Adendo sobre o processamento de dados do cliente do Couchbase Capella Cloud

Este Adendo de Processamento de Dados (este "DPA") faz parte do Contrato de Serviço Principal do Capella ou de outro contrato entre o Cliente e a Couchbase que rege o uso do Serviço em Nuvem pelo Cliente ("Acordo"), entre a Couchbase, Inc. ("Couchbase") e a parte identificada como "Cliente" no Contrato ("Cliente") (cada um deles um "Festa" e, juntos, o "Partes"). A data de vigência deste DPA é a data de vigência do Contrato ou, se executado separadamente, a data da última assinatura deste DPA ("Data de vigência").

Este DPA descreve os compromissos das Partes com relação ao processamento de Dados Pessoais em conexão com o uso do Serviço em Nuvem pelo Cliente. Qualquer termo em letra maiúscula não definido neste DPA terá o significado que lhe é atribuído no Contrato.

Este Contrato foi atualizado pela última vez em 07 de maio de 2024.

As Partes concordam com o seguinte:

1. Definições. Os seguintes termos em letras maiúsculas, quando usados neste DPA, terão os significados correspondentes fornecidos abaixo:

1. "Leis de proteção de dados aplicáveis" significa todas as leis, regulamentos, regras, portarias e outros decretos mundiais de privacidade e proteção de dados aplicáveis aos Dados Pessoais, incluindo (mas não se limitando a): (i) Leis Europeias de Proteção de Dados; e (ii) todas as leis e regulamentos dos Estados Unidos, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018 (Código Civil da Califórnia §§ 1798.100 et seq ("CCPA"); conforme possa ser emendada, substituída ou suplantada.

2. “Dados do cliente" significa quaisquer Dados Pessoais processados pela Couchbase em nome do Cliente como um provedor de serviços ou processador (conforme aplicável) em conexão com o Serviço em Nuvem, conforme descrito mais especificamente no Anexo A deste DPA.

3. "EEE" significa os Estados-Membros da União Europeia, além da Islândia, Liechtenstein e Noruega.

4. “Leis europeias de proteção de dados" significa: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) ("GDPR"); (ii) Diretiva 2002/58/EC relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas ("Diretiva de privacidade eletrônica"); (iii) quaisquer implementações nacionais aplicáveis de (i) e (ii); (iv) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Portaria ("FDPA suíço"); e (v) em relação ao Reino Unido, a Lei de Proteção de Dados de 2018 e qualquer legislação nacional aplicável que substitua ou converta em lei nacional o GDPR, a Diretiva de Privacidade Eletrônica ou qualquer outra lei relacionada a dados e privacidade como consequência da saída do Reino Unido da União Europeia (coletivamente, "Leis de proteção de dados do Reino Unido"); em cada caso, conforme possa ser emendado, substituído ou suplantado.

5. “Cláusulas modelo" significa, dependendo das circunstâncias exclusivas do Cliente, qualquer uma das seguintes opções: (i) as cláusulas contratuais padrão para processadores, conforme aprovadas pela Comissão Europeia de acordo com sua decisão 2021/914 (o "Cláusulas contratuais padrão de 2021"), e (ii) o Adendo de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE, Versão B1.0, em vigor a partir de 21 de março de 2022, ("IDTA DO REINO UNIDO"), cada uma delas denominada alternativamente como Cláusulas Contratuais Padrão, incorporadas por referência e fazendo parte deste DPA.

6. "Dados pessoais" significa qualquer informação relacionada a uma pessoa física identificada ou identificável e que seja protegida como "dados pessoais", "informações pessoais" ou "informações pessoalmente identificáveis" de acordo com as Leis de Proteção de Dados Aplicáveis.

7. "Incidente de segurançaIncidente de Segurança" significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente transmitidos, armazenados ou de outra forma processados pela Couchbase e/ou seus Subprocessadores em conexão com a prestação do Serviço em Nuvem. As Partes reconhecem e concordam que "Incidente de Segurança" não deve incluir tentativas ou atividades malsucedidas que não comprometam a segurança dos Dados do Cliente, incluindo tentativas malsucedidas de login, pings, varreduras de porta, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas em rede.

8. “Subprocessador" significa qualquer processador contratado pela Couchbase ou suas Afiliadas para auxiliar no cumprimento de suas obrigações com relação ao fornecimento do Serviço de Nuvem de acordo com o Contrato ou este DPA. Os subprocessadores podem incluir terceiros ou Afiliadas da Couchbase, mas excluirão qualquer funcionário, contratado ou consultor da Couchbase.

9. Os termos "controlador", "processador" e "processamento" terão os significados que lhes são atribuídos no GDPR, e "processo", "processos" e "processado" devem ser interpretados da mesma forma; e os termos "negócios", "provedor de serviços" e "vender" terão os significados que lhes são atribuídos na CCPA.

2. Função e escopo do processamento

1. Escopo. Sujeito à Seção 2(b), este DPA se aplica na medida em que a Couchbase processa como processador ou provedor de serviços (conforme aplicável) quaisquer Dados do Cliente protegidos pelas Leis de Proteção de Dados Aplicáveis.

2. Papel das partes. As partes reconhecem e concordam que o Cliente é o negócio, controlador ou processador relevante (conforme aplicável) dos Dados do Cliente, e a Couchbase é um provedor de serviços, processador ou subprocessador (conforme aplicável) em nome do Cliente, conforme descrito em mais detalhes no Anexo A deste DPA. Para evitar dúvidas, as partes reconhecem que a Couchbase pode ser o negócio ou controlador relevante com relação a outros Dados Pessoais, como Dados Pessoais incluídos em quaisquer dados de uso técnico que a Couchbase colete em conexão com o Serviço em Nuvem. Cada Parte cumprirá todas as leis, regras e regulamentos aplicáveis a ela e vinculados a ela na execução deste DPA, incluindo quaisquer Leis de Proteção de Dados Aplicáveis.

3. Processamento de dados pessoais pelo Couchbase. A Couchbase concorda que processará os Dados do Cliente somente para os fins descritos neste DPA e de acordo com as instruções legais documentadas do Cliente. As partes concordam que o Contrato (incluindo este DPA) estabelece as instruções completas e finais do Cliente para a Couchbase em relação ao processamento dos Dados do Cliente e o processamento fora do escopo dessas instruções (se houver) exigirá um acordo prévio por escrito entre o Cliente e a Couchbase. Sem prejuízo da Seção 2(d) (Responsabilidades do Cliente), a Couchbase notificará o Cliente por escrito, a menos que seja proibida de fazê-lo de acordo com as Leis de Proteção de Dados Aplicáveis, e poderá suspender o processamento dos Dados do Cliente, caso tome conhecimento ou acredite que quaisquer instruções de processamento de dados do Cliente violem as Leis de Proteção de Dados Aplicáveis.

4. Responsabilidades do cliente. O Cliente é responsável pela legalidade do processamento de Dados do Cliente sob ou em conexão com o Contrato. O Cliente declara e garante que (i) forneceu, e continuará a fornecer, todos os avisos e obteve, e continuará a obter, todos os consentimentos, permissões e direitos necessários sob as Leis de Proteção de Dados Aplicáveis para que a Couchbase processe legalmente os Dados do Cliente para os fins contemplados pelo Contrato (incluindo este DPA); (ii) cumpriu todas as Leis de Proteção de Dados Aplicáveis como um controlador e/ou negócio com relação aos Dados do Cliente para a coleta e fornecimento à Couchbase e seus Subprocessadores de tais Dados do Cliente; e (iii) garantirá que suas instruções de processamento cumpram as leis aplicáveis (incluindo as Leis de Proteção de Dados Aplicáveis) e que o processamento dos Dados do Cliente pela Couchbase de acordo com as instruções do Cliente não fará com que a Couchbase viole as Leis de Proteção de Dados Aplicáveis.

5. Dados agregados. Para evitar dúvidas, o Cliente reconhece que a Couchbase e suas Afiliadas terão o direito de coletar e criar informações anônimas, agregadas e/ou desidentificadas (conforme definido pelas Leis de Proteção de Dados Aplicáveis) para seus próprios fins comerciais legítimos.

3. Subprocessamento

1. Subprocessadores autorizados. O Cliente reconhece e concorda que a Couchbase pode contratar Subprocessadores para processar os Dados do Cliente em nome do Cliente. Os Subprocessadores atualmente contratados pela Couchbase e autorizados pelo Cliente estão listados no site da Couchbase (atualmente publicado em https://info.couchbase.com/cloud-subprocessors.html). Pelo menos 15 (quinze) dias antes de qualquer adição de um novo subprocessador, a Couchbase atualizará o site aplicável e fornecerá ao Cliente um aviso dessa atualização por meio do mecanismo fornecido no site da Couchbase, exceto se a Couchbase acreditar razoavelmente que a contratação de um novo Subprocessador em uma base acelerada é necessária para proteger a confidencialidade, integridade ou disponibilidade dos Dados do Cliente ou evitar a interrupção material do Serviço em Nuvem, a Couchbase fornecerá esse aviso assim que for razoavelmente praticável.

2. Obrigações do subprocessador. Na medida exigida pela Lei de Proteção de Dados Aplicável, a Couchbase irá: (i) celebrará um contrato por escrito com cada Subprocessador impondo termos de proteção de dados não menos protetores dos Dados do Cliente do que as obrigações da Couchbase nos termos deste DPA, na medida aplicável aos serviços prestados por cada Subprocessador; e (ii) permanecerá responsável por sua conformidade com as obrigações deste DPA e por quaisquer atos ou omissões do Subprocessador que façam com que a Couchbase viole qualquer uma de suas obrigações nos termos deste DPA.

3. Objeções a subprocessadores. O Cliente pode se opor por escrito à nomeação de um novo Subprocessador pela Couchbase por motivos razoáveis relacionados à proteção de dados, notificando a Couchbase prontamente por escrito dentro de dez (10) dias corridos do recebimento da notificação da Couchbase de acordo com a Seção 3(a) acima. Tal notificação deverá explicar os motivos razoáveis para a objeção e as partes deverão discutir tais preocupações de boa fé com o objetivo de alcançar uma resolução comercialmente razoável. Se tal resolução não puder ser alcançada, a Couchbase, a seu exclusivo critério, não nomeará tal Subprocessador ou permitirá que o Cliente suspenda ou rescinda a parte afetada do Serviço em Nuvem de acordo com as disposições de rescisão no Contrato. A Couchbase reembolsará ao Cliente quaisquer taxas pré-pagas não utilizadas para tal parte afetada do Serviço em Nuvem após a data efetiva da rescisão. A menos que uma objeção seja feita conforme estabelecido nesta Seção 3(c), o Cliente consente com o uso de Subprocessadores pela Couchbase, conforme descrito neste DPA.

4. Segurança e auditorias

1. Medidas de segurança. O Couchbase implementará e manterá medidas de segurança técnicas e organizacionais apropriadas projetadas para proteger os Dados do Cliente em seu controle contra Incidentes de Segurança e para preservar a segurança e a confidencialidade dos Dados do Cliente, levando em consideração o estado da arte e as melhores práticas do setor, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento ("Medidas de segurança"). Tais Medidas de Segurança incluirão, no mínimo, as medidas descritas no Anexo B deste DPA. A Couchbase garantirá que qualquer pessoa autorizada pela Couchbase a processar os Dados do Cliente sob este DPA estará sob uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).

2. Atualizações das medidas de segurança. O Cliente reconhece que as Medidas de Segurança estão sujeitas a progresso e desenvolvimento técnico e que a Couchbase poderá atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral do Serviço em Nuvem adquirido pelo Cliente.

3. Responsabilidades de segurança do cliente. O Cliente deverá implementar e manter medidas de segurança técnicas e organizacionais apropriadas projetadas para proteger contra Incidentes de Segurança e preservar a segurança e a confidencialidade dos Dados do Cliente sob seu controle. O Cliente é responsável por (i) proteger a segurança de todas as credenciais do Cliente usadas para acessar o Serviço em Nuvem; (ii) proteger o Ambiente de Nuvem do Cliente e qualquer Sistema do Cliente (com essas medidas incluindo, sem limitação, a rotação regular de chaves de acesso e outras medidas padrão do setor para impedir o acesso não autorizado); (iii) fazer backup e proteger os Dados do Cliente sob o controle do Cliente no Ambiente de Nuvem do Cliente ou em outro sistema controlado pelo Cliente; e (iv) revisar as informações disponibilizadas pela Couchbase relacionadas à segurança e à privacidade dos dados e fazer uma determinação independente sobre se o Serviço de Nuvem atende aos requisitos do Cliente e às obrigações legais sob a Lei de Proteção de Dados Aplicável.

4. Resposta a incidentes de segurança. Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, ao tomar conhecimento de um Incidente de Segurança, a Couchbase notificará o Cliente sem atraso indevido por meio dos Serviços de Nuvem e deverá: (i) incluir em tal notificação ao Cliente informações oportunas relacionadas ao Incidente de Segurança à medida que se tornarem conhecidas, conforme for razoavelmente solicitado pelo Cliente para auxiliar o Cliente em relação a quaisquer notificações de violação de dados pessoais exigidas sob as Leis de Proteção de Dados Aplicáveis, levando em consideração a natureza do Serviço de Nuvem, as informações disponíveis para a Couchbase e quaisquer restrições sobre a divulgação das informações, como obrigações de confidencialidade; e (ii) prontamente tomar medidas, consideradas necessárias e razoáveis pela Couchbase, para conter, investigar e remediar qualquer Incidente de Segurança, na medida em que a remediação esteja dentro do controle razoável da Couchbase. A notificação ou resposta da Couchbase a um Incidente de Segurança sob esta Seção 4(d) não deve ser interpretada como um reconhecimento pela Couchbase de qualquer falha ou responsabilidade com relação ao Incidente de Segurança. As obrigações estabelecidas neste documento não se aplicarão a Incidentes de Segurança na medida em que forem causados pelo Cliente ou seus Usuários Autorizados.

5. Auditorias de segurança. A Couchbase fornecerá respostas por escrito (em uma base confidencial) a todas as solicitações razoáveis por escrito de informações feitas pelo Cliente relacionadas ao processamento de Dados do Cliente pela Couchbase, incluindo respostas a questionários de segurança da informação e auditoria que são necessários para confirmar a conformidade da Couchbase com este DPA, desde que o Cliente não exerça esse direito mais de uma vez em qualquer período de 12 (doze) meses. Não obstante o acima exposto, o Cliente também poderá exercer esse direito de auditoria caso o Cliente seja expressamente solicitado ou obrigado a fornecer essas informações a uma autoridade de proteção de dados, ou a Couchbase tenha sofrido um Incidente de Segurança, ou em outra base razoavelmente semelhante.

5. Transferências internacionais

1. Locais de processamento. O Serviço de Nuvem é projetado para permitir que o Cliente determine o Ambiente de Nuvem e a região geográfica na qual a(s) instância(s) do banco de dados do Cliente será(ão) implantada(s), conforme descrito em mais detalhes na Documentação. O Cliente reconhece e concorda que, como parte do fornecimento de um Serviço em Nuvem gerenciado, a Couchbase poderá transferir Dados do Cliente para locais onde a Couchbase, suas Afiliadas ou seus Subprocessadores mantêm operações de processamento de dados. A Couchbase deverá sempre garantir que tais transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados Aplicáveis e deste DPA.

6. Mecanismos de transferência.

1. Estrutura de privacidade de dados. O Couchbase participa e certifica a conformidade com a Estrutura de Privacidade de Dados UE-EUA, a Extensão do Reino Unido para a Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA (coletivamente, a "Estrutura de Privacidade de Dados"). Conforme exigido pela Estrutura de Privacidade de Dados, a Couchbase (i) fornecerá pelo menos o mesmo nível de proteção de privacidade aos Dados do Cliente que é exigido pelos Princípios e Princípios Suplementares na Estrutura de Privacidade de Dados relevante (os "Princípios"), (ii) notificará o Cliente se a Couchbase determinar que não pode mais cumprir sua obrigação de fornecer o mesmo nível de proteção que é exigido pela Estrutura de Privacidade de Dados, incluindo os Princípios, e (iii) mediante notificação, tomará medidas razoáveis e apropriadas para remediar o processamento não autorizado dos Dados do Cliente.

2. Transferências regidas pelas leis europeias de proteção de dados. Na medida em que a Couchbase processa (ou faz com que sejam processados) quaisquer dados pessoais protegidos pelas Leis de Proteção de Dados Europeias em um terceiro país não reconhecido como fornecendo proteção adequada para dados pessoais (conforme descrito nas Leis de Proteção de Dados Europeias), então os termos e condições do Anexo C (Transferências de Dados) serão aplicados e o Cliente (como exportador de dados) será considerado como tendo celebrado as Cláusulas Modelo com a Couchbase (como importador de dados) e a Couchbase concorda em cumprir e processar tais Dados do Cliente em conformidade com as Cláusulas Modelo, que são incorporadas na íntegra por referência e formam parte integrante deste DPA. Para os fins das descrições nas Cláusulas Modelo: (A) a Couchbase concorda que é um "importador de dados" e o Cliente é o "exportador de dados" (não obstante o fato de que o próprio Cliente pode ser uma entidade localizada fora do EEE ou do Reino Unido); (B) o Anexo A e o Anexo B deste DPA substituirão o Apêndice 1 e o Apêndice 2 das Cláusulas Modelo. Não é a intenção de nenhuma das partes, nem o efeito deste ATD, contradizer ou restringir nenhuma das disposições estabelecidas nas Cláusulas Modelo. Dessa forma, se e na medida em que as Cláusulas Modelo entrarem em conflito com qualquer disposição deste DPA, as Cláusulas Modelo prevalecerão na medida de tal conflito. As Cláusulas Modelo não se aplicarão aos Dados do Cliente que não forem transferidos, seja diretamente ou por meio de transferência subsequente, para fora do EEE ou do Reino Unido. Se e na medida em que a Couchbase adotar uma solução alternativa de exportação de dados para a transferência de Dados do Cliente, conforme prescrito pelas Leis de Proteção de Dados Europeias aplicáveis ("Mecanismo de Transferência Alternativo"), o Mecanismo de Transferência Alternativo deverá ser aplicado (mas somente na medida em que tal Mecanismo de Transferência Alternativo se aplique à transferência).

3. Requisitos adicionais de transferência. Se, a qualquer momento, as Leis de Proteção de Dados Aplicáveis exigirem que outras medidas sejam tomadas para permitir a transferência de Dados do Cliente, conforme estabelecido neste DPA (incluindo, sem limitação, a execução ou reexecução das Cláusulas Contratuais Padrão de 2021 ou IDTA do Reino Unido como um documento separado e/ou a celebração de cláusulas adicionais de transferência transfronteiriça), e/ou os mecanismos de transferência neste DPA forem alterados, substituídos, revogados ou de outra forma encerrados sob a Lei de Proteção de Dados Aplicável, então o Cliente e a Couchbase concordam em trabalhar juntos de boa fé para tomar todas as medidas razoavelmente necessárias para permitir uma transferência em conformidade com as Leis de Proteção de Dados Aplicáveis. Além disso, na medida exigida pela Lei de Proteção de Dados Aplicável, a Couchbase fornecerá informações razoavelmente solicitadas sobre o processamento de dados pessoais sob o Contrato para permitir que o Cliente realize avaliações de impacto de proteção de dados ou consultas prévias com autoridades de supervisão.

7. Exclusão de dados do cliente

1. O Serviço em Nuvem fornecerá ao Cliente controles que ele poderá usar para excluir ou recuperar os Dados do Cliente durante o período de vigência, de maneira consistente com a funcionalidade do Serviço em Nuvem.

2. O Cliente, por meio deste instrumento, autoriza a Couchbase, após a rescisão ou expiração do Contrato, ou em caso de rescisão ou suspensão do Serviço de Nuvem de acordo com o Contrato, a excluir todos os Dados do Cliente (incluindo cópias) em sua posse ou controle, de acordo com o Contrato, salvo que esse requisito não se aplique na medida em que a Couchbase seja obrigada pela lei aplicável a reter alguns ou todos os Dados do Cliente.

8. Direitos dos indivíduos e cooperação

1. Solicitações do titular dos dados. O Serviço em Nuvem fornece ao Cliente uma série de controles, incluindo recursos e funcionalidades de segurança, que o Cliente pode usar para recuperar, corrigir, excluir ou restringir os Dados do Cliente, conforme descrito em qualquer documentação aplicável ao Serviço em Nuvem. Sem prejuízo da Seção 4(a), o Cliente poderá usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em relação às suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis, incluindo suas obrigações relacionadas à resposta a solicitações de titulares de dados. Na medida em que o Cliente não puder acessar de forma independente os Dados do Cliente relevantes dentro do Serviço de Nuvem, a Couchbase deverá, levando em conta a natureza do processamento, fornecer cooperação razoável para ajudar o Cliente a responder a quaisquer solicitações de indivíduos ou autoridades de proteção de dados aplicáveis relacionadas ao processamento dos Dados do Cliente nos termos do Contrato. No caso de qualquer solicitação que identifique o Cliente ser feita diretamente à Couchbase, a Couchbase não responderá a tal comunicação diretamente sem a autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. Se a Couchbase for obrigada a responder a tal solicitação, a Couchbase notificará prontamente o Cliente e fornecerá uma cópia da solicitação, a menos que seja legalmente proibida de fazê-lo.

2. Intimações e ordens judiciais. Se uma agência de aplicação da lei enviar à Couchbase uma demanda por Dados do Cliente (por exemplo, por meio de uma intimação ou ordem judicial), a Couchbase dará ao Cliente uma notificação razoável da demanda para permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado, a menos que a Couchbase seja legalmente proibida de fazê-lo.

9. Termos específicos da jurisdição

1. Califórnia. Na medida em que os Dados do Cliente estiverem sujeitos à CCPA, as partes concordam que o Cliente é uma empresa e que ele nomeia a Couchbase como seu provedor de serviços (conforme definido na CCPA) para processar os Dados do Cliente conforme permitido pelo Contrato (incluindo este DPA) e a CCPA, ou para fins acordados por escrito (coletivamente, o "Objetivos permitidos"). O Cliente e o Couchbase concordam que: (i) a Couchbase não reterá, usará ou divulgará informações pessoais para qualquer finalidade que não seja as Finalidades Permitidas; (ii) os Dados do Cliente não foram vendidos à Couchbase e a Couchbase não "venderá" informações pessoais (conforme definido pela CCPA); (iii) a Couchbase não deverá reter, usar ou divulgar informações pessoais fora do relacionamento comercial direto entre o Cliente e a Couchbase; e (iv) combinar os Dados do Cliente com informações pessoais (conforme definido na CCPA) que a Couchbase tenha recebido de outra fonte, exceto conforme permitido pela CCPA. As partes concordam que a Couchbase poderá desidentificar ou agregar informações pessoais no decorrer do fornecimento do Serviço em Nuvem. A Couchbase certifica que entende as restrições estabelecidas nesta Seção 9(a) e as cumprirá. A Couchbase notificará o Cliente se determinar que não pode mais cumprir com as obrigações sob esta Seção 9(a) como um provedor de serviços sob a CCPA.

10. Limitação de responsabilidade

1. A responsabilidade de cada Parte e de todas as suas Afiliadas, consideradas em conjunto, decorrentes ou relacionadas a este DPA (incluindo as Cláusulas Modelo), seja em contrato, ato ilícito (incluindo negligência) ou sob qualquer outra teoria de responsabilidade, estará sujeita às limitações e exclusões de responsabilidade no Contrato, e qualquer referência em disposições à responsabilidade de uma parte significa a responsabilidade agregada dessa parte e de todas as suas Afiliadas sob e em conexão com o Contrato e este DPA em conjunto.

2. Exceto quando as Leis de Proteção de Dados Aplicáveis exigirem que um Afiliado do Cliente exerça um direito ou busque qualquer recurso sob este DPA contra a Couchbase diretamente por si só, as partes concordam que (i) somente a entidade do Cliente que é a parte contratante do Contrato exercerá qualquer direito ou buscará qualquer recurso que qualquer Afiliado do Cliente possa ter sob este DPA em nome de seus Afiliados, e (ii) o Cliente que é a parte contratante do Contrato exercerá tais direitos sob este DPA não separadamente para cada Afiliado individualmente, mas de maneira combinada para todos os seus Afiliados juntos.

11. Diversos

1. No caso de qualquer conflito entre este ATD e o Contrato, as partes concordam que os termos deste ATD prevalecerão, desde que, se e na medida em que houver qualquer conflito entre as Cláusulas Contratuais Padrão e quaisquer outros termos deste ATD, as disposições das Cláusulas Contratuais Padrão prevalecerão com relação ao processamento regido pelas Cláusulas Contratuais Padrão. Além disso, se houver algum conflito entre este DPA e um Acordo de Associado Comercial celebrado entre as partes (um "BAA"), as disposições do BAA prevalecerão com relação a qualquer PHI (conforme definido em tal BAA).

2. As partes concordam em tentar, de boa-fé, resolver qualquer litígio decorrente ou relacionado a este DPA, antes e como condição prévia para o início de processos judiciais de qualquer tipo. Toda e qualquer negociação de acordo com esta Seção 11(b) é confidencial e será tratada como negociações de compromisso e acordo para fins das regras de evidência aplicáveis.

3. Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.

4. Este DPA pode ser assinado em contrapartes, cada uma das quais será considerada um original, mas todas juntas constituirão um único e mesmo instrumento.

5. Se qualquer disposição ou disposição parcial deste DPA for ou se tornar inválida, ilegal ou inexequível, ela será considerada excluída, mas isso não afetará a validade e a exequibilidade do restante do DPA.

6. Este DPA será regido e interpretado de acordo com a lei aplicável e as disposições de jurisdição do Contrato, a menos que exigido de outra forma pelas Leis Europeias de Proteção de Dados.

Este Anexo A faz parte do DPA e descreve o processamento que a Couchbase realizará nos Dados do Cliente como processador ou subprocessador em nome do Cliente como controlador ou processador, conforme aplicável.
Dados do cliente
Duração
A duração do processamento de dados sob este DPA é até a rescisão do Contrato, de acordo com seus termos, mais o período a partir da expiração do Contrato até a exclusão dos dados pessoais pela Couchbase, de acordo com os termos do Contrato (incluindo este DPA).

Categorias de dados
Os dados pessoais a serem processados referem-se às seguintes categorias de dados (especifique):

• Dados pessoais no conteúdo do cliente ou no conteúdo de suporte: Dados pessoais incluídos no conteúdo ou nos dados fornecidos por ou em nome do Cliente ou dos Usuários Autorizados por ou através do Serviço em Nuvem.

Categorias especiais de dados (se apropriado)
As partes não pretendem que nenhum dado de categoria especial seja processado nos termos do Contrato.

Titulares dos dados
Os dados pessoais a serem processados dizem respeito às seguintes categorias de titulares de dados (especifique):

• Os titulares de dados incluem indivíduos sobre os quais os dados são fornecidos à Couchbase por meio do Serviço em Nuvem por ou sob a direção do Cliente, incluindo Usuários Autorizados. Os sujeitos dos dados podem incluir clientes, funcionários, fornecedores e usuários finais do Cliente.

Operações de processamento
Os dados pessoais estarão sujeitos às seguintes atividades básicas de processamento (especifique):

• processamento para fornecer o Serviço em Nuvem de acordo com o Contrato;

• processamento para executar quaisquer etapas necessárias para a execução do Contrato;

• processamento iniciado pelo Cliente em seu uso do Serviço em Nuvem; e

• processamento para cumprir outras instruções razoáveis fornecidas pelo Cliente (por exemplo, por e-mail ou tíquetes de suporte) que sejam consistentes com os termos do Contrato.

Frequência
Os dados pessoais podem ser transferidos continuamente.

Este Anexo descreve as Medidas de Segurança do Couchbase. O Cliente reconhece que o Serviço em Nuvem opera de acordo com um modelo de responsabilidade compartilhada, que exige, entre outras coisas, que o Cliente tome certas medidas, como proteger a segurança do Conteúdo do Cliente (que permanece armazenado no ambiente do Cliente sob o controle do Cliente). Se e na medida em que a Couchbase processar os Dados do Cliente em nome do Cliente em conexão com o Serviço em Nuvem, a Couchbase deverá implementar e manter as seguintes Medidas de Segurança:

Medidas de criptografia de dados

• Todos os dados do cliente são criptografados em trânsito usando TLS 1.2 (ou superior) e criptografados em repouso usando criptografia AES-256.

• Os laptops dos funcionários são criptografados usando a criptografia AES-256 de disco completo.

• Todas as credenciais são criptografadas em trânsito usando TLS 1.2 (ou superior) e criptografadas em repouso.

• As chaves de criptografia são rotacionadas anualmente e são armazenadas e gerenciadas pelo provedor de serviços em nuvem selecionado pelo Cliente.

Medidas de disponibilidade e capacidade de recuperação

• A Couchbase mantém planos e procedimentos de Recuperação de Desastres e Continuidade de Negócios que são projetados para garantir razoavelmente a disponibilidade do Serviço em Nuvem.

• Anualmente, os planos de recuperação de desastres do plano de controle da Capella são testados, revisados e atualizados conforme necessário para atingir o objetivo de tempo de recuperação de serviço e o objetivo de ponto de recuperação de dados definidos pelo Couchbase.

• A oferta do Couchbase Capella é implantada em data centers distribuídos geograficamente e operados por provedores de serviços de nuvem pública reconhecidos pelo setor, como Amazon (AWS), Microsoft (Azure) e Google (GCP) (conforme aplicável).

• A redundância é incorporada à infraestrutura do sistema que dá suporte à oferta do Couchbase Capella. No caso de falha de um sistema primário, a infraestrutura redundante em outra zona de disponibilidade é configurada para tomar seu lugar.

• Os backups são armazenados em ambientes controlados dentro da infraestrutura de nuvem. O acesso lógico aos dados de backup é restrito ao pessoal apropriado e é armazenado em um storage de alta disponibilidade.

• Anualmente, é realizado um teste de restauração de backup em que a equipe de operações restaura um backup a partir de um instantâneo para garantir que os dados possam ser recuperados no caso de um incidente.

Medidas de segurança organizacional

• A Couchbase estabeleceu um Sistema de Gerenciamento de Segurança da Informação (ISMS) formal para proteger a confidencialidade, a integridade e a disponibilidade da oferta e dos sistemas de informação do Couchbase Capella e para garantir a eficácia dos controles de segurança sobre os dados e os sistemas de informação.

• O Couchbase tem uma metodologia definida para categorizar os dados em níveis de sensibilidade, com base na qual são selecionados e implementados controles de proteção técnicos e processuais adequados.

• Os funcionários são obrigados a se submeter a treinamentos sobre Antissuborno e Corrupção, Ética e Código de Conduta, Negociação de Informações Privilegiadas, Privacidade Global de Dados e Treinamento Anual de Conscientização sobre Segurança.

• Os funcionários são obrigados a assinar acordos de não divulgação e confidencialidade no momento da contratação.

• Políticas e procedimentos formais estão em vigor para as atividades de integração e desligamento de funcionários. Os processos de provisionamento e desprovisionamento de contas são definidos e implementados.

• O acesso do funcionário é removido após a rescisão ou ajustado conforme necessário como resultado da mudança de função.

• A autenticação multifatorial (MFA) é aplicada para acesso a recursos críticos e de produção.

• Os requisitos de complexidade de senha são aplicados.

• A segregação de responsabilidades e funções é implementada para reduzir as oportunidades de modificação não autorizada ou não intencional ou de uso indevido.

• O Couchbase mantém acordos de não divulgação assinados com terceiros.

• As redes do Couchbase são segregadas com base em níveis de confiança e protegidas por firewalls.

• O Couchbase tem um processo definido para identificação, priorização e correção de vulnerabilidades, inclusive internamente por meio de testes e varredura contínua.

Medidas de registro e monitoramento

• O registro de atividades do usuário, exceções, falhas e eventos de segurança da informação está ativado. Os registros são mantidos, conforme necessário.

• Todos os logs podem ser acessados apenas por funcionários autorizados da Couchbase, e há controles de acesso para impedir o acesso não autorizado.

• O acesso de gravação aos dados de registro é estritamente proibido. Os recursos de registro e as informações de registro são protegidos contra adulteração e acesso não autorizado por meio do uso de controles de acesso e medidas de segurança.

• O Couchbase tem várias medidas de monitoramento em vigor para gerar alertas de segurança e identificar atividades irregulares.

• A equipe de operações do Couchbase Capella analisa regularmente os alertas de segurança e sua configuração subjacente para garantir que estejam operando conforme o esperado e que os controles sejam modificados conforme as condições mudam.

• O Couchbase tem um plano documentado de gerenciamento de incidentes e resposta a violações de dados que inclui procedimentos para detecção, investigação, notificação e correção de violações.

• A Couchbase contrata prestadores de serviços terceirizados independentes para testes anuais de penetração e corrige adequadamente os resultados desses testes de acordo com os SLAs definidos internamente.

Medidas de controle de acesso

• O Couchbase implementa as práticas recomendadas de segurança e usa uma arquitetura de segurança baseada em funções nas camadas de banco de dados, rede e aplicativos, além de seguir rigorosamente os princípios de privilégio mínimo ao conceder acesso aos principais sistemas.

• A autenticação multifatorial (MFA) é aplicada para acesso a recursos críticos e de produção.

• Os requisitos de complexidade de senha são aplicados.

• O Couchbase definiu funções e cargos para dar suporte à segregação adequada de tarefas.

• O acesso a ambientes operacionais, de produção e de recuperação de desastres é protegido pelo uso de contas de usuário exclusivas, senhas fortes, uso de autenticação multifator (MFA), acesso baseado em função e princípio de privilégios mínimos.

• As chaves de acesso usadas pelos aplicativos de produção do Couchbase (por exemplo, chaves de acesso do AWS) são acessíveis somente ao pessoal autorizado. Elas são rotacionadas (alteradas) conforme necessário (por exemplo, de acordo com um aviso de segurança ou saída de pessoal) e pelo menos anualmente.

• A atividade do usuário em ambientes operacionais, incluindo acesso, modificação ou exclusão de dados, é registrada.

• As solicitações de autorização e o provisionamento são registrados, rastreados e auditados.

• São implantados firewalls de aplicativos da Web (WAF), além dos firewalls baseados em rede.

• Os controles de gerenciamento de dispositivos móveis estão em vigor.

Medidas de segurança física

• A oferta do Couchbase Capella é implantada em data centers distribuídos geograficamente e operados por provedores de serviços de nuvem pública reconhecidos pelo setor, como Amazon (AWS), Microsoft (Azure) e Google (GCP) (conforme aplicável).

• O acesso físico a todas as instalações que contêm dados confidenciais é restrito e gerenciado.

• Todas as instalações de recursos de informação (por exemplo, armários de rede e depósitos) são fisicamente protegidas proporcionalmente à criticidade ou à importância de sua função.

• O acesso às instalações de recursos de informação é concedido somente ao pessoal da empresa e aos contratados cujas responsabilidades de trabalho exijam acesso a essas instalações.

• Todas as instalações de recursos de informação que permitem acesso a visitantes são configuradas para rastrear o acesso de visitantes com um registro de entrada.

• Os registros de acesso por cartão e os registros de visitantes das instalações de recursos de informação são mantidos para revisão de rotina com base na criticidade dos recursos de informação que estão sendo protegidos.

• O equipamento é protegido para reduzir os riscos de ameaças ambientais, perigos e oportunidades de acesso não autorizado.

Medidas de gerenciamento de mudanças

• O Couchbase tem uma política e um procedimento de controle de acesso e gerenciamento de alterações para evitar alterações não autorizadas.

• O Couchbase monitora as alterações nos sistemas dentro do escopo para garantir que o processo padrão aplicável seja seguido e para reduzir qualquer risco de alterações não detectadas na produção. As alterações são rastreadas no sistema de gerenciamento de alterações.

Governança

• A Couchbase estabeleceu um Sistema de Gerenciamento de Segurança da Informação (ISMS) formal para proteger a confidencialidade, a integridade e a disponibilidade da oferta e dos sistemas de informação do Couchbase Capella e para garantir a eficácia dos controles de segurança sobre os dados e os sistemas de informação.

• A Couchbase tem uma política de segurança de informações documentada e aprovada, incluindo documentação de apoio.

• A autoridade e a responsabilidade de gerenciar o programa de segurança de informações da Couchbase foram delegadas ao Grupo de Segurança de Informações e Conformidade, que está autorizado pela gerência sênior a tomar as medidas necessárias para estabelecer, implementar e gerenciar o programa de segurança de informações da Couchbase.

• Os terceiros que prestam serviços ao Couchbase ou têm acesso a sistemas e dados passam por avaliações baseadas em risco antes de serem integrados, e seu programa de segurança é revisado periodicamente.

Conformidade

• A Couchbase realiza auditorias anuais por um auditor terceirizado independente em relação aos requisitos de controle SOC 2 Tipo 2, HIPAA, CSA STAR e PCI-DSS, atestando nosso compromisso com os controles que protegem a confidencialidade e a disponibilidade das informações armazenadas e processadas no serviço Couchbase Capella.

Acesso mínimo aos dados

• As políticas e os procedimentos de transferência e compartilhamento de dados são estabelecidos considerando as regulamentações aplicáveis.

• São realizadas avaliações de privacidade relacionadas à implementação de novos produtos/serviços e ao processamento de dados pessoais por terceiros.

• A coleta de dados é limitada às finalidades do processamento (ou aos dados que o cliente opta por fornecer).

• As medidas de segurança estão em vigor para fornecer apenas a quantidade mínima de acesso necessária para executar as funções exigidas.

• Os requisitos de retenção de dados são identificados

• O acesso aos dados pessoais é restrito ao pessoal envolvido no processamento, seguindo o princípio da "necessidade de conhecer" e de acordo com as funções e responsabilidades definidas dos indivíduos.

Solicitações de acesso do titular dos dados

• Existem processos que permitem que os indivíduos exerçam seus direitos de privacidade (por exemplo, direito de exclusão ou direito à portabilidade de dados), conforme descrito na Política de Privacidade da Couchbase disponível publicamente.

A Couchbase continuará a analisar a recente orientação do Conselho Europeu de Proteção de Dados sobre medidas suplementares para atender ao requisito de adequação do GDPR e quaisquer outras emitidas pelas autoridades europeias de proteção de dados à medida que surgirem.

Este Anexo estabelece os termos e condições que se aplicam quando o uso do Serviço de Nuvem pelo Cliente requer um mecanismo de transferência subsequente para transferir legalmente dados pessoais de uma jurisdição para a Couchbase localizada fora dessa jurisdição.

1. As cláusulas contratuais padrão de 2021. Para transferências de dados que estão sujeitas ao GDPR, as Cláusulas Contratuais Padrão de 2021 serão aplicadas da seguinte maneira:

1. O Módulo Dois (Controlador para Processador) será aplicado quando o Cliente for um controlador dos Dados do Cliente e o Couchbase for um processador dos Dados do Cliente;
2. O Módulo Três (Processador para Processador) será aplicado quando o Cliente for um processador dos Dados do Cliente e o Couchbase for um subprocessador dos Dados do Cliente;
3. Para cada módulo, quando aplicável:
1. na Cláusula 7, a cláusula de acoplamento opcional será aplicada e as partes deverão cooperar de boa-fé para tomar as medidas necessárias para aplicar as Cláusulas Contratuais Padrão de 2021 a outra parte;
2. na Cláusula 9(a), a Opção 2 será aplicada, e o período de tempo para aviso prévio das alterações do subprocessador será conforme estabelecido na Seção 3 (Subprocessamento) deste DPA;
3. na Cláusula 11, a linguagem opcional não se aplicará;
4. na Cláusula 17 (Opção 2), as Cláusulas Contratuais Padrão de 2021 serão regidas pela lei do estado membro da UE no qual o Exportador de Dados está estabelecido e, se não houver tal lei, pelas leis da República da Irlanda; desde que, com relação a quaisquer transferências de dados sujeitas às leis de proteção de dados de um país fora do EEE no qual a autoridade competente tenha aprovado o uso das Cláusulas Contratuais Padrão de 2021 (incluindo, mas não se limitando à Suíça) (um "País de adoção"), as Cláusulas Contratuais Padrão de 2021 serão regidas pelas leis de proteção de dados do País de Adoção.
5. na Cláusula 18(b), as disputas serão resolvidas perante os tribunais do estado membro da UE no qual o Exportador de Dados está estabelecido e, se não houver tal lei, perante os tribunais da República da Irlanda; desde que, com relação a quaisquer transferências de dados sujeitas às leis de proteção de dados de um País Adotante, qualquer disputa decorrente das Cláusulas Contratuais Padrão de 2021 será resolvida pelos tribunais do País Adotante.
6. No Anexo I, Parte A:

   Exportador de dados Cliente e afiliadas autorizadas do Cliente.

   Detalhes de contato Endereço(s) de e-mail do Cliente especificado(s) como a conta relevante para receber comunicações no âmbito do Serviço em Nuvem

   Função de exportador de dados O Cliente é o controlador ou processador dos Dados do Cliente, conforme aplicável

   Atividades relevantes para os dados transferidos: Recebimento de software e serviços da Couchbase e afiliadas

   Assinatura e data Ao celebrar o Contrato e o DPA, considera-se que o Exportador de Dados assinou estas Cláusulas Contratuais Padrão aqui incorporadas, incluindo seus Anexos, a partir da Data de Vigência do DPA.

   Importador de dados Couchbase, Inc.

   Detalhes de contato: Equipe Jurídica da Couchbase - legal@couchbase.com

   Função de importador de dados: A Couchbase é o processador ou subprocessador dos Dados do Cliente, conforme aplicável

   Atividades relevantes para os dados transferidos: Fornecimento de software e serviços

   Assinatura e data: Ao celebrar o Contrato e o DPA, considera-se que o Importador de Dados assinou estas Cláusulas Contratuais Padrão, aqui incorporadas, incluindo seus Anexos, a partir da Data de Vigência do DPA.

7. No Anexo I, Parte B:

   As categorias de titulares de dados estão descritas no Anexo A deste DPA.

   Os dados confidenciais transferidos estão descritos no Anexo A desta DPA.

   A frequência da transferência é contínua durante a vigência do Contrato.

   A natureza do processamento está descrita no Anexo A desta DPA.

   A finalidade do processamento está descrita no Anexo A desta DPA.

   O período de processamento está descrito no Anexo A deste DPA.

   Para transferências para subprocessadores, o assunto, a natureza e a duração do processamento estão descritos em https://info.couchbase.com/cloud-subprocessors.html

8. No Anexo I, Parte C: A autoridade supervisora do estado-membro da UE especificado na Seção 1(d)(iv) deste Anexo C acima atuará como autoridade supervisora competente; desde que, com relação a quaisquer transferências de dados sujeitas às leis de proteção de dados de um país adotante, a autoridade supervisora seja a autoridade de proteção de dados do país adotante.
9. O Anexo B deste DPA serve como Anexo II das Cláusulas Contratuais Padrão.
10. As partes concordam que os itens a seguir descrevem o entendimento das partes sobre determinadas obrigações nos termos das Cláusulas Contratuais Padrão:
    1. Auditorias: O Exportador de dados instrui o Importador de dados a cumprir com quaisquer auditorias, cumprindo com as disposições de auditoria da Seção 4(e) do DPA.
    2. Responsabilidade: Na medida do permitido pelas Leis Europeias de Proteção de Dados, a responsabilidade do Importador de Dados nos termos das Cláusulas Contratuais Padrão de 2021 estará sujeita a quaisquer limitações agregadas de responsabilidade estabelecidas no Contrato.

2. Transferências de dados da Suíça. Quando a transferência de Dados Pessoais estiver sujeita à FDPA suíça, os termos da Seção 1 acima serão aplicados com as seguintes modificações:

1. quaisquer referências nas Cláusulas Contratuais Padrão à "Diretiva 95/46/CE" ou ao "Regulamento (UE) 2016/679" deverão ser interpretadas como referências à Swiss FADP;
2. quaisquer referências à "UE", "União", "Estado Membro" e "legislação do Estado Membro" deverão ser interpretadas como referências à Suíça e à legislação suíça, conforme o caso; e
3. quaisquer referências à "autoridade supervisora competente" e aos "tribunais competentes" deverão ser interpretadas como referências ao Comissário Federal Suíço de Proteção de Dados e Informações e aos tribunais competentes na Suíça.

3. Transferências de dados do Reino Unido. Quando a transferência de Dados Pessoais estiver sujeita às Leis de Proteção de Dados do Reino Unido, as partes concordam:

1. As disposições do IDTA, incluindo a Parte 2 "Cláusulas Obrigatórias", serão aplicadas integralmente;
2. Para os fins da Tabela 1 da IDTA do Reino Unido, os nomes das partes, suas funções e seus detalhes devem ser definidos no Anexo C;
3. Para os fins das Tabelas 2 e 3 da IDTA do Reino Unido, as Cláusulas Contratuais Padrão de 2021 incorporadas a este DPA por referência, incluindo as informações estabelecidas nos Anexos anexos, serão aplicáveis; e
4. Para os fins da Tabela 4 do IDTA do Reino Unido, qualquer uma das partes poderá encerrar o IDTA do Reino Unido se, após um esforço de boa-fé das partes para alterar este DPA, as partes não conseguirem chegar a um acordo mútuo.
5. Na medida do permitido pelas Leis de Proteção de Dados do Reino Unido, a responsabilidade do Importador de Dados estará sujeita a quaisquer limitações agregadas de responsabilidade estabelecidas no Contrato.