Adendo sobre o processamento de dados do cliente do Couchbase Capella Cloud

Este Adendo de Processamento de Dados (este "DPA") faz parte do Contrato de Assinatura do Serviço de Nuvem Capella ou de outro contrato entre o Cliente e a Couchbase que rege o uso do Serviço de Nuvem pelo Cliente ("Acordo"), entre a Couchbase, Inc. ("Couchbase") e a parte identificada como "Cliente" no Contrato ("Cliente") (cada um deles um "Festa" e, juntos, o "Partes").

Este DPA descreve os compromissos das Partes com relação ao processamento de Dados Pessoais em conexão com o uso do Serviço em Nuvem pelo Cliente. Se houver qualquer conflito entre os termos do Contrato e os termos deste APD, os termos deste APD prevalecerão na medida de tal conflito. Qualquer termo em letra maiúscula não definido neste ATD terá o significado que lhe é atribuído no Contrato.

As Partes concordam com o seguinte:

1. Definições. Os seguintes termos em letras maiúsculas, quando usados neste DPA, terão os significados correspondentes fornecidos abaixo:

a. "Leis de proteção de dados aplicáveis" significa todas as leis, regulamentos, regras, portarias e outros decretos mundiais de privacidade e proteção de dados aplicáveis aos Dados Pessoais, incluindo (mas não se limitando a): (i) Leis Europeias de Proteção de Dados; e (ii) todas as leis e regulamentos dos Estados Unidos, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018 (Código Civil da Califórnia §§ 1798.100 et seq ("CCPA"); conforme possa ser emendada, substituída ou suplantada.

b. "Dados do cliente" significa quaisquer Dados Pessoais processados pela Couchbase em nome do Cliente como um provedor de serviços ou processador (conforme aplicável) em conexão com o Serviço em Nuvem, conforme descrito mais especificamente no Anexo A deste DPA.

c. "EEE" significa os Estados-Membros da União Europeia, além da Islândia, Liechtenstein e Noruega.

d. "Leis europeias de proteção de dados" significa: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) ("GDPR"); (ii) Diretiva 2002/58/EC relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas ("Diretiva de privacidade eletrônica"); (iii) quaisquer implementações nacionais aplicáveis de (i) e (ii); (iv) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Portaria ("FDPA suíço"); e (v) em relação ao Reino Unido, a Lei de Proteção de Dados de 2018 e qualquer legislação nacional aplicável que substitua ou converta em lei doméstica o GDPR, a Diretiva de Privacidade Eletrônica ou qualquer outra lei relacionada a dados e privacidade como consequência da saída do Reino Unido da União Europeia; em cada caso, conforme possa ser alterado, substituído ou suplantado.

e. "Cláusulas modelo" significa, dependendo das circunstâncias exclusivas de cada Cliente em particular, qualquer um dos seguintes itens: (i) as cláusulas contratuais padrão para processadores, conforme aprovado pela Comissão Europeia de acordo com sua decisão 2021/914 (o "Cláusulas contratuais padrão de 2021") e (ii) as Cláusulas Contratuais Padrão do Reino Unido, cada uma delas denominada alternativamente como Cláusulas Contratuais Padrão, incorporadas por referência e fazendo parte deste DPA.

f. "Dados pessoais" significa qualquer informação relacionada a uma pessoa física identificada ou identificável e que seja protegida como "dados pessoais“, “informações pessoais" ou "informações de identificação pessoal" de acordo com as Leis de Proteção de Dados Aplicáveis.

g. "Incidente de segurançaIncidente de Segurança" significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente transmitidos, armazenados ou de outra forma processados pela Couchbase e/ou seus Subprocessadores em conexão com a prestação do Serviço em Nuvem. As Partes reconhecem e concordam que "Incidente de Segurança" não deve incluir tentativas ou atividades malsucedidas que não comprometam a segurança dos Dados do Cliente, incluindo tentativas malsucedidas de login, pings, varreduras de porta, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas em rede.

h. "Subprocessador" significa qualquer processador contratado pela Couchbase ou suas Afiliadas para auxiliar no cumprimento de suas obrigações com relação ao fornecimento do Serviço de Nuvem de acordo com o Contrato ou este DPA. Os subprocessadores podem incluir terceiros ou Afiliadas da Couchbase, mas excluirão qualquer funcionário, contratado ou consultor da Couchbase.

i. "Cláusulas contratuais padrão do Reino Unido" significa (i) cláusulas contratuais padrão para transferências de controlador de dados para processador de dados aprovadas pela Comissão Europeia na decisão 2010/87/UE ("Controlador do Reino Unido para SCCs do processador"); e (ii) cláusulas contratuais padrão para transferências de controlador de dados para controlador de dados aprovadas pela Comissão Europeia na decisão 2004/915/EC ("SCCs de controlador para controlador no Reino Unido").

j. Os termos "controlador", "processador" e "processamento" terão os significados que lhes são atribuídos no GDPR, e "processo", "processos" e "processado" devem ser interpretados da mesma forma; e os termos "negócios", "provedor de serviços" e "vender" terão os significados que lhes são atribuídos na CCPA.

2. Função e escopo do processamento

a. Escopo. Sujeito à Seção 2(b), este DPA se aplica na medida em que a Couchbase processa como processador ou provedor de serviços (conforme aplicável) quaisquer Dados do Cliente protegidos pelas Leis de Proteção de Dados Aplicáveis.

b. Papel das partes. As partes reconhecem e concordam que (i) com relação ao processamento dos Dados do Cliente, o Cliente é a empresa, o controlador ou o processador relevante (conforme aplicável) de tais Dados do Cliente, e a Couchbase é um provedor de serviços, processador ou subprocessador (conforme aplicável) em nome do Cliente, conforme descrito em mais detalhes no Anexo A deste DPA; e (ii) com relação aos Dados Pessoais incluídos em quaisquer dados de uso técnico que a Couchbase colete em conexão com o uso do Serviço em Nuvem pelo Cliente ("Dados de uso"), a Couchbase é a empresa relevante ou controladora dos Dados de Uso e processará os Dados de Uso de acordo com a política de privacidade da Couchbase disponível em https://www.couchbase.com/privacy-policy. Cada Parte cumprirá todas as leis, regras e regulamentos aplicáveis a ela e vinculados a ela na execução deste DPA, incluindo quaisquer Leis de Proteção de Dados Aplicáveis. Com relação aos Dados de Uso, a Couchbase processará tais dados em conformidade apenas com as Seções 8(a)(iii) e (iv), na medida do aplicável.

c. Processamento de dados pessoais pelo Couchbase. A Couchbase concorda que processará os Dados do Cliente somente para os fins descritos no DPA e de acordo com as instruções legais documentadas do Cliente. As partes concordam que o Contrato (incluindo este DPA) estabelece as instruções completas e finais do Cliente para a Couchbase em relação ao processamento dos Dados do Cliente e o processamento fora do escopo dessas instruções (se houver) exigirá um acordo prévio por escrito entre o Cliente e a Couchbase. Sem prejuízo da Seção 2(d) (Responsabilidades do Cliente), a Couchbase notificará o Cliente por escrito, a menos que seja proibida de fazê-lo de acordo com as Leis de Proteção de Dados Aplicáveis, e poderá suspender o processamento dos Dados do Cliente, caso tome conhecimento ou acredite que quaisquer instruções de processamento de dados do Cliente violem as Leis de Proteção de Dados Aplicáveis.

d. Responsabilidades do cliente. O Cliente é responsável pela legalidade do processamento dos Dados do Cliente sob ou em conexão com o Contrato. O Cliente declara e garante que (i) forneceu, e continuará fornecendo, todos os avisos e obteve, e continuará obtendo, todos os consentimentos, permissões e direitos necessários sob as Leis de Proteção de Dados Aplicáveis para que a Couchbase processe legalmente os Dados do Cliente para os fins contemplados pelo Contrato (incluindo este DPA); (ii) cumpriu todas as Leis de Proteção de Dados Aplicáveis como controlador e/ou empresa de Dados do Cliente para a coleta e fornecimento à Couchbase e seus Subprocessadores de tais Dados do Cliente; e (iii) garantirá que suas instruções de processamento cumpram as leis aplicáveis (incluindo as Leis de Proteção de Dados Aplicáveis) e que o processamento dos Dados do Cliente pela Couchbase de acordo com as instruções do Cliente não fará com que a Couchbase viole as Leis de Proteção de Dados Aplicáveis.

e. Dados agregados. Não obstante o acima exposto ou qualquer coisa em contrário no Contrato (incluindo este DPA), o Cliente reconhece que a Couchbase e suas Afiliadas terão o direito de coletar e criar informações anônimas, agregadas e/ou desidentificadas (conforme definido pelas Leis de Proteção de Dados Aplicáveis) para seus próprios negócios legítimos.

3. Subprocessamento

a. Subprocessadores autorizados. O Cliente reconhece e concorda que a Couchbase pode contratar Subprocessadores para processar os Dados do Cliente em nome do Cliente. Os Subprocessadores atualmente contratados pela Couchbase e autorizados pelo Cliente estão listados no site da Couchbase (atualmente publicado em https://info.couchbase.com/cloud-subprocessors.html). Pelo menos 15 (quinze) dias antes de qualquer adição de um novo subprocessador, a Couchbase atualizará o site aplicável e fornecerá ao Cliente um aviso dessa atualização através do mecanismo fornecido no site da Couchbase, exceto se a Couchbase acreditar razoavelmente que a contratação de um novo Subprocessador em uma base acelerada é necessária para proteger a confidencialidade, integridade ou disponibilidade dos Dados do Cliente ou evitar a interrupção material do Serviço em Nuvem, a Couchbase fornecerá esse aviso assim que for razoavelmente praticável.

4. Segurança e auditorias

a. Medidas de segurança.  O Couchbase implementará e manterá medidas de segurança técnicas e organizacionais apropriadas projetadas para proteger os Dados do Cliente em seu controle contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados do Cliente, levando em consideração o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento ("Medidas de segurança"). Tais Medidas de Segurança incluirão, no mínimo, as medidas descritas no Anexo B deste DPA. A Couchbase garantirá que qualquer pessoa autorizada pela Couchbase a processar os Dados do Cliente sob este DPA estará sob uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).

b. Atualizações das medidas de segurança. O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso e desenvolvimento técnico e que a Couchbase poderá atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral do Serviço em Nuvem adquirido pelo Cliente.

c. Responsabilidades de segurança do cliente. Não obstante o acima exposto, o Cliente concorda que, exceto conforme previsto neste DPA, o Cliente deverá implementar e manter medidas de segurança técnicas e organizacionais apropriadas projetadas para proteger contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados do Cliente enquanto estiverem sob seu domínio e controle. O Cliente é responsável por (i) proteger a segurança de todas as credenciais do Cliente usadas para acessar o Serviço em Nuvem; (ii) proteger o Ambiente de Nuvem do Cliente e qualquer Sistema do Cliente (com essas medidas incluindo, sem limitação, a rotação regular de chaves de acesso e outras medidas padrão do setor para impedir o acesso não autorizado); (iii) fazer backup e proteger os Dados do Cliente sob o controle do Cliente no Ambiente de Nuvem do Cliente ou em outro sistema controlado pelo Cliente; e (iv) revisar as informações disponibilizadas pela Couchbase relacionadas à segurança e à privacidade dos dados e fazer uma determinação independente sobre se o Serviço de Nuvem atende aos requisitos do Cliente e às obrigações legais sob a Lei de Proteção de Dados Aplicável.

d. Resposta a incidentes de segurança. Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, ao tomar conhecimento de um Incidente de Segurança, a Couchbase notificará o Cliente sem atrasos indevidos e deverá: (i) para auxiliar o Cliente em relação a quaisquer notificações de violação de dados pessoais que o Cliente seja obrigado a fazer de acordo com as Leis de Proteção de Dados Aplicáveis, a Couchbase incluirá em tal notificação ao Cliente informações oportunas relacionadas ao Incidente de Segurança à medida que ele se tornar conhecido, conforme for razoavelmente solicitado pelo Cliente, levando em consideração a natureza do Serviço em Nuvem, as informações disponíveis para a Couchbase e quaisquer restrições sobre a divulgação das informações, como confidencialidade; e (ii) prontamente tomar medidas, consideradas necessárias e razoáveis pela Couchbase, para conter, investigar e remediar qualquer Incidente de Segurança, na medida em que a remediação esteja dentro do controle razoável da Couchbase. A notificação ou resposta da Couchbase a um Incidente de Segurança sob esta Seção 4(d) não deve ser interpretada como um reconhecimento pela Couchbase de qualquer falha ou responsabilidade com relação ao Incidente de Segurança. As obrigações estabelecidas neste documento não se aplicarão a Incidentes de Segurança na medida em que forem causados pelo Cliente ou seus Usuários Autorizados.

e. Auditorias de segurança. A Couchbase fornecerá respostas por escrito (em uma base confidencial) a todas as solicitações razoáveis por escrito de informações feitas pelo Cliente relacionadas ao processamento de Dados do Cliente pela Couchbase, incluindo respostas a questionários de segurança de informações e auditoria que são necessários para confirmar a conformidade da Couchbase com este DPA, desde que o Cliente não exerça esse direito mais de uma vez em qualquer período de 12 (doze) meses. Não obstante o acima exposto, o Cliente também poderá exercer esse direito de auditoria no caso de o Cliente ser expressamente solicitado ou obrigado a fornecer essas informações a uma autoridade de proteção de dados, ou se a Couchbase tiver sofrido um Incidente de Segurança, ou em outra base razoavelmente semelhante.

5. Transferências internacionais

a. Locais de processamento. O Cliente reconhece e concorda que a Couchbase pode transferir e processar os Dados do Cliente para e nos Estados Unidos e em qualquer outro lugar do mundo onde a Couchbase, suas Afiliadas ou seus Subprocessadores mantenham operações de processamento de dados. A Couchbase deverá sempre garantir que tais transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados Aplicáveis e deste DPA.

6. Exclusão de dados do cliente

a. O Serviço em Nuvem fornecerá ao Cliente controles que ele poderá usar para excluir ou recuperar os Dados do Cliente durante o período de vigência, de maneira consistente com a funcionalidade do Serviço em Nuvem.

b. O Cliente, por meio deste instrumento, autoriza a Couchbase, após a rescisão ou expiração do Contrato, ou em caso de rescisão ou suspensão do Serviço de Nuvem nos termos do Contrato, a excluir todos os Dados do Cliente (incluindo cópias) em sua posse ou controle, de acordo com o Contrato, salvo que esse requisito não se aplique na medida em que a Couchbase seja obrigada pela lei aplicável a reter alguns ou todos os Dados do Cliente.

7. Direitos dos indivíduos e cooperação

a. Solicitações do titular dos dados. O Serviço em Nuvem fornece ao Cliente uma série de controles, incluindo recursos e funcionalidades de segurança, que o Cliente pode usar para recuperar, corrigir, excluir ou restringir os Dados do Cliente, conforme descrito em qualquer documentação aplicável ao Serviço em Nuvem. Sem prejuízo da Seção 4(a), o Cliente poderá usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em relação às suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis, incluindo suas obrigações relacionadas à resposta a solicitações de titulares de dados. Na medida em que o Cliente não puder acessar de forma independente os Dados do Cliente relevantes dentro do Serviço de Nuvem, a Couchbase deverá, levando em conta a natureza do processamento, fornecer cooperação razoável para ajudar o Cliente a responder a quaisquer solicitações de indivíduos ou autoridades de proteção de dados aplicáveis relacionadas ao processamento dos Dados do Cliente nos termos do Contrato. No caso de tal solicitação ser feita diretamente à Couchbase, a Couchbase não responderá a tal comunicação diretamente sem a autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. Se a Couchbase for obrigada a responder a tal solicitação, a Couchbase notificará imediatamente o Cliente e fornecerá a ele uma cópia da solicitação, a menos que seja legalmente proibida de fazê-lo.

b. Intimações e ordens judiciais. Se uma agência de aplicação da lei enviar à Couchbase uma demanda por Dados do Cliente (por exemplo, por meio de uma intimação ou ordem judicial), a Couchbase dará ao Cliente uma notificação razoável da demanda para permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado, a menos que a Couchbase seja legalmente proibida de fazê-lo.

8. Termos específicos da jurisdição

a. Europa. Na medida em que os Dados do Cliente estiverem sujeitos às Leis Europeias de Proteção de Dados, os termos a seguir se aplicarão, além dos termos do restante deste DPA:

i. Obrigações do subprocessador. A Couchbase deverá: (A) celebrar um contrato por escrito com cada Subprocessador impondo termos de proteção de dados que exijam que o Subprocessador proteja os dados pessoais de acordo com o padrão exigido pela Lei Europeia de Proteção de Dados aplicável e por este DPA; e (B) permanecer responsável por sua conformidade com as obrigações deste DPA e por quaisquer atos ou omissões do Subprocessador que façam com que a Couchbase viole qualquer uma de suas obrigações nos termos deste DPA.

ii. Objeções a subprocessadores. O Cliente pode se opor por escrito à nomeação de um novo Subprocessador pela Couchbase por motivos razoáveis relacionados à proteção de dados (por exemplo, se a disponibilização dos Dados do Cliente ao Subprocessador puder violar a Lei Europeia de Proteção de Dados ou enfraquecer as proteções para tais Dados do Cliente), notificando a Couchbase prontamente por escrito dentro de cinco (5) dias corridos do recebimento da notificação da Couchbase de acordo com a Seção 3(a) acima. Tal notificação deverá explicar os motivos razoáveis para a objeção e as partes deverão discutir tais preocupações de boa fé com o objetivo de alcançar uma resolução comercialmente razoável. Se tal resolução não puder ser alcançada, a Couchbase, a seu exclusivo critério, não nomeará o Subprocessador ou permitirá que o Cliente suspenda ou rescinda o Serviço em Nuvem afetado de acordo com as disposições de rescisão no Contrato, sem responsabilidade para nenhuma das partes (mas sem prejuízo de quaisquer taxas incorridas pelo Cliente antes da suspensão ou rescisão). A menos que uma objeção seja feita conforme estabelecido nesta Seção 8(a)(ii), o Cliente consente com o uso de subprocessadores pela Couchbase, conforme descrito neste DPA.

iii. Transferências de dados. Na medida em que o Couchbase processa (ou faz com que sejam processados) quaisquer dados pessoais protegidos pelas Leis de Proteção de Dados Europeias em um terceiro país não reconhecido como fornecendo proteção adequada para dados pessoais (conforme descrito nas Leis de Proteção de Dados Europeias), então os termos e condições do Anexo C (Transferências de dados) se aplicará e o Cliente (como exportador de dados) será considerado como tendo celebrado as Cláusulas Modelo com a Couchbase (como importador de dados) e a Couchbase concorda em cumprir e processar os Dados do Cliente em conformidade com as Cláusulas Modelo, que são incorporadas na íntegra por referência e fazem parte integrante deste DPA. Para os fins das descrições nas Cláusulas Modelo: (A) a Couchbase concorda que é um "importador de dados" e o Cliente é o "exportador de dados" (não obstante o fato de que o próprio Cliente pode ser uma entidade localizada fora do EEE ou do Reino Unido); (B) o Anexo A e o Anexo B deste DPA substituirão o Apêndice 1 e o Apêndice 2 das Cláusulas Modelo. Não é a intenção de nenhuma das partes, nem o efeito deste ATD, contradizer ou restringir nenhuma das disposições estabelecidas nas Cláusulas Modelo. Dessa forma, se e na medida em que as Cláusulas Modelo entrarem em conflito com qualquer disposição deste DPA, as Cláusulas Modelo prevalecerão na medida de tal conflito. As Cláusulas Modelo não se aplicarão aos Dados do Cliente que não forem transferidos, seja diretamente ou por meio de transferência subsequente, para fora do EEE ou do Reino Unido.

iv. Mecanismo de transferência alternativo. Se e na medida em que a Couchbase adotar uma solução alternativa de exportação de dados para a transferência de Dados do Cliente, conforme prescrito pelas Leis Europeias de Proteção de Dados aplicáveis ("Mecanismo de transferência alternativo"), o Mecanismo Alternativo de Transferência deverá ser aplicado em seu lugar (mas somente na medida em que tal Mecanismo Alternativo de Transferência se aplique à transferência).

v. Avaliação do impacto da proteção de dados. Na medida em que a Couchbase for exigida pela Lei Europeia de Proteção de Dados aplicável, a Couchbase fornecerá informações razoavelmente solicitadas sobre o processamento de dados pessoais pela Couchbase nos termos do Contrato para permitir que o Cliente realize avaliações de impacto de proteção de dados ou consultas prévias com autoridades de supervisão, conforme exigido por lei.

b. Califórnia. Na medida em que os Dados do Cliente estiverem sujeitos à CCPA, as partes concordam que o Cliente é uma empresa e que ele nomeia a Couchbase como seu provedor de serviços para processar os Dados do Cliente conforme permitido pelo Contrato (incluindo este DPA) e a CCPA, ou para fins acordados por escrito (o "Objetivos permitidos"). O Cliente e o Couchbase concordam que: (i) a Couchbase não reterá, usará ou divulgará informações pessoais para qualquer finalidade que não seja as Finalidades Permitidas; (ii) os Dados do Cliente não foram vendidos para a Couchbase e a Couchbase não "venderá" informações pessoais (conforme definido pela CCPA); (iii) a Couchbase não reterá, usará ou divulgará informações pessoais fora do relacionamento comercial direto entre o Cliente e a Couchbase; e (iv) a Couchbase poderá desidentificar ou agregar informações pessoais durante o fornecimento do Serviço em Nuvem. O Couchbase certifica que entende as restrições estabelecidas nesta Seção 8(b) e as cumprirá.

9. Limitação de responsabilidade

a. A responsabilidade de cada Parte e de todas as suas Afiliadas, consideradas em conjunto, decorrentes ou relacionadas a este DPA (incluindo as Cláusulas Modelo), seja em contrato, ato ilícito (incluindo negligência) ou sob qualquer outra teoria de responsabilidade, estará sujeita às limitações e exclusões de responsabilidade no Contrato, e qualquer referência em disposições à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas sob e em conexão com o Contrato e este DPA em conjunto.

b. Exceto quando as Leis de Proteção de Dados Aplicáveis exigirem que um Afiliado do Cliente exerça um direito ou busque qualquer recurso sob este DPA contra a Couchbase diretamente por si só, as partes concordam que (i) somente a entidade do Cliente que é a parte contratante do Contrato exercerá qualquer direito ou buscará qualquer recurso que qualquer Afiliado do Cliente possa ter sob este DPA em nome de seus Afiliados, e (ii) o Cliente que é a parte contratante do Contrato exercerá tais direitos sob este DPA não separadamente para cada Afiliado individualmente, mas de maneira combinada para todos os seus Afiliados juntos.

10. Diversos

a. Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.

b. Este DPA pode ser assinado em contrapartes, cada uma das quais será considerada um original, mas todas juntas constituirão um único e mesmo instrumento.

c. Se qualquer disposição ou disposição parcial deste DPA for ou se tornar inválida, ilegal ou inexequível, ela será considerada excluída, mas isso não afetará a validade e a exequibilidade do restante do DPA.

d. Este DPA será regido e interpretado de acordo com a lei aplicável e as disposições de jurisdição do Contrato, a menos que exigido de outra forma pelas Leis Europeias de Proteção de Dados.

 

Este Anexo A faz parte do DPA e descreve (i) o processamento que a Couchbase realizará nos Dados do Cliente como processador ou subprocessador em nome do Cliente como controlador ou processador, conforme aplicável, e (ii) as transferências de Dados de Uso que a Couchbase realizará como controlador.

1) Dados do cliente

Duração

A duração do processamento de dados sob este DPA é até a rescisão do Contrato, de acordo com seus termos, mais o período a partir da expiração do Contrato até a exclusão dos dados pessoais pela Couchbase, de acordo com os termos do Contrato (incluindo este DPA).

Categorias de dados

Os dados pessoais a serem processados referem-se às seguintes categorias de dados (especifique):

● Dados pessoais no conteúdo do cliente: Dados pessoais incluídos no conteúdo ou nos dados fornecidos por ou em nome do Cliente ou dos Usuários Autorizados por ou através do Serviço em Nuvem.

Categorias especiais de dados (se apropriado)

As partes não pretendem que nenhum dado de categoria especial seja processado nos termos do Contrato.

Titulares dos dados

Os dados pessoais a serem processados dizem respeito às seguintes categorias de titulares de dados (especifique):

Os titulares dos dados incluem indivíduos sobre os quais os dados são fornecidos ao Couchbase por meio do Serviço em Nuvem por ou sob a direção do Cliente, incluindo Usuários Autorizados. Os sujeitos dos dados podem incluir clientes, funcionários, fornecedores e usuários finais do Cliente.

Operações de processamento

Os dados pessoais estarão sujeitos às seguintes atividades básicas de processamento (especifique):
● processamento para fornecer o Serviço em Nuvem de acordo com o Contrato;
● processamento para executar quaisquer etapas necessárias para a execução do Contrato;
● processamento iniciado pelo Cliente em seu uso do Serviço em Nuvem; e
Processamento para cumprir outras instruções razoáveis fornecidas pelo Cliente (por exemplo, por e-mail ou tíquetes de suporte) que sejam consistentes com os termos do Contrato.

Frequência
Os dados pessoais podem ser transferidos continuamente.

ii) Dados de uso

Duração

Os Dados de Uso são transferidos e mantidos durante a vigência do Contrato relevante mais o período pelo qual os Dados de Uso são necessários para os esforços comerciais legítimos da Couchbase. Certos registros agregados e anônimos de ações do usuário podem ser mantidos permanentemente.

Categorias de dados

Os dados pessoais a serem transferidos referem-se às seguintes categorias de dados (especifique):

●  Dados pessoais em dados de uso: Os Dados de Uso podem incluir informações da conta do usuário, incluindo ID da conta e endereço de e-mail; informações de identificação pessoal, incluindo endereço IP; informações de emprego; informações de contato; informações do navegador e metadados.

Categorias especiais de dados (se apropriado)

As partes não pretendem que nenhum dado de categoria especial seja transferido nos termos do Contrato.

Titulares dos dados

Os dados pessoais a serem processados dizem respeito às seguintes categorias de titulares de dados (especifique):

Os titulares dos dados podem incluir o Cliente, os funcionários do Cliente e outros Usuários Autorizados e quaisquer outros colaboradores permitidos.

Operações de processamento

Os dados pessoais estarão sujeitos às seguintes atividades básicas de processamento (especifique):

● processamento para fornecer e administrar os produtos, serviços e suporte;
Processamento para obter percepções a fim de melhorar os produtos, serviços e suporte e apoiar o desenvolvimento dos negócios;
Processamento para envolver e responder às perguntas dos clientes, realizar atividades de marketing e vendas e analisar metadados de negócios.

Frequência

Os dados pessoais podem ser transferidos continuamente.

 

Este Anexo descreve as Medidas de Segurança do Couchbase. O Cliente reconhece que o Serviço em Nuvem opera de acordo com um modelo de responsabilidade compartilhada, que exige, entre outras coisas, que o Cliente tome certas medidas, como proteger a segurança do Conteúdo do Cliente (que permanece armazenado no ambiente do Cliente sob o controle do Cliente). Se e na medida em que a Couchbase processar os Dados do Cliente em nome do Cliente em conexão com o Serviço em Nuvem ou transferir quaisquer Dados de Uso sujeitos às Cláusulas Contratuais Padrão, a Couchbase deverá implementar e manter as seguintes Medidas de Segurança:

Medidas de criptografia de dados

Todos os dados do cliente são criptografados em trânsito usando TLS 1.2 (ou superior) e criptografados em repouso usando criptografia AES-256.
Os laptops dos funcionários são criptografados usando a criptografia AES-256 de disco completo.
Todas as credenciais são criptografadas em trânsito usando TLS 1.2 (ou superior) e criptografadas em repouso.
As chaves de criptografia são rotacionadas anualmente e são armazenadas e gerenciadas no AWS Key Management Service.

Medidas de disponibilidade e capacidade de recuperação

O Couchbase mantém planos e procedimentos de recuperação de desastres e continuidade de negócios que são projetados para garantir razoavelmente a disponibilidade do Serviço em Nuvem.
A oferta do Couchbase Capella é implantada em data centers distribuídos geograficamente e operados por provedores de serviços de nuvem pública reconhecidos pelo setor, como Amazon (AWS), Microsoft (Azure) e Google (GCP) (conforme aplicável).
A redundância é incorporada à infraestrutura do sistema que dá suporte à oferta do Couchbase Capella. No caso de falha de um sistema primário, a infraestrutura redundante em outra zona de disponibilidade é configurada para tomar seu lugar.
Os backups são armazenados em ambientes controlados dentro da infraestrutura de nuvem. O acesso lógico aos dados de backup é restrito ao pessoal apropriado e é armazenado em um storage de alta disponibilidade.
Anualmente, é realizado um teste de restauração de backup em que a equipe de operações restaura um backup a partir de um instantâneo para garantir que os dados possam ser recuperados no caso de um incidente.

Medidas de segurança organizacional

O Couchbase estabeleceu um Sistema de Gerenciamento de Segurança da Informação (ISMS) formal para proteger a confidencialidade, a integridade e a disponibilidade da oferta e dos sistemas de informação do Couchbase Capella e para garantir a eficácia dos controles de segurança sobre os dados e os sistemas de informação.
Os funcionários são obrigados a se submeter a treinamentos sobre Antissuborno e Corrupção, Ética e Código de Conduta, Negociação de Informações Privilegiadas, Privacidade Global de Dados e Treinamento Anual de Conscientização sobre Segurança.
Os funcionários são obrigados a assinar acordos de não divulgação e confidencialidade no momento da contratação.
Políticas e procedimentos formais estão em vigor para as atividades de integração e exclusão de funcionários. Os processos de provisionamento e desprovisionamento de contas são definidos e implementados.
O acesso do funcionário é removido após a rescisão ou ajustado conforme necessário como resultado da mudança de função.
A autenticação multifatorial (MFA) é aplicada para acesso a recursos críticos e de produção.
Os requisitos de complexidade de senha são aplicados.
A segregação de responsabilidades e deveres é implementada para reduzir as oportunidades de modificação não autorizada ou não intencional ou de uso indevido.
O Couchbase mantém acordos de não divulgação assinados com terceiros.
As redes do Couchbase são segregadas com base em níveis de confiança e protegidas por firewalls.

Medidas de registro e monitoramento

O registro de atividades do usuário, exceções, falhas e eventos de segurança da informação está ativado. Os registros são mantidos, conforme necessário.
Todos os registros podem ser acessados somente por funcionários autorizados do Couchbase e os controles de acesso estão em vigor para impedir o acesso não autorizado.
O acesso de gravação aos dados de registro é estritamente proibido. Os recursos de registro e as informações de registro são protegidos contra adulteração e acesso não autorizado por meio do uso de controles de acesso e medidas de segurança.
O Couchbase tem várias medidas de monitoramento em vigor para gerar alertas de segurança e identificar atividades irregulares.
A equipe de operações do Couchbase Capella analisa regularmente os alertas de segurança e sua configuração subjacente para garantir que estejam funcionando conforme o esperado e que os controles sejam modificados conforme as condições mudam.

Medidas de controle de acesso

O Couchbase implementa as práticas recomendadas de segurança e usa uma arquitetura de segurança baseada em funções nas camadas de banco de dados, rede e aplicativos, além de seguir rigorosamente os princípios de privilégio mínimo ao conceder acesso aos principais sistemas.
O Couchbase definiu funções e papéis de trabalho para dar suporte à segregação adequada de tarefas.
O acesso a ambientes operacionais, de produção e de recuperação de desastres é protegido pelo uso de contas de usuário exclusivas, senhas fortes, uso de autenticação multifator (MFA), acesso baseado em função e princípio de privilégios mínimos.
As chaves de acesso usadas pelos aplicativos de produção do Couchbase (por exemplo, chaves de acesso do AWS) são acessíveis somente ao pessoal autorizado. Elas são rotacionadas (alteradas) conforme necessário (por exemplo, de acordo com um aviso de segurança ou saída de pessoal) e pelo menos anualmente.
A atividade do usuário em ambientes operacionais, incluindo acesso, modificação ou exclusão de dados, é registrada.
As solicitações de autorização e o provisionamento são registrados, rastreados e auditados.
São implantados firewalls de aplicativos da Web (WAF), além dos firewalls baseados em rede.

Medidas de segurança física

A oferta do Couchbase Capella é implantada em data centers distribuídos geograficamente e operados por provedores de serviços de nuvem pública reconhecidos pelo setor, como Amazon (AWS), Microsoft (Azure) e Google (GCP) (conforme aplicável).
O acesso físico a todas as instalações que contêm dados confidenciais é restrito e gerenciado.
Todas as instalações de recursos de informação (por exemplo, armários de rede e depósitos) são fisicamente protegidas proporcionalmente à criticidade ou importância de sua função.
O acesso às instalações de recursos de informação é concedido somente ao pessoal da empresa e aos contratados cujas responsabilidades de trabalho exijam acesso a essas instalações.
Todas as instalações de recursos de informações que permitem acesso a visitantes são configuradas para rastrear o acesso de visitantes com um registro de entrada.
Os registros de acesso a cartões e os registros de visitantes das instalações de recursos de informações são mantidos para revisão de rotina com base na criticidade dos recursos de informações que estão sendo protegidos.
O equipamento é protegido para reduzir os riscos de ameaças ambientais, perigos e oportunidades de acesso não autorizado.

Configurações seguras do sistema

O Couchbase tem uma política e um procedimento de gerenciamento de alterações em vigor.
O Couchbase monitora as alterações nos sistemas dentro do escopo para garantir que o processo padrão aplicável seja seguido e para reduzir qualquer risco de alterações não detectadas na produção. As alterações são rastreadas no sistema de gerenciamento de alterações.
A política e os procedimentos de controle de acesso estão em vigor para evitar alterações não autorizadas.
Os controles de gerenciamento de dispositivos móveis estão em vigor.

Governança

O Couchbase estabeleceu um Sistema de Gerenciamento de Segurança da Informação (ISMS) formal para proteger a confidencialidade, a integridade e a disponibilidade da oferta e dos sistemas de informação do Couchbase Capella e para garantir a eficácia dos controles de segurança sobre os dados e os sistemas de informação.
A Couchbase possui uma política de segurança de informações documentada e aprovada, incluindo documentação de apoio.
A autoridade e a responsabilidade de gerenciar o programa de segurança de informações da Couchbase foram delegadas ao Grupo de Segurança de Informações e Conformidade, que está autorizado pela gerência sênior a tomar as ações necessárias para estabelecer, implementar e gerenciar o programa de segurança de informações da Couchbase.

Conformidade

O Couchbase é auditado por um auditor independente e alcançou a conformidade SOC 2 Tipo 1, atestando nosso compromisso com os controles que protegem a confidencialidade e a disponibilidade das informações armazenadas e processadas no serviço Couchbase Capella.

Acesso mínimo aos dados

São realizadas avaliações de privacidade relacionadas à implementação de novos produtos/serviços e ao processamento de dados pessoais por terceiros.
A coleta de dados é limitada às finalidades do processamento (ou aos dados que o cliente optar por fornecer).
As medidas de segurança estão em vigor para fornecer apenas a quantidade mínima de acesso necessária para executar as funções exigidas.
Os requisitos de retenção de dados são identificados
O acesso aos dados pessoais é restrito ao pessoal envolvido no processamento, aderindo ao princípio da "necessidade de conhecer" e de acordo com as funções e responsabilidades definidas dos indivíduos.

Medidas de responsabilidade

As avaliações de privacidade do cliente são necessárias ao introduzir qualquer novo produto/serviço que envolva o processamento de dados pessoais.
As avaliações do impacto da proteção de dados fazem parte de qualquer nova iniciativa de processamento.

Solicitações de acesso do titular dos dados

Os titulares de dados podem solicitar a exportação de seus dados pessoais em um formato padrão do setor.
Existem processos que permitem que os indivíduos exerçam seus direitos de privacidade (por exemplo, direito de exclusão ou direito à portabilidade de dados), conforme descrito na Política de Privacidade disponível publicamente da Couchbase.

A Couchbase continuará a analisar a recente orientação do Conselho Europeu de Proteção de Dados sobre medidas suplementares para atender ao requisito de adequação do GDPR e quaisquer outras emitidas pelas autoridades europeias de proteção de dados à medida que surgirem.

 

Este Anexo estabelece os termos e condições que se aplicam quando o uso do Serviço de Nuvem pelo Cliente requer um mecanismo de transferência subsequente para transferir legalmente dados pessoais de uma jurisdição para a Couchbase localizada fora dessa jurisdição.

1. Cláusulas contratuais padrão do Reino Unido.  Para transferências de dados do Reino Unido que estejam sujeitas às Cláusulas Contratuais Padrão do Reino Unido, as Cláusulas Contratuais Padrão do Reino Unido serão consideradas celebradas (e incorporadas a este DPA por referência) e concluídas da seguinte forma:

a. As SCCs de Controlador para Processador do Reino Unido serão aplicadas quando a Couchbase estiver processando Dados do Cliente. A cláusula de indenização ilustrativa não se aplicará. O Anexo A serve como Apêndice 1 do Controlador do Reino Unido para as SCCs do Processador. O Anexo B serve como Apêndice 2 do Controlador do Reino Unido para as SCCs do Processador. O Anexo D estabelece a interpretação da Couchbase e do Cliente de suas respectivas obrigações sob cláusulas específicas do Controlador do Reino Unido para as SCCs do Processador, conforme aplicável.

b. As SCCs de Controlador para Controlador do Reino Unido serão aplicadas quando a Couchbase estiver transferindo Dados de Uso. Na Cláusula II(h), a Couchbase transferirá dados pessoais de acordo com os princípios de processamento de dados estabelecidos no Anexo A das SCCs de Controlador para Controlador do Reino Unido. A cláusula comercial ilustrativa não se aplicará. O Anexo A deste DPA serve como Anexo B do Controlador do Reino Unido para Controlador SCCs.

2. As cláusulas contratuais padrão de 2021.  Para transferências de dados que estão sujeitas ao GDPR e/ou à FDPA suíça, as Cláusulas Contratuais Padrão de 2021 serão aplicadas da seguinte maneira:

a. O Módulo Um (Controlador para Controlador) será aplicado quando o Cliente for um controlador dos Dados de Uso e o Couchbase for um controlador dos Dados de Uso.

b. O Módulo Dois (Controlador para Processador) será aplicado quando o Cliente for um controlador dos Dados do Cliente e o Couchbase for um processador dos Dados do Cliente;

c. O Módulo Três (Processador para Processador) será aplicado quando o Cliente for um processador dos Dados do Cliente e o Couchbase for um subprocessador dos Dados do Cliente;

d. Para cada módulo, quando aplicável:
(i) na Cláusula 7, a cláusula de acoplamento opcional será aplicada;
(ii) na Cláusula 9, a Opção 2 será aplicada, e o período de tempo para aviso prévio de alterações de subprocessador será conforme estabelecido na Seção 3 (Subprocessamento) deste DPA;
(iii) na Cláusula 11, a linguagem opcional não se aplicará;
(iv) na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão de 2021 serão regidas pela lei do estado membro da UE no qual o Exportador de Dados está estabelecido e, se não houver tal lei, pela lei irlandesa.
(v) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais do estado membro da UE no qual o Exportador de Dados está estabelecido e, se não houver tal lei, perante os tribunais da República da Irlanda.
(vi) No Anexo I, Parte A:

Exportador de dados:  Cliente e afiliadas autorizadas do Cliente.

Detalhes de contato:  Endereço(s) de e-mail do Cliente especificado(s) como a conta relevante para receber comunicações no âmbito do Serviço em Nuvem

Função de exportador de dados:  O Cliente é o controlador ou processador dos Dados do Cliente, conforme aplicável, e controlador dos Dados de Uso

Assinatura e data:  Ao celebrar o Contrato, considera-se que o Exportador de Dados assinou estas Cláusulas Contratuais Padrão aqui incorporadas, incluindo seus Anexos, a partir da Data de Vigência do Contrato.

Importador de dados:  Couchbase, Inc.

Detalhes de contato: Equipe jurídica da Couchbase - legal@couchbase.com

Função de importador de dados: A Couchbase é a processadora ou subprocessadora dos Dados do Cliente, conforme aplicável, e controladora dos Dados de Uso

Assinatura e data: Ao celebrar o Contrato, considera-se que o Importador de Dados assinou estas Cláusulas Contratuais Padrão, aqui incorporadas, incluindo seus Anexos, a partir da Data de Vigência do Contrato.

(vii) No Anexo I, Parte B:
As categorias de titulares de dados estão descritas no Anexo A deste DPA.

Os dados confidenciais transferidos estão descritos no Anexo A desta DPA.

A frequência da transferência é contínua durante a vigência do Contrato.

A natureza do processamento está descrita no Anexo A desta DPA.

A finalidade do processamento está descrita no Anexo A desta DPA.

O período de processamento está descrito no Anexo A deste DPA.

Para transferências para subprocessadores, o assunto, a natureza e a duração do processamento estão descritos em https://info.couchbase.com/cloud-subprocessors.html

(viii) No Anexo I, Parte C: A autoridade supervisora do estado membro da UE especificado na Seção 3(d)(iv) acima atuará como autoridade supervisora competente.

(ix) O Cronograma 2 serve como Anexo II das Cláusulas Contratuais Padrão.

4. Termos conflitantes. Na medida em que houver qualquer conflito entre as Cláusulas Contratuais Padrão e quaisquer outros termos deste DPA, as disposições das Cláusulas Contratuais Padrão prevalecerão.

 

Este Anexo estabelece a interpretação das partes de suas respectivas obrigações de acordo com cláusulas específicas das SCCs de Controlador para Processador do Reino Unido (também chamadas de Cláusulas), identificadas abaixo. Quando uma parte estiver em conformidade com as interpretações estabelecidas neste Anexo, essa parte será considerada pela outra parte como tendo cumprido seus compromissos nos termos das Cláusulas.
Para os fins deste Anexo, "DPA" significa o Adendo de Processamento de Dados em vigor entre o importador e o exportador de dados, ao qual estas Cláusulas estão incorporadas, e "Contrato" terá o significado que lhe é atribuído no DPA.

Cláusula 4(h) e 8: Divulgação destas Cláusulas

1. O exportador de dados concorda que estas Cláusulas constituem Informações Confidenciais do importador de dados, conforme definido no Contrato, e não podem ser divulgadas pelo exportador de dados a terceiros sem o consentimento prévio por escrito do importador de dados, a menos que permitido nos termos do Contrato. Isso não impedirá a divulgação dessas Cláusulas a um titular de dados nos termos da Cláusula 4(h) ou a uma autoridade de supervisão nos termos da Cláusula 8.

Cláusula 5(a): Suspensão de transferências de dados e rescisão:

1. As partes reconhecem que o importador de dados poderá processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções, conforme fornecidas pelo exportador de dados e pelas Cláusulas.

2. As partes reconhecem que, se o importador de dados não puder fornecer essa conformidade por qualquer motivo, ele concorda em informar prontamente o exportador de dados sobre sua incapacidade de conformidade, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato.

3. Se o exportador de dados tiver a intenção de suspender a transferência de dados pessoais e/ou rescindir estas Cláusulas, ele deverá se esforçar para notificar o importador de dados e fornecer ao importador de dados um período de tempo razoável para sanar a não conformidade ("Período de cura").

4. Se, após o Período de Cura, o importador de dados não tiver sanado ou não puder sanar a não conformidade, o exportador de dados poderá suspender ou encerrar a transferência de dados pessoais imediatamente. O exportador de dados não será obrigado a fornecer esse aviso nos casos em que considerar que há um risco material de danos aos titulares dos dados ou a seus dados pessoais.

Cláusula 5(f): Auditoria:

1. O exportador de dados reconhece e concorda que exerce seu direito de auditoria nos termos da Cláusula 5(f) ao instruir o importador de dados a cumprir as medidas de auditoria descritas na Seção 4 (Segurança e Auditorias) do DPA.

Cláusula 5(j): Divulgação de contratos de subprocessadores

1. As partes reconhecem a obrigação do importador de dados de enviar prontamente ao exportador de dados uma cópia de qualquer contrato de subprocessador subsequente que celebre nos termos das Cláusulas.

2. As partes também reconhecem que, de acordo com as restrições de confidencialidade do subprocessador, o importador de dados pode ser impedido de divulgar contratos de subprocessador subsequentes ao exportador de dados. Não obstante, o importador de dados deverá envidar esforços razoáveis para exigir que qualquer subprocessador indicado por ele permita a divulgação do contrato de subprocessador ao exportador de dados.

3. Mesmo quando o importador de dados não puder divulgar um contrato de subprocessamento ao exportador de dados, as partes concordam que, mediante solicitação do exportador de dados, o importador de dados deverá (em caráter confidencial) fornecer todas as informações razoavelmente relacionadas a esse contrato de subprocessamento ao exportador de dados.

Cláusula 6: Responsabilidade

1. Quaisquer reivindicações apresentadas de acordo com as Cláusulas estarão sujeitas aos termos e condições, incluindo, entre outros, as exclusões e limitações estabelecidas no Contrato. Em nenhuma hipótese qualquer parte limitará sua responsabilidade com relação a quaisquer direitos do titular dos dados nos termos destas Cláusulas.

Cláusula 11: Subprocessamento progressivo

1. As partes reconhecem que, de acordo com a FAQ II.1 do documento WP 176 do Grupo de Trabalho do Artigo 29, intitulado "FAQs a fim de abordar algumas questões levantadas pela entrada em vigor da Decisão da Comissão Europeia 2010/87/UE, de 5 de fevereiro de 2010, sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros nos termos da Diretiva 95/46/CE", o exportador de dados pode fornecer um consentimento geral para o subprocessamento posterior pelo importador de dados.

2. Dessa forma, o exportador de dados fornece um consentimento geral ao importador de dados, de acordo com a Cláusula 11 destas Cláusulas, para contratar subprocessadores posteriores. Tal consentimento está condicionado à conformidade do importador de dados com os requisitos estabelecidos na Seção 8(a) da DPA.