, cargo

Outros dados: Nome da empresa do cliente, Subdomínio do cliente, Assinatura do cliente, Nome da empresa do cliente

Medidas do fornecedorSegurança

Certificações: SOC 2, SOC 3, ISO 127001,

Retenção: A Accept Mission mantém registros de CRM por até 10 anos por motivos de conformidade, isso não inclui dados pessoais.

Entidade: Hubspot Inc.

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)

Listra

Função: Processamento de pagamentos e cartões de crédito

Dados sensíveis: Detalhes do cartão de crédito do cliente

Dados pessoais: E-mail de contato do cliente, nome de contato do cliente, IP de contato do cliente, endereço do cliente

Outros dados: Nome da empresa do cliente, Subdomínio do cliente, Assinatura do cliente, Nome da empresa do cliente

Medidas do fornecedorCentral de segurança 

Certificações: PCI Service Provider Nível 1, PCI DSS

Medidas adicionais: A Accept Mission usa o Stripe para serviços relacionados ao processamento de pagamentos para nossa assinatura e cobrança. O uso das informações é limitado a esse propósito específico. O Stripe é compatível com PCI e a Accept Mission não processa nem armazena informações de cartão de crédito.

Retenção: A Accept Mission mantém registros de dados de cobrança por até 10 anos por motivos de conformidade, isso não inclui dados pessoais. Os dados do cartão de crédito podem ser excluídos pelo Cliente na interface Aceitar Missão.

Entidade: Stripe Inc.

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)

Interfone

Função: Integração e suporte ao usuário

Dados sensíveis: Nenhum

Dados pessoais: Nome de usuário, e-mail

Outros dados: Subdomínio do cliente, nome da empresa do cliente, informações do navegador, eventos

Medidas do fornecedor: Segurança

Certificações: SOC2 Tipo II, ISO 127001, CSA

Medidas adicionais: O Intercom é carregado apenas para o Proprietário do Workspace e nenhum dado pessoal é enviado ao Intercom.

Retenção: Os dados de contatos inativos são excluídos após 6 meses.

Entidade: Interfone

Localização dos dados: Estados Unidos

Base jurídica: DPA (SCC)‍‍

Mudanças nos subprocessadores

Nossas necessidades de negócios podem mudar de tempos em tempos. Por exemplo, podemos descontinuar um subprocessador para consolidar e minimizar nosso uso de subprocessadores. Da mesma forma, podemos adicionar um subprocessador se acreditarmos que isso aumentará nossa capacidade de fornecer nossos Serviços. Antes de contratar um subprocessador, realizamos a devida diligência, incluindo uma análise legal e de segurança. Não contratamos um subprocessador a menos que nossa qualidade, segurança e o padrão do GDPR sejam atendidos.

As mudanças nos subprocessadores são reguladas pelo DPA temos com você.