1. Definições

Para os fins deste Acordo de Processamento de Dados, os seguintes termos terão o significado fornecido abaixo:

  • Controlador de Dados, Processador de Dados, Encarregado de Proteção de Dados, Titular dos Dados, Dados Pessoais, Violação de Dados Pessoais, Processamento e Autoridade de Supervisão terão o mesmo significado encontrado no GDPR.
  • Legislação de Proteção de Dados significa o GDPR e qualquer outra lei nacional aplicável emendada de tempos em tempos, bem como qualquer outra lei aplicável referente ao processamento de dados pessoais e privacidade.
  • Solicitação do Titular dos Dados significa uma solicitação feita por, ou em nome de, um Titular dos Dados de acordo com os direitos concedidos nos termos da Legislação de Proteção de Dados em relação aos seus Dados Pessoais.
  • GDPR significa o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679).
  • Medidas de Proteção significa medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, que podem incluir, mas não se limitam a, a pseudonimização e criptografia de Dados Pessoais, garantindo a confidencialidade, integridade, disponibilidade e resiliência contínuas de sistemas e serviços, garantindo que a disponibilidade e o acesso aos Dados Pessoais possam ser restaurados de maneira oportuna em caso de incidente e testando, avaliando e avaliando regularmente a eficácia das medidas adotadas.
  • Subprocessador significa qualquer fornecedor designado para processar Dados Pessoais em nome da Fast Track relacionados a este Acordo.

Todos os outros termos em maiúsculas terão o mesmo significado fornecido no Acordo.

2. Processamento de Dados Pessoais

  1. As Partes reconhecem que, para os fins da Legislação de Proteção de Dados, o Cliente é o Controlador de Dados e a Fast Track é o Processador de Dados. O processamento de Dados Pessoais que a Fast Track está autorizada a realizar está listado exaustivamente no Anexo A e não pode ser determinado ou alterado pela Fast Track a qualquer momento. A Fast Track só pode processar os Dados Pessoais, incluindo em relação a transferências internacionais, de acordo com as instruções por escrito do Cliente e não pode usar os Dados Pessoais para seus próprios fins, a menos que a Fast Track seja obrigada a fazer o contrário por lei.
  2. Desde que seja necessário e permitido por lei, a Fast Track notificará o Cliente, sem demora, antes de processar tais dados.
  3. O Cliente concorda em compartilhar os dados pessoais detalhados no Anexo A com a Fast Track para que o processamento acordado ocorra, conforme necessário para a prestação dos serviços detalhados no Acordo Principal.
  4. A Fast Track cumprirá toda a Legislação de Proteção de Dados aplicável no processamento dos Dados Pessoais do Cliente.
  5. A Fast Track notificará imediatamente o Cliente se considerar que alguma das instruções infringe a Legislação de Proteção de Dados.
  6. O Cliente será responsável por notificar os Titulares dos Dados sobre uma violação de dados ou por uma solicitação do Titular dos Dados ou de uma disposição correspondente de uma lei nacional de proteção de dados aplicável.
  7. O Cliente concorda e garante que cumprirá integralmente os termos do GDPR e garantirá que os Dados Pessoais que ele fornece ou divulga à Fast Track tenham sido obtidos de forma justa e legal e de acordo com as disposições da Legislação de Proteção de Dados.

3. Medidas de Proteção

  1. A Fast Track garantirá que Medidas de Proteção, que estejam em conformidade com os requisitos do Artigo 32 do GDPR e detalhadas no Anexo C, estejam em vigor para proteger adequadamente contra uma Violação de Dados Pessoais, levando em consideração:
    • a natureza dos dados a serem protegidos;
    • o dano que pode resultar de uma Violação de Dados Pessoais;
    • o estado de desenvolvimento tecnológico; e
    • o custo de implementação de quaisquer medidas.
  2. Ao determinar o nível apropriado de Medidas de Proteção, a Fast Track levará em consideração os riscos apresentados pelo Processamento em questão, especialmente em relação a uma Violação de Dados Pessoais.

4. Pessoal da Fast Track

  1. A Fast Track garantirá que o pessoal da Fast Track não processe Dados Pessoais, exceto de acordo com este Acordo, e que todas as medidas razoáveis sejam tomadas para garantir a confiabilidade e integridade de qualquer pessoal da Fast Track que tenha acesso aos Dados Pessoais, especialmente que eles:
    • estejam cientes e cumpram as obrigações da Fast Track sob este Acordo;
    • estejam sujeitos a obrigações adequadas de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade com a Fast Track;
    • sejam informados da natureza confidencial dos Dados Pessoais e não publiquem, divulguem ou revelem quaisquer Dados Pessoais a terceiros, a menos que sejam instruídos por escrito a fazê-lo pelo Cliente ou conforme permitido por este Acordo; e
    • tenham recebido treinamento adequado no uso, cuidado, proteção e manuseio de Dados Pessoais.
  2. A Fast Track limitará o acesso aos Dados Pessoais do Cliente apenas aos funcionários que precisam saber ou acessar os Dados Pessoais estritamente necessários para os fins do Acordo principal entre as Partes.

5. Transferências Internacionais de Dados

  1. A Fast Track não transferirá Dados Pessoais para fora do EEE, a menos que tenha obtido o consentimento prévio por escrito do Cliente e as seguintes condições sejam cumpridas:
    • A Fast Track cumpre as condições gerais estabelecidas em relação a tais transferências (de acordo com o Artigo 44 do GDPR);
    • A Fast Track cumpre sua obrigação de fornecer garantias adequadas, que garantam a disponibilidade dos direitos dos Titulares dos Dados e de recursos legais eficazes (de acordo com o Artigo 46 do GDPR);
    • Todas as transferências são realizadas com medidas de segurança adequadas para proteger os dados pessoais; e
    • A Fast Track cumpre quaisquer instruções razoáveis notificadas antecipadamente pelo Cliente em relação à transferência dos Dados Pessoais.

6. Subprocessamento

  1. Os subprocessadores que a Fast Track utiliza a partir da data deste Acordo para o processamento de Dados Pessoais de acordo com este Acordo estão listados exaustivamente no Anexo B anexado a este Acordo, podendo ser alterados ou atualizados de tempos em tempos mediante notificação ao Cliente.
  2. Antes de a Fast Track contratar um Subprocessador para processar quaisquer Dados Pessoais relacionados a este Acordo, a Fast Track deve:
    • realizar uma diligência adequada para garantir que o Subprocessador seja capaz de fornecer o nível de proteção adequado aos Dados Pessoais exigido pela Legislação de Proteção de Dados aplicável;
    • notificar o Cliente, por escrito, sobre o Subprocessador pretendido, o processamento e quaisquer transferências internacionais de dados e obter o consentimento por escrito do Cliente para fazê-lo;
    • celebrar um acordo por escrito com o Subprocessador, aplicando as mesmas obrigações de proteção de dados estabelecidas neste Acordo, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas para atender aos requisitos de segurança do Artigo 32 do GDPR; e
    • incorporar as Cláusulas Contratuais Padrão da Comissão Europeia em qualquer acordo com um Subprocessador quando uma transferência internacional estiver ocorrendo para um país que não forneça garantias adequadas
    • fornecer ao Cliente as informações sobre o Subprocessador que o Cliente possa razoavelmente exigir.
    •   </ul>
      </li>
      <li>A Fast Track permanecerá totalmente responsável por todos os atos ou omissões de qualquer Subprocessador.</li>
      

7. Notificação

  1. A Fast Track notificará o Cliente sem demora se:
    • tiver conhecimento de uma Violação de Dados Pessoais;
    • receber uma Solicitação do Titular dos Dados;
    • receber qualquer outra solicitação, reclamação ou comunicação relacionada às obrigações das Partes nos termos da Legislação de Proteção de Dados;
    • receber qualquer comunicação de qualquer Autoridade de Supervisão ou qualquer outra autoridade reguladora em relação aos Dados Pessoais processados ​​de acordo com este Acordo; ou
    • receber uma solicitação de qualquer terceiro para a divulgação de Dados Pessoais.
  2. Desde que a obrigação de notificar inclua o fornecimento imediato de informações adicionais ao Cliente, mediante solicitação do Cliente.
  3. A Fast Track não responderá a tais solicitações, exceto com base nas instruções documentadas do Cliente, a menos que a Fast Track seja obrigada a responder por lei, caso em que a Fast Track notificará o Cliente dessa obrigação antes de responder à solicitação.

8. Assistência

  1. A Fast Track, levando em consideração a natureza do processamento, fornecerá ao Cliente assistência razoável em relação às obrigações do Cliente nos termos da Legislação de Proteção de Dados para responder a solicitações de exercício dos direitos dos Titulares dos Dados e para notificações de segurança e violações, e consultas com autoridades de supervisão, na medida do possível e conforme razoavelmente exigido pelo Cliente e pela Legislação de Proteção de Dados aplicável, incluindo o fornecimento imediato de:
    • ao Cliente, todos os detalhes e cópias da reclamação, comunicação ou solicitação;
    • qualquer assistência solicitada pelo Cliente para cumprir qualquer solicitação feita por um Titular dos Dados exercendo seus direitos dentro dos prazos estabelecidos na Legislação de Proteção de Dados, incluindo, mas não se limitando a, acesso, retificação ou exclusão de dados;
    • ao Cliente, a seu pedido, quaisquer Dados Pessoais que ele possua em relação a um Titular dos Dados;
    • assistência completa ao Cliente para garantir o cumprimento dos Artigos 32-36 do GDPR em relação à segurança de dados pessoais e violações de dados;
    • assistência conforme solicitado pelo Cliente em relação a qualquer solicitação de qualquer Autoridade de Supervisão, ou qualquer consulta entre o Cliente e qualquer Autoridade de Supervisão de Proteção de Dados.
  2. A Fast Track, de acordo com suas obrigações legais como Processador de Dados e sem custo adicional para o Cliente, fornecerá toda a assistência razoável ao Cliente na preparação de qualquer avaliação de impacto de privacidade antes do início de quaisquer atividades de processamento. Essa assistência pode, a critério do Cliente, incluir, mas não se limitar a:
    • uma descrição sistemática das operações de processamento previstas e o objetivo do processamento;
    • uma avaliação da necessidade e proporcionalidade das operações de processamento em relação aos serviços;
    • uma avaliação dos riscos apresentados aos direitos e liberdades dos Titulares dos Dados;
    • as medidas previstas para lidar com os riscos e garantir a proteção dos Dados Pessoais, incluindo salvaguardas, medidas de segurança e mecanismos.

9. Manutenção de Registros

  1. De acordo com suas obrigações legais como Processador de Dados, a Fast Track manterá registros e informações completos e precisos para atender aos requisitos do Artigo 30 (2) do GDPR e como evidência do cumprimento dos requisitos do Artigo 28 do GDPR. A Fast Track também fornecerá esses registros ao Cliente mediante solicitação.

10. Auditorias

  1. A Fast Track permitirá e contribuirá para auditorias de suas atividades de Processamento pelo Cliente ou pelo auditor designado pelo Cliente.
  2. O Cliente dará à Fast Track um aviso razoável de qualquer auditoria e evitará razoavelmente causar qualquer interrupção nas operações, equipamentos, instalações e pessoal da Fast Track durante a realização da auditoria.
  3. A Fast Track não precisa permitir o acesso às suas instalações para a realização de tal auditoria:
    1. Fora do horário comercial normal nessas instalações, a menos que a auditoria precise ser realizada em caráter de emergência e o Cliente tenha notificado a Fast Track que esse é o caso antes do início da auditoria fora do horário comercial normal;
    2. Para fins de mais de uma auditoria, em relação à Fast Track, em qualquer ano civil, exceto por quaisquer auditorias adicionais que:
      1. o Cliente considere razoavelmente necessárias devido a preocupações legítimas quanto ao cumprimento da Fast Track deste Acordo; ou
      2. o Cliente é obrigado ou solicitado a realizar pela Legislação de Proteção de Dados, uma Autoridade de Supervisão ou qualquer autoridade reguladora similar responsável pela aplicação da Legislação de Proteção de Dados em qualquer país ou território, ou
      3. quando o Cliente tiver identificado suas preocupações ou a exigência ou solicitação relevante em sua notificação à Fast Track da auditoria.

11. Exclusão e Devolução de Dados

  1. Dentro de dez (10) dias a partir da data de término deste Acordo, o Cliente pode, a seu critério absoluto e por meio de notificação por escrito, solicitar à Fast Track que:
    • devolva uma cópia completa de todos os Dados Pessoais do Cliente ao Cliente por transferência de arquivo segura no formato razoavelmente notificado pelo Cliente; e/ou
    • exclua e garanta a exclusão de todas as outras cópias de Dados Pessoais processados ​​pela Fast Track e qualquer outro Subprocessador contratado.
  2. A Fast Track deve cumprir tal solicitação dentro de quarenta (40) dias a partir da data de término deste Acordo e fornecer um certificado de destruição para confirmar a exclusão. A Fast Track também é obrigada a garantir que qualquer Subprocessador contratado exclua ou devolva os Dados Pessoais.
  3. A Fast Track e cada Subprocessador contratado podem, no entanto, reter Dados Pessoais na medida exigida pela Legislação de Proteção de Dados aplicável e por qualquer outra lei aplicável pelo período exigido por tais leis e sempre garantindo a confidencialidade desses dados. A Fast Track notificará o Cliente se esta cláusula se aplicar ao receber uma notificação por escrito conforme detalhado na seção 11.1.

12. Acordo

  1. Este Acordo substitui expressamente todos e quaisquer outros acordos, orais ou escritos, entre as Partes em relação ao objeto deste Acordo.

13. Alterações

  1. O Cliente pode, a qualquer momento, com no mínimo trinta (30) dias úteis de antecedência, revisar este adendo substituindo os termos por cláusulas padrão aplicáveis ​​de controlador para processador ou termos semelhantes que façam parte de um esquema de certificação aplicável ou estabelecidos por uma Autoridade de Supervisão relevante.
  2. As Partes concordam em levar em consideração qualquer orientação emitida pelo Conselho Europeu de Proteção de Dados (EDPB) e quaisquer outras Autoridades de Supervisão relevantes. O Cliente pode, com no mínimo trinta (30) dias úteis de antecedência à Fast Track, alterar este Acordo para garantir que esteja em conformidade com qualquer orientação emitida.

14. Encarregado de Proteção de Dados

  1. A Fast Track, quando necessário, designará um Encarregado de Proteção de Dados (DPO) e fornecerá ao Cliente os detalhes de contato dessa pessoa. A transmissão de qualquer comunicação entre as Partes relacionada aos Dados Pessoais deve ser feita por e-mail.
  2. Se a Fast Track não for obrigada a designar um Encarregado de Proteção de Dados, a Fast Track ainda fornecerá detalhes de uma pessoa de contato para questões de proteção de dados.
  3. O Cliente deve designar um Encarregado de Proteção de Dados e encaminhar os detalhes de contato para a Fast Track
  4. A Fast Track designou um DPO/pessoa responsável por assuntos de Proteção de Dados, que pode ser contatado em [email protected].

15. Prazo e Rescisão

  1. Este Acordo entrará em vigor simultaneamente com o Acordo e permanecerá em vigor enquanto o Acordo estiver em vigor. Este Acordo será rescindido, sem aviso prévio, simultaneamente com o Acordo, independentemente do motivo, exceto pelas cláusulas que foram expressamente estipuladas para sobreviver à rescisão.

16. Responsabilidade

  1. A responsabilidade das Partes por danos decorrentes de violações deste Acordo é, salvo disposição em contrário expressamente declarada, sujeita às mesmas limitações de responsabilidade estabelecidas no Acordo. No caso de múltiplas reivindicações por danos sob este Acordo e o Acordo de Serviço, tal responsabilidade será cumulativa em relação à responsabilidade máxima.
  2. Nada contido neste Acordo isenta a Fast Track de suas próprias responsabilidades diretas e obrigações como Processador de Dados nos termos da Legislação de Proteção de Dados.

17. Custos

  1. Cada Parte é responsável por seus próprios custos relacionados à preparação e execução deste Acordo, incluindo, mas não se limitando a, taxas e custos de seus próprios representantes, consultores, corretores e outros intermediários e autoridades.

18. Divisibilidade

  1. Se qualquer disposição, total ou parcialmente, deste Acordo for considerada ilegal, inválida ou inexequível por um tribunal de jurisdição competente, a disposição em questão será considerada nula e sem efeito, enquanto as disposições restantes continuarão em pleno vigor e efeito.
  2. As Partes concordarão, sem demora, com uma disposição substituta que, na medida do legalmente possível, alcance o mesmo efeito ou efeito comercialmente similar à disposição invalidada.

19. Disputas e Lei Aplicável

  1. As partes deste Acordo se submetem à escolha de lei e jurisdição estipulada no Acordo em relação a quaisquer disputas ou reivindicações decorrentes deste Acordo e qualquer disputa decorrente deste Acordo, do Acordo ou de ambos será finalmente resolvida nos mesmos procedimentos e, se aplicável, pelos mesmos árbitros.
  2. Este Acordo foi preparado em duas vias originais, das quais as Partes receberam uma cada.

Anexo A - Instruções

Processamento, Dados Pessoais e Titulares dos Dados

O Contratante deverá cumprir quaisquer instruções adicionais por escrito em relação ao processamento pelo Cliente.

Tais instruções adicionais serão incorporadas a este Anexo.

Descrição Detalhes
Objeto do processamento A Fast Track está fornecendo uma plataforma ao Cliente que fornece acesso, em tempo real, a dados sobre registro, depósito, login, apostas de jogadores, resultado de uma aposta e outros dados transacionais de seus usuários finais, para permitir que o Cliente gerencie, segmente e se comunique eficientemente com esses usuários finais.
Duração do processamento Pelo prazo do Acordo.
Natureza e finalidades do processamento

O Cliente transferirá os dados pessoais para a Fast Track, a Fast Track não realizará nenhuma coleta de dados.

Todos os dados pessoais contendo dados de contato serão transferidos com segurança usando comunicação de servidor para servidor na camada de integração.

Novas transações e eventos serão transferidos para a Fast Track em tempo real.

Dados históricos (transações como depósitos, saques, apostas feitas) podem ser migrados de tempos em tempos e serão transferidos via upload seguro de FTP, importados uma vez para a Fast Track e, em seguida, o arquivo de origem será destruído.

A Fast Track não coletará nenhum dado por conta própria e dependerá exclusivamente dos dados fornecidos pelo Cliente.

O Cliente usará a plataforma Fast Track para orquestrar várias atividades de marketing, incluindo, mas não se limitando a, crédito de recompensas, envio de e-mails, envio de SMS, envio de notificações push ou notificações no site. Dados de contato e consentimentos de marketing são necessários para realizar essas operações.

O Cliente usará a plataforma Fast Track para enviar informações, como alterações de conta e informações transacionais, que podem incluir, entre outras coisas, ativações de e-mail, solicitações de redefinição de senha, informações sobre alterações na conta, informações sobre transações aprovadas / recusadas. Dados de contato, como e-mail e número de telefone, e consentimentos de marketing são necessários para realizar essas operações.

A plataforma Fast Track processará em tempo real dados transacionais e o Cliente poderá agir em tempo real, com base nesses dados, envolvendo o cliente e/ou notificando equipes internas.

O Cliente transferirá alterações de consentimento de marketing em tempo real.

A Fast Track pode registrar atualizações de consentimento de marketing de e-mails, nesse caso, a Fast Track atualizará os registros internos e notificará o Cliente sobre quaisquer alterações de consentimento em tempo real.

Tipo de Dados Pessoais Endereço de e-mail, número de telefone, consentimento de marketing, idade, data de nascimento, nome, sobrenome, país, endereço físico, dados transacionais (depósitos e saques), dados transacionais relacionados a giros ou apostas realizadas, informações de bônus e recompensas, status de bloqueio / autoexclusão, data de registro, referência de afiliado, datas de transações, uso de dispositivo, saldo atual.
Categorias de Titulares dos Dados Clientes do Cliente.
Plano para devolução e destruição dos Dados Pessoais após a conclusão do processamento

De acordo com a Cláusula 11 deste Acordo, a Fast Track cumprirá uma solicitação de devolução e/ou exclusão de todas as cópias de Dados Pessoais do Cliente dentro de 40 dias após tal solicitação, garantindo o mesmo em relação a cada Subprocessador.

No entanto, os Dados Pessoais do Cliente podem ser retidos na medida exigida pela Legislação de Proteção de Dados aplicável pelo tempo necessário por tais leis, garantindo a confidencialidade desses dados a todo momento e mediante notificação ao Cliente.

Anexo B

Subprocessadores aprovados
Nome Completo e Detalhes do Subprocessador Local de Processamento Natureza e Finalidade do Processamento
Looker Data Sciences, inc 101 Church Street 4th Floor, Santa Cruz CA 95060 United States Dublin

A Looker é usada como uma plataforma pela Fast Track para mostrar painéis incorporados dentro da plataforma (análises e desempenho de campanhas).

A plataforma Looker usa um túnel seguro para acessar o ambiente.

O usuário do banco de dados Looker pode acessar dados transacionais do jogador e desempenho da campanha, mas não tem acesso a tabelas que contenham detalhes pessoais ou dados sensíveis.

Quando os painéis incorporados são solicitados, o Looker deve primeiro estabelecer uma conexão com o banco de dados, para fazer isso, ele deve primeiro autenticar-se com a plataforma Fast Track e obter acesso para realizar essa operação.

O Looker é certificado SOC 2.

Anexo C – Medidas Técnicas e Organizacionais de Segurança

Medidas Gerais
ID de Controle Requisitos
5.1.1. a Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela administração, publicado e comunicado aos funcionários e partes externas relevantes.
5.1.1. b O Contratante garantirá que seu Pessoal concorde com os termos e condições relacionados à segurança da informação.
15.1.1 b Um processo formal de avaliação de risco de segurança da informação deve ser definido e implementado.
15.1.1 c Um processo de tratamento de risco de segurança da informação deve ser implementado para selecionar opções apropriadas de tratamento de risco de segurança da informação.
15.1.3 e O Contratante de serviços em nuvem deve incluir requisitos para abordar os riscos de segurança da informação associados aos serviços de tecnologia da informação e comunicação por meio de sua cadeia de suprimentos de produtos.
15.1.3 f Todos os dados estruturados e não estruturados devem estar disponíveis para o cliente e fornecidos a ele mediante solicitação em um formato padrão do setor.
6.1.1 Todas as responsabilidades de segurança da informação devem ser definidas e alocadas.
6.1.2 Deverão ser segregadas as funções e áreas de responsabilidade conflitantes para reduzir as oportunidades de modificação ou uso não autorizado ou não intencional dos ativos da organização.
6.1.3 Deverá ser implementada uma política e medidas de segurança de suporte para proteger informações acessadas, processadas ou armazenadas ao usar computação móvel e trabalho remoto.
7.1.1 Verificações de verificação de antecedentes em todos os candidatos a emprego devem ser realizadas de acordo com as leis, regulamentos e ética relevantes e devem ser proporcionais aos requisitos comerciais, à classificação das informações a serem acessadas e aos riscos percebidos.
7.2.2 Todos os funcionários da organização e, quando relevante, os contratados devem receber educação e treinamento adequados de conscientização e atualizações regulares nas políticas e procedimentos organizacionais relevantes para seus cargos.
8.1.2 A propriedade de um ativo deve ser atribuída e gerenciada durante o ciclo de vida do ativo.
8.1.3 Todos os funcionários e usuários de partes externas devem, em tempo hábil, devolver todos os ativos da Operadora em sua posse ao término de seu emprego, contrato ou acordo.
8.2.1 As informações devem ser classificadas em termos de requisitos legais, valor, criticidade e sensibilidade à divulgação ou modificação nãoUm conjunto apropriado de procedimentos para rotulagem de informações deve ser desenvolvido e implementado de acordo com o esquema de classificação de informações adotado pela organização.

8.2.3 Meios de armazenamento sensíveis e removíveis (por exemplo, CDs, DVDs e pen drives USB) devem ser protegidos contra acesso não autorizado, uso indevido ou corrupção durante o transporte.

8.3.3 Mídias contendo informações confidenciais devem ser protegidas contra acesso não autorizado, uso indevido ou corrupção durante o transporte.

9.2.1 a O Contratante deve proteger as informações do Cliente contra acesso de outros clientes de nuvem ou pessoas não autorizadas.

9.1.2 b Um processo formal de registro e desregistro de usuários deve ser implementado para atribuir ou revogar direitos de acesso para todos os tipos de usuários a todos os sistemas e serviços.

9.2.1 b O uso de identidades de usuário individuais deve ser aplicado.

9.2.3 A alocação e o uso de direitos de acesso privilegiados devem ser restritos e controlados.

9.2.4 a Senhas padrão e temporárias e chaves criptográficas devem ser mantidas em sigilo e alteradas antes do uso.

9.2.4 b A alocação de informações de autenticação secreta deve ser controlada por meio de um processo de gerenciamento formal.

9.2.4.c As senhas devem ser armazenadas e transmitidas de forma segura para evitar comprometimento.

9.4.2 d Um processo seguro de redefinição de senha deve ser implementado.

9.2.5 Os direitos de acesso devem ser revisados e documentados em intervalos regulares.

9.2.6 Os direitos de acesso de todos os funcionários e usuários de partes externas às informações e instalações de processamento de informações devem ser removidos ao término de seu emprego, contrato ou acordo, ou ajustados em caso de alteração.

9.3.1 Os usuários devem ser obrigados a seguir as práticas da organização no uso de informações de autenticação secreta.

9.4.3 O uso de senhas de qualidade deve ser aplicado.

9.4.4 O uso de programas utilitários que possam anular os controles do sistema e da aplicação deve ser restrito e controlado.

9.4.2 a Quando exigido pela política de controle de acesso, o acesso a sistemas e aplicativos deve ser controlado por um procedimento de login seguro.

11.1.1 Os perímetros de segurança devem ser definidos e utilizados para proteger áreas que contenham informações sensíveis ou críticas e instalações de processamento de informações.

11.1.2 As áreas seguras devem ser protegidas por controles de entrada apropriados para garantir que apenas pessoal autorizado tenha acesso.

11.1.4 A proteção física contra desastres naturais, ataques maliciosos ou acidentes deve ser projetada e aplicada.

11.1.5 Os equipamentos devem ser instalados e protegidos para reduzir os riscos de ameaças e perigos ambientais, e oportunidades de acesso não autorizado.

11.1.6 Os equipamentos devem ser protegidos contra falhas de energia e outras interrupções causadas por falhas nos serviços de suporte.

11.1.7 A segurança deve ser aplicada aos ativos fora do local, levando em consideração os diferentes riscos de trabalhar fora das instalações da organização.

12.1.1 Os procedimentos operacionais devem ser documentados e disponibilizados a todos os usuários que precisam deles.

12.1.2 b As alterações nos sistemas e serviços devem ser autorizadas, aprovadas e comunicadas por e para as partes interessadas apropriadas, de acordo com regras definidas.

12.1.2 c Um procedimento de fallback deve ser definido e testado antes que uma alteração seja realizada.

12.1.2 d O Contratante deve implementar alterações de emergência quando disponíveis e aprovadas, a menos que essa implementação introduza riscos comerciais mais altos.

12.1.4 a Os ambientes de desenvolvimento, teste e operacionais devem ser separados para reduzir os riscos de acesso não autorizado ou alterações no ambiente operacional.

12.1.4 b As atividades e pontos de decisão no processo de mudança devem ser registrados.

12.1.4 c Regras para a transferência de software do desenvolvimento para o status operacional devem ser definidas e documentadas.

12.1.5 Procedimentos para operações administrativas de um ambiente de computação em nuvem devem ser definidos, documentados e monitorados.

12.2.1 Controles de detecção, prevenção e recuperação para proteção contra malware devem ser implementados, combinados com conscientização adequada do usuário.

12.3.1 a Cópias de segurança de informações, software e imagens do sistema devem ser feitas de acordo com os requisitos comerciais para o objetivo de ponto de recuperação e objetivo de tempo de recuperação.

12.3.1 b As cópias de segurança devem ser testadas regularmente para garantir a integridade dos dados e que os requisitos comerciais para o objetivo de ponto de recuperação e objetivo de tempo de recuperação possam ser atendidos.

12.3.1 c As cópias de segurança devem ter um período de retenção definido, após o qual os dados podem ser descartados.

12.4.1 a Registros de eventos que registram atividades do usuário, exceções, falhas e eventos de segurança da informação devem ser produzidos, mantidos e monitorados regularmente.

12.4.1 b O registro deve ser ativado em todos os firewalls e os registros do firewall devem ser retidos centralmente e protegidos adequadamente.

12.4.2 As instalações de registro e as informações de registro devem ser protegidas contra adulteração e acesso não autorizado.

12.4.4 Os relógios de todos os sistemas de processamento de informações relevantes dentro de uma organização ou domínio de segurança devem ser sincronizados com uma única fonte de tempo de referência.

12.5.1 a Procedimentos devem ser implementados para controlar que apenas software suportado e documentado seja instalado em sistemas operacionais.

12.5.1 b Máquinas físicas e virtuais devem ser protegidas de acordo com as recomendações do Contratante.

12.6.1 a As vulnerabilidades nos sistemas e serviços devem ser identificadas.

12.6.1 b As vulnerabilidades nos sistemas e serviços devem ser gerenciadas.

13.1.1. a As redes devem ser gerenciadas e controladas para proteger informações em sistemas e aplicativos.

13.1.1 b Controles especiais devem ser habilitados para proteger a confidencialidade e integridade dos dados em trânsito de acordo com as melhores práticas e padrões do setor, como criptografia TLS, criptografia WPA2, firewall gerenciado, etc.

13.1.3 Firewalls de aplicativos da web devem ser implementados em frente a aplicativos e serviços da web voltados para o público.

13.2.4 Os requisitos para acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização para a proteção das informações devem ser identificados, revisados regularmente e documentados.

14.2.1 Regras para o desenvolvimento de software e sistemas devem ser estabelecidas e aplicadas aos desenvolvimentos dentro da organização.

14.2.5 Princípios para a engenharia de sistemas seguros devem ser estabelecidos, documentados, mantidos e aplicados a todos os esforços de implementação de sistemas de informação.

14.2.9 Programas de teste de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

14.2.8 a O Contratante deve oferecer testes de penetração pelo menos anualmente e após qualquer atualização ou modificação significativa da infraestrutura ou aplicativo.

14.2.8 b Aplicativos e interfaces de programação (APIs) devem ser projetados, desenvolvidos, implantados e testados de acordo com os principais padrões do setor (por exemplo, OWASP para aplicativos da web) e cumprir obrigações legais, estatutárias ou regulamentares aplicáveis.

14.2.8 c O Contratante deve realizar testes de segurança manuais e automatizados regulares do aplicativo para garantir que o aplicativo esteja razoavelmente livre de defeitos de segurança do aplicativo.

14.3.1 Informações confidenciais ou sensíveis, incluindo, mas não se limitando a, dados pessoais e qualquer informação definida como informação confidencial, nunca devem ser usadas para fins de teste.

16.1.1 a Responsabilidades e procedimentos de gerenciamento devem ser estabelecidos para garantir uma resposta rápida, eficaz e ordenada a incidentes de segurança da informação.

16.1.1 b Eventos de segurança da informação devem ser relatados de maneira padronizada por meio dos canais de gerenciamento apropriados o mais rápido possível.

16.1.4 Eventos de segurança da informação devem ser avaliados e decidido se devem ser classificados como incidentes de segurança da informação.

16.1.5 a Planos de Resposta a Incidentes (IRP) específicos para Incidentes de Segurança da Informação identificados e acordados devem ser documentados para atender às demandas legais, regulatórias e comerciais.

16.1.5 b Deve haver exercícios anuais para treinar, testar e melhorar o processo geral e os planos de resposta a incidentes específicos com base em um plano de teste acordado e documentado.

17.1.1 Todos os sistemas de TI devem ter um procedimento documentado de restauração e recuperação para atender aos objetivos de tempo de recuperação.

17.1.2 Todos os planos de recuperação de desastres e procedimentos de recuperação de sistemas de TI devem ser verificados e testados em intervalos regulares.

18.1.1 a Os dados financeiros devem ser arquivados de acordo com a legislação aplicável.

18.1.1 b A segregação de funções ao processar dados financeiros deve ser definida e implementada.

18.1.1 c O Contratante deverá manter uma classificação SSL Labs de pelo menos "A" para qualquer site externo usado para armazenar ou acessar os dados do Cliente.
18.2.1 a O Contratante deverá fornecer suporte para conformidade de auditorias externas e internas às quais o Cliente está sujeito de tempos em tempos. Todas as ocorrências de auditorias técnicas (ou seja, testes de vulnerabilidade e penetração de infraestrutura e aplicativos em escopo) estão sujeitas a uma avaliação conjunta liderada pelo Cliente.
18.2.1 b Os sistemas de informação devem ser revisados regularmente para conformidade com as políticas e padrões de segurança da informação da organização.

Medidas Específicas

Portal de Migração de Dados

  • Os dados do usuário final do Cliente serão migrados usando um portal de migração de dados fornecido pela Fast Track. O portal permitirá que o gerente de migração de dados selecione quais dados do usuário migrar (detalhes, consentimentos, cassino, esportes, pagamentos aprovados etc.), quais usuários serão migrados e por qual período (vida útil ou dias específicos).
  • O Cliente é responsável por realizar qualquer migração ou correção de dados, iniciativas e deve, como parte desse processo, conciliar e aprovar que os dados importados estão corretos.
  • Se os dados fornecidos à Fast Track não estiverem conciliando com os sistemas do Cliente, isso deverá ser tratado como um incidente de alta prioridade.

Correção de Dados com Base em Informações Errôneas

  • No caso de problemas com o banco de dados ou feed de dados ao vivo que causem a incorreção dos dados do cliente, o portal de migração de dados será usado para recuperar / corrigir tais dados.

Precisão dos Dados

Para garantir que os dados sejam precisos e corretos o tempo todo, foram implementadas três medidas principais para alcançar a maior integridade possível.
  1. O Cliente deve garantir a captura e o gerenciamento de todos os erros da API de integração da Fast Track. Cada transmissão deve ser verificada como recebida pela Fast Track com um OK.
  2. O Cliente deve assumir que, ao receber essa verificação por meio de um OK, a Fast Track é responsável por garantir que esses dados sejam processados e refletidos na plataforma da Fast Track.
  3. O Cliente pode, a seu critério, conciliar manualmente uma conta de usuário específica ou um grupo de contas de usuário por meio do portal de migração de dados.
  4. Para evitar dúvidas, o Cliente é responsável por fornecer o monitoramento necessário para gerenciar quaisquer falhas na transmissão de dados, bem como qualquer remédio complementar da transmissão de dados falhada. A Fast Track é responsável por fornecer o monitoramento necessário para gerenciar quaisquer falhas no processamento desses dados dentro da plataforma da Fast Track. A Fast Track fornecerá um painel que fornece transparência de qualquer problema relacionado ao Cliente que é atualizado em tempo real.

Acesso a Dados e Segurança de Dados

  • A Fast Track só poderá acessar dados sensíveis do cliente (detalhes de contato) por meio de APIs fornecidas pelo Cliente.
  • Dados transacionais históricos ou correções específicas de pontos de dados de natureza não sensível (qualquer coisa além de detalhes de contato) podem, em alguns casos, não estar disponíveis na API e, portanto, devem ser transferidos em massa. Nesse caso, o arquivo contendo tais transações será transferido com segurança usando FTP (SFTP). Esse arquivo será destruído imediatamente após ser processado nos sistemas da Fast Track.
  • Os pontos de extremidade usados pelo portal de migração de dados, que não são necessários para o funcionamento da plataforma da Fast Track, só serão disponibilizados mediante solicitação e por um período de tempo específico para maior proteção.

Segurança da API

  • O Cliente fornecerá à Fast Track uma chave de API. Essa chave é necessária ao usar a API.
  • Toda a comunicação deve ser feita por meio de um canal criptografado usando https.
  • Lista de permissões de IPs específicos usados pela plataforma da Fast Track para acessar a API do Cliente.

Acesso do Usuário / Integração do GSuite

  • A Fast Track fornecerá um portal abrangente para configurar direitos de acesso, grupos de usuários e convidar usuários.
  • O acesso do usuário é controlado pela plataforma da Fast Track.
  • Após o Ambiente de Integração ser entregue ao Cliente, a Fast Track configurará uma conta de Super Administrador que pertence ao Cliente. Esse Super Administrador poderá configurar funções e direitos de acesso e convidar os usuários e associar as funções e grupos corretos na organização.
  • Qualquer usuário que tenha sido convidado / registrado na plataforma da Fast Track, em seguida, usará a solução de Logon Único (SSO) do GSuite para fazer login no back-office.

Criptografia de Dados do Usuário

  • Além da criptografia que a plataforma da Fast Track já fornece, o Cliente pode sugerir uma criptografia adicional de campos ou dados do cliente e a Fast Track pode propor uma solução para suportar isso dentro de um prazo razoável.

Teste de Penetração / Auditoria do Sistema

  • A Fast Track ainda não passou por nenhum teste de penetração ou agendou nenhum até o momento.
  • O Cliente pode, a seu critério, organizar um teste de penetração potencial para auditar o sistema. A Fast Track fornecerá recursos relevantes para apoiar esse teste. O Cliente deve dar um aviso prévio de 14 dias antes que esse teste ocorra para que a Fast Track possa garantir que tenha recursos suficientes disponíveis.
  • A Fast Track deverá resolver quaisquer problemas críticos que possam surgir desse teste.

Acesso aos Ambientes

  • A Fast Track deve ter controle total e direitos de acesso relevantes ao ambiente para manter a plataforma da Fast Track operacional o tempo todo. Dito isso, ambas as Partes devem revisar regularmente e garantir que o acesso mínimo necessário seja fornecido.

Ambientes