ANEXO DE SEGURANÇA PARA SERVIÇOS DOCUSIGN
Data da versão: 20 de setembro de 2021
Este Anexo de Segurança para Serviços Docusign (“Anexo de Segurança”) estabelece os compromissos da Docusign para a proteção dos Dados do Cliente e faz parte do Contrato. Salvo se de outra forma definido neste Anexo de Segurança, os termos e expressões iniciados em letras maiúsculas terão o significado atribuído a eles no Contrato.
1. DEFINIÇÕES
“Ambiente de Produção” significa a configuração do Sistema pela qual o software, o hardware, os dados, os processos e os programas são executados para suas operações finais e pretendidas pelos usuários finais dos Serviços Docusign.
“Pessoal” significa todos os colaboradores e representantes da Docusign envolvidos na disponibilização dos Serviços Docusign do Cliente.
“Subcontratado” significa um terceiro subcontratado pela Docusign para executar os Serviços Docusign, no todo ou em parte, em nome da Docusign.
“Tratamento” ou “Tratar” significa, com relação a este Anexo de Segurança, qualquer operação ou conjunto de operações realizadas sobre Dados do Cliente, seja ou não por meios automáticos, tal qual a coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, por disseminação ou por outra forma de disponibilização, alinhamento ou combinação, bloqueio, eliminação ou destruição.
2. PROGRAMA DE SEGURANÇA DA INFORMAÇÃO
2.1 Programa de Segurança da Informação. A Docusign mantém e manterá um programa de segurança da informação por escrito, que inclui políticas, procedimentos e controles que regem o Tratamento dos Dados do Cliente no âmbito dos Serviços Docusign (o “Programa de Segurança da Informação”). O Programa de Segurança da Informação foi projetado para proteger a confidencialidade, integridade e disponibilidade dos Dados do Cliente, usando uma abordagem de controles técnicos, procedimentais e de pessoas em múltiplas camadas, de acordo com as melhores práticas de indústria e com as leis e regulamentações aplicáveis
2.2 Uso Permitido de Dados do Cliente. A Docusign não Tratará os Dados do Cliente de qualquer outra forma que não a permitida ou exigida pelo Contrato.
2.3 Reconhecimento de Responsabilidades Compartilhadas. A segurança dos dados e informações acessados, armazenados, compartilhados ou de outra forma Tratados por meio dos Serviços Docusign são de responsabilidade compartilhada entre a Docusign e o Cliente. A Docusign é responsável por implementar e operar o Programa de Segurança da Informação e pelas medidas de proteção descritas no Contrato e neste Anexo de Segurança. O Cliente é responsável por implementar, de forma adequada, os controles de acesso e uso dos Serviços Docusign e por configurar os recursos e funcionalidades dos Serviços Docusign que o Cliente opte por utilizar, do modo que julgar adequado para manter a segurança, proteção, exclusão e cópias de salvaguarda (backup) dos Dados do Cliente.
2.4 Aplicabilidade aos Dados do Cliente. Este Anexo de Segurança e o Programa de Segurança da Informação aplicam-se especificamente aos Dados do Cliente Tratados via Serviços Docusign, e não se estendem aos dados mantidos nos sistemas e ambientes do Cliente, nem a qualquer soluções de instalação local (on-premise) que possam ser oferecidas pela Docusign. Na medida em que o Cliente troque dados e informações com a Docusign que não atendam à definição de “Dados do Cliente”, a Docusign tratará tais dados e informações de acordo com os termos de confidencialidade estabelecidos no Contrato.
3. GESTÃO DE SEGURANÇA
3.1 Manutenção do Programa de Segurança da Informação. A Docusign adotará e implementará medidas técnicas e administrativas apropriadas para proteger os Dados do Cliente localizados nos Serviços Docusign e manterá o Programa de Segurança da Informação em conformidade com os padrões ISO 27001 ou outros padrões alternativos que sejam substancialmente equivalentes ao ISO 27001. A Docusign poderá atualizar ou modificar o Programa de Segurança da Informação de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços Docusign.
3.2 Verificação de Antecedentes e Treinamentos. A Docusign assegurará que investigações de antecedentes razoáveis e apropriadas sejam conduzidas em relação a todo o Pessoal, de acordo com as leis e regulamentações aplicáveis. O Pessoal deverá passar pelas verificações de antecedentes por parte da Docusign antes de ser designado em cargos em que haja, ou que a Docusign razoavelmente espere que haja, acesso aos Dados do Cliente. A Docusign conduzirá um treinamento anual obrigatório de conscientização sobre segurança para informar seu Pessoal sobre procedimentos e políticas relevantes para o Programa de Segurança da Informação e sobre as consequências da violação de tais procedimentos e políticas. A Docusign conduzirá, em relação ao Pessoal, processos de desligamento e saída em caso de término da relação de trabalho, que incluirá a remoção de acesso do Pessoal aos Dados de Cliente e aos sistemas e ativos sensíveis da Docusign.
3.3 Subcontratados. A Docusign avaliará todos os Subcontratados para garantir que eles mantém controles físicos, técnicos, organizacionais e administrativos adequados, com base no nível de risco apropriado aos seus serviços subcontratados, de modo a suportar a conformidade da Docusign com os requisitos do Contrato e deste Anexo de Segurança. A Docusign permanecerá responsável pelos atos e omissões de seus Subcontratados na medida em que eles se relacionarem aos serviços executados nos termos do Contrato, como se tivesse realizado tais atos ou omissões, e qualquer subcontratação não reduzirá as obrigações da Docusign perante o Cliente sob o Contrato.
3.4 Contato para Assuntos de Risco e Segurança. A equipe de gestão de contas do Cliente na Docusign será o primeiro ponto de contato do Cliente para informações e suporte relacionados ao Programa de Segurança da Informação. A equipe de gestão de contas da Docusign trabalhará diretamente com o Cliente para escalar dúvidas, problemas e solicitações do Cliente para as equipes internas da Docusign, conforme necessário.
4. MEDIDAS DE SEGURANÇA FÍSICA
4.1 Disposições Gerais. A Docusign manterá medidas de segurança física apropriadas projetadas para proteger os ativos tangíveis, como sistemas de computadores, redes, servidores e dispositivos físicos que Tratam os Dados do Cliente. A Docusign utilizará software e hardware de segurança de nível comercial para proteger os Serviços Docusign e o Ambiente de Produção.
4.2 Acesso Corporativo. A Docusign assegurará que:
(a) o acesso às instalações corporativas da Docusign seja rigorosamente controlado por, no mínimo, cartões de identificação de acesso físico;
(b) todos os visitantes de suas instalações corporativas no acesso aceitem e assinem obrigações de confidencialidade, e sejam acompanhados pelo Pessoal a todo o tempo enquanto estiverem em tais dependências; e
(c) os registros de visitantes sejam revisados regularmente pela equipe de segurança da Docusign.
A Docusign revogará o acesso físico do Pessoal às instalações corporativas da Docusign após o término da relação de trabalho.
4.3 Acesso ao Data Center. A Docusign engajará provedores de serviços de data center de nível comercial no fornecimento dos Serviços Docusign e assegurará que todos os data centers estejam em conformidade com o padrão ISO 27001 ou certificação equivalente. Todos os data centers deverão atender, no mínimo, os seguintes requisitos:
(a) Medidas de segurança física multifator, incluindo mecanismos de entrada/saída auditáveis que registrem a identidade de qualquer indivíduo que entre ou saia das instalações, devem ser mantidas.
(b) O acesso deve ser limitado a pessoas autorizadas. Fornecedores ou visitantes devem ser escoltados a todo o tempo por pessoas autorizadas enquanto estiverem no data center.
(c) Controles de segurança do ambiente devem estar implementados, inclusive:
(i) fontes de energia ininterruptas e fontes secundárias em todos os sistemas-chave;
(ii) controles de temperatura e umidade para o equipamento de aquecimento, ventilação e ar condicionado;
(iii) dispositivos de detecção de calor e fumaça e sistemas de supressão de incêndio; e
(iv) inspeções periódicas por bombeiros ou agentes oficiais semelhantes.
5. SEGURANÇA LÓGICA
5.1 Controles de Acesso. A Docusign manterá uma política formal de controle de acesso e empregará um sistema de gestão de acesso centralizado para controlar o acesso do Pessoal ao Ambiente de Produção.
(a) A Docusign assegurará que todo o acesso ao Ambiente de Produção esteja sujeito, de forma global, a autenticação de dois fatores bem-sucedida, tanto de locais corporativos quanto remotos, e que esteja restrito ao Pessoal autorizado que tenha uma necessidade de negócios legítima para tal acesso. A Docusign manterá um processo de controle de acesso associado para revisar e implementar solicitações de acesso pelo Pessoal. A Docusign revisará regularmente os direitos de acesso do Pessoal autorizado e, após a mudança no escopo do emprego que exija a remoção, ou após a rescisão da relação de trabalho, removerá ou modificará esses direitos de acesso, conforme apropriado.
(b) A Docusign monitorará e avaliará a eficácia das restrições de acesso aplicáveis ao controle dos administradores de sistemas da Docusign no Ambiente de Produção, que compreenderá a geração de informações de atividade do administrador individual do sistema e a retenção dessas informações por um período de pelo menos 12 (doze) meses.
(c) A Docusign não utilizará os Dados do Cliente no Ambiente de Produção em ambientes não produtivos sem a autorização expressa do Cliente.
5.2 Auditoria e Registro de Acessos (Logging). Com relação à auditoria e registro de acessos de sistema no Ambiente de Produção:
(a) A Docusign usará e manterá mecanismos de auditoria e registro de acessos que, no mínimo, capturem e registrem logon e logoff bem e mal-sucedidos (com carimbo de data e hora, ID de usuário, nome da aplicação, e indicação de sucesso/falha na autenticação). As atividades de acesso de usuário serão registradas e auditadas periodicamente pela Docusign para identificar acesso não autorizado e determinar possíveis falhas nos controles de acesso da Docusign.
(b) Todos os componentes de aplicação que tenham capacidade de registro de acessos (como sistemas operacionais, bases de dados, servidores web e aplicações) serão configurados para produzir um log de auditoria de segurança.
(c) Logs de auditoria serão configurados para ter uma capacidade suficiente de armazenamento de logs.
(d) Cada log será configurado de modo que não possa ser desabilitado sem a devida autorização e enviará alertas para o sucesso ou falha de cada evento auditável.
(e) O acesso a arquivos de log de segurança estará limitado ao Pessoal autorizado.
5.3 Segurança de Rede. A Docusign manterá uma abordagem de defesa profunda (defense-in-depth) para fortalecer o Ambiente de Produção contra exposição e ataques. A Docusign manterá um Ambiente de Produção isolado que inclui controles de gestão de rede de nível comercial, como balanceadores de carga, firewalls, sistemas de detecção de invasão distribuídos pelas redes de produção e proteção contra malware. A Docusign complementará sua arquitetura de Ambiente de Produção com tecnologias de prevenção e detecção que monitoram toda a atividade gerada e que enviam alertas baseados em risco para os grupos de segurança aplicáveis.
5.4 Proteção contra Códigos Maliciosos. A Docusign assegurará que: (a) seus sistemas de informação e operações de transferência de arquivos têm um software antivírus eficaz e operacional; (b) todo software antivírus está configurado para implantação e atualização automática; e (c) o software antivírus aplicável é integrado aos processos e gerará automaticamente alertas para a Equipe de Resposta a Incidentes Cibernéticos da Docusign para sua investigação e análise se um código potencialmente perigoso for detectado
5.5 Análises de Código. A Docusign manterá um ciclo de vida de desenvolvimento de software formal, que inclui práticas de codificação seguras contra vulnerabilidades OWASP e padrões correlatos, e executará revisões de código manuais e automatizadas. As equipes de engenharia, desenvolvimento de produtos e gestão de operações de produto da Docusign revisarão as alterações incluídas nos lançamentos (releases) de produção para verificar se os desenvolvedores realizaram revisões de código manuais e automatizadas projetadas para minimizar os riscos associados. No caso de um problema relevante ser identificado em uma revisão de código, esse problema será levado à alta gestão da Docusign e será monitorado de perto até sua resolução, antes de ser lançado no Ambiente de Produção.
5.6 Varreduras de Vulnerabilidade e Testes de Penetração. A Docusign executará varreduras de vulnerabilidades internas e externas e varreduras de aplicação. Varreduras externas e testes de penetração contra os Serviços Docusign serão conduzidos por organizações externas qualificadas, credenciadas e reconhecidas pela indústria em uma frequência baseada em risco, mas, no mínimo, anualmente. A Docusign corrigirá vulnerabilidades identificadas durante as varreduras e testes de penetração de maneira e em prazo comercialmente razoáveis, com base na classificação e priorização de níveis de severidade. A Docusign disponibilizará todos os atestados de terceiros resultantes de varreduras de vulnerabilidades e testes de penetração por relatórios de auditoria externa independente. Para fins de clareza, o Cliente não poderá, em hipótese alguma, conduzir varreduras de vulnerabilidades ou testes de penetração no Ambiente de Produção.
6. ARMAZENAMENTO, CRIPTOGRAFIA E DESCARTE
6.1 Armazenamento e Segregação. Os Dados do Cliente serão armazenados na infraestrutura física e lógica dos Serviços Docusign, nas instalações subcontratadas (colocation) ou de data centers da Docusign. Exceções acerca do armazenamento somente poderão ser realizadas mediante autorização por escrito do Cliente, para finalidades específicas, como, por exemplo, extração de Dados do Cliente para armazenamento em mídia portátil encriptada. A Docusign segregará, de forma lógica, os Dados do Cliente localizados no Ambiente de Produção dos dados de outros clientes da Docusign.
6.2 Tecnologias de Criptografia. A Docusign irá criptografar os Dados do Cliente de acordo com a Documentação, utilizando padrões aceitos pela indústria, técnicas robustas de criptografia e protocolos de segurança atuais. A transmissão ou troca eletrônica de Dados do Cliente nos Serviços Docusign serão conduzidas por meios seguros.
6.3 Descarte. A Docusign implementará processos e procedimentos reconhecidos pela indústria para gestão de equipamento e descarte seguro de mídia, segundo as orientações identificadas nas Diretrizes para Sanitização de Mídia do Instituto Nacional de Padrões e Tecnologia (National Institute of Standards’ Guidelines for Media Sanitization), NIST SP800-88.
7. CONTINUIDADE DE NEGÓCIOS E RECUPERAÇÃO DE DESASTRES
7.1 Plano de Continuidade. A Docusign manterá planos de continuidade de negócios e de recuperação de desastres, por escrito, que abordarão a disponibilidade dos Serviços Docusign (“Planos de Continuidade”). O Plano de Continuidade incluirá elementos como:
(a) gestão de crise, ativação de planos e equipes, documentação de processos de comunicação e de eventos;
(b) recuperação de negócios, locais alternativos e teste de árvore de chamada (call tree testing); e
(c) infraestrutura, tecnologia, detalhes do(s) sistema(s), atividades de recuperação e identificação do Pessoal e equipes necessárias para tal recuperação.
A Docusign irá conduzir, no mínimo, um teste do Plano de Continuidade por ano. Os Planos de Continuidade da Docusign deverão prever a remediação de quaisquer deficiências descobertas durante qualquer testagem do Plano de Continuidade, em prazos razoáveis, de acordo com o nível de risco imposto por tal deficiência. Os relatórios interno e de auditoria independente descritos na Cláusula 9.1 (Verificações Independentes) demonstrarão ou relatarão a execução dos testes do Plano de Continuidade da Docusign e quaisquer ações de remediação resultantes.
7.2 Continuidade dos Serviços Docusign. A arquitetura de produção da Docusign para os Serviços Docusign foi projetada para executar a replicação segura, quase em tempo real (near real-time), para vários sistemas ativos em data centers geograficamente distribuídos e fisicamente seguros. A Docusign assegurará que:
(a) os sistemas de infraestrutura para os Serviços Docusign foram projetados para eliminar pontos únicos de falha e para minimizar o impacto de riscos de ambiente previstos;
(b) cada data center suportando os Serviços Docusign inclui redundância total e infraestrutura de tolerância a falhas em sistemas elétricos, de resfriamento e de rede; e
(c) os servidores do Ambiente de Produção são servidores de larga escala (enteprise-scale), com energia redundante, para garantir o máximo de tempo de operação (uptime) e disponibilidade de serviço.
7.3 Recuperação de Desastre. Em caso de falha em serviços críticos ou interrupção substancial de negócios, a Docusign prontamente colocará em prática seus Planos de Continuidade e restaurará a capacidade de serviços críticos e a capacidade produtiva de infraestrutura crítica de tecnologia da informação dos Serviços Docusign (incluindo, sem limitação, data centers, hardware, software, sistemas de energia e links de comunicação de voz, dados e e-commerce); exceto se de outra forma especificado no Plano de Continuidade aplicável, a Docusign empregará esforços comercialmente razoáveis para notificar prontamente os Administradores da Conta do Cliente sobre o problema. É responsabilidade da Docusign fazer com que quaisquer dos Subcontratados ou terceiros contratados em regime de outsourcing, que desempenhem atividades que possam impactar processos críticos dos Serviços Docusign, possuam planos implementados que atendam aos mesmos padrões ora exigidos da Docusign. Não obstante qualquer previsão em contrário no Contrato (incluindo este Anexo de Serviço), e sem limitar quaisquer das responsabilidades da Docusign aqui previstas, a Docusign não terá obrigação de fornecer ao Cliente quaisquer planos de continuidade de negócios ou de recuperação de desastres para suas instalações contratadas (colocation) ou de data centers. Entretanto, informações publicamente disponíveis e referências às capacidades de tais instalações de colocation ou data centers serão fornecidas pela Docusign mediante requisição.
8. RESPOSTA E NOTIFICAÇÃO DE INCIDENTES DE DADOS
8.1 Disposições Gerais. A Docusign manterá um programa de resposta a incidentes testado, que será gerenciado e executado pela Equipe de Resposta a Incidentes Global dedicada da Docusign. A Equipe de Resposta a Incidentes Global da Docusign operará sob uma estrutura madura, que inclui políticas de gestão de incidentes, notificação de violações e procedimentos associados. O programa de resposta a incidentes da Docusign incluirá, no mínimo, detecção inicial; resposta tática inicial; briefing inicial; briefing de incidentes; resposta refinada; comunicação e mensagem; contenção formal; relatório de incidente formal; e análise de tendência/postmortem.
8.2 Notificação de Incidente de Dados. Ao fornecer os Serviços Docusign, a Docusign cumprirá com todas as leis e regulamentos de notificação de violação de segurança aplicáveis e, em qualquer evento, notificará o Cliente sem atraso indevido quando tomar conhecimento de qualquer violação de segurança pela Docusign que leve à destruição, perda ou alteração acidental ou ilícita, ou à divulgação ou acesso não autorizados a Dados do Cliente em sistemas geridos pela Docusign (um “Incidente de Dados”). Sem prejuízo da abrangência do disposto acima, as Partes entendem e concordam que Incidentes de Dados não incluem tentativas mal-sucedidas, alertas de segurança cotidianos ou outros eventos que não comprometam substancialmente a segurança ou disponibilidade do Dados do Cliente, incluindo tentativas mal-sucedidas de login, varredura de ping, varredura de porta (port scans), ataques de negação de serviço (denial of service) e outros ataques de rede em firewalls ou sistemas de rede. A notificação pela Docusign acerca de um Incidente de Dados sob esta cláusula não é reconhecimento pela Docusign de qualquer falha ou responsabilidade com relação a tal Incidente de Dados.
8.3 Resposta ao Incidente de Dados. A Docusign adotará medidas razoáveis para mitigar a causa de qualquer Incidente de Dados, e tomará medidas corretivas razoáveis para prevenir que o mesmo Incidente de Dados ocorra no futuro. Na medida em que informações forem coletadas ou se tornarem disponíveis para a Docusign, e a menos que seja proibido por lei, a Docusign fornecerá informações sobre a natureza e as consequências do Incidente de Dados que sejam razoavelmente solicitadas para permitir que o Cliente notifique os indivíduos afetados, as entidades governamentais e/ou bureaus de crédito. Devido à configuração de criptografia e aos controles de segurança associados aos Serviços Docusign, a Docusign pode não ter acesso ou ter conhecimento da natureza das informações contidas nos Dados dos Clientes e, sendo assim, as Partes reconhecem que talvez não seja possível para a Docusign fornecer ao Cliente uma descrição do tipo de informação ou da identidade de indivíduos que podem ter sido afetados por um Incidente de Dados. O Cliente é o único responsável por determinar se deve notificar os indivíduos afetados e por fornecer tal aviso, e para determinar se os órgãos reguladores ou autoridades legais aplicáveis ao Cliente ou ao uso dos Serviços Docusign pelo Cliente precisam ser notificados sobre um Incidente de Dados.
9. VERIFICAÇÕES E AUDITORIAS INDEPENDENTES
9.1 Verificações Independentes. A Docusign utiliza auditores externos independentes para verificar a adequação do seu Programa de Segurança da Informação. A Docusign fornecerá ao Cliente atestados, certificações e relatórios de terceiros relacionados ao estabelecimento, implementação e controle do Programa de Segurança da Informação, incluindo, conforme aplicável, certificações ISO 27001, certificações PCI DSS e relatórios SOC.
9.2 Solicitações Adicionais. Na medida em que o Cliente solicite informações de auditoria ou assistência adicionais da Docusign, que excedam aquelas previstas na Cláusula 9.1 (Verificações Independentes), e conforme exigido pelas leis e regulamentos aplicáveis, o Cliente poderá submeter ao seu gerente de conta uma solicitação para tal informação ou assistência adicional, na qual deverá constar informações sobre as leis e regulamentos aplicáveis que embasaram tal solicitação. A Docusign trabalhará junto com o Cliente para chegar a termos mutuamente aceitáveis em relação ao escopo, prazo, duração e outros detalhes acerca da informação e assistência adicional solicitada.
9.3 Auditoria para Incidente de Dados. Após um Incidente de Dados, a Docusign engajará, em prazo razoável, um auditor independente terceirizado, selecionado pela Docusign e às custas da Docusign, para realizar uma auditoria presencial (on-site) do Programa de Segurança da Informação da Docusign. Mediante solicitação, a Docusign fornecerá prontamente ao Cliente um relatório de tal auditoria.
9.4 Condições para Auditoria.
(a) As auditorias realizadas de acordo com este Anexo de Segurança:
(i) deverão ser conduzidas durante períodos razoáveis e ter uma duração razoável;
(ii) não poderão interferir de forma não razoável com as operações cotidianas da Docusign; e
(iii) deverão ser realizadas de acordo com os termos mutuamente acordados e de acordo com as políticas e procedimentos de segurança da Docusign.
A Docusign se reserva o direito de limitar uma auditoria de definições de configuração, sensores, monitores, dispositivos de rede e equipamentos, arquivos ou outros itens se a Docusign, a seu critério razoável, determinar que tal auditoria possa comprometer a segurança dos Serviços Docusign ou dos dados de outros clientes da Docusign. Os direitos de auditoria do Cliente não incluirão, em seu escopo, testes de penetração nem avaliações ativas de vulnerabilidades do Ambiente de Produção ou dos sistemas Docusign.
(b) No caso de o Cliente realizar uma auditoria por meio de um auditor independente terceirizado, esse auditor independente terceirizado deverá celebrar um contrato de confidencialidade, contendo cláusulas de confidencialidade substancialmente semelhantes àquelas estabelecidas no Contrato, para proteger as informações confidenciais da Docusign.
(c) O Cliente deverá fornecer prontamente à Docusign quaisquer relatórios de auditoria, de avaliação de segurança, de avaliação de conformidade e quaisquer descobertas associadas preparadas por si ou por terceiros contratados para comentários e apontamentos antes da formalização e/ou compartilhamento de tais informações com um terceiro.
9.5 Prazo de Correção e Resposta. Se qualquer auditoria realizada de acordo com este Anexo de Segurança revelar ou identificar qualquer não conformidade pela Docusign de suas obrigações sob o Contrato e sob este Anexo de Segurança, então:
(a) a Docusign trabalhará para corrigir esses problemas; e
(b) em até 60 (sessenta) dias após a data em que tal auditoria foi conduzida, o Cliente poderá solicitar feedback e informações sobre ações corretivas e remediais tomadas em relação a tal auditoria.