DPA

Este Contrato de Processamento de Dados ("DPA") é incorporado a cada Contrato entre a Articulate Global, LLC (juntamente com suas Afiliadas, "Articulate") e o cliente ("Customer", "you", "seu") para a prestação dos Serviços pela Articulate, conforme definido abaixo. O Cliente celebra este DPA em seu nome e em nome de suas Afiliadas autorizadas a usar os Serviços de acordo com o Contrato ("Afiliada Autorizada"). A Articulate e o Cliente são referidos individualmente como "parte" e coletivamente como "partes".

1. Definições

Para fins deste DPA, os termos em maiúsculas têm os significados definidos abaixo. Outros termos em maiúsculas têm os significados estabelecidos no Contrato.

1.1 "Afiliada" significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com uma das partes deste DPA.

1.2 "Contrato" significa o(s) contrato(s) subjacente(s) celebrado(s) por escrito pela Articulate e pelo Cliente para a prestação de Serviços pela Articulate ao Cliente.

1.3 "Lei Aplicável" refere-se a todas as leis, regulamentos e outros requisitos legais aplicáveis (i) à Articulate em sua função de prestadora dos Serviços ou (ii) a você. Isso pode incluir, por exemplo, o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) ("GDPR"); requisitos equivalentes no Reino Unido, incluindo o Regulamento Geral de Proteção de Dados do Reino Unido e a Lei de Proteção de Dados de 2018 ("UK Data Protection Law"); a Lei de Privacidade do Consumidor da Califórnia e regulamentos associados ("CCPA") e a Lei de Direitos de Privacidade da Califórnia e sua implementação de regulamentos relacionados quando em vigor ("CPRA"); a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, SC 2000, c.5 ("PIPEDA"); a Lei de Privacidade da Austrália de 1988 e os Princípios de Privacidade da Austrália (the "Privacy Act"); a Lei de Proteção de Dados do Consumidor da Virgínia quando efetiva ("VCDPA"); a Lei de Privacidade do Consumidor de Utah quando efetiva ("UCPA") e a Lei de Privacidade do Colorado e regulamentos relacionados quando efetiva ("CPA"). Cada parte é responsável somente pela lei aplicável a ela.

1.4 "Controlador" significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e os meios do processamento de Dados Pessoais.

1.5 "Conteúdo do Cliente" (ou "Seu Conteúdo") refere-se a todo o conteúdo e informações que o Cliente, uma Afiliada Autorizada ou um Usuário carrega, importa ou desenvolve nos ou para os Serviços, ou que a Articulate recebe por ou por meio dos Serviços do Cliente, de uma Afiliada Autorizada ou de um Usuário.

1.6 "O Titular dos Dados" significa uma pessoa física identificada ou identificável. Quando a CCPA ou a CPRA se aplicam, o termo também inclui uma família identificada ou identificável.

1.7 "Dados Pessoais" significam (i) qualquer informação relacionada a um indivíduo identificado ou identificável, nos termos do GDPR (independentemente da aplicabilidade do GDPR); (ii) "Dados Pessoais" na acepção do VCDPA e do CPA (independentemente de se aplicarem); (iii) "informações pessoais" dentro do significado da PIPEDA, da CCPA, da CPRA e da Lei de Privacidade (independentemente de se aplicarem); e (iv) qualquer termo análogo, conforme definido na Lei Aplicável.

1.8 "Violação de Dados Pessoais" significa a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a Dados Pessoais.

1.9 "Processo" e "Processamento" significam qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, gravação, organização, criação, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

1.10 "Processador" significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome do Controlador.

1.11 "Serviços" refere-se à oferta de software como serviço da Articulate, conforme estabelecido em uma cotação de preço (ou seja, Articulate 360, Rise ou ambos) ou a outros serviços identificados em uma cotação de preço.

1.12 " As cláusulas contratuais padrão " e " 2021 SCCs " significam as cláusulas emitidas de acordo com a Decisão de Execução (UE) 2021/914 da Comissão da UE, de 4 de junho de 2021,sobre cláusulas contratuais padrão para a transferência de Dados Pessoais para países terceiros, de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, disponível em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj e preenchido conforme descrito na seção " Transferências de Dados " abaixo.

1.13 " Subprocessador " significa qualquer subcontratado pela Articulate para o Processamento de Dados Pessoais.

1.14 "Trust & Compliance Documentation" means the documentation regarding privacy, data security, and Subprocessor information applicable to the specific Services purchased by Customer, as may be updated periodically, and accessible via Articulate's website at https://cms.articulate.zone/trust/ and https://cms.articulate.zone/trust/gdpr/

1.15 " O Adendo do SCC do Reino Unido" significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE (disponíveis a partir da data de vigência em https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), conforme especificado na seção "Transferências de Dados" abaixo.

1.16 "Usuário" significa um indivíduo ou indivíduos que o Cliente permite acessar e usar os Serviços.

2. Escopo e Relacionamento das Partes

2.1 Este DPA se aplica somente aos Dados Pessoais no Conteúdo do Cliente.

2.2 Para esses Dados Pessoais, você é (ou declara que está agindo com total autoridade em nome de) o Controlador, e a Articulate é sua Processadora.

2.3 Se você estiver agindo em nome de um Controlador terceirizado (ou em nome de intermediários, como outros Processadores do Controlador), na medida legalmente permitida:

3. Suas instruções para a Articulate

3.1 A Articulate processará os Dados Pessoais somente conforme descrito no Contrato, a menos que seja obrigada a fazer o contrário pela Lei Aplicável. Nesse caso, a Articulate informará você sobre essa exigência legal antes do Processamento, a menos que seja legalmente proibida de fazê-lo.

3.2 Os detalhes do Processamento estão estabelecidos no Anexo 1 deste DPA.

3.3 O Contrato, incluindo este DPA, junto com sua configuração de quaisquer configurações ou opções nos Serviços, constituem suas instruções completas e finais à Articulate em relação ao Processamento de Dados Pessoais, incluindo para fins das Cláusulas Contratuais Padrão, se aplicáveis.

3.4 Você cumprirá a Lei Aplicável relevante ao seu uso dos Serviços, incluindo a obtenção de quaisquer consentimentos e fornecimento de quaisquer notificações exigidas para que a Articulate forneça os Serviços de acordo com a Lei Aplicável. Você deve assegurar a autorização para transferir Dados Pessoais à Articulate, permitindo que ela e seus Subprocessadores os processem conforme este DPA.

3.5 Você não deve instruir a Articulate a Processar Dados Pessoais em violação da Lei Aplicável. A Articulate informará prontamente se, em sua opinião, uma instrução sua infringe a Lei Aplicável.

4. Limitação do Uso de Dados

4.1 A Articulate não "venderá" Dados Pessoais conforme definido pela CCPA (independentemente de sua aplicabilidade), VCDPA ou CPA, e não "compartilhará" Dados Pessoais conforme o significado da CPRA (independentemente de sua aplicabilidade). A Articulate não reterá, usará ou divulgará Dados Pessoais fora da relação comercial direta entre o Cliente e a Articulate.

4.2 No caso de uma obrigação legal de fornecer Dados Pessoais a terceiros, na medida legalmente permitida: (i) A Articulate fornecerá imediatamente ao Cliente uma oportunidade razoável de contestar a obrigação legal ou buscar proteção para a divulgação e (ii) a Articulate, após consulta com o Cliente, divulgará apenas a quantidade mínima de Dados Pessoais necessária para cumprir a obrigação legal.

4.3 A Articulate cumprirá todas as restrições aplicáveis sob a CPRA quanto à combinação de Dados Pessoais no Conteúdo do Cliente com Dados Pessoais que a Articulate recebe de, ou em nome de, outra pessoa ou pessoas, ou que a Articulate coleta a partir de qualquer interação entre ela e um Titular dos Dados.

5. Subprocessadores

5.1 A Articulate pode utilizar Subprocessadores para Processar Dados Pessoais em conexão com a prestação dos Serviços, em conformidade com a Lei Aplicável. Antes do Processamento de Dados Pessoais por um Subprocessador, a Articulate imporá obrigações contratuais ao Subprocessador que sejam substancialmente as mesmas que aquelas impostas à Articulate sob este DPA. A Articulate é responsável pelo desempenho de seus Subprocessadores na mesma medida em que a Articulate é responsável pelo seu próprio desempenho nos termos do Contrato.

5.2 Uma lista atual de Subprocessadores está disponível abaixo.  A Articulate notificará imediatamente (e em qualquer caso, trinta (30) dias antes do início do Processamento de Dados Pessoais de um novo Subprocessador) os clientes atualizando as listas de Subprocessadores acima mencionadas em relação a qualquer novo subprocessador antes do Processamento de Dados Pessoais, a menos que circunstâncias exigentes (como a falha de um Subprocessador existente) exijam um Processamento antecipado de Dados Pessoais.

Subprocessador de Terceiros	Finalidade	Serviço Aplicável	Produtos	Localizações de Subprocessadores do Data Center
Ada	Chatbot	Fornece serviços de suporte por chat	Articulate 360	EUA
Amazon Web Services, Inc.	Hospedagem & Infraestrutura	Fornece plataformas de computação em nuvem sob demanda e APIs	Articulate 360 Rise	EUA UE
Sem navegador	Automação da web	Gera capturas de tela, PDFs e certificados solicitados pelo cliente	Articulate 360 Rise	EUA
BugSnag	Serviços de Monitoramento	Soluciona problemas com os serviços do produto	Articulate 360 Rise	EUA
Datadog	Análise	Soluciona problemas com os serviços do produto	Articulate 360 Rise	EUA
ElevenLabs	Geração Opcional de Voz por IA	Converte texto em fala	Articulate 360	EUA
Intercom	Serviços de Suporte	Fornece anúncios no aplicativo e tours de produtos	Articulate 360 Rise	EUA
Looker Data Sciences	Análise	Fornece inteligência de negócios organizacional	Articulate 360 Rise	EUA
Okta, Inc.	Serviços de Autenticação	Valida se um cliente está autorizado a fazer login	Articulate 360 Rise	EUA
OpenAI	Serviços Opcionais de IA	Alimenta os recursos de IA do Articulate 360	Articulate 360	EUA
Postmark	Entrega de e-mails	Envia notificações por e-mail para alunos ou especialistas no assunto	Articulate 360 Rise	EUA
RingCentral	Comunicações de Vendas	Fornece um contact center na nuvem com IA	Articulate 360	EUA
Salesforce	CRM	Gerencia interações com clientes e dados de vendas	Articulate 360 Rise	EUA
TalkDesk	Sistemas de Vendas	Fornece um contact center na nuvem com IA	Rise	EUA
YouTrack	Sistema de Rastreamento de Problemas	Rastreia bugs de software e solicitações de recursos	Rise	EUA

5.3 Você pode se opor ao uso de um novo Subprocessador pela Articulate notificando a Articulate dentro de dez (10) dias úteis após a Articulate notificá-lo sobre o novo Subprocessador, conforme estabelecido na Seção 5.2. Se você tiver uma objeção razoável a um novo Subprocessador, a Articulate envidará esforços razoáveis para disponibilizar a você uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável em sua configuração ou uso dos Serviços para evitar o Processamento de Dados Pessoais pelo novo Subprocessador objetado, sem impor um ônus excessivo sobre você. Se a Articulate não conseguir disponibilizar tal alteração dentro de um período razoável de tempo, que em nenhum caso excederá trinta (30) dias, você poderá rescindir o Contrato e/ou o(s) pedido(s) aplicável(is), fornecendo um aviso por escrito à Articulate e interrompendo o uso dos Serviços na data efetiva da rescisão. A Articulate reembolsará um valor proporcional pelo período restante da assinatura ou pedido(s) após a rescisão dos Serviços. Caso não se oponha ao novo Subprocessador nem rescinda o contrato conforme descrito, ele será considerado aceito.

5.4 Sua concordância com esta Seção 5 constitui seu consentimento sob as Cláusulas Contratuais Padrão, se aplicáveis, e ao Processamento de Dados Pessoais pelos Subprocessadores listados neste DPA a partir da data de vigência do Contrato.

5.5 Mediante solicitação por escrito, a Articulate fornecerá ao Cliente cópias dos contratos com Subprocessadores; no entanto, na medida em que tais contratos contenham informações comerciais ou disposições não relacionadas às informações exigidas pelas Leis e Regulamentos de Proteção de Dados aplicáveis, essas informações não relacionadas poderão ser removidas ou redigidas pela Articulate a seu critério.

6. Segurança

6.1 A Articulate auxiliará no cumprimento das obrigações de segurança do GDPR e demais Leis Aplicáveis, conforme seu papel no Processamento de Dados Pessoais, considerando a natureza do Processamento e as informações disponíveis, implementando medidas técnicas e organizacionais descritas no Anexo 2 deste DPA, sem prejuízo do direito da Articulate de fazer substituições ou modificações futuras nessas medidas, desde que não reduzam materialmente o nível de segurança dos Dados Pessoais.

6.2 Você é o único responsável por revisar qualquer documentação de segurança e recursos disponíveis (se houver) e avaliar por conta própria se os Serviços e a segurança associada atendem às suas necessidades, incluindo suas obrigações de segurança de acordo com a Lei Aplicável. Você poderá utilizar os Serviços apenas se os compromissos de segurança deste DPA proporcionarem um nível de segurança adequado ao risco em relação aos Dados Pessoais. Ao assinar este DPA, o Cliente concorda e declara que os compromissos de segurança deste DPA proporcionam um nível de segurança adequado ao risco em relação aos Dados Pessoais.

6.3 A Articulate garantirá que os indivíduos autorizados a Processar os Dados Pessoais (i) estejam sujeitos a um acordo de confidencialidade por escrito ou a uma obrigação legal apropriada correspondente e (ii) recebam treinamento adequado ao seu papel no Processamento de Dados Pessoais.

7. Notificação de Violação de Dados Pessoais

7.1 A Articulate e o Cliente cumprirão as obrigações relacionadas a Violações de Dados Pessoais que lhes forem diretamente aplicáveis sob o GDPR e outras Leis Aplicáveis, incluindo quaisquer obrigações de notificar os Titulares dos Dados, autoridades governamentais ou terceiros.

7.2 Levando em consideração a natureza do Processamento e as informações disponíveis para a Articulate, a Articulate prestará assistência razoável para que você cumpra com as obrigações relacionadas a Violações de Dados Pessoais, conforme aplicável a você sob a Lei Aplicável, informando-o sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais confirmada. Essa notificação não constitui um reconhecimento de culpa ou responsabilidade. Na medida do possível, essa notificação incluirá a avaliação mais recente da Articulate sobre os seguintes aspectos, podendo ser baseada em informações incompletas:

7.3 A Articulate fará esforços razoáveis para identificar a causa de uma Violação de Dados Pessoais confirmada e tomará as medidas corretivas que considerar necessárias e razoáveis.

7.4 O Cliente tem o direito, a qualquer momento, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Informações Pessoais.

8. Assistência para Responder a Titulares de Dados

8.1 Se a Articulate receber uma Solicitação ou reclamação do Titular dos Dados dirigida ao Cliente ou a uma Afiliada Autorizada, a Articulate encaminhará prontamente a Solicitação ou reclamação do Titular dos Dados ao Cliente.

8.2 Levando em consideração a natureza do Processamento, a Articulate prestará assistência razoável para que você cumpra sua obrigação de atender a solicitações de indivíduos que desejam exercer seus direitos sob o GDPR ou outra Lei Aplicável (como o direito de acessar seus Dados Pessoais) ("Solicitação do Titular dos Dados"), por meio de medidas organizacionais e técnicas apropriadas, na medida do possível. Na medida em que você, ao utilizar os Serviços, não consiga atender a uma Solicitação do Titular dos Dados, a Articulate, mediante sua solicitação, empreenderá esforços comercialmente razoáveis para auxiliá-lo a responder a essa Solicitação, na medida em que a Articulate for obrigada a fazê-lo pela Lei Aplicável e estiver legalmente autorizada.

9. Assistência com DPIAs e Consulta a Autoridades de Supervisão

9.1 Levando em consideração a natureza do Processamento e as informações disponíveis para a Articulate, a Articulate, mediante sua solicitação por escrito, fornecerá assistência e cooperação razoáveis para que você cumpra qualquer avaliação de impacto na proteção de dados legalmente exigida em relação ao Processamento ou Processamento proposto de Dados Pessoais em conexão com os Serviços, bem como em consultas relacionadas com autoridades de supervisão. Qualquer suporte adicional para avaliações de impacto na proteção de dados ou interações com reguladores exigirá um acordo mútuo sobre taxas, escopo do envolvimento da Articulate e quaisquer outros termos que as partes considerem apropriados.

10. Transferências de Dados

10.1 Você autoriza a Articulate e seus Subprocessadores a realizarem transferências internacionais de Dados Pessoais de acordo com este DPA e a Lei Aplicável.

10.2 Na medida em que for legalmente exigido, as SCCs de 2021 fazem parte deste DPA e prevalecem sobre o restante deste DPA na medida de qualquer conflito, e (exceto conforme descrito na Seção 10.4) serão consideradas preenchidas da seguinte forma:

10.3 Na medida em que for legalmente exigido pela Lei de Proteção de Dados do Reino Unido, o Adendo SCC do Reino Unido faz parte deste DPA e prevalece sobre o restante deste DPA, conforme estabelecido no Adendo SCC do Reino Unido. Os termos em maiúsculas não definidos usados nesta Seção 10.3 terão as definições estabelecidas no Adendo SCC do Reino Unido. Para fins do Adendo do SCC do Reino Unido:

10.4 Para transferências de Dados Pessoais sujeitas à Lei Federal Suíça de Proteção de Dados ("FADP"), as SCCs de 2021 fazem parte deste DPA, conforme estabelecido na Seção 10.2 deste DPA, mas com as seguintes diferenças na medida exigida pelo FADP:

11. Auditorias

11.1 Mediante sua solicitação por escrito, a Articulate disponibilizará a você todas as informações razoavelmente necessárias para demonstrar conformidade com este DPA e permitirá e contribuirá com auditorias, incluindo inspeções, conduzidas por você ou outro auditor designado por você, conforme segue:

12. Devolução ou Destruição

12.1 A Articulate, à sua escolha, devolverá a você e/ou destruirá todos os Dados Pessoais mediante sua solicitação ou seis meses após o término ou expiração do uso do Serviço relevante, exceto na medida em que a Lei Aplicável exija a retenção dos Dados Pessoais. A certificação de exclusão exigida pelas Cláusulas Contratuais Padrão (se aplicáveis) será fornecida apenas mediante solicitação por escrito.

12.2 Nada obrigará a Articulate a excluir Dados Pessoais de arquivos criados para fins de segurança, backup e continuidade de negócios antes do prazo exigido pelos processos razoáveis de retenção de dados da Articulate.

13. Disposições Gerais

13.1 Atribuição. Este DPA reverterá em benefício e será vinculativo para qualquer sucessor de todos ou substancialmente todos os negócios e ativos de qualquer uma das partes, seja por fusão, venda de ativos ou outros acordos ou operação da lei.

13.2 Contrapartes; Assinaturas por Fax. Este DPA pode ser executado em múltiplas contrapartes, cada uma das quais, quando assinada e entregue, será considerada um original, mas todas juntas constituirão um único e mesmo instrumento. Qualquer página de assinatura de qualquer dessas contrapartes, ou qualquer transmissão por fax da mesma, poderá ser anexada ou incorporada a qualquer outra contraparte para completar uma versão totalmente executada deste DPA, e qualquer transmissão por fax de qualquer assinatura de uma parte será considerada um original e vinculará tal parte.

13.3 Ordem de Precedência. No que diz respeito aos direitos e obrigações das partes entre si, em caso de conflito entre os termos do Contrato e este DPA, os termos deste DPA prevalecerão. Em caso de conflito entre os termos deste DPA e as Cláusulas Contratuais Padrão, os termos das Cláusulas Contratuais Padrão prevalecerão.

13.4 Responsabilidade. Na medida legalmente permitida, este DPA está sujeito à cláusula de limitações de responsabilidade do Contrato.

13.5 Disposições Gerais. Este DPA constitui o entendimento completo das partes com relação ao assunto deste DPA e mescla todas as comunicações, entendimentos e acordos anteriores. Este DPA pode ser modificado somente por meio de um contrato por escrito assinado pelas partes. A falha de qualquer uma das partes em aplicar, a qualquer momento, qualquer uma das disposições deste documento não será uma renúncia a tal disposição, ou a qualquer outra disposição, ou ao direito de tal parte, posteriormente, fazer cumprir qualquer disposição deste documento. Se qualquer disposição deste DPA for declarada inválida ou inexequível, tal disposição será considerada modificada na medida do necessário e possível para torná-la válida e exequível. Em qualquer caso, a inexequibilidade ou invalidade de qualquer disposição não afetará nenhuma outra disposição deste DPA, e este DPA continuará em pleno vigor e efeito, e será interpretado e aplicado, como se tal disposição não tivesse sido incluída ou tivesse sido modificada conforme previsto acima, conforme o caso.

Assunto, Natureza e Finalidade do Processamento e detalhes das operações de processamento: Prestação dos Serviços de acordo com o Contrato.

Prazo/Duração do Processamento: Conforme estabelecido no Contrato e/ou em qualquer Cotação de Preço, Pedido do Cliente ou Declaração de Trabalho aplicável.

Categorias de Titulares de Dados: Os Dados Pessoais transferidos podem envolver funcionários atuais e potenciais do exportador e seus contratados, bem como terceiros, conforme determinado pelo exportador.

Categorias de Dados

Para Articulate 360 e Rise:

• Nome e Sobrenome
• Empregador
• Informações de Contato Comercial (por exemplo, endereço de e-mail; número de telefone)
• Imagem de Perfil
• Título
• Localização Aproximada
• Preferência de Idioma
• Biografia Profissional

Categorias Especiais de Dados (se houver): Não aplicável.

Salvaguardas e restrições aplicadas específicas a qualquer categoria especial de dados: Não aplicável. Em qualquer caso, o alto padrão de proteção do Anexo 2 do DPA se aplica a esta e outras categorias de Dados Pessoais.

Frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua): contínua, pelo tempo necessário para fornecer os Serviços de acordo com o Contrato.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: O menor entre seis (6) meses, o tempo necessário para fornecer os Serviços conforme o Contrato, ou o tempo exigido pela Lei Aplicável.

A Articulate (a importadora de dados) implementa as seguintes medidas técnicas e organizacionais de segurança.

1. Pseudonimização e criptografia: Os Dados Pessoais são criptografados em repouso em nossos servidores usando padrões da indústria (por exemplo, AES de 256 bits), e o gerenciamento de chaves é realizado pelo provedor de ambiente de hospedagem da Articulate, a Amazon Web Services (AWS).
2. Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento: a Articulate usa um sistema de detecção de intrusões para analisar, detectar e relatar eventos de rede e outras situações de alerta, além de contratar parceiros terceirizados para realizar avaliações de segurança e de aplicativos. A Articulate também usa a Amazon Web Services (AWS) como seu provedor de hospedagem, que oferece redundâncias (por exemplo, em três (3) ou mais zonas de disponibilidade fisicamente isoladas e independentes de recursos).
3. Medidas de recuperação de desastres e continuidade dos negócios (restaurando a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico): A Articulate tem uma política de recuperação de desastres e procedimentos relacionados, estabelecendo que, em caso de desastre, reconstruirá sua infraestrutura para restaurar os serviços o mais rápido possível, com um RTO (objetivo de tempo de recuperação) de 72 horas e um RPO (objetivo de ponto de recuperação) de 24 horas.
4. Testes, avaliações e revisão das medidas de segurança: A Articulate possui uma política de resposta a incidentes, que é testada pelo menos anualmente ou sempre que houver uma alteração significativa na segurança.
5. Identificação e autorização de usuários: Os serviços do Articulate 360 não armazenam credenciais de usuário; utilizando um serviço terceirizado de login único com protocolos de identidade testados e criptografia AES-256 para segurança em repouso.
6. Proteção de dados durante a transmissão: Dados confidenciais são criptografados em trânsito utilizando, no mínimo, o protocolo Transport Layer Security (TLS 1.2).
7. Proteção de dados durante o armazenamento: Os dados confidenciais são criptografados em repouso em nossos servidores usando o padrão industrial Advanced Encryption Standard (AES) de 256 bits. O gerenciamento de chaves é realizado pelo provedor de ambiente de hospedagem da Articulate, a AWS.
8. Segurança física dos locais onde os dados pessoais são processados: A Articulate é uma empresa totalmente distribuída, ou seja, não possui escritórios físicos. A Articulate hospeda seus serviços em servidores da AWS. Os data centers da AWS são de última geração, utilizando abordagens inovadoras de arquitetura e engenharia, sendo alojados em instalações discretas, com acesso físico rigorosamente controlado tanto no perímetro quanto nos pontos de entrada dos edifícios (por exemplo, equipe de segurança profissional, vigilância por vídeo).
9. Registro de eventos: A Articulate utiliza soluções SIEM em conformidade com padrões definidos para centralização de logs e funcionalidades de alerta, além do AWS CloudWatch e AWS CloudTrail para rastrear todas as mudanças na infraestrutura
10. Configuração do sistema, incluindo definições padrão: A Articulate codifica todas as alterações de infraestrutura em controle de versão e segue as melhores práticas da indústria para aplicar essas mudanças de forma segura aos serviços da Articulate.
11. Governança e gestão interna de TI e segurança da informação: os funcionários da Articulate assinam acordos de confidencialidade e passam por treinamentos de segurança no momento da contratação, com treinamentos de segurança continuando anualmente. A Articulate possui políticas e procedimentos para proteção, gerenciamento, retenção e exclusão adequados de dados. Além disso, a Articulate usa software antivírus de última geração e software de gerenciamento de dispositivos móveis em todas as estações de trabalho, monitora fornecedores e fontes terceirizadas para informações atualizadas sobre vulnerabilidades, distribui rapidamente informações relevantes sobre patches e exige que as estações de trabalho de todos os membros da equipe de Engenharia e outros que tenham acesso aos servidores AWS (nosso host) sejam criptografadas em repouso.
12. Certificação/garantia de processos e produtos: A Articulate passa por uma auditoria anual do SOC2 Tipo 2 conduzida por terceiros e possui as certificações ISO 27001 e ISO 27701. Os funcionários devem concluir o treinamento de conscientização sobre segurança no momento da contratação e anualmente para entender suas obrigações e responsabilidades em conformidade com as políticas corporativas projetadas para proteger os dados dos clientes.
13. Minimização de dados: A Articulate coleta apenas os dados pessoais necessários para fornecer serviços aos clientes e concede acesso a esses dados apenas se necessário para que os recursos humanos desempenhem suas funções. A Articulate revisa regularmente os privilégios de acesso e os revoga em até 24 horas após o desligamento de um funcionário. Além disso, os dados pessoais são retidos e destruídos com segurança de acordo com as políticas de retenção de dados da Articulate (ou antes, mediante solicitação do cliente), desde que não haja exigência legal para reter esses dados.
14. Qualidade dos dados: os serviços da Articulate validam as entradas dos usuários e os parâmetros HTTP.
15. Retenção limitada de dados: A Articulate adota políticas que exigem a exclusão periódica de dados pessoais. A Articulate realiza backups diários como parte do nosso processo de recuperação de desastres. Esses dados são arquivados por aproximadamente 60 dias e, depois disso, são automaticamente sobrescritos.
16. Responsabilidade: A Articulate implementou um programa de privacidade, nomeou um Diretor de Proteção de Dados, implementou políticas e práticas de privacidade (incluindo resposta a incidentes) e conduz treinamentos de funcionários pelo menos uma vez por ano.
17. Portabilidade e exclusão de dados: A Articulate segue os processos estabelecidos em seu Contrato de Processamento de Dados para responder às solicitações dos clientes referentes à cópia, correção ou exclusão dos dados pessoais de seus usuários finais.
18. Para transferências a Subprocessadores: medidas técnicas e organizacionais específicas para auxiliar o controlador e, para transferências de um processador para um Subprocessador, ao exportador de dados: os administradores e/ou usuários do exportador podem usar recursos de autoatendimento nos Serviços para acessar, excluir ou corrigir dados sobre usuários finais. Toda outra assistência relevante será fornecida pela equipe de suporte ao cliente.