O presente instrumento estabelece as Condições Gerais de Contratação para Prestação de Serviços (“Contrato”) firmado entre (i) NVIO BRASIL INSTITUIÇÃO DE PAGAMENTO LTDA., sociedade com sede na Cidade de Osasco, Estado de São Paulo, na Avenida Domingos Odália Filho, 301, Sala 14-105, Centro, CEP 06010-067, inscrita no CNPJ/ME sob o n° 35.136.120/0001-03 (“Nvio Brasil”); e (ii) toda e qualquer pessoa física e/ou jurídica devidamente identificada e qualificada na respectiva Ordem de Serviço (“Contratada”); (doravante designadas, em conjunto, “Partes” e, individualmente, “Parte”). As Partes concordam com as Condições Gerais dispostas a seguir, sem prejuízo ao cumprimento das Condições Específicas acordadas pelas mesmas na Ordem de Serviço, sendo certo que ambas, conjuntamente, integram e perfazem o Contrato. 

Fica desde já acordado entre as Partes o conceito dos seguintes vocábulos e expressões, podendo ser utilizados no singular ou no plural:

“Contrato” significa as Condições Gerais previstas neste documento e Condições Específicas descritas na Ordem de Serviço.

“Condições Específicas” significa a Ordem de Serviço emitido pela Contratada com cláusulas e condições específicas de contratação, prevalecendo, no caso de divergência interpretativa, sobre as Condições Gerais.

“Condições Gerais” significa um conjunto de cláusulas e condições gerais de contratação, os termos e características da prestação dos Serviços e as obrigações de ambas as Partes.

“Ordem de Serviço” significa um documento anexo às Condições Gerais e que descreve detalhes técnicos e as condições específicas de contratação, indicando, necessariamente, nome e qualificação da Contratada, a vigência, o objeto da contratação e o preço, além de outros elementos opcionais e características particulares da prestação dos Serviços que as Partes considerem necessárias (“Informações de Contratação”). Podem caracterizar-se como Ordem de Serviço a (i) Proposta de Contratação emitida pela Contratada, desde contenha campo para o consentimento expresso, por meio de assinatura eletrônica, da Nvio Brasil; e (ii) quaisquer outros documentos integrantes, anexos ou aditivos a ela vinculados. 

“Serviços” significa um conjunto de serviços e/ou fornecimento de produtos indicados no Contrato de Prestação de Serviços e que a Contratada prestará a Nvio Brasil de acordo com os termos e condições estabelecidos na Ordem de Serviço.

"Pagamento" tem o termo definido na Cláusula 2 destas Condições Gerais.

“Informações Confidenciais" tem o termo definido na Cláusula 7 destas Condições Gerais.

2.1. Tendo em vista o Contrato, a Contratada prestará os Serviços a Nvio Brasil e ceder-lhe os direitos relacionados ao uso do mesmo (quando aplicável), ao passo que a Nvio Brasil pagará à Contratada uma contraprestação pelo(s) Serviço(s) mediante recebimento das faturas/nota fiscal contendo, no mínimo, a qualificação completa das Partes e que sejam aderentes às normas fiscais vigentes (“Pagamento”).

2.2. No preço estabelecido na Ordem de Serviço já estarão incluídos, conforme legislação vigente, todos os impostos, taxas e emolumentos incidentes no objeto do Contrato, quer sejam federais, estaduais ou municipais, bem como todos os encargos trabalhistas e previdenciários.

2.3. O Serviço será prestado e entregue e o Pagamento será feito na forma, lugar e nas datas descritas na Ordem de Serviço. Exceto se formalizado de outra forma na Ordem de Serviço, o Pagamento será realizado em 30 (trinta) dias após recebimento da fatura e será realizado por transferência bancária, valendo o simples comprovante/recibo como quitação para todos os fins legais.

2.4. A Contratada prestará os Serviços com máxima diligência, envidando os melhores esforços para sua realização, utilizando para tanto os melhores recursos materiais, técnicos e humanos disponíveis no mercado.

3.1. A vigência deste Contrato terá início com seu aceite expresso, mediante assinatura da Ordem de Serviço e permanecerá vigente pelo prazo definido na respectiva Ordem de Serviço, podendo ser extinto de acordo com as disposições abaixo estabelecidas.

3.2. O Contrato poderá ser resolvido a qualquer momento pela Parte prejudicada, sem necessidade de provimento judicial e sem prejuízo do ressarcimento de danos eventualmente decorrentes do não cumprimento de suas obrigações realizadas ou assumidas até a data do efetivo término da prestação dos Serviços, mediante notificação fundamentada por escrito nas seguintes situações:

a) Descumprimento por qualquer das Partes de qualquer das obrigações estabelecidas no Contrato, observado o período de cura de 10 (dez) dias;

b) Se a Contratada não transferir os direitos de propriedade intelectual a Nvio Brasil, quando aplicável e especificado na Ordem de Serviço;

c) Descumprimento de alguma disposição legal, regulatória ou administrativa por uma das Partes;

d) O Serviço se encontra impedido ou limitado em virtude da legislação aplicável ou algum acordo, resolução ou declaração expedida por autoridade competente;

e) As Partes iniciarem, ou for ajuizado contra elas um pedido de falência, deferimento de pedido de recuperação judicial e/ou extrajudicial, declaração de insolvência ou qualquer outro procedimento similar dentro ou fora do Brasil; e

f) A imagem pública ou reputação de uma das Partes possa ser afetada em decorrência de qualquer informação ou suspeita fundamentada de atividade irregular e/ou ilícita pela outra Parte.

3.3. O presente Contrato poderá ser resilido, sem ônus ou multa, por qualquer das Partes, a qualquer momento, independente de motivo, mediante aviso prévio por escrito à outra parte com, no mínimo, 30 (trinta) dias de antecedência, responsabilizando-se as partes pelo cumprimento de suas obrigações realizadas ou assumidas até a data do efetivo término da prestação dos Serviços, sem prejuízo das obrigações que, por sua natureza, devam sobreviver ao término deste Contrato. Neste caso, o Pagamento devido será proporcional aos Serviços efetivamente prestados, devendo ser restituído à Nvio Brasil caso o Pagamento já tenha sido realizado.

4.1. Em caso de atraso na prestação dos Serviços ou no Pagamento pela Nvio Brasil, a parte prejudicada poderá aplicar uma multa moratória de 2% (dois por cento) sobre o montante total da obrigação não cumprida, bem como aplicação mensal de juros moratórios de 1% (um por cento) (“Encargos de Mora”).

4.2. Não obstante os Encargos de Mora, diante de qualquer descumprimento por parte da Contratada das obrigações contraídas nos termos deste Contrato, a Contratada deverá ser responsável pelo pagamento de uma multa contratual não compensatória de 10% (dez por cento) (“Multa Rescisória”) sobre o montante total da obrigação deste Contrato, conforme o caso, sem prejuízo de quaisquer outras medidas cabidas por lei ou acordadas no Contrato, como provimentos judiciais, extrajudiciais, além de resolução do Contrato com a aplicação do artigo 475 do Código Civil Brasileiro.

5.1. Observado as Cláusulas 5.2 e 5.3 abaixo, este Contrato não transfere a qualquer uma das Partes qualquer direito de propriedade intelectual que as Partes possuam sobre os seus processos e sistemas, marcas e sinais distintivos e/ou qualquer direito intelectual que seja de propriedade das Partes antes da execução deste Contrato.

5.2. Não obstante o disposto acima, caso o Serviço consista no desenvolvimento de material e serviços criativos e exclusivos para Nvio Brasil, a Contratada transmitirá a propriedade, sem qualquer ressalva, dos bens objetos desenvolvidos à Nvio Brasil em decorrência dos Serviços, garantirá que tal propriedade não se encontre em posse de nenhuma pessoa. Adicionalmente, a Contratada renunciará irrevogavelmente, quando aplicável, qualquer direito patrimonial que possa vir a ter ou pretender ter a respeito dos bens objeto do Serviço, sua propriedade intelectual, desenho industrial, licença, permissão ou autorização, seja perante as autoridades administrativas locais ou perante autoridades internacionais em matéria de propriedade intelectual.

5.3. A Contratada assume, com eficácia perante a terceiros, a originalidade de todos os materiais relacionados à prestação dos Serviços. A Contratada isentará e manterá a Nvio Brasil indene de qualquer reclamação, processo judicial e/ou extrajudicial ou procedimento administrativo proposto contra à Nvio Brasil em consequência da utilização do Serviços que acarrete qualquer violação de direitos de terceiros em relação à propriedade intelectual e industrial desenvolvida pela Contratada, sem prejuízo à sua responsabilização pelo ressarcimento das perdas e danos eventualmente sofridos pela Nvio Brasil.

5.4. A Contratada anui e concorda com as disposições deste Contrato, ratificando que a sua celebração não lhe confere nenhuma autorização para usar, publicar ou de qualquer maneira tornar pública as marcas, os nomes comerciais, as patentes, as licenças e os demais direitos de propriedade industrial ou intelectual da Nvio Brasil ou de suas subsidiárias, afiliadas, controladora, controladas, assim como instituições do mesmo grupo empresarial, salvo se autorizado por escrito pela Nvio Brasil à Contratada.

5.5. A Contratada está ciente e aceita expressamente que todos os materiais preparados pela Contratada em virtude do Contrato serão propriedade exclusiva da Nvio Brasil. Ou seja, a Contratada transferirá a posse, uso, gozo e disposição do Serviço prestado de forma plena, vitalícia e sem limitação, bem como todos os resultados tangíveis relacionados ao Serviço, incluindo, sem limitação, obras em andamento, registros, diagramas, notas, desenhos, especificações, esquemas, documentos, designs, melhorias, invenções, descobertas, desenvolvimentos, marcas registradas, segredos comerciais, listas de clientes, bases de dados, software, programas, middleware, aplicativos e soluções concebidos, feitos ou descobertos pela Contratada, seja individualmente ou em colaboração com terceiros, desenvolvidos exclusivamente em virtude do Serviço.

6.1. Com fundamento no artigo 476 do Código Civil Brasileiro, as Partes poderão suspender os Serviços e o Pagamento, sendo certo que elas também terão a faculdade de dispensar o cumprimento de obrigações ou alterar os respectivos prazos, desde que haja anuência expressa de ambas.

7.1. As Partes comprometem-se a manter sob estrito sigilo, sob as penas da lei, não revelando, divulgando e/ou informando a qualquer pessoa, física e/ou jurídica, a qualquer título, as informações e documentos de qualquer outra Parte, que tenha, tenha tido ou venha a tomar conhecimento em virtude deste Contrato, pelo prazo de vigência deste Contrato (informado na Ordem de Serviço) e por mais 5 (cinco) anos contados da data de sua extinção.

7.2. Todas as informações das Partes que forem reveladas, obtidas ou a que se tenha acesso em virtude deste Contrato, terão o caráter de confidenciais, as quais incluem, em rol não taxativo, informações tangíveis ou intangíveis, técnicas ou não, sejam orais ou escritas, eletrônicas, gravadas, microfilmadas ou em qualquer outro meio, a respeito de, incluindo, sem limitação, produtos, preços, planos de negócio, comercialização ou promoção de qualquer produto, práticas e/ou políticas comerciais, programas de sistemas, software, informações contábeis e financeiras, jurídicas, técnicas, marcas, desenhos industriais, propriedade intelectual, organizacionais, informações de clientes, contatos comerciais, bases de dados, sócios atuais e potenciais, serviços prestados, relatórios, planos, projeções de mercado junto com fórmulas, mecanismos, padrões, métodos, técnicas, processos de análise, documentos de trabalho, compilações, comparações, estratégias, estudos e, em geral, todas as informações marcadas ou não como confidenciais (“Informações Confidenciais”).

7.3. As Partes não divulgarão ou revelarão a terceiros as Informações Confidenciais, por qualquer meio, nem fazer uso inapropriado delas, conforme definido na Cláusula 7.5 abaixo. As Partes não utilizarão as Informações Confidenciais para propósitos distintos das obrigações estabelecidas no presente Contrato. 

7.4. Adicionalmente, as Partes darão às Informações Confidenciais o mesmo tratamento que dariam às próprias informações confidenciais. Tal tratamento deverá implicar um grau necessário de cuidado para impedir a revelação ou uso inapropriado das Informações Confidenciais.

7.5. Considera-se o uso inapropriado aquele que não estiver de acordo com o escopo e finalidades do Contrato, em conformidade com seus termos e condições. As Partes concordam que serão entendidos como “grau necessário” os atos praticados pela parte correspondente necessários para salvaguardar os interesses das Partes, a respeito das Informações Confidenciais. 

7.6. A revelação, duplicação, cópia ou, de qualquer outra forma, tornar conhecidas, comercializar, operar, explorar ou celebrar qualquer negócio jurídico que esteja direta ou indiretamente relacionado com as Informações Confidenciais são expressamente proibidas, sendo que a violação do disposto na Cláusula sujeitará a Parte receptora das Informações Confidenciais ao dever de indenizar a outra Parte integralmente em relação a todas as perdas e danos, diretos ou indiretos que causar a esta em razão da violação. 

7.7. As Partes não devem divulgar as Informações Confidenciais a qualquer de seus funcionários, exceto para casos específicos em que tais funcionários devem conhecer as Informações Confidenciais em razão do trabalho que realizam.

7.8. As restrições e obrigações desta cláusula deverão manter-se vigentes em caso de extinção do Contrato pelo prazo de 5 (cinco) anos, e serão obrigatórias para as Partes, bem como para seus sucessores ou cessionários permitidos enquanto as Informações Confidenciais mantiverem seu caráter de confidenciais.

8.1. Observada a Cláusula 3 e o disposto no artigo 474 do Código Civil Brasileiro, as Partes cumprirão com todas as obrigações objeto do Contrato, bem como as especificações da Ordem de Serviço, sendo responsáveis por danos e prejuízos comprovadamente causados à outra Parte em caso de descumprimento, conforme artigo 475 do Código Civil Brasileiro. 

8.2. A Contratada assegura que seus funcionários, subcontratados e/ou prestadores de serviços (“Terceiros”) contratados para a prestação dos Serviços tenham conhecimento, recursos e autorizações, licenças e permissões para prestar o Serviço, sendo responsável pelos Terceiros perante a Nvio Brasil. A Contratada garante também que tenha celebrado com estes Terceiros vínculos jurídicos que oferecem o mesmo ou maior grau de proteção e responsabilidade contido neste Contrato.

8.3. Em caso de descumprimento de qualquer das disposições estabelecidas no presente Contrato, por parte dos empregados, subcontratados e/ou prestadores de serviços da Contratada, a Contratada será responsabilizada pelo referido descumprimento, bem como exigirá o pagamento de danos e prejuízos sofridos pela Nvio Brasil e/ou as multas, conforme aplicável. Se, por qualquer motivo a Nvio Brasil não puder obter uma indenização por parte da Contratada, a Nvio Brasil poderá demandar diretamente dos subcontratados, empregados ou prestadores de serviços da Contratada, firmando os documentos necessários e/ou que respondam a Nvio Brasil pelo descumprimento de suas obrigações da mesma forma que a Contratada estaria obrigada.

9.1. Caso os Serviços envolvam a coleta, o manuseio, a guarda ou o tratamento de dados pessoais de clientes e/ou colaboradores da Nvio Brasil (“Dados Pessoais”), a Contratada respeitará integralmente a Política de Privacidade da Nvio Brasil disponível em https://bitso.com/legal/BR/privacy_policy, bem como atuará em conformidade com a legislação aplicável, especialmente a Lei nº 13.709/2018 (“LGPD”). Portanto, a Contratada:

a) Não utilizará nem aplicará os Dados Pessoais coletados para finalidade diferente da consecução do objeto do Contrato. Para que não haja dúvida, a Contratada não poderá comunicar, vender, ceder, emprestar ou utilizar para propósitos diferentes do escopo do Contrato, salvo por instrução expressa e por escrito da Nvio Brasil, sob pena de incidência da Multa Rescisória, bem como as penalidades positivadas na LGPD;

b) Processará os Dados Pessoais conforme os mais altos requisitos de segurança e estabelecerá medidas físicas, técnicas, organizacionais e tecnológicas que assegurem a confidencialidade, sigilo e integridade dos Dados Pessoais. Caso a Contratada precise realizar outro tipo de tratamento aos Dados Pessoais, nos termos do art. 5º, inciso X, da LGPD, esta deverá justificar tal utilização por escrito à Nvio Brasil;

c) Manterá a mais absoluta confidencialidade sobre os Dados Pessoais que tiver acesso para a execução do Contrato, bem como sobre os quais obtiver resultantes do processamento dos primeiros, qualquer que seja o documento complementar do qual foram obtidos;

d) Manterá uma lista de pessoas autorizadas a processar os Dados Pessoais objeto do Contrato;

e) Destruirá todos os Dados Pessoais os quais tenha tido acesso, bem como os documentos complementares em que constem os dados pessoais, uma vez extinto o presente Contrato, seja por execução completa dos Serviços ou por uma das hipóteses de rescisão descritas na Cláusula 3;

f) Comunicará à Nvio Brasil, dentro de 72 (setenta e duas) horas, no máximo, qualquer violação da segurança dos dados pessoais sob sua responsabilidade de que tiver conhecimento, junto com todas as informações relevantes para documentar e comunicar a incidência, bem como qualquer possível vulnerabilidade na confidencialidade na hipótese de que terceiros tomem conhecimento de Dados Pessoais e informações obtidos durante a execução do Contrato;

g) Comunicará à Nvio Brasil, no dia útil seguinte ao recebimento do exercício do direito de acesso, retificação, cancelamento ou oposição do uso de dados pessoais perante a Contratada, desde que estejam de alguma forma vinculada aos Serviços;

h) Colaborará com a Nvio Brasil no cumprimento de suas obrigações em matéria de medidas de segurança, comunicação e/ou notificação de falhas; e

i) Colocar-se à disposição da Nvio Brasil todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nesta Cláusula.

10.1. Qualquer notificação ou comunicação decorrente deste Contrato deverá ser feita por escrito e entregue pessoalmente, por correio normal com aviso de recebimento ou por correio eletrônico com confirmação de recebimento da pessoa a quem foi direcionada, nos endereços e correios eletrônicos indicados na Ordem de Serviço. 

10.2. Enquanto as Partes não notificarem a mudança de seus respectivos domicílios e correios eletrônicos, terão plena validade e eficácia todas as comunicações, notificações, intimações e outras diligências judiciais ou extrajudiciais, encaminhadas aos últimos endereços e correios eletrônicos indicados.

10.3. As notificações por meios eletrônicos terão preferencialmente aviso de recebimento e deverão ser necessariamente enviadas para os correios eletrônicos mencionados na Ordem de Serviço, sob pena de ineficácia.

11.1. Qualquer transferência ou cessão, total ou parcial, dos direitos e obrigações derivados do Contrato, ou a transferência do Contrato deverá ter anuência expressa das Partes, exceto se a Nvio Brasil realizar a transferência para subsidiárias, afiliadas, controladoras ou instituições do mesmo grupo empresarial, ou com quem tiver alguma relação contratual de operação, hipótese em que não será necessário consentimento da Contratada.

11.2. Qualquer modificação dos direitos, obrigações e termos e condições do Contrato, ou Serviço, conforme o caso, somente terá efeito se feita por escrito, mediante aditamento, assinada por ambas as Partes.

11.3. As Partes não serão responsáveis por quaisquer falhas, interrupções ou atrasos no cumprimento de suas obrigações, quando decorrentes de caso fortuito ou de força maior, nos termos do artigo 393 do Código Civil Brasileiro. Neste caso, as obrigações serão suspensas e as Partes não serão responsáveis por seu descumprimento. Nessa hipótese, as Partes envidarão os melhores esforços para a continuidade dos Serviços e estabelecerão um prazo para a continuidade da relação contratual, momento em que as obrigações serão retomadas e as Partes voltarão a ser responsáveis por seu descumprimento uma vez desaparecida a circunstância que foi motivo da suspensão.

11.4. O Contrato constitui a totalidade do acordo entre as Partes a respeito de seu objeto, substitui e invalida qualquer outro acordo, incluindo as comunicações eletrônicas anteriores ou posteriores entre as Partes que tiverem o mesmo ou semelhante objeto.

11.5. A eventual tolerância de uma parte no cumprimento das obrigações contratuais pela outra não constituirá novação, renúncia ou modificação do contratado, podendo a parte prejudicada exigir, a qualquer tempo, o cumprimento das obrigações aqui previstas. 

11.6. Da mesma forma, as Partes desde logo se obrigam a firmar, ratificar ou retificar todos os instrumentos, termos, contratos ou requerimentos que se façam necessários, bem como a cumprir quaisquer formalidades necessárias a fim de garantir a eficácia do presente Contrato e dar cumprimento às obrigações estabelecidas neste instrumento.

11.7. Cada Parte declara e garante que: (a) tem plenos poderes para firmar este Contrato e cumprir as obrigações aqui descritas, (b) aceita que a execução deste Contrato não viola nenhum outro Contrato que as Partes tenha firmado ou qualquer legislação e regulamento aplicável, (c) está devidamente estabelecida, validamente existente e encontra-se em situação regular nos termos das leis locais; (d) as Marcas licenciadas nos termos deste Contrato não infringem nem violam direitos de terceiros; e (e) não é uma entidade governamental ou de economia mista, ou de outra forma detida, controlada ou criada por uma entidade governamental.

11.8. Este Contrato não estabelece entre as Partes, seus prepostos, empregados e contratados, qualquer forma de sociedade, associação, mandato, representação, joint venture, agência, consórcio, responsabilidade solidária e/ou subsidiária ou qualquer vínculo trabalhista, e nenhuma das partes tem o direito de celebrar contratos, vincular legalmente, incorrer em dívida ou de outra forma assumir qualquer responsabilidade ou obrigação em nome da outra Parte. Adicionalmente, a Contratada não realiza obras ou serviços de forma exclusiva para a Nvio Brasil, e se encontra autorizada e apta a prestar livremente serviços iguais ou semelhantes aos pactuados neste Contrato para outras pessoas físicas e/ou jurídicas.

11.9. Se qualquer cláusula, termo ou condição deste Contrato for considerado nulo ou vier a ser anulada por qualquer decisão judicial transitada em julgado, tal nulidade ou anulabilidade não contaminará as demais cláusulas deste instrumento, o qual permanecerá em vigor.

11.10. As Partes comprometem-se a cumprir as leis anticorrupção aplicáveis, incluindo, sem limitação, a Lei nº 12.846/2013. As Partes se absterão de pagar, mandar pagar, oferecer ou prometer pagamento ou presentes de valor, direta ou indiretamente, a qualquer pessoa ou empresa, incluindo, sem limitação, funcionários públicos, candidatos a cargos públicos ou colaboradores das Partes, com o objetivo de induzir ou recompensar qualquer ato relacionado a este Contrato ou aos negócios entre as Partes. Ambas as Partes obrigam-se a cumprir todas as regras sobre prevenção e combate aos crimes de lavagem de dinheiro, ocultação de bens, de terrorismo e seu financiamento, além de outras legislações e regulamentações aplicáveis.

12.1. As Partes elegem como competente para dirimir quaisquer controvérsias decorrentes deste Contrato, com exclusão de qualquer outro, por mais privilegiado que seja, o foro daComarca da Capital de São Paulo, Estado de São Paulo.

[Fim das Condições Gerais]

O presente Termo de Acordo de Segurança da Informação (“Acordo”) é parte indissociável do Contrato celebrado entre a Nvio Brasil Bitso Instituição de Pagamento Ltda. (“Contratante” ou “Nvio Brasil”), e toda e qualquer pessoa física e/ou jurídica devidamente identificada e qualificada na respectiva Ordem de Serviço e/ou Contrato (“Contratado”), ambas, em conjunto, também denominadas como “Partes” ou, individualmente, como “Parte”, e tem por objetivo garantir, quando devidamente aplicável, a conformidade com as melhores práticas de segurança da informação, de acordo comas resoluções do Banco Central do Brasil ("BCB") e demais normas e legislações aplicáveis, em observância às cláusulas e condições a seguir.

“Auditoria de Privacidade de Dados” significa o procedimento técnico e jurídico destinado a avaliar, verificar e documentar o grau de conformidade das atividades de tratamento de dados pessoais realizadas pela CONTRATADA e/ou CONTRATANTE com a legislação aplicável de proteção de dados, especialmente a LGPD, bem como com políticas internas, controles organizacionais e medidas de segurança da informação.

“Dados Confidenciais” significa quaisquer dados, aplicativos e outros conteúdos que o Contratado possa ter, processar ou aos quais possa ter acesso, incluindo dados do Usuário Final.

“Dado Pessoal” significa toda informação relacionada à pessoa natural, incluindo qualquer informação que possa ser associada, direta ou indiretamente, a um indivíduo. Para os fins deste Acordo, os Dados Pessoais serão considerados Informações Confidenciais, independentemente de sua origem.

“Dados Protegidos” significa qualquer informação contida, processada ou transmitida por sistemas computacionais protegidos por um mecanismo de segurança da informação.

“Estrutura de Segurança da Informação Reconhecida pelo Setor” significa a estrutura Reconhecida pelo Setor de Segurança da Informação: conjunto de normas, frameworks, padrões técnicos e boas práticas amplamente aceitos pelo mercado e por autoridades regulatórias, especialmente aqueles compatíveis com as diretrizes da Resolução nº 85, destinados a orientar a implementação, avaliação e a melhoria contínua dos controles de segurança da informação, incluindo, entre outros, a proteção da confidencialidade, integridade e disponibilidade das informações, a gestão de riscos cibernéticos, o controle de acessos, a resposta a incidentes e a continuidade dos serviços.

"Framework reconhecida pela indústria" significa um sistema de gestão de segurança da informação reconhecido globalmente pela indústria, como a ISO/IEC 27001:2022, publicada pela Organização Internacional de Normalização e pela Comissão Eletrotécnica Internacional ("ISO 27001"), a série de Publicações Especiais 800, publicada pelo Instituto Nacional de Padrões e Tecnologia ("NIST SP-800"), os Controles Críticos de Segurança do CIS, publicados pelo Centro de Segurança da Internet ("CIS"), e a estrutura de melhores práticas de Objetivos de Controle para Informação e Tecnologia Relacionada ("COBIT"), estabelecida pela Associação de Sistemas de Informação e Controle e pelo Instituto de Governança de TI.

"Incidente de Segurança da Informação" significa uma ocorrência ou uma ameaça iminente de acesso, uso, divulgação, violação, modificação, roubo, perda, corrupção ou destruição não autorizada de informações; interferência nas operações de tecnologia da informação; ou interferência nas operações do sistema.

“Plano de Continuidade de Negócios” significa o documento que indica o processo de recuperação das áreas e processos críticos da Instituição e que deve ser recuperado e retomado após um evento ou incidente que provoque uma interrupção no normal funcionamento do negócio para que este possa continuar a operar e não ter um impacto significativo.

"Representantes” significam os diretores, conselheiros, administradores, prepostos, colaboradores ou qualquer pessoa física ou jurídica que atue em nome da Contratante em razão do presente Contrato.

"Resolução de Serviços Relevantes" significa a Resolução nº 85 do Banco Central do Brasil, ou quaisquer outras que venham a substituí-la, a qual dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

“Security Officer Regional” significa pessoa responsável por coordenar, implementar e supervisionar a estratégia de Segurança da Informação no âmbito do escopo geográfico aplicável, assegurando a conformidade com as obrigações regulatórias locais, o Sistema de Gestão de Segurança da Informação (SGSI) e as diretrizes corporativas globais, observando as boas práticas de mercado, nomeadamente as referências das normas como a ISO/IEC 27001 e ISO/IEC 27014.

“Sistemas” significa todos os aspectos dos sistemas, rede, instalações ou infraestrutura que podem ser usados pelo Contratado na prestação de serviços objeto do Contrato e os controles de segurança do Contratado relacionados a eles.

“Terceiro” significa, coletiva e individualmente, qualquer terceiro a quem o Contratado pretenda conceder acesso aos Dados Protegidos do Contratante ou aos sistemas do Contratante, incluindo qualquer subcontratado, suboperador, prestador de serviços offshore ou de outsourcing.

“Tratamento” significa qualquer operação ou conjunto de operações que seja realizada sobre Dados Confidenciais, Pessoais ou Protegidos, seja por meios automáticos, como coleta, registro, organização, armazenamento, adaptação ou alteração, acesso, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de qualquer outra forma, alinhamento ou combinação, bloqueio, eliminação ou destruição.

O Contratado poderá operar a segurança da informação de acordo com suas próprias políticas e procedimentos, desde que (i) compartilhe tais políticas e procedimentos com os envolvidos no Tratamento de Dados Pessoais do Contratante e (ii) apresente requisitos de segurança da informação, no mínimo, igualmente rigorosos aos estabelecidos neste Acordo e nas políticas de segurança da informação do Contratante. Se tais requisitos forem insuficientes, o Contratado implementará a estrutura de gestão e controle apropriada para garantir a conformidade com as políticas do Contratante e com a legislação aplicável. 

Subcontratação. O Contratado deverá notificar o Contratante, previamente, sobre qualquer subcontratação ou alteração de subcontratações relevantes ao Contrato.  (“Subcontratados"). O Contratado deverá assegurar que todos os Subcontratados estejam sujeitos às mesmas obrigações estabelecidas neste Contrato.

Acesso e Cooperação Regulatória. Caso aplicável, conforme determinado pela Resolução de Serviços Relevantes, o Contratado garantirá a plena cooperação e facilitação das atividades de supervisão e auditorias e concederá o direito de acesso, pleno, irrestrito e inclusive remoto, ao Contratante e ao BCB, ou qualquer entidade legalmente autorizada pelo BCB a todos os contratos, documentos, dados, informações, sistemas, instalações físicas, cópias de segurança e credenciais de acesso relacionados ao escopo do Contrato, independentemente da localização dos dados.

Implementação de Medidas Regulatórias. Sempre que aplicável, o Contratado deverá adotar, por sua conta e risco, imediatamente, quaisquer medidas necessárias, corretivas ou preventivas exigidas pelo Contratante ou pela legislação, para o cumprimento de quaisquer determinações, instruções ou sanções emitidas pelo BCB ou qualquer outra autoridade, relacionadas aos serviços contratados. O Contratado deverá confirmar a implementação dessas medidas ao Contratante dentro do prazo estabelecido pelo BCB ou pelo Contratante ou, na ausência deste, imediatamente após a sua conclusão.

Regime de Resolução. Em caso de declaração de regime de resolução pelo BCB que afete a Contratante:

a. O Contratado deverá conceder ao administrador judicial acesso pleno e irrestrito a todos os contratos, acordos, documentação, informações, dados armazenados, informações processadas, cópias de segurança e credenciais de acesso relacionados à Contratante e ao escopo do Contrato sob a custódia do Contratado; e

b. O Contratado deverá notificar o administrador judicial com pelo menos trinta (30) dias de antecedência de qualquer interrupção pretendida dos serviços, incluindo nos casos de inadimplência por parte da Contratante. Mediante solicitação do administrador judicial, o Contratado deverá prorrogar o período de continuidade dos serviços por mais trinta (30) dias.

Escopo e Conteúdo. As partes declaram e garantem que seu Programa de Segurança: (i) está em conformidade com uma Estrutura Reconhecida pelo Setor, (ii) inclui salvaguardas administrativas, técnicas e físicas razoavelmente projetadas para proteger a confidencialidade, integridade e disponibilidade dos Dados e Sistemas Protegidos do Contratante na extensão do serviço prestado e (iii) é apropriado à natureza, porte e complexidade de suas operações comerciais relacionadas ao escopo do Contrato, (iv) está em conformidade com os requisitos e diretrizes aplicáveis ​​emitidos por autoridades reguladoras nacionais relevantes às suas operações e aos serviços contratados, incluindo, entre outras, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a Comissão de Valores Mobiliários (CVM), e o BCB, conforme aplicável.

A pedido do Contratante, a outra Parte fornecerá prontamente (i) o resumo executivo dos resultados de qualquer Auditoria de Privacidade de Dados, resultados de testes do Plano de Continuidade de Negócios, resultados de testes do Plano de Recuperação de Desastres, resultados de testes de penetração ou auditorias de Segurança de Dados nos últimos vinte e quatro (24) meses, e (ii) todas as certificações que mantém atualmente e que se aplicam aos sistemas, políticas e procedimentos que regem o Processamento dos Dados Protegidos do Contratante e sistemas na extensão do serviço prestado pelo Contratado e (iii) quaisquer informações de gestão adicionais ou relatórios de auditoria necessários para permitir que o Contratante monitore a adequação, conformidade e desempenho dos serviços prestados, incluindo o acesso a relatórios emitidos por empresas de auditoria independentes contratadas pelo Contratado, quando aplicável.

Alterações no Programa de Segurança. O Contratado fornecerá detalhes sobre quaisquer alterações em seu Programa de Segurança que possam afetar e que sejam relevantes ao Tratamento e  à segurança dos Dados e Sistemas Protegidos do Contratante. O Contratado será totalmente responsável pela confiabilidade, integridade, disponibilidade, segurança e confidencialidade dos serviços prestados, bem como pelo cumprimento de todas as leis e regulamentações aplicáveis. Tais detalhes deverão ser comunicados por escrito ao Contratante com trinta (30) dias de antecedência à entrada em vigor de quaisquer alterações.

Responsável pela Segurança. Cada uma das Partes designará um responsável pela segurança para supervisionar e executar seu Programa de Segurança e para se comunicar com a outra Parte sobre assuntos de segurança da informação (o “Regional Chief Security Officer da Parte”). Mediante solicitação razoável de qualquer uma das Partes, o Regional Chief Security Office da outra Parte ou um representante designado estará disponível para discutir quaisquer assuntos de segurança (por exemplo, vulnerabilidade descoberta, risco exposto, preocupação relatada) com a Parte solicitante e para comunicar o nível de risco associado a tais assuntos e quaisquer medidas corretivas cabíveis. Quaisquer alterações nas informações de contato do Regional Chief Security Office da Parte ou de seus Representantes designados deverão ser comunicadas ao contato da outra Parte em até trinta (30) dias úteis por e-mail ou telefone.

Treinamento. O Contratado fornecerá treinamento adequado sobre seu Programa de Segurança e sobre como responder eficazmente a incidentes de segurança a todos os seus subcontratados e funcionários que estejam envolvidos direta ou indiretamente na prestação de serviços ao Contratante ou que tenham acesso aos Dados e Sistemas Protegidos do Contratante. O treinamento deverá ser ministrado antes que os funcionários do Contratado tenham acesso aos Dados e Sistemas Protegidos do Contratante ou comecem a ter acesso aos dados e sistemas do Contratante. O treinamento deverá ser reforçado regularmente ao longo da vigência do Acordo. O Contratado deverá, ainda, (i) informar aos seus funcionários sobre as possíveis consequências causadas por eventuais violações das políticas e procedimentos de segurança, (ii) aplicar medidas disciplinares, incluindo possível rescisão do contrato de trabalho para os funcionários envolvidos nas infrações, e (iii) rescindir o contrato para Representantes e pessoal temporário, incluindo, entre outros, subcontratados.

Background Checks. A verificação de antecedentes criminais e outros antecedentes é obrigatória para todos os funcionários do Contratado que acessam os Sistemas ou Dados do Contratante, na medida permitida por lei.

Criptografia. O Contratado utilizará algoritmos de criptografia robustos em todos os dispositivos com conexões em redes públicas e nos sistemas ou dados protegidos do Contratante, como TLS 1.2 ou o padrão da indústria vigente na época. O Contratado realizará a criptografia dos Dados Protegidos do Contratante em repouso e em trânsito com um algoritmo AES 256 ou superior.

Controle de Acesso. O Contratado implementará o controle de acesso baseado em funções, seguindo os princípios do menor privilégio e da necessidade de conhecimento para acessar os Dados e Sistemas Protegidos do Contratante. O Contratado exigirá o uso de autenticação multifatorial para todo acesso local ou remoto aos Dados e Sistemas Protegidos do Contratante. Quando um aplicativo de Software como Serviço (SaaS) for oferecido, o aplicativo deverá ter provisionamento automático e gerenciamento automatizado de usuários que atendam aos e estejam em plena conformidade com os padrões atuais do setor,. Todas as atividades da conta privilegiada do Contratado devem ter um registro de auditoria completo habilitado, que vincule cada atividade a um indivíduo específico. O Contratado utilizará um cofre de senhas, gerenciador de senhas, chaveiro seguro ou tecnologia similar para armazenar com segurança senhas e segredos, na medida dos serviços prestados ao Contratante.

Endpoint security Segurança de endpoints. Todos os endpoints ou estações de trabalho do Contratado devem ser protegidos de acordo com um padrão ou linha de base de segurança reconhecido pelo setor, como os fornecidos pelo Center for Internet Security (CIS) ou pelo National Institute of Standards and Technology (NIST). Os endpoints ou estações de trabalho devem estar equipados com uma solução antimalware atualizada e/ou um sistema de Detecção e Resposta de Endpoint (EDR) em qualquer uma de suas variantes (por exemplo, Detecção e Resposta Gerenciadas (MDR), Detecção e Resposta Estendidas (XDR)).

Prevenção contra perda de dados. Todos os endpoints ou estações de trabalho do Contratado devem ter controles implementados para impedir a exfiltração de dados não autorizada (por exemplo, soluções DLP) e as portas USB devem ser desativadas. Os endpoints ou estações de trabalho devem ser restritos para permitir apenas a conexão com os seguintes URLs: [INCLUIR LISTA DE IPs DO SERVIÇO].

Informações sobre endereços IP de entrada permitidos e CIDR. O Contratado fornecerá ao Contratante uma lista detalhada de seus endereços IP de saída ou intervalos CIDR que serão usados ​​pelo Contratado para acessar os sistemas do Contratante. Esses endereços IP de saída serão incluídos na lista de permissões de entrada do Contratante. O Contratado notificará o Contratante em até cinco (5) dias sobre quaisquer alterações em seus endereços IP de saída a serem atualizados na lista de IPs permitidos, garantindo a operação contínua e evitando interrupções.

Segurança física e monitoramento. As instalações do Contratado serão monitoradas continuamente para evitar acessos físicos não autorizados. O Contratado definirá e aplicará corretamente regras de mesa limpa para papéis e mídias de armazenamento removíveis, bem como regras de tela limpa para equipamentos de processamento de informações, na medida do serviço prestado ao Contratante. Não será permitido o uso de telefones celulares nas áreas físicas onde os serviços são prestados ao Contratante.

Resiliência e Continuidade de Negócios. O Contratado desenvolverá, testará e manterá planos adequados de continuidade de negócios, recuperação de desastres e gerenciamento de crises, integrados às suas políticas e procedimentos de gerenciamento de riscos. O Contratado deverá possuir um Plano de Continuidade de Negócios (PCN) documentado, que inclua, no mínimo, funções, responsabilidades e ações para garantir a continuidade dos negócios após quaisquer interrupções e/ou falhas nas funções críticas. O Contratado deverá possuir um Plano de Recuperação de Desastres (PRD) para garantir que os sistemas e dados críticos e sensíveis sejam devidamente copiados e que os processos de recuperação sejam testados regularmente. Ambos os planos devem ser testados regularmente, pelo menos semestralmente.

Limitações operacionais. O Contratado deverá manter o Contratante permanentemente informado sobre quaisquer limitações, incidentes ou circunstâncias que possam afetar a continuidade, a qualidade ou a legalidade dos serviços, ou sua capacidade de cumprir as leis e regulamentos aplicáveis.

Gestão de Vulnerabilidades. Os controles de desenvolvimento de software são obrigatórios para quaisquer Serviços de Software prestados ao Contratante nos termos deste instrumento: (i) análise estática de código durante o desenvolvimento (revisão segura de todo o código-fonte); e (ii) varredura de código aberto e detecção de vulnerabilidades. O Contratado deverá garantir que o software esteja livre de defeitos de segurança materiais (ou seja, sem defeitos críticos ou de alto risco) por meio dos controles acima mencionados e empregar esforços comercialmente razoáveis ​​e contínuos para remediar as vulnerabilidades à medida que forem identificadas, priorizando-as com base no nível de gravidade atribuído a cada uma delas.

Direito à Auditoria. O Contratante realizará, pelo menos anualmente, uma auditoria externa do serviço contratado e dos controles que a terceira parte mantém para garantir a confidencialidade, integridade e disponibilidade das informações do Contratante. A menos que um relatório de auditoria interna ou externa já esteja disponível para a parte que recebe a solicitação, a parte solicitante arcará com todos os custos associados à avaliação, incluindo, entre outros, honorários, despesas e quaisquer outros encargos relacionados incorridos pela entidade que realiza a avaliação.

Avaliação de Integração. O Contratado passará por uma avaliação de segurança de integração que poderá incluir um ou mais dos seguintes itens: (a) relatórios de terceiros (certificado SOC2, ISO 27001, testes de penetração, testes de aplicações web, etc.); (b) um questionário de segurança; (c) varredura não intrusiva utilizando ferramentas padrão do setor de terceiros, desde que o horário, a data e o escopo dessa avaliação tenham sido previamente acordados entre as Partes; e/ou (d) entrevistas com as principais partes interessadas.

Periódicas. As Partes comprometem-se a realizar testes de intrusão periódicos ("Pen Test") em sua rede de perímetro de internet com ferramentas de segurança de rede recomendadas pelo setor para identificar vulnerabilidades de informações. O Contratado fornecerá relatórios resumidos dos testes ao Contratante, à medida que novos relatórios estiverem disponíveis. Se solicitado pelo Contratante, a outra Parte, por sua própria conta, (1) contratará uma empresa terceirizada qualificada e independente para realizar testes de penetração periódicos em seus aplicativos e/ou rede de perímetro de internet com ferramentas de segurança de rede recomendadas pelo setor para identificar vulnerabilidades de informações; (2) e fornecerá evidências da remediação de quaisquer descobertas críticas ou de alto risco.

Medidas Corretivas. Na medida em que os resultados de uma avaliação revelem quaisquer deficiências críticas, fragilidades ou áreas de não conformidade, conforme determinado pelo Contratado a seu exclusivo critério, este tomará prontamente medidas para sanar os problemas. O Contratado fornecerá ao Contratante evidências da correção antes de acessar, coletar, armazenar ou processar quaisquer Dados Protegidos do Contratante. A falha do Contratado em resolver os problemas identificados por meio de quaisquer conclusões da avaliação de segurança, conforme estabelecido acima, poderá ser considerada pelo Contratante como uma violação material deste Acordo e do Contrato de Prestação de Serviços ou de qualquer outro contrato vigente entre as Partes, o que implicará, portanto, a rescisão automática do mesmo e/ou aplicação das penalidades e multas cabíveis.

Descoberta, Investigação e Notificação de Violação. As Partes deverão, sem demora indevida e em no máximo quarenta e oito (48) horas úteis após a confirmação, notificar a outra Parte caso ocorra algum dos seguintes eventos: (a) qualquer incidente ou violação de segurança conhecida ou suspeita que possa impactar negativamente seus respectivos serviços ou os Dados Protegidos do Contratante; (b) descumprimento ou incapacidade, dolosa e intencional, de manter a conformidade substancial com os requisitos deste Contrato e das Leis Aplicáveis.

Cooperação. As Partes deverão responder prontamente a quaisquer solicitações razoáveis ​​de informações, cooperação e assistência em quaisquer investigações, medidas corretivas e esforços de comunicação pós-incidente feitos pela outra parte.

Ações subsequentes à violação. Imediatamente após a descoberta ou notificação de qualquer incidente de segurança da informação, as Partes investigarão e tomarão (i) medidas corretivas para mitigar quaisquer riscos ou danos envolvidos com tal incidente de segurança da informação e para proteger os Sistemas e os Dados Protegidos do Contratante contra qualquer comprometimento adicional e (ii) quaisquer outras ações que possam ser exigidas pela legislação aplicável em razão de tal incidente de segurança da informação.

Comunicação. Exceto quando exigido pelas Leis Aplicáveis ou por obrigações contratuais aplicáveis existentes, as Partes concordam em não informar terceiros sobre quaisquer eventos descritos nesta Seção que façam referência à outra Parte ou a identifiquem, sem o consentimento prévio e por escrito desta. As Partes cooperarão integralmente com as autoridades policiais em relação a qualquer acesso não autorizado aos seus sistemas ou redes, ou aos Dados Protegidos do Contratante. Tal cooperação incluirá a retenção de todas as informações e dados que estejam em posse, custódia ou controle das Partes e que estejam diretamente relacionados a qualquer Incidente de Segurança da Informação. Caso a divulgação seja exigida por lei, as Partes trabalharão em conjunto quanto ao momento, conteúdo e destinatários de tal divulgação. Na medida em que uma Parte for considerada culpada, esta arcará com os custos de reprodução ou quaisquer outras medidas corretivas necessárias para solucionar o incidente ou a violação.

Relatório por escrito. As Partes fornecerão um relatório por escrito de sua investigação interna para: (i) a equipe de Segurança da Informação do Contratante, no endereço [email protected]; ou (ii) ao Contratado, no ponto de contato designado por ele no contrato principal, dentro de cinco (5) dias úteis após a descoberta de qualquer Incidente de Segurança da Informação. Tal relatório incluirá, entre outros, um plano de ação corretiva completo e detalhado, incluindo informações sobre as medidas tomadas pela Parte aplicável para interromper e/ou conter o Incidente de Segurança da Informação.

Auditoria após um incidente. Após um incidente de segurança da informação, o Contratante poderá, a seu exclusivo critério, (i) suspender ou encerrar qualquer acesso aos Dados Protegidos do Contratante e (ii) realizar uma auditoria de segurança dos Sistemas do Contratado. A menos que haja total clareza sobre a responsabilidade pelo incidente, caso em que a parte responsável arcará com os custos, caso contrário, a parte solicitante arcará com todos os custos associados à avaliação, incluindo, entre outros, taxas, despesas e quaisquer outros encargos relacionados incorridos pela entidade que realiza a avaliação.

Terceiros. Salvo autorização expressa e acordada por escrito entre as Partes, ou em conformidade com as normas aplicáveis ​​ou ordens judiciais de uma autoridade competente, as Partes não deverão fornecer ou permitir o acesso aos Dados Protegidos do Contratante a terceiros. As Partes deverão realizar avaliações de risco e revisões de todos os terceiros com acesso aos Dados Protegidos do Contratante pelo menos uma vez por ano e fornecer resumos dos resultados uma à outra, mediante solicitação. As Partes serão responsáveis ​​por garantir que todos os terceiros estejam em plena conformidade com este Contrato. As Partes disponibilizarão cópias dos contratos com terceiros à outra Parte para inspeção, mediante solicitação.

Transferência e Exclusão de Dados em Caso de Rescisão: Em caso de rescisão ou expiração deste Acordo, o Contratado deverá automaticamente: (a) transferir todos os dados relacionados aos serviços prestados sob este Contrato para o Contratante ou para um novo prestador de serviços designado pelo Contratante, garantindo a integridade, confidencialidade e disponibilidade dos dados durante a transferência; e (b) após a confirmação da transferência bem-sucedida, o Prestador de Serviços deverá excluir permanentemente todos os dados do Contratante de seus sistemas e fornecer uma certificação por escrito dessa exclusão. O Contratado deverá fornecer um certificado de exclusão por escrito ao Contratante assim que esse processo for concluído. (c) Em caso de ausência de instrução expressa do Contratante sobre a destinação final dos dados pessoais no prazo de noventa (90) dias a contar da data efetiva de rescisão ou expiração, o Contratado deverá, findo este prazo, proceder à exclusão permanente de todos os dados do Contratante de seus sistemas, com exceção daqueles cuja retenção seja obrigatória por lei ou regulamento (Art. 16 da LGPD).