Adendo rápido de processamento de dados

Data de vigência: 22 de agosto de 2024

Resumindo: “Dados pessoais” significam dados ou informações que identificam ou se relacionam com você, ou que de outra forma atendem à definição abaixo.DPA“) complementa e faz parte do acordo entre a Brisk Labs Corp. (”Vivo“) e a Instituição Educacional ou (quando aplicável) um Professor em relação à transferência e processamento dos Dados Cobertos em conexão com a prestação do Serviço.

1. DEFINIÇÕES
1.1

A menos que definido de outra forma neste DPA, os termos em maiúsculas usados, mas não definidos neste DPA, terão o significado estabelecido no Contrato. Os seguintes termos em maiúsculas usados neste DPA serão definidos da seguinte forma:
Contrato“significa o acordo celebrado entre a Brisk e o Cliente incorporando os termos em https://www.briskteaching.com/terms ou conforme acordado de outra forma entre as partes.
Leis de proteção de dados aplicáveis“significa todas as leis, regras, regulamentos e requisitos governamentais aplicáveis relacionados à privacidade, confidencialidade ou segurança dos Dados Pessoais, pois podem ser alterados ou atualizados de tempos em tempos, incluindo (sem limitação) o GDPR.
Subprocessador autorizado“significa os subprocessadores listados no Anexo 4 e quaisquer outros subprocessadores indicados de acordo com o parágrafo 7.4.
Objetivos do controlador“significa: (a) realizar pesquisas e desenvolvimento internos para desenvolver, testar, melhorar e alterar a funcionalidade dos produtos e serviços da Brisk; (b) criar conjuntos de dados anônimos para treinamento ou avaliação dos produtos e serviços da Brisk; e (c) administrar contas de clientes no Serviço e gerenciar o relacionamento da Brisk com o Cliente nos termos do Contrato, em cada caso conforme descrito mais detalhadamente no Anexo 1.
Dados cobertos“significa Dados Pessoais que são: (a) fornecidos por ou em nome do Cliente à Brisk em conexão com a prestação do Serviço; ou (b) obtidos, desenvolvidos, produzidos ou processados de outra forma pela Brisk, ou seus agentes ou subcontratados, para fins de prestação do Serviço, em cada caso, conforme descrito mais detalhadamente no Anexo 1.
Cliente“significa a Instituição Educacional ou um Professor que celebra o Contrato com a Brisk em relação ao Serviço.
Titular dos dados“tem o significado que lhe é atribuído no GDPR.
Data de vigência“significa a data em que a Brisk e o Cliente celebram o Contrato.
GDPR“significa o Regulamento (UE) 2016/679 (o”GDPR DA UE“) ou, quando aplicável, o”GDPR DO REINO UNIDO“, conforme definido na seção 3 (10) da Lei de Proteção de Dados de 2018.
Dados pessoais“tem o significado que lhe é atribuído no GDPR.
Processando“tem o significado que lhe é atribuído no GDPR e”Processo“,”Processos“e”Processado“será interpretado em conformidade.
Incidente de segurança“significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso não autorizado (incluindo acesso interno não autorizado) aos Dados Cobertos.
Cláusulas contratuais padrão“ou”SCCs“significa as Cláusulas Contratuais Padrão anexadas à Decisão de Execução (UE) 2021/914 da Comissão e disponíveis em https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
Subprocessador“significa um processador acionado por outro processador para executar as instruções do controlador.
Leis suíças de proteção de dados“significa a Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2020 (”FADP“) e a Portaria Suíça de Proteção de Dados de 31 de agosto de 2022 (a”Portaria“) e qualquer versão nova ou revisada dessas leis que possa entrar em vigor de tempos em tempos.

1.2

Os termos”controlador“e”processador“têm os significados que lhes são atribuídos no GDPR.

2. INTERAÇÃO COM O ACORDO
2.1

Este DPA está incorporado e faz parte integrante do Contrato. Este DPA complementa e (em caso de contradições) substitui o Contrato com relação a qualquer processamento de dados cobertos.

3. PAPEL DAS PARTES
3.1

As Partes reconhecem e concordam que:

  1. exceto conforme estabelecido no parágrafo 3.1, a Brisk processa os dados cobertos como processadora no desempenho de suas obrigações nos termos do Contrato e este DPA e o Cliente atuam como controladores; e
  2. A Brisk atua como controladora com relação ao processamento de dados cobertos para os fins do controlador, conforme identificado no Anexo 1.
4. DETALHES DO PROCESSAMENTO DE DADOS
4.1

Os detalhes do Processamento de Dados Pessoais nos termos do Contrato e deste DPA (incluindo assunto, natureza e finalidade do Processamento, categorias de Dados Pessoais e Titulares dos Dados) estão descritos no Contrato e no Anexo 1 deste DPA.

4.2

Exceto em relação ao processamento de dados cobertos para fins do controlador:

  1. A Brisk processará somente os Dados Cobertos de acordo com as instruções fornecidas pelo Cliente e de acordo com as Leis de Proteção de Dados Aplicáveis; e
  2. o Contrato e este DPA constituirão as instruções à Brisk para o processamento de dados cobertos pela Brisk, e o Cliente poderá emitir instruções adicionais por escrito de acordo com este DPA.
4.3

Brisk vai:

  1. fornecer ao Cliente informações para permitir que o Cliente conduza e documente quaisquer avaliações de impacto na proteção de dados e consultas prévias com as autoridades de supervisão exigidas pelas Leis de Proteção de Dados Aplicáveis; e
  2. informe imediatamente o Cliente se, em sua opinião, uma instrução do Cliente violar as leis de proteção de dados aplicáveis.
5. CONFORMIDADE
5.1

O Cliente cumprirá suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis e garantirá que:

  1. quaisquer instruções à Brisk em relação ao processamento de dados cobertos estão em conformidade com as leis de proteção de dados aplicáveis;
  2. fornece essas informações aos titulares dos dados sobre o processamento de dados cobertos pela Brisk, conforme exigido pelas leis de proteção de dados aplicáveis;
  3. notifica imediatamente a Brisk sobre qualquer solicitação recebida de um Titular dos Dados para exercer seus direitos de acordo com as Leis de Proteção de Dados Aplicáveis.
6. CONFIDENCIALIDADE E DIVULGAÇÃO
6.1

Brisk deve:

  1. limitar o acesso aos Dados Cobertos ao pessoal que tenha uma necessidade comercial de ter acesso a esses Dados Cobertos; e
  2. garantir que esse pessoal esteja sujeito a obrigações pelo menos tão protetoras dos Dados Cobertos quanto os termos deste DPA e do Contrato, incluindo deveres de confidencialidade com relação a quaisquer Dados Cobertos aos quais tenham acesso.
7. DEFINIÇÕES
7.1

A Brisk pode processar dados cobertos em qualquer lugar em que a Brisk ou seus subprocessadores mantenham instalações, sujeito ao restante deste parágrafo 7 e a quaisquer restrições às transferências futuras contidas nos SCCs.

7.2

O Cliente concede à Brisk autorização geral para contratar qualquer subprocessador autorizado para processar os dados cobertos.

7.3

Brisk deve:

  1. firmar um contrato por escrito com cada Subprocessador Autorizado impondo obrigações de proteção de dados que, em essência, não protegem menos os Dados Cobertos do que as obrigações da Brisk nos termos deste DPA; e
  2. permaneça responsável pela conformidade de cada Subprocessador Autorizado com as obrigações previstas neste DPA.
7.4

A Brisk fornecerá ao Cliente um aviso prévio de pelo menos catorze (14) dias sobre quaisquer alterações propostas aos Subprocessadores Autorizados. O Cliente notificará a Brisk se se opuser à alteração proposta aos Subprocessadores Autorizados (incluindo, quando aplicável, ao exercer seu direito de se opor nos termos da cláusula 9 (a) dos SCCs), fornecendo à Brisk uma notificação por escrito da objeção dentro de sete (7) dias após a Brisk ter notificado o Cliente sobre tal alteração proposta (um”Objeção“).

7.5

Caso o Cliente envie uma objeção, a Brisk e o Cliente trabalharão juntos de boa fé para encontrar uma solução mutuamente aceitável para resolver tal objeção. Se a Brisk e o Cliente não conseguirem chegar a uma resolução mutuamente aceitável dentro de um prazo razoável, que não excederá trinta (30) dias, a Brisk poderá rescindir a parte do Contrato relacionada aos Serviços afetados por tal alteração, fornecendo notificação por escrito ao Cliente.

8. SOLICITAÇÕES DE DIREITOS DO TITULAR DOS DADOS
8.1

A Brisk notificará o Cliente, sem demora injustificada, de qualquer solicitação recebida pela Brisk ou por qualquer subprocessador autorizado de um titular de dados para fazer valer seus direitos de acordo com as leis de proteção de dados aplicáveis em relação aos dados cobertos processados pela Brisk como processador ou subprocessador (a).Solicitação do titular dos dados“).

8.2

Exceto em relação ao processamento de dados cobertos pela Brisk para fins do controlador, entre a Brisk e o Cliente, o Cliente terá o exclusivo critério de responder à Solicitação do Titular dos Dados. A Brisk não responderá à Solicitação do Titular dos Dados sem o consentimento prévio do Cliente, exceto que a Brisk pode informar ao Titular dos Dados que sua solicitação foi encaminhada ao Cliente.

8,3

A Brisk fornecerá ao Cliente assistência razoável, conforme necessário, para que o Cliente cumpra sua obrigação, de acordo com as Leis de Proteção de Dados Aplicáveis, de responder às Solicitações do Titular dos Dados em relação aos Dados Cobertos.

9. SEGURANÇA
9.1

A Brisk implementará e manterá medidas técnicas e organizacionais apropriadas de proteção e segurança de dados projetadas para garantir a segurança dos Dados Cobertos, incluindo, sem limitação, proteção contra processamento não autorizado ou ilegal e contra perda acidental, destruição ou dano de ou aos Dados Cobertos.

9.2

Ao avaliar o nível apropriado de segurança, a Brisk deve levar em consideração a natureza, o escopo, o contexto e a finalidade do Processamento, bem como os riscos apresentados pelo Processamento, em particular de destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Cobertos.

9.3

A Brisk implementará e manterá como padrão mínimo as medidas estabelecidas no Anexo 2.

10. INFORMAÇÕES E AUDITORIAS
10.1

O Cliente pode auditar a conformidade da Brisk com este DPA em relação ao processamento de dados cobertos. As Partes concordam que todas essas auditorias serão conduzidas:

  1. não mais do que anualmente, a menos que auditorias mais frequentes sejam exigidas por uma autoridade supervisora com jurisdição sobre o processamento de dados cobertos ou de outra forma de acordo com as leis de proteção de dados aplicáveis;
  2. mediante notificação razoável por escrito à Brisk;
  3. somente durante o horário comercial normal da Brisk; e
  4. de uma forma que não interrompa materialmente os negócios ou as operações da Brisk.
10.2

Com relação a quaisquer auditorias conduzidas de acordo com o parágrafo 10.3: algum texto

  1. o Cliente pode contratar um auditor terceirizado para conduzir a auditoria em seu nome, exceto que a Brisk pode razoavelmente se opor à contratação de um auditor terceirizado se esse auditor terceirizado for um concorrente da Brisk; e
  2. Não será necessário que a Brisk facilite tal auditoria, a menos e até que as Partes tenham concordado por escrito com o escopo e o calendário de tal auditoria.
10.3

O Cliente deve notificar imediatamente a Brisk sobre qualquer não conformidade descoberta durante uma auditoria.

10.4

Os resultados da auditoria devem ser informações confidenciais da Brisk.

10,5

A Brisk fornecerá ao Cliente, mediante solicitação, ou poderá fornecer ao Cliente em resposta a qualquer solicitação de auditoria enviada pelo Cliente à Brisk, uma das seguintes opções:

  1. certificações de conformidade de proteção de dados emitidas por um emissor de certificação comumente aceito que tenha sido auditado por um especialista em segurança de dados ou por uma empresa de auditoria certificada publicamente; ou
  2. outra documentação que evidencie razoavelmente a implementação das medidas técnicas e organizacionais de segurança de dados de acordo com os padrões do setor.
10,6

Se uma auditoria solicitada pelo Cliente for abordada nos documentos ou na certificação fornecidos pela Brisk de acordo com o parágrafo 10.7, e:

  1. a certificação ou documentação está datada dentro de doze (12) meses da solicitação de auditoria do Cliente; e
  2. A Brisk confirma que não há mudanças materiais conhecidas nos controles auditados,

O Cliente concorda em aceitar essa certificação ou documentação em vez de realizar uma auditoria física dos controles cobertos pela certificação ou documentação relevante.

11. INCIDENTES DE SEGURANÇA
11.1

A Brisk notificará o Cliente por escrito, sem demora injustificada, após tomar conhecimento de qualquer incidente de segurança.

11.2

A Brisk tomará medidas razoáveis para conter, investigar e mitigar qualquer incidente de segurança e enviará ao Cliente informações oportunas sobre o incidente de segurança, na medida em que a Brisk saiba ou conforme as informações se tornem disponíveis para a Brisk, incluindo, mas não se limitando a, a natureza do incidente de segurança, as medidas tomadas para mitigar ou conter o incidente de segurança e o status da investigação.

11.3

A Brisk fornecerá assistência razoável na investigação do Cliente (ou, quando aplicável, de seus Clientes) sobre quaisquer Incidentes de Segurança e quaisquer obrigações do Cliente (ou, quando aplicável, de seus Clientes) em relação ao Incidente de Segurança de acordo com as Leis de Proteção de Dados Aplicáveis, incluindo qualquer notificação aos Titulares dos Dados ou autoridades de supervisão.

11.4

A notificação ou resposta da Brisk a um Incidente de Segurança nos termos deste parágrafo 11 não deve ser interpretada como um reconhecimento pela Brisk de qualquer falha ou responsabilidade com relação ao Incidente de Segurança.

12. PRAZO, EXCLUSÃO E DEVOLUÇÃO
12.1

Este DPA começará na Data de Vigência e, não obstante qualquer rescisão do Contrato, permanecerá em vigor até, e expirará automaticamente, após a exclusão de todos os Dados Cobertos pela Brisk, conforme descrito neste DPA.

12.2

Brisk deve:

  1. se solicitado pelo Cliente (em nome de seus Clientes, conforme apropriado) dentro de trinta (30) dias após a expiração do Contrato (o”Período de retenção“), forneça uma cópia de todos os Dados Cobertos no formato comumente usado, conforme solicitado pelo Cliente, ou forneça uma funcionalidade de autoatendimento que permita ao Cliente baixar esses Dados Cobertos; e
  2. ao expirar o Período de Retenção, exclua todas as cópias dos Dados Cobertos Processados pela Brisk ou por quaisquer Subprocessadores Autorizados, exceto quaisquer Dados Cobertos que a Brisk deva reter para cumprir a lei aplicável, para prosseguir ou defender reivindicações legais ou para fins do Controlador.
13. TRANSFERÊNCIAS INTERNACIONAIS
13.1

As Cláusulas Contratuais Padrão devem, conforme estabelecido mais detalhadamente no Anexo 3, aplicar-se às transferências de Dados Cobertos do Cliente para a Brisk e fazer parte deste DPA.

13,2

As Partes concordam que a execução do Contrato terá o mesmo efeito que a assinatura dos SCCs.

CRONOGRAMA 1: Detalhes do processamento
A. Lista de partes
Cliente
Cliente
Função
Exportador de dados (controlador)
Importador de dados (controlador/processador)
o administrador da conta do Cliente conforme notificado à Brisk.
Atividades relevantes para a transferência
B. Descrição do processamento
Titulares dos dados
Natureza e finalidade do processamento
Período de retenção
Informações de contato, como nome, endereço de e-mail, nome da instituição educacional.
Nenhum
Coletado diretamente do titular dos dados.
Comunique-se com os administradores da conta em relação à administração do Contrato e ao relacionamento entre as partes.

Envie e-mails promocionais de acordo com as preferências do administrador da conta.

Identifique maneiras pelas quais a Brisk pode melhorar o Serviço e corrigir erros no Serviço.
Preferências da conta em relação às mensagens promocionais.
Coletados diretamente do titular dos dados ou fornecidos pela Instituição Educacional
Processador em nome da instituição educacional relevante.

Até o início de:

  • rescisão do Contrato; e
  • encerramento da conta relevante no Serviço mantida pelo titular dos dados, a pedido do controlador ou após 18 meses de inatividade.
Preferências da conta em relação às mensagens relacionadas ao serviço.

Nível da conta, ou seja, se o Professor Independente usa uma conta premium ou gratuita no Serviço.

Perguntas, comentários e outras correspondências enviado em relação ao Serviço.

Assuntos ensinados e grupos ou séries de anos estudantis.

Conteúdo e materiais criado por meio do Serviço, incluindo as alterações feitas no conteúdo gerado automaticamente por meio do Serviço.

Sites visitado em relação ao qual o Serviço é ativado.

Feedback em relação ao conteúdo gerado por meio do Serviço.

O características e funcionalidades usado no Serviço.
Nenhum, a menos que esteja contido em conteúdo e materiais gerados por meio de solicitações ou comentários enviados ao Serviço.
Professores em contas escolares
Informações de contato, como nome, endereço de e-mail, nome da instituição educacional.
Nenhum
Durante a vigência do Contrato e por 6 anos a partir de então.
Até 2 anos após o encerramento da conta do titular dos dados no Serviço, a pedido do titular dos dados ou após 18 meses de inatividade.
Perguntas, comentários e outras correspondências enviado em relação ao Serviço.
O características e funcionalidades usado no Serviço.
Fornecimento de acesso aos recursos e funcionalidades do Serviço, incluindo a facilitação do login e a solução de problemas de login.
Até 90 dias.
Referências, ou seja, o número de outros professores encaminhados pelo Professor Independente ao Serviço.
Coletado diretamente do titular dos dados.
Gerencie o programa de indicações do Brisk, incluindo o gerenciamento de recompensas ou acesso promocional a recursos premium.
Controlador
Durante a vigência do Contrato.
Cursos de desenvolvimento profissional realizado e concluído por meio do Serviço.
Conceder acesso a recursos premium vinculados à conclusão de cursos de desenvolvimento profissional.
Professores independentes
Informações de contato, como nome, endereço de e-mail, nome da instituição educacional.
Coletado diretamente do titular dos dados.
Nível da conta, ou seja, se o Professor Independente usa uma conta premium ou gratuita no Serviço.
Durante a vigência do Contrato e por 6 anos a partir de então.
Informações de pagamento, como cartão de crédito ou débito e endereço de cobrança.
Preferências da conta em relação a mensagens promocionais e relacionadas ao serviço.
Perguntas, comentários e outras correspondências enviado em relação ao Serviço.
Assuntos ensinados e grupos ou séries de anos estudantis.
Durante a vigência do Contrato.
Conteúdo e materiais criado por meio do Serviço, incluindo as alterações feitas no conteúdo gerado automaticamente por meio do Serviço.
Durante a vigência do Contrato.
Essas informações são armazenadas de forma agregada e anônima.
Dispositivo usado para acessar o Serviço, como endereço IP.
Fornecimento de acesso aos recursos e funcionalidades do Serviço, incluindo facilitar o login, solucionar problemas de login e balancear a carga.
Até 90 dias.
Estudantes
Informações de contato, como nome, endereço de e-mail e nome da instituição educacional ou do professor que concede acesso.
Nenhum
Fornecido pelo cliente.
Fornecimento de acesso aos recursos e funcionalidades do Serviço, incluindo personalização do Serviço.
Processador em nome da instituição educacional relevante ou professor independente.
Quaisquer dados pessoais confidenciais contidos em produtos de trabalho ou interações enviados ao Serviço pelo Estudante.
o administrador da conta do Cliente conforme notificado à Brisk.
o administrador da conta do Cliente conforme notificado à Brisk.
Coletado diretamente do titular dos dados.
Controlador
Até 90 dias.
C. Autoridade Supervisora Competente

A autoridade supervisora competente é o Comissário Irlandês de Proteção de Dados.

CRONOGRAMA 2: Medidas técnicas e organizacionais

Introdução

A Brisk emprega uma combinação de políticas, procedimentos, diretrizes e controles técnicos e físicos para proteger os dados pessoais que processa contra perda acidental e acesso, divulgação ou destruição não autorizados.

Governança e políticas

A Brisk atribui ao pessoal a responsabilidade pela determinação, revisão e implementação de políticas e medidas de segurança.

Vivo:

  • documentou as medidas de segurança que implementou em uma política de segurança e/ou em outras diretrizes e documentos relevantes;
  • revisa suas medidas e políticas de segurança regularmente para garantir que continuem sendo apropriadas para os dados que estão sendo protegidos.

O Brisk estabelece e segue configurações seguras para sistemas e software e garante que as medidas de segurança sejam consideradas durante o início do projeto e o desenvolvimento de novos sistemas de TI.

Resposta à violação

A Brisk tem um plano de resposta a violações que foi desenvolvido para lidar com eventos de violação de dados. O plano é testado e atualizado regularmente.

Defesas contra intrusão, antivírus e antimalware

Os sistemas de TI da Brisk usados para processar dados pessoais têm o software de segurança de dados apropriado instalado, incluindo sistemas de firewall, antivírus, antimalware e detecção de intrusão padrão do setor.

O Brisk coleta, mantém e analisa registros de eventos para identificar atividades suspeitas.

Controles de acesso

O Brisk limita o acesso aos dados pessoais implementando controles de acesso apropriados, incluindo:

  • limitar os privilégios de acesso administrativo e o uso de contas administrativas;
  • alterar todas as senhas padrão antes de implantar sistemas operacionais, ativos ou aplicativos;
  • exigir autenticação e autorização para obter acesso aos sistemas de TI (ou seja, exigir que os usuários insiram um ID de usuário e uma senha antes de poderem acessar os sistemas de TI);
  • medidas para garantir o menor privilégio de acesso aos sistemas de TI;
  • procedimentos adequados para controlar a alocação e revogação dos direitos de acesso a dados pessoais. Por exemplo, implementar procedimentos apropriados para revogar o acesso dos funcionários aos sistemas de TI quando eles deixam o emprego ou mudam de função;
  • uso de autenticação multifatorial para acessar dados nos sistemas da Brisk;
  • tempo limite automático e bloqueio dos terminais do usuário se deixados inativos;
  • o acesso ao sistema de TI é bloqueado após várias tentativas fracassadas de inserir detalhes corretos de autenticação e/ou autorização;
  • monitorar e registrar o acesso aos sistemas de TI;
  • alterações de monitoramento e registro de dados ou arquivos em sistemas de TI.

Disponibilidade e backup de dados pessoais

A Brisk tem um plano documentado de recuperação de desastres que garante que os principais sistemas e dados possam ser restaurados em tempo hábil no caso de um incidente físico ou técnico. O plano é testado e atualizado regularmente.

O Brisk faz backup regular das informações nos sistemas de TI e mantém os backups em locais separados. Os backups de informações são testados regularmente.

Segmentação de dados pessoais

Vivo:

  • separa e limita o acesso entre os componentes da rede e, quando apropriado, implementa medidas para fornecer processamento separado (armazenamento, alteração, exclusão, transmissão) de dados pessoais coletados e usados para finalidades diferentes;
  • não usa dados ativos para testar seus sistemas.

Descarte de equipamentos de TI

Vivo:

  • possui processos para remover com segurança todos os dados pessoais antes de descartar os sistemas de TI;
  • usa tecnologia apropriada para eliminar os dados do equipamento.

Criptografia

O Brisk criptografa dados em repouso usando AES-256 e em trânsito usando TLS 1.2 ou superior.

As chaves de criptografia são armazenadas separadamente das informações criptografadas.

Transmissão ou transporte de dados pessoais

Os controles apropriados são implementados pela Brisk para proteger os dados pessoais durante a transmissão ou o trânsito, incluindo:

  • criptografia em trânsito;
  • registrando dados pessoais quando transmitidos eletronicamente.

Endurecimento do dispositivo

O Brisk garante que todas as máquinas virtuais sejam reforçadas de acordo com os benchmarks do Center for Internet Security (CIS).

Gerenciamento de ativos e software

A Brisk mantém um inventário dos ativos de TI e dos dados armazenados neles, junto com uma lista dos proprietários dos ativos de TI relevantes.

Vivo:

  • documenta e implementa regras para o uso aceitável dos ativos de TI.
  • requer autenticação em nível de rede e usa certificados de cliente para validar e autenticar sistemas;
  • implanta ferramentas automatizadas de gerenciamento de patches e ferramentas de atualização de software para sistemas operacionais e software;
  • monitora proativamente as vulnerabilidades do software e implementa prontamente quaisquer patches fora do ciclo;
  • permite o uso somente das versões mais recentes de navegadores e clientes de e-mail totalmente compatíveis.

O Brisk armazena todas as chaves de API com segurança, incluindo as seguintes:

  • O Brisk armazena chaves de API diretamente em suas variáveis de ambiente;
  • O Brisk não armazena chaves de API no lado do cliente;
  • A Brisk não publica credenciais de chave de API em repositórios de código on-line (privados ou não); e
  • O Brisk usa ferramentas de gerenciamento de chaves de API para recuperar e gerenciar credenciais para grandes projetos de desenvolvimento.

Treinamento e conscientização da equipe

Os acordos da Brisk com funcionários e prestadores de serviços e manuais de funcionários definem as responsabilidades de seu pessoal em relação à segurança da informação.

Brisk realiza:

  • treinamento regular da equipe sobre questões de segurança e privacidade de dados relevantes para sua função profissional e garante que os novos iniciantes recebam treinamento adequado antes de iniciarem suas funções (como parte dos procedimentos de embarque);
  • triagem apropriada e verificação de antecedentes de indivíduos que têm acesso a dados pessoais confidenciais.

A Brisk garante que as responsabilidades de segurança da informação que são aplicáveis imediatamente antes da rescisão ou mudança de emprego e aquelas que se aplicam após a rescisão/mudança de emprego sejam comunicadas e implementadas.

Os funcionários estão sujeitos a medidas disciplinares por violações das políticas e procedimentos da Brisk relacionados à privacidade e segurança de dados.

Seleção de prestadores de serviços e comissão de serviços

A Brisk avalia a capacidade dos provedores de serviços de atender aos requisitos de segurança antes de contratá-los.

A Brisk tem contratos por escrito com prestadores de serviços que exigem que eles implementem medidas de segurança apropriadas para proteger os dados pessoais aos quais têm acesso e limitar o uso de dados pessoais de acordo com as instruções da Brisk.

Parte 2

Assistência com solicitações de direitos dos titulares de dados

A Brisk implementou políticas e medidas apropriadas para identificar e atender às solicitações de direitos dos titulares dos dados, incluindo:

  • A Brisk mantém registros precisos para permitir a identificação rápida de todos os dados pessoais processados em nome do Cliente; e
  • os backups de dados pessoais processados pela Brisk em nome do Cliente são substituídos regularmente e, em qualquer caso, a cada trinta (30) dias para garantir que as solicitações de exclusão e retificação sejam totalmente atendidas.
CRONOGRAMA 3: CLÁUSULAS CONTRATUAIS PADRÃO
1. EU SCCS

Com relação a quaisquer transferências mencionadas na cláusula 13, as Cláusulas Contratuais Padrão devem ser preenchidas da seguinte forma:

1.1

Módulo Dois (controlador para processador) ou, conforme apropriado, Módulo Três (processador para processador) dos SCCs se aplicarão ao processamento de dados cobertos pela Brisk.

1.2

A cláusula 7 das Cláusulas Contratuais Padrão (Cláusula de Encaixe) não se aplica.

1.3

Opção 2 da Cláusula 9 (a) (Autorização geral por escrito) será aplicável, e o período de tempo a ser especificado é determinado na cláusula 7.4 do DPA.

1.4

A opção na Cláusula 11 (a) das Cláusulas Contratuais Padrão (Órgão independente de resolução de disputas) não se aplica.

1,5

With regard to Clause 17 of the Standard Contractual Clauses (Governing law), the Parties agree that option 1 will apply and the governing law will be Irish law.

1.6

In Clause 18 of the Standard Contractual Clauses (Choice of forum and jurisdiction), the Parties submit themselves to the jurisdiction of the courts of Ireland.

1.7

For the Purpose of Annex I of the Standard Contractual Clauses, Schedule 1 of the DPA contains the specifications regarding the parties, the description of transfer, and the competent supervisory authority.

1.8

For the Purpose of Annex II of the Standard Contractual Clauses, Schedule 2 of the DPA contains the technical and organizational measures.

2. UK Addendum
2.1

This paragraph 2 (UK Addendum) shall apply to any transfer of Covered Data from the Customer (as data exporter) to Brisk (as data importer), to the extent that:

  1. the UK Data Protection Laws apply to the Customer when making that transfer; or 
  2. the transfer is an "onward transfer" as defined in the Approved Addendum.
2.2

As used in this paragraph 2:

"Approved Addendum" means the template addendum, version B.1.0 issued by the UK Information Commissioner under S119A(1) Data Protection Act 2018 and laid before the UK Parliament on 2 February 2022, as it may be revised according to Section 18 of the Approved Addendum.

"UK Data Protection Laws" means all laws relating to data protection, the processing of Personal Data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.

2.3

The Approved Addendum will form part of this DPA with respect to any transfers referred to in paragraph 2.1, and execution of this DPA shall have the same effect as signing the Approved Addendum.

2.4

The Approved Addendum shall be deemed completed as follows:some text

  1. the "Addendum EU SCCs" shall refer to the SCCs as they are incorporated into this Agreement in accordance with clause 13 and this Schedule 3;
  2. Table 1 of the Approved Addendum shall be completed with the details in paragraph A of Schedule 1;
  3. the "Appendix Information" shall refer to the information set out in Schedule 1 and Schedule 2
  4. for the purposes of Table 4 of the Approved Addendum, Brisk (as data importer) may end this DPA, to the extent the Approved Addendum applies, in accordance with Section ‎19 of the Approved Addendum; and
  5. Section 16 of the Approved Addendum does not apply.
3. Swiss addendum
3.1

This Swiss Addendum will apply to any Processing of Covered Data that is subject to Swiss Data Protection Laws.

3.2

Interpretation of this Addendum

  1. Where this Addendum uses terms that are defined in the Standard Contractual Clauses, those terms will have the same meaning as in the Standard Contractual Clauses. In addition, the following terms have the following meanings:

    "Addendum" means this addendum to the Clauses;
    "Clauses" means the Standard Contractual Clauses as incorporated into this DPA in accordance with paragraph 13 and as further specified in this Schedule 3; and
    "FDPIC" means the Federal Data Protection and Information Commissioner.
  1. This Addendum shall be read and interpreted in a manner that is consistent with Swiss Data Protection Laws, and so that it fulfils the Parties' obligations under Article 16(2)(d) of the FADP.
  2. This Addendum will not be interpreted in a way that conflicts with rights and obligations provided for in Swiss Data Protection Laws.
  3. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Swiss Addendum has been entered into.
  4. In relation to any Processing of Personal Data subject to Swiss Data Protection Laws, this Addendum amends and supplements the Clauses to the extent necessary so they operate:some text
    1. for transfers made by the data exporter to the data importer, to the extent that Swiss Data Protection Laws apply to the data exporter’s Processing when making that transfer; and
    2. as standard data protection clauses approved, issued or recognised by the FDPIC for the purposes of Article 16(2)(d) of the FADP.

3.3

Hierarchy

In the event of a conflict or inconsistency between this Addendum and the provisions of the Clauses or other related agreements between the Parties, existing at the time this Addendum is agreed or entered into thereafter, the provisions which provide the most protection to Data Subjects will prevail.

3.4

Changes to the Clauses

  1. To the extent that the data exporter's Processing of Personal Data is exclusively subject to Swiss Data Protection Laws, or the transfer of Personal Data from a data exporter to a data importer under the Clauses is an "onward transfer" (as defined in the Clauses, as amended by the remainder of this paragraph 3.3(a)) the following amendments are made to the Clauses:
    1. References to the "Clauses" or the "SCCs" mean this Swiss Addendum as it amends the SCCs.
    2. Clause 6 Description of the transfer(s) is replaced with:
    3. "The details of the transfer(s), and in particular the categories of Personal Data that are transferred and the purpose(s) for which they are transferred, are those specified in Schedule 1 of this DPA where Swiss Data Protection Laws apply to the data exporter’s Processing when making that transfer."
    4. References to "Regulation (EU) 2016/679" or "that Regulation" or ""GDPR" are replaced by "Swiss Data Protection Laws" and references to specific Article(s) of "Regulation (EU) 2016/679" or "GDPR" are replaced with the equivalent Article or Section of Swiss Data Protection Laws extent applicable. 
    5. References to Regulation (EU) 2018/1725 are removed.
    6. References to the "European Union", "Union", "EU" and "EU Member State" are all replaced with "Switzerland".
    7. Clause 13(a) and Part C of Annex I are not used; the "competent supervisory authority" is the FDPIC;
    8. Clause 17 is replaced to state: "These Clauses are governed by the laws of Switzerland".
    9. Clause 18 is replaced to state: "Any dispute arising from these Clauses relating to Swiss Data Protection Laws will be resolved by the courts of Switzerland. A Data Subject may also bring legal proceedings against the data exporter and/or data importer before the courts of Switzerland in which he/she has his/her habitual residence. The Parties agree to submit themselves to the jurisdiction of such courts."
SCHEDULE 4: Authorised Sub-Processors
Sub-processor
Description
Datadog Inc
Site Reliability and monitoring tool that helps track performance, detect issues, and improve user experience through real-time data insights and visualizations
Hosts databases and servers that power and backup Brisk 
Snowflake Inc.
Runs various data reports on data previously captured in Snowflake so we can improve the tool.
Google LLC (Alphabet Inc.)
Provides single-sign-on (SSO) authentication for Brisk users, hosts student coursework and teacher-generated content. 
Segment (Twilio Inc.)
Logging and analytics tool that helps developers understand how users interact with Brisk
OpenAI, Inc.
Anthropic running on AWS Bedrock
Artificial Intelligence Services
Sentry (Functional Software, Inc.)
GPTZero Inc.
Text Analysis tool that helps detect AI-generated text
Sapling
Text Analysis tool that helps improve writing by providing grammar and style suggestions
Salesforce 
Houses and tracks partnership agreements, points of contact and other coordination information.