voltar para Jurídico

Acordo de Processamento de Dados

Última atualização:
21/11/2024

Acordo de Processamento de Dados da Botpress (DPA)

Este DPA é suplementar e parte integrante do contrato entre a entidade do grupo Botpress identificada nos Termos de Serviço e o Cliente. Este DPA entra em vigor ao ser incorporado a tal contrato por referência.

1. Definições

1.a Os termos em maiúsculas não definidos aqui têm o significado atribuído a eles no Contrato.

1.b Neste DPA:

(a) “Contrato” tem o significado atribuído a esse termo nos Termos de Serviço.

(b) “Grupo Botpress” significa a Botpress e quaisquer afiliadas.

(c) “Informações Pessoais da Califórnia” significa Dados Pessoais sujeitos à proteção da CCPA.

(d) “Leis Canadenses de Proteção de Dados” significa a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, SC 2000, c 5, e a Lei sobre a proteção de informações pessoais no setor privado, CQLR c P-39.1, conforme alteradas, substituídas ou atualizadas.

(e) “CCPA” significa o Código Civil da Califórnia Sec. 1798.100 e seguintes (também conhecida como Lei de Privacidade do Consumidor da Califórnia de 2018).

(f) “Consumidor”, “Empresa”, “Vender” e “Prestador de Serviço” terão os significados definidos na CCPA.

(g) “Controlador” significa qualquer Pessoa que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Processamento de Dados Pessoais.

(h) “Leis de Proteção de Dados” significa toda legislação mundial aplicável relacionada à proteção de dados e privacidade que se aplica a uma parte deste DPA, incluindo, sem limitação, Leis Europeias de Proteção de Dados, Leis Canadenses de Proteção de Dados e a CCPA, conforme alteradas, revogadas, consolidadas ou substituídas periodicamente.

(i) “Titular dos Dados” significa o indivíduo ao qual os Dados Pessoais se referem.

(j) “Europa” significa a União Europeia, o Espaço Econômico Europeu e/ou seus estados-membros, Suíça e Reino Unido.

(k) “Leis Europeias de Proteção de Dados” significa as leis de proteção de dados aplicáveis na Europa, conforme alteradas, substituídas ou atualizadas.

(l) “Dados Europeus” significa Dados Pessoais sujeitos à proteção das Leis Europeias de Proteção de Dados.

(m) “Afiliadas Permitidas” significa quaisquer Afiliadas do Cliente que (i) estejam autorizadas a usar os Serviços de Software conforme o Contrato, (ii) se qualifiquem como Controladoras dos Dados Pessoais processados pela Botpress e (iii) estejam sujeitas às Leis Europeias de Proteção de Dados.

(n) “Pessoa” deve ser interpretado de forma ampla e inclui qualquer indivíduo, corporação, sociedade limitada, sociedade anônima, associação, parceria, truste ou espólio, joint venture, entidade governamental ou subdivisão política, ou qualquer outra entidade.

(o) “Dados Pessoais” significa qualquer informação relacionada a uma pessoa identificada ou identificável.

(p) “Processamento” ou “Processar” significa qualquer operação ou conjunto de operações realizadas por um Processador sobre Dados Pessoais, com ou sem meios automatizados;

(q) “Processador” significa uma Pessoa que Processa Dados Pessoais em nome de um Controlador.

(r) “Regulador” significa, conforme aplicável, qualquer Pessoa ou órgão de aplicação da lei ou agência com autoridade regulatória, supervisora ou governamental (seja por regime estatutário ou outro) sobre todo ou parte do Processamento de Dados Pessoais em conexão com a prestação ou recebimento dos Serviços, incluindo, sem limitação, as autoridades supervisoras de proteção de dados europeias;

(s) “Violação de Segurança” significa uma violação de segurança que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais transmitidos, armazenados ou processados de outra forma pela Botpress e/ou Subprocessadores em conexão com a prestação dos Serviços, não incluindo eventos que não comprometam a segurança dos Dados Pessoais, como tentativas de login malsucedidas, pings, varreduras de porta, ataques de negação de serviço e outros ataques de rede a firewalls ou sistemas em rede.

(t) “Serviços” significa os Serviços de Software ou Serviços Profissionais fornecidos por qualquer entidade do Grupo Botpress ao Cliente ou a suas Afiliadas.

(u) “Cláusulas Contratuais Padrão” significa as cláusulas contratuais padrão anexadas à Decisão da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021; conforme alteradas, substituídas ou atualizadas.

(v) “Subprocessador” significa qualquer Processador contratado pela Botpress ou Afiliadas da Botpress para auxiliar no cumprimento das obrigações da Botpress em relação à prestação dos Serviços sob o Contrato. Subprocessadores podem incluir terceiros ou Afiliadas da Botpress, mas não incluirão indivíduos empregados ou contratados pela Botpress.

(w) “Terceiro País” significa uma jurisdição ou destinatário: (i) não reconhecido pela Comissão Europeia como oferecendo um nível adequado de proteção de dados pessoais; e (ii) não coberto por um mecanismo reconhecido pelas autoridades ou tribunais relevantes como oferecendo um nível adequado de proteção de dados pessoais;

(x) “Dados de Uso” significa dados referentes ao uso dos Usuários Autorizados do Software, que podem conter Dados Pessoais quando a identificação de usuários individuais for necessária, excluindo quaisquer Dados de Conversa. Dados de Uso podem incluir Dados Pessoais sobre funcionários e contratados do Cliente, mas não sobre usuários finais que interagem com Bots do Cliente.

2. Papel das partes

2.a Ao Processar Dados de Conversa por meio dos Serviços, as partes reconhecem e concordam que o Cliente atua como Controlador e a Botpress atua como Processadora.

2.b Se o Cliente atuar como Processador em nome de um Controlador, a Botpress será considerada subprocessadora do Cliente.

2.c A Botpress será Controladora em relação aos Dados de Uso.

3. Conformidade com Leis de Proteção de Dados

3.a Cada parte realizará qualquer processamento de Dados Pessoais em conformidade com todas as Leis de Proteção de Dados aplicáveis.

3.b A Botpress não é responsável pelo cumprimento de quaisquer Leis de Proteção de Dados aplicáveis ao Cliente ou ao setor do Cliente que não sejam geralmente aplicáveis à Botpress.

3.c Se a Botpress tomar conhecimento de que não pode Processar Dados Pessoais de acordo com as instruções do Cliente devido a uma exigência legal sob qualquer lei aplicável, a Botpress irá (i) notificar prontamente o Cliente sobre essa exigência legal, na medida permitida pela lei aplicável; e (ii) quando necessário, interromper todo o Processamento (exceto o armazenamento e manutenção da segurança dos Dados Pessoais afetados) até que o Cliente emita novas instruções em conformidade com a lei aplicável. Se esta disposição for invocada, a Botpress não será responsável perante o Cliente, nos termos do Contrato, por qualquer falha na prestação dos Serviços de Software ou Serviços Profissionais aplicáveis até que a Botpress determine razoavelmente que as instruções do Cliente são legais.

4. Obrigações da Botpress

4.a A Botpress somente Processará Dados Pessoais para os fins descritos neste DPA ou conforme acordado dentro do escopo das instruções legais recebidas do Cliente, exceto quando e na medida em que a lei aplicável exigir o contrário.

4.b A Botpress implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais contra Incidentes de Segurança, incluindo as descritas no Anexo 2 deste DPA (“Medidas de Segurança”). A Botpress pode modificar ou atualizar as Medidas de Segurança a seu critério, desde que tal modificação ou atualização não resulte em uma degradação material da proteção oferecida pelas Medidas de Segurança.

4.c A Botpress tratará os Dados Pessoais como informações confidenciais do Cliente e garantirá que qualquer funcionário ou contratado autorizado a acessar ou Processar Dados Pessoais esteja sujeito a obrigações de confidencialidade apropriadas (contratuais ou legais) em relação a esses Dados Pessoais.

4.d A Botpress irá excluir ou devolver todos os Dados Pessoais Processados conforme este DPA, ao término ou expiração do Contrato. A Botpress pode reter cópias dos Dados Pessoais quando exigido por lei aplicável, ou quando os Dados Pessoais tiverem sido arquivados em sistemas de backup, sendo que esses dados serão isolados de forma segura, protegidos contra qualquer Processamento adicional e excluídos conforme as práticas de exclusão aplicáveis.

5. Obrigações do Cliente

5.a O Cliente é responsável por garantir que o uso dos Serviços de Software ou do Software esteja em conformidade com todas as Leis de Proteção de Dados aplicáveis, incluindo garantir que (i) está autorizado a nomear a Botpress para Processar Dados Pessoais em seu nome conforme este DPA, (ii) tem o direito de transferir ou fornecer acesso aos Dados Pessoais para a Botpress processar de acordo com os termos do Contrato (incluindo este DPA), (iii) garantir que as instruções do Cliente em relação ao Processamento de Dados Pessoais estejam em conformidade com as leis aplicáveis, incluindo as Leis de Proteção de Dados;

5.b O Cliente deverá notificar prontamente a Botpress por escrito se tiver motivos para acreditar ou se for notificado de que o Processamento de Dados Pessoais realizado pelo Cliente por meio dos Serviços está ou pode estar em violação da legislação aplicável, incluindo as Leis de Proteção de Dados.

5.c O Cliente é responsável por determinar se as medidas de segurança implementadas pela Botpress atendem adequadamente às obrigações do Cliente sob as Leis de Proteção de Dados aplicáveis. O Cliente também é responsável por garantir que o acesso aos Serviços de Software seja seguro e restrito apenas ao pessoal autorizado.

6. Violação de Segurança

6.a A Botpress notificará prontamente o Cliente caso tome conhecimento de qualquer Violação de Segurança e fornecerá informações atualizadas sobre tal Violação de Segurança à medida que forem conhecidas ou razoavelmente solicitadas pelo Cliente.

6.b Mediante solicitação, a Botpress fornecerá prontamente assistência razoável ao Cliente, conforme necessário, para permitir que o Cliente notifique uma Violação de Segurança aos Órgãos Reguladores e/ou aos Titulares dos Dados afetados, caso tal notificação seja exigida pelas Leis de Proteção de Dados.

7. Subprocessadores

7.a A Botpress pode contratar Subprocessadores para Processar Dados Pessoais. Os Subprocessadores atuais estão listados no Anexo 3, e qualquer alteração nos Subprocessadores será comunicada ao Cliente.

7.b A Botpress seleciona Subprocessadores que oferecem compromissos de proteção de dados que proporcionam pelo menos o mesmo nível de proteção para os Dados Pessoais que os previstos neste DPA (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), na medida aplicável à natureza dos serviços prestados por tais Subprocessadores. A Botpress permanece responsável pelo cumprimento das obrigações deste DPA por cada Subprocessador e por quaisquer atos ou omissões de tais Subprocessadores que causem violação das obrigações da Botpress sob este DPA.

7.c Se a Botpress Processar Dados Europeus em nome do Cliente, o Cliente poderá se opor a um novo Subprocessador, por motivos razoáveis relacionados à proteção de dados. Caso seja notificada de tal objeção, a Botpress concorda em discutir a questão de boa-fé para alcançar uma solução comercialmente razoável. Se não for possível chegar a uma solução, a Botpress poderá optar por não nomear o novo Subprocessador ou permitir que o Cliente encerre sua assinatura da parte dos Serviços de Software que depende desse novo Subprocessador, sem responsabilidade para ambas as partes (mas sem prejuízo das taxas incorridas antes do encerramento).

7.d Se exigido por lei ou pelas Cláusulas Contratuais Padrão, a Botpress fará esforços razoáveis para disponibilizar ao Cliente as informações necessárias sobre os acordos da Botpress com Subprocessadores. O Cliente concorda que algumas informações podem ser redigidas nesses acordos ou fornecidas de forma confidencial.

8. Transferência de Dados Pessoais

8.a O processamento de Dados Pessoais que não sejam Dados Europeus por entidades do Grupo Botpress ocorrerá em qualquer jurisdição onde tal processamento seja permitido pelas leis aplicáveis da Jurisdição de Privacidade.

8.b O processamento de Dados Europeus deverá ocorrer exclusivamente:

a) Dentro da Europa;

b) em uma jurisdição que ofereça um nível adequado de proteção conforme decisão da Comissão Europeia com base nas Leis de Proteção de Dados aplicáveis;

c) em qualquer jurisdição, por uma organização ou entidade que ofereça garantias adequadas, inclusive por meio das Cláusulas Contratuais Padrão;

d) em qualquer jurisdição, com o consentimento por escrito do Cliente ou do Titular dos Dados em questão.

8.c Quando o Processamento de Dados Europeus ocorrer em um Terceiro País, as partes serão consideradas como tendo celebrado as Cláusulas Contratuais Padrão apenas em relação aos Dados Pessoais e ao Processamento relevantes. As partes concordam que, para fins das Cláusulas Contratuais Padrão:

a) Se o Cliente for o Controlador e a Botpress for o Processador, aplicará o Módulo 2 (Controlador para Processador).

b) Se o Cliente for o Processador e a Botpress for o sub-processador, aplicará o Módulo 3 (Processador para Processador).

c) Com relação aos Dados de Uso, aplicará o Módulo 1 (Controlador para Controlador).

d) Na Cláusula 7 das Cláusulas Contratuais Padrão, a cláusula opcional de adesão não se aplicará;

e) Na Cláusula 9 das Cláusulas Contratuais Padrão, a Opção 2 se aplicará e o prazo para notificação prévia por escrito de mudanças de sub-processador será de 10 dias;

f) Na Cláusula 11 das Cláusulas Contratuais Padrão, a linguagem opcional não se aplicará;

g) Na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão serão regidas pela lei irlandesa;

h) Na Cláusula 18(b) das Cláusulas Contratuais Padrão, disputas serão resolvidas perante os tribunais da Irlanda;

i) A Botpress será o "importador de dados" e o Cliente será o "exportador de dados" (em nome próprio e de Afiliadas Permitidas);

j) as informações relevantes constantes no Anexo 1 e Anexo 2 deste DPA serão consideradas incluídas nos Anexos das Cláusulas Contratuais Padrão;

k) Se e na medida em que as Cláusulas Contratuais Padrão entrarem em conflito com qualquer disposição deste DPA, as Cláusulas Contratuais Padrão prevalecerão na medida desse conflito.

8.d Transferências para Suíça e Reino Unido. Na medida em que uma transferência de Dados Pessoais entre o Cliente e a Botpress e/ou um Subprocessador esteja sujeita às Leis de Proteção de Dados da Suíça ou do Reino Unido, as Cláusulas Contratuais Padrão serão consideradas alteradas para refletir os requisitos das Leis de Proteção de Dados suíças e britânicas aplicáveis, incluindo referências à legislação, lei aplicável e autoridades e tribunais competentes.

9. Processamento sob a CCPA

9.a Ao processar Informações Pessoais da Califórnia de acordo com as instruções do Cliente, as partes reconhecem e concordam que o Cliente é um Negócio e a Botpress é um Prestador de Serviços para fins da CCPA. As partes concordam que a Botpress processará as Informações Pessoais da Califórnia como Prestador de Serviços estritamente para o propósito de executar os Serviços de Software e Serviços Profissionais sob o Contrato (a “Finalidade Comercial”) ou conforme permitido pela CCPA.

10. Solicitações de Terceiros

10.a O Cliente será responsável por atender qualquer solicitação de um Titular de Dados ou Regulador em relação aos seus Dados Pessoais e deverá utilizar os recursos dos Serviços de Software disponíveis para recuperar informações relevantes sobre o processamento de Dados Pessoais.

10.b Se o Cliente não conseguir atender de forma independente a uma solicitação de um Titular de Dados ou Regulador (“Solicitação”), a Botpress fornecerá assistência razoável ao Cliente para responder a tais solicitações relacionadas ao Processamento de Dados Pessoais sob o Contrato. Exceto quando e na medida em que uma solicitação se baseie na falha da Botpress em cumprir suas obrigações sob este DPA, o Cliente deverá reembolsar a Botpress por despesas razoáveis ao prestar qualquer assistência ao Cliente.

10.c Se uma Solicitação ou outra comunicação referente ao Processamento de Dados Pessoais sob o Contrato for feita diretamente à Botpress, a Botpress informará prontamente o Cliente e orientará o Titular dos Dados ou Regulador a enviar sua Solicitação diretamente ao Cliente. O Cliente será o único responsável por responder substancialmente a quaisquer dessas Solicitações ou comunicações envolvendo Dados Pessoais.

11. Auditoria relacionada a dados pessoais

11.a Mediante solicitação e aviso prévio razoável à Botpress, o Cliente está autorizado, por sua própria conta, a realizar as verificações necessárias para garantir que os Dados Pessoais processados pela Botpress em nome do Cliente estejam sendo tratados de acordo com as instruções do Cliente. A pedido do Cliente, a Botpress permitirá a auditoria e inspeção do processamento realizado pela Botpress. Essa auditoria pode ser conduzida pelo Cliente e/ou por um terceiro (selecionado pelo Cliente e razoavelmente aceito pela Botpress) agindo em nome do Cliente. O Cliente deverá tomar todas as medidas necessárias para evitar causar qualquer dano ou interrupção às instalações, equipamentos, pessoal e operações das entidades do Grupo Botpress.

11.b O Cliente e a Botpress deverão concordar previamente sobre a natureza, o escopo e a duração de qualquer auditoria realizada pelo Cliente, e o Cliente deverá reembolsar a Botpress por todos os custos razoáveis associados a essa auditoria, os quais poderão ser estimados a pedido do Cliente antes do início da auditoria. Sempre que possível, quaisquer exigências de auditoria do Cliente deverão ser atendidas por meio de relatórios de auditoria de terceiros fornecidos pela Botpress, caso estejam disponíveis.

11.c Caso a Botpress processe Dados Europeus em nome do Cliente, a Botpress fornecerá ao Cliente, mediante solicitação razoável (em caráter confidencial): (i) uma cópia resumida de seus relatórios de testes de segurança e (ii) respostas escritas a todas as solicitações razoáveis de informações feitas pelo Cliente, necessárias para confirmar a conformidade da Botpress com este DPA, desde que o Cliente não exerça esse direito mais de uma vez por ano civil, a menos que o Cliente possa demonstrar motivos razoáveis para suspeitar de não conformidade da Botpress com o DPA.

12. Limitação de Responsabilidade

12.a A responsabilidade da Botpress e de suas Afiliadas, em conjunto, decorrente ou relacionada a este DPA (e quaisquer outros DPAs entre as partes) e às Cláusulas Contratuais Padrão (quando aplicável), seja por contrato, ato ilícito ou qualquer outra teoria de responsabilidade, será limitada ao valor total das Taxas pagas pelo Cliente à Botpress pelos Serviços durante o período de 12 meses anteriores ao evento que deu origem à responsabilidade.

13. Jurisdição

Salvo exigência em contrário pelas Leis de Proteção de Dados aplicáveis, este DPA será regido e interpretado de acordo com as leis aplicáveis ao Contrato, e qualquer disputa relativa a este Contrato será resolvida pelos tribunais competentes da jurisdição indicada na Proposta.

Na medida em que as Leis de Proteção de Dados exigirem que este DPA seja regido pelas leis de um Estado-membro da União Europeia, este DPA será regido pelas leis da Irlanda e as disputas relativas a este Contrato serão resolvidas pelos tribunais irlandeses.

14. Geral

14.a Prevalência. Em caso de qualquer inconsistência entre as disposições deste DPA e qualquer outra disposição do Contrato, as disposições do DPA sempre prevalecerão, salvo e na medida em que esteja expressamente estipulado que outra disposição do Contrato terá precedência ou que uma disposição deste DPA será desconsiderada ou modificada.

14.b Alterações. A Botpress pode alterar este DPA para refletir mudanças em suas práticas de processamento de dados. Qualquer alteração que não seja para esclarecimento de linguagem (que será comunicada rotineiramente ao Cliente) será submetida ao Cliente e não se aplicará sem a aceitação do Cliente. Caso uma modificação deste DPA seja exigida por lei aplicável, o Cliente terá a opção de aceitar tal modificação ou encerrar sua assinatura dos Serviços de Software.

14.c  Divisibilidade. Se qualquer disposição individual deste DPA for considerada inválida ou inexequível, a validade e a aplicabilidade das demais disposições deste DPA não serão afetadas.


Anexo 1 – Detalhes do Processamento

Identificação do Controlador

O Cliente

Pessoa de Contato: a pessoa identificada na Proposta aceita pelo Cliente.

Identificação do Operador

Se o Cliente estiver localizado no Canadá: Technologies Botpress Inc. Se o Cliente estiver localizado em outro local: Botpress, Inc.

Pessoa de Contato:

Jean-Bernard Perron [email protected]

Categorias de Titulares dos Dados

O Cliente pode submeter Dados Pessoais durante o uso do Serviço de Software, cuja extensão é determinada e controlada exclusivamente pelo Cliente, sujeito aos termos de serviço aplicáveis, podendo incluir, mas não se limitando a, Dados Pessoais relacionados às seguintes categorias de Titulares dos Dados:

  • Indivíduos que utilizam o Software em nome do Cliente
  • Usuários Finais dos Bots do Cliente

Categorias de Dados Pessoais

O Cliente pode submeter Dados Pessoais aos Serviços de Software e pode permitir que Usuários Finais submetam Dados Pessoais aos Serviços de Software, cuja extensão é determinada e controlada exclusivamente pelo Cliente, sujeito aos termos de serviço aplicáveis.

O Serviço de Software não foi projetado para o processamento de dados sensíveis; o Cliente é responsável por determinar a adequação dos Serviços de Software para processar dados sensíveis.

A Botpress processará informações de contato dos Usuários Autorizados (nome, e-mail, telefone) e dados de uso e comportamentais sobre o uso do produto para suporte técnico e fins estatísticos.

Natureza do Processamento

  • Armazenamento e outros Processamentos necessários para fornecer, manter e aprimorar os Serviços prestados ao Cliente;
  • Divulgação conforme o Contrato (incluindo este DPA) e/ou conforme exigido por leis aplicáveis;
  • A Botpress processará Dados Pessoais conforme necessário para fornecer os Serviços de acordo com o Contrato, e conforme instruído adicionalmente pelo Cliente no uso dos Serviços.
  • A Botpress processa Dados de Uso para fornecer suporte técnico e para fins estatísticos (para aprimoramento e desenvolvimento do produto).

Período de retenção dos Dados Pessoais

Sujeito à obrigação da Botpress de excluir ou devolver os dados ao Cliente, nos termos do Contrato, a Botpress processará os Dados Pessoais durante a vigência do Contrato, salvo acordo em contrário por escrito.

Anexo 2 – Medidas de Segurança

1. Governança

A Botpress implementa políticas e procedimentos adequados em relação aos Dados Pessoais, incluindo:

  • Procedimentos de Segurança da Informação;
  • Políticas sobre o uso de Dados Pessoais;
  • Procedimento de Notificação de Incidentes de Segurança e Privacidade;
  • Mecanismos de Avaliação de Riscos;
  • Procedimentos de Auditoria Interna;
  • Medidas Contratuais;

2. Acesso do Usuário

  • As funções e responsabilidades dos usuários da Botpress e dos perfis de usuários com acesso a Dados Pessoais e sistemas de informação são claramente definidas.
  • A Botpress adota medidas para informar seus usuários sobre as regras de segurança que afetam o desempenho de suas funções e as consequências em caso de violação dessas regras.
  • Protocolos em texto claro não são utilizados para acessar ou transferir Dados Pessoais. Apenas o protocolo SSL é aceito para essas operações.
  • A Botpress garante a segurança dos processos e procedimentos para o manuseio ou descarte de mídias físicas ou equipamentos que possam conter Dados Pessoais.
  • Os Dados Pessoais são separados fisicamente, ou logicamente caso estejam em banco de dados ou ambiente virtual, de outros dados da Botpress. Caso os Dados Pessoais não estejam separados fisicamente de outros dados, sistemas ou aplicativos não relacionados ao Cliente, a Botpress emprega controles de segurança adequados, incluindo controles de acesso.

3. Controle de Acesso

A Botpress mantém os servidores, bancos de dados relevantes e outros componentes de hardware e/ou software que armazenam Dados Pessoais em um data center seguro, com acesso controlado e monitorado para admitir apenas pessoal autorizado.

A Botpress emprega medidas eficazes de controle de acesso lógico em todos os sistemas usados para criar, transmitir ou processar Dados Pessoais, incluindo, mas não se limitando a:

  • Autenticação do usuário, que deve utilizar identificadores únicos ("IDs de usuário") e nomes.
  • Uma estratégia de senha suficientemente complexa e robusta.
  • Os direitos/privilégios de acesso dos usuários a recursos de informação que contenham Dados Pessoais devem ser concedidos com base na necessidade de conhecimento relacionada às funções e responsabilidades do usuário.
  • O acesso dos usuários a sistemas computacionais que permitem acesso a Dados Pessoais deve ser removido imediatamente após a saída do usuário ou caso o usuário mude de função e a nova função não exija acesso.
  • Senhas padrão e configurações de segurança devem ser alteradas nos produtos/aplicativos de terceiros utilizados para suportar Dados Pessoais.
  • Prestadores de serviços terceirizados devem estar sujeitos a requisitos e obrigações de segurança equivalentes aos dos usuários autorizados da Botpress ao processar Dados Pessoais.
  • Revalidação anual da justificativa das contas de usuário e autorizações associadas com acesso a informações pessoais.

4. Arquitetura de segurança de rede

A Botpress adota medidas eficazes de controle de acesso à rede em todos os sistemas utilizados para criar, transmitir ou processar Dados Pessoais, incluindo, mas não se limitando a:

  • Firewalls operam em tempo integral e estão instalados no perímetro da rede entre a rede interna (privada) da Botpress e a rede pública (Internet).
  • Sistemas de detecção e prevenção de intrusões devidamente configurados e monitorados são utilizados na rede da Botpress.
  • Apenas os serviços/processos e portas necessários para a execução dos programas rotineiros são habilitados nos bancos de dados e outros sistemas de informação utilizados para processar Dados Pessoais. Todos os demais serviços/processos no host são desabilitados.
  • Todos os sistemas de informação, repositórios e outros sistemas utilizados para processar Dados Pessoais devem estar fisicamente localizados em um ambiente de data center controlado e ser utilizados para o propósito de processar Dados Pessoais.
  • Canais seguros (por exemplo, TLS, SFTP, SSH, IPSEC, etc.) devem ser utilizados de forma consistente para comunicações com o data center da Botpress.

5. Controles de Gerenciamento de Vulnerabilidades

A Botpress adota controles eficazes de gerenciamento de vulnerabilidades em todos os sistemas utilizados para criar, transmitir ou processar Dados Pessoais, incluindo, mas não se limitando a:

  • Implantação de dispositivos de prevenção e detecção na rede para ajudar a filtrar e-mails de phishing e malwares antes que cheguem às estações de trabalho gerenciadas pela Botpress e que tenham acesso direto ou indireto a Dados Pessoais.
  • Implantação de softwares de prevenção e detecção de vírus e malwares em todas as estações de trabalho gerenciadas pela Botpress e que processam Dados Pessoais.
  • Manter um processo e prática padrão de gerenciamento de atualizações para garantir a proteção de todos os dispositivos utilizados para acessar, processar ou armazenar Dados Pessoais.
  • Dispositivos e documentos contendo Dados Pessoais devem permitir a identificação das informações acessadas, ser inventariados e acessíveis apenas a usuários autorizados de acordo com o documento de segurança.
  • Medidas para prevenir roubo, perda ou acesso não autorizado a Dados Pessoais durante operações de transmissão e transferência.

6. Backup, recuperação e disponibilidade de dados

A Botpress implementa os seguintes planos de recuperação de desastres e continuidade de negócios para minimizar o tempo máximo de inatividade e a perda de dados.

  • A Botpress implementa funções de recuperação de desastres projetadas para restaurar a funcionalidade do sistema contendo Dados Pessoais dentro de um período acordado entre as partes ou, na ausência disso, dentro de um prazo razoável considerando a natureza dos Dados Pessoais.
  • A Botpress garantirá sistematicamente que os Dados Pessoais sejam inacessíveis, exceto por pessoal autorizado da Botpress (por exemplo, backups externos serão sempre criptografados).
  • Para reduzir riscos de ameaças ambientais, perigos e oportunidades de acesso não autorizado, os equipamentos devem ser localizados longe de locais sujeitos a riscos ambientais de alta probabilidade e complementados por equipamentos redundantes localizados a uma distância razoável.
  • Mecanismos de segurança e redundâncias devem ser implementados para proteger os equipamentos contra interrupções de serviços essenciais (por exemplo, falhas de energia, interrupções de rede, etc.).
  • Políticas e procedimentos para retenção e armazenamento de dados devem ser estabelecidos e mecanismos de backup ou redundância implementados para garantir conformidade com requisitos regulatórios, legais, contratuais ou de negócios. Testes de recuperação de backups em disco ou fita devem ser realizados em intervalos planejados.

7. Auditoria de segurança

A Botpress adota controles em todos os sistemas utilizados para criar, transmitir ou processar Dados Pessoais, incluindo, mas não se limitando a:

  • Varreduras de vulnerabilidade ou auditorias realizadas por terceiros em dispositivos de infraestrutura expostos externamente (públicos) que contenham Dados Pessoais.
  • Testes de invasão realizados por terceiros nos sistemas da Botpress que armazenam e processam Dados Pessoais.
  • Avaliação periódica por terceiros quando aplicações ou processos suportam informações financeiras.
  • A Botpress compromete-se a tratar todas as vulnerabilidades identificadas em testes de invasão e a notificar o Cliente sobre as ações de correção.

8. Treinamento e conscientização

A Botpress implementa um programa de conscientização em segurança para seus funcionários e prestadores de serviço que interagem com os sistemas que tratam Dados Pessoais, incluindo:

  • A Botpress garantirá que sua equipe compreenda as ameaças e preocupações relacionadas à gestão de riscos de informação nos Serviços Botpress e as políticas relevantes de gestão de riscos de informação.
  • A equipe da Botpress receberá treinamento e atualizações regulares sobre políticas e procedimentos relevantes de gestão de riscos de informação, esquema padrão de classificação de riscos e procedimentos apropriados.
  • Funcionários de subcontratadas devem ser informados sobre o esquema de classificação de riscos de informação da Botpress e os procedimentos apropriados.
  • Políticas e procedimentos devem ser estabelecidos para a remoção de documentos visíveis contendo dados sensíveis quando um espaço de trabalho estiver desassistido e para a aplicação do logout automático da sessão da estação de trabalho após um período de inatividade.

Anexo 3 – Subprocessadores

A Botpress mantém uma lista atualizada de Subprocessadores em seu Centro de Confiança. Salvo indicação em contrário, todos os dados são processados nos Estados Unidos.

Executar o Acordo de Processamento de Dados
Todos os sistemas operando normalmente
SOC 2
Certificado
GDPR
Conforme
© 2025
Hub
Integrações
Canais
LLMs
Recursos
Fale com Vendas
Documentação
Contrate um Especialista
Vídeos
Histórias de Clientes
Referência da API
Blog
Status
Recursos v12
Comunidade
Parceiros e Afiliados
Discord
Empresa
Sobre
Carreiras
Jurídico
Privacidade