Data Processing Addemdum

Data Processing agreement

Updated April 04, 2023

1. Definições

Para os fins deste Acordo de Processamento de Dados, os seguintes termos terão o significado fornecido abaixo:

  • Controlador de Dados, Processador de Dados, Encarregado de Proteção de Dados, Titular dos Dados, Dados Pessoais, Violação de Dados Pessoais, Processamento e Autoridade de Supervisão terão o mesmo significado encontrado no GDPR.
  • Legislação de Proteção de Dados significa o GDPR e qualquer outra lei nacional aplicável de implementação, conforme alterada de tempos em tempos, bem como qualquer outra lei aplicável referente ao processamento de dados pessoais e privacidade.
  • Solicitação do Titular dos Dados significa uma solicitação feita por, ou em nome de, um Titular dos Dados de acordo com os direitos concedidos nos termos da Legislação de Proteção de Dados em relação aos seus Dados Pessoais.
  • GDPR significa o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679).
  • Medidas de Proteção significa medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, que podem incluir, mas não se limitam a, a pseudonimização e criptografia de Dados Pessoais, garantindo a confidencialidade, integridade, disponibilidade e resiliência contínuas de sistemas e serviços, garantindo que a disponibilidade e o acesso aos Dados Pessoais possam ser restaurados de forma oportuna em caso de incidente e testando, avaliando e avaliando regularmente a eficácia das medidas adotadas.
  • Subprocessador significa qualquer fornecedor designado para processar Dados Pessoais em nome da Fast Track relacionados a este Acordo.

Todos os outros termos em maiúsculas terão o mesmo significado fornecido no Acordo.

2. Processamento de Dados Pessoais

  1. As Partes reconhecem que, para os fins da Legislação de Proteção de Dados, o Cliente é o Controlador de Dados e a Fast Track é o Processador de Dados. O processamento de Dados Pessoais que a Fast Track está autorizada a realizar está listado exaustivamente no Anexo A e não pode ser determinado ou alterado pela Fast Track a qualquer momento. A Fast Track só pode processar os Dados Pessoais, incluindo em relação a transferências internacionais, de acordo com as instruções por escrito do Cliente e não pode usar os Dados Pessoais para seus próprios fins, a menos que a Fast Track seja obrigada a fazer o contrário por lei.
  2. Desde que, se necessário e permitido por lei, a Fast Track notificará o Cliente, sem demora, antes de processar tais dados.
  3. O Cliente concorda em compartilhar os dados pessoais detalhados no Anexo A com a Fast Track para que o processamento acordado possa ocorrer, conforme necessário para a prestação dos serviços conforme detalhado no Acordo Principal.
  4. A Fast Track cumprirá toda a Legislação de Proteção de Dados aplicável no processamento dos Dados Pessoais do Cliente.
  5. A Fast Track notificará imediatamente o Cliente se considerar que alguma das instruções infringe a Legislação de Proteção de Dados.
  6. O Cliente será responsável por notificar os Titulares dos Dados sobre uma violação de dados ou por uma solicitação do Titular dos Dados ou de uma disposição correspondente de uma lei nacional de proteção de dados aplicável.
  7. O Cliente concorda e garante que cumprirá integralmente os termos do GDPR e garantirá que os Dados Pessoais que ele fornece ou divulga à Fast Track tenham sido obtidos de forma justa e legal e de acordo com as disposições da Legislação de Proteção de Dados.

3. Medidas de Proteção

  1. A Fast Track garantirá que Medidas de Proteção, que estejam em conformidade com os requisitos do Artigo 32 do GDPR e detalhadas no Anexo C, estejam em vigor para proteger adequadamente contra uma Violação de Dados Pessoais, levando em consideração:
    • a natureza dos dados a serem protegidos;
    • o dano que pode resultar de uma Violação de Dados Pessoais;
    • o estado de desenvolvimento tecnológico; e
    • o custo de implementação de quaisquer medidas.
  2. Ao determinar o nível apropriado de Medidas de Proteção, a Fast Track levará em consideração os riscos apresentados pelo Processamento em questão, especialmente em relação a uma Violação de Dados Pessoais.

4. Pessoal da Fast Track

  1. A Fast Track garantirá que o pessoal da Fast Track não processe Dados Pessoais, exceto de acordo com este Acordo, e que todas as medidas razoáveis sejam tomadas para garantir a confiabilidade e integridade de qualquer pessoal da Fast Track que tenha acesso aos Dados Pessoais, especialmente que eles:
    • estejam cientes e cumpram as obrigações da Fast Track sob este Acordo;
    • estejam sujeitos a obrigações adequadas de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade com a Fast Track;
    • sejam informados da natureza confidencial dos Dados Pessoais e não publiquem, divulguem ou revelem quaisquer Dados Pessoais a terceiros, a menos que sejam instruídos por escrito a fazê-lo pelo Cliente ou conforme permitido por este Acordo; e
    • tenham recebido treinamento adequado no uso, cuidado, proteção e manuseio de Dados Pessoais.
  2. A Fast Track limitará o acesso aos Dados Pessoais do Cliente apenas aos funcionários que precisam saber ou acessar os Dados Pessoais estritamente necessários para os fins do Acordo principal entre as Partes.

5. Transferências Internacionais de Dados

  1. A Fast Track não transferirá Dados Pessoais para fora do EEE, a menos que tenha obtido o consentimento prévio por escrito do Cliente e as seguintes condições sejam cumpridas:
    • A Fast Track cumpre as condições gerais estabelecidas em relação a tais transferências (de acordo com o Artigo 44 do GDPR);
    • A Fast Track cumpre sua obrigação de fornecer garantias adequadas, que garantam a disponibilidade dos direitos dos Titulares dos Dados e de recursos legais eficazes (de acordo com o Artigo 46 do GDPR);
    • Todas as transferências são realizadas com medidas de segurança adequadas para proteger os dados pessoais; e
    • A Fast Track cumpre quaisquer instruções razoáveis notificadas antecipadamente pelo Cliente em relação à transferência dos Dados Pessoais.

6. Subprocessamento

  1. Os subprocessadores que a Fast Track utiliza para o processamento de Dados Pessoais de acordo com este Acordo estão listados no Anexo B deste Acordo, podendo ser alterados ou atualizados de tempos em tempos mediante notificação ao Cliente.
  2. De acordo com o Artigo 28 (2) do GDPR, o Cliente concede à Fast Track uma autorização geral para usar Subprocessadores para fornecer atividades de processamento nos dados do Cliente de acordo com este capítulo 6. O site da Fast Track listará os Subprocessadores usados pela Fast Track. Pelo menos 15 dias antes de se envolver com um Subprocessador, a Fast Track atualizará seu site e notificará o Cliente por e-mail (ou outro mecanismo semelhante, incluindo por meio de um aviso publicado na plataforma Fast Track CRM). O Cliente pode se opor a tal Subprocessador (i) deixando de usar os Serviços para os quais a Fast Track nomeou o respectivo Subprocessador ou (ii) solicitando que os dados sejam armazenados em um centro de dados / servidor que não seja fornecido pelo respectivo Subprocessador.
  3. Antes de a Fast Track envolver um Subprocessador para processar quaisquer Dados Pessoais relacionados a este Acordo, a Fast Track deve:
    • realizar uma diligência adequada para garantir que o Subprocessador seja capaz de fornecer o nível de proteção para Dados Pessoais exigido pela Legislação de Proteção de Dados;
    • notificar o Cliente sobre o Subprocessador pretendido, o processamento e quaisquer transferências internacionais de dados, de acordo com este capítulo 6;
    • celebrar um acordo por escrito com o Subprocessador, aplicando as mesmas obrigações de proteção de dados estabelecidas neste Acordo, em particular fornecendo garantias suficientes para atender aos requisitos de segurança do Artigo 32 do GDPR; e
    • incorporar as Cláusulas Contratuais Padrão da Comissão Europeia em qualquer acordo com um Subprocessador quando uma transferência internacional estiver ocorrendo para um país que não forneça garantias adequadas
    • fornecer ao Cliente as informações sobre o Subprocessador que o Cliente possa razoavelmente exigir.
      •   </ul>
</li>
<li>A Fast Track permanecerá totalmente responsável por todos os atos ou omissões de qualquer Subprocessador.</li>

7. Notificação

  1. A Fast Track notificará o Cliente sem demora se:
    • tiver conhecimento de uma Violação de Dados Pessoais;
    • receber uma Solicitação do Titular dos Dados;
    • receber qualquer outra solicitação, reclamação ou comunicação relacionada às obrigações das Partes nos termos da Legislação de Proteção de Dados;
    • receber qualquer comunicação de qualquer Autoridade de Supervisão ou qualquer outra autoridade reguladora em relação aos Dados Pessoais processados ​​de acordo com este Acordo; ou
    • receber uma solicitação de qualquer terceiro para a divulgação de Dados Pessoais.
  2. Desde que a obrigação de notificar inclua o fornecimento imediato de informações adicionais ao Cliente, mediante solicitação do Cliente.
  3. A Fast Track não responderá a tais solicitações, exceto com base nas instruções documentadas do Cliente, a menos que a Fast Track seja obrigada a responder por lei, caso em que a Fast Track notificará o Cliente dessa obrigação antes de responder à solicitação.

8. Assistência

  1. A Fast Track, levando em consideração a natureza do processamento, fornecerá ao Cliente assistência razoável em relação às obrigações do Cliente nos termos da Legislação de Proteção de Dados para responder a solicitações de exercício dos direitos dos Titulares dos Dados e para notificações de segurança e violações, e consultas com autoridades de supervisão, na medida do possível e conforme razoavelmente exigido pelo Cliente e pela Legislação de Proteção de Dados aplicável, incluindo fornecendo prontamente:
    • ao Cliente todos os detalhes e cópias da reclamação, comunicação ou solicitação;
    • qualquer assistência solicitada pelo Cliente para cumprir qualquer solicitação feita por um Titular dos Dados exercendo seus direitos dentro dos prazos relevantes estabelecidos na Legislação de Proteção de Dados, incluindo, mas não se limitando a, acesso, retificação ou exclusão de dados;
    • ao Cliente, mediante solicitação, quaisquer Dados Pessoais que possua em relação a um Titular dos Dados;
    • total assistência ao Cliente para garantir o cumprimento dos Artigos 32-36 do GDPR em relação à segurança de dados pessoais e violações de dados;
    • assistência conforme solicitado pelo Cliente em relação a qualquer solicitação de qualquer Autoridade de Supervisão ou qualquer consulta entre o Cliente e qualquer Autoridade de Supervisão de Proteção de Dados.
  2. A Fast Track, de acordo com suas obrigações legais como Processador de Dados e sem custo adicional para o Cliente, fornecerá toda a assistência razoável ao Cliente na preparação de qualquer avaliação de impacto de privacidade antes do início de quaisquer atividades de processamento. Essa assistência pode, a critério do Cliente, incluir, mas não se limitar a:
    • uma descrição sistemática das operações de processamento previstas e o objetivo do processamento;
    • uma avaliação da necessidade e proporcionalidade das operações de processamento em relação aos serviços;
    • uma avaliação dos riscos apresentados aos direitos e liberdades dos Titulares dos Dados;
    • as medidas previstas para lidar com os riscos e garantir a proteção dos Dados Pessoais, incluindo salvaguardas, medidas de segurança e mecanismos.

9. Manutenção de Registros

  1. De acordo com suas obrigações legais como Processador de Dados, a Fast Track manterá registros e informações completos e precisos para atender aos requisitos do Artigo 30 (2) do GDPR e como evidência do cumprimento dos requisitos do Artigo 28 do GDPR. A Fast Track também fornecerá esses registros ao Cliente mediante solicitação.

10. Auditorias

  1. A Fast Track permitirá e contribuirá para auditorias de suas atividades de Processamento pelo Cliente ou pelo auditor designado pelo Cliente.
  2. O Cliente dará à Fast Track um aviso razoável de qualquer auditoria e evitará razoavelmente causar qualquer interrupção nas operações, equipamentos, instalações e pessoal da Fast Track durante a realização da auditoria.
  3. A Fast Track não precisa permitir o acesso às suas instalações para a realização de tal auditoria:
    1. Fora do horário comercial normal nessas instalações, a menos que a auditoria precise ser realizada em caráter de emergência e o Cliente tenha notificado a Fast Track que esse é o caso antes do início da auditoria fora do horário comercial normal;
    2. Para fins de mais de uma auditoria, em relação à Fast Track, em qualquer ano civil, exceto por quaisquer auditorias adicionais que:
      1. o Cliente considere razoavelmente necessárias devido a preocupações legítimas quanto ao cumprimento da Fast Track deste Acordo; ou
      2. o Cliente é obrigado ou solicitado a realizar pela Legislação de Proteção de Dados, uma Autoridade de Supervisão ou qualquer autoridade reguladora similar responsável pela aplicação da Legislação de Proteção de Dados em qualquer país ou território, ou
      3. quando o Cliente tiver identificado suas preocupações ou a exigência ou solicitação relevante em seu aviso à Fast Track da auditoria.

11. Exclusão e Devolução de Dados

  1. Dentro de dez (10) dias da data de término deste Acordo, o Cliente pode, a seu critério absoluto e por aviso por escrito, solicitar à Fast Track que:
    • devolva uma cópia completa de todos os Dados Pessoais do Cliente ao Cliente por transferência de arquivo segura no formato razoavelmente notificado pelo Cliente; e/ou
    • exclua e garanta a exclusão de todas as outras cópias de Dados Pessoais processados ​​pela Fast Track e qualquer outro Subprocessador contratado.
  2. A Fast Track deve cumprir tal solicitação dentro de quarenta (40) dias da data de término deste Acordo e fornecer um certificado de destruição para confirmar a exclusão. A Fast Track também é obrigada a garantir que qualquer Subprocessador envolvido exclua ou devolva os Dados Pessoais.
  3. A Fast Track e cada Subprocessador contratado podem, no entanto, reter Dados Pessoais na medida exigida pela Legislação de Proteção de Dados aplicável e por qualquer outra lei aplicável na medida e pelo período exigido por força dessas leis e sempre garantindo a confidencialidade desses dados. A Fast Track notificará o Cliente se esta cláusula se aplicar ao receber um aviso por escrito conforme detalhado na seção 11.1.

12. Acordo

  1. Este Acordo substitui expressamente e revoga todos os outros acordos, orais ou escritos, entre as Partes em relação ao objeto deste Acordo.

13. Alterações

  1. O Cliente pode, a qualquer momento, com no mínimo trinta (30) dias úteis de antecedência, revisar este adendo substituindo os termos por cláusulas padrão aplicáveis ​​de controlador para processador ou termos semelhantes que façam parte de um esquema de certificação aplicável ou estabelecidos por uma Autoridade de Supervisão relevante.

14. Encarregado de Proteção de Dados

  1. A Fast Track, quando necessário, designará um Encarregado de Proteção de Dados (DPO) e fornecerá ao Cliente os detalhes de contato dessa pessoa. A transmissão de qualquer comunicação entre as Partes relacionada aos Dados Pessoais deve ser feita por e-mail.
  2. Se a Fast Track não for obrigada a designar um Encarregado de Proteção de Dados, a Fast Track ainda fornecerá detalhes de uma pessoa de contato para questões de proteção de dados.
  3. O Cliente deve designar um Encarregado de Proteção de Dados e encaminhar os detalhes de contato para a Fast Track
  4. A Fast Track designou um DPO/pessoa responsável por assuntos de Proteção de Dados, que pode ser contatado em [email protected].

15. Prazo e Rescisão

  1. Este Acordo entrará em vigor simultaneamente com o Acordo e permanecerá em vigor enquanto o Acordo estiver em vigor. Este Acordo será rescindido, sem aviso prévio, simultaneamente com o Acordo, independentemente do motivo, exceto pelas cláusulas que foram expressamente estipuladas para sobreviver à rescisão.

16. Responsabilidade

  1. A responsabilidade das Partes por danos decorrentes de violações deste Acordo é, salvo disposição em contrário expressa, sujeita às mesmas limitações de responsabilidade estabelecidas no Acordo. No caso de múltiplas reivindicações por danos sob este Acordo e o Acordo de Serviço, tal responsabilidade será cumulativa em relação à responsabilidade máxima.
  2. Nada contido neste Acordo isenta a Fast Track de suas próprias responsabilidades e obrigações diretas como Processador de Dados nos termos da Legislação de Proteção de Dados.

17. Custos

  1. Cada Parte é responsável por seus próprios custos relacionados à preparação e execução deste Acordo, incluindo, mas não se limitando a, taxas e custos de seus próprios representantes, consultores, corretores e outros intermediários e autoridades.

18. Divisibilidade

  1. Se qualquer disposição, total ou parcialmente, deste Acordo for considerada ilegal, inválida ou inexequível por um tribunal de jurisdição competente, a disposição em questão será considerada nula e sem efeito, enquanto as disposições restantes continuarão em pleno vigor e efeito.

19. Disputas e Lei Aplicável

  1. As partes deste Acordo se submetem à escolha da lei e da jurisdição estipuladas no Acordo em relação a quaisquer disputas ou reivindicações decorrentes deste Acordo.

Anexo A - Instruções

Processamento, Dados Pessoais e Titulares dos Dados

O Contratante deverá cumprir quaisquer instruções adicionais por escrito em relação ao processamento pelo Cliente.

Tais instruções adicionais serão incorporadas a este Anexo.

Descrição Detalhes
Objeto do processamento A Fast Track está fornecendo uma plataforma ao Cliente que fornece acesso, em tempo real, a dados sobre registro, depósito, login, apostas de jogadores, resultado de uma aposta e outros dados transacionais de seus usuários finais, para permitir que o Cliente gerencie, segmente e se comunique eficientemente com esses usuários finais.
Duração do processamento Pelo prazo do Acordo.
Natureza e finalidades do processamento

O Cliente transferirá os dados pessoais para a Fast Track, a Fast Track não realizará nenhuma coleta de dados.

Todos os dados pessoais contendo dados de contato serão transferidos com segurança usando comunicação de servidor para servidor na camada de integração.

Novas transações e eventos serão transferidos para a Fast Track em tempo real.

Dados históricos (transações como depósitos, saques, apostas feitas) podem ser migrados de tempos em tempos e serão transferidos via upload seguro de FTP, importados uma vez para a Fast Track e, em seguida, o arquivo de origem será destruído.

A Fast Track não coletará nenhum dado por conta própria e dependerá exclusivamente dos dados fornecidos pelo Cliente.

O Cliente usará a plataforma Fast Track para orquestrar várias atividades de marketing, incluindo, mas não se limitando a, crédito de recompensas, envio de e-mails, envio de SMS, envio de notificações push ou notificações no site. Dados de contato e consentimentos de marketing são necessários para realizar essas operações.

O Cliente usará a plataforma Fast Track para enviar informações, como alterações de conta e informações transacionais, isso pode incluir, mas não se limitar a, ativações de e-mail, solicitações de redefinição de senha, informações sobre alterações na conta, informações sobre transações aprovadas / recusadas. Dados de contato, como e-mail e número de telefone, e consentimentos de marketing são necessários para realizar essas operações.

A plataforma Fast Track processará em tempo real dados transacionais e o Cliente poderá agir em tempo real, com base nesses dados, envolvendo o cliente e/ou notificando equipes internas.

O Cliente transferirá alterações de consentimento de marketing em tempo real.

A Fast Track pode registrar atualizações de consentimento de marketing a partir de e-mails, nesse caso, a Fast Track atualizará os registros internos e notificará o Cliente sobre quaisquer alterações de consentimento em tempo real.
Tipo de Dados Pessoais Endereço de e-mail, número de telefone, consentimento de marketing, idade, data de nascimento, nome, sobrenome, país, endereço físico, dados transacionais (depósitos e saques), dados transacionais relacionados a giros ou apostas realizadas, informações de bônus e recompensas, status de bloqueio / autoexclusão, data de registro, referência de afiliado, datas de transações, uso de dispositivo, saldo atual.
Categorias de Titulares dos Dados Clientes do Cliente.
Plano para devolução e destruição dos Dados Pessoais após a conclusão do processamento

De acordo com a Cláusula 11 deste Acordo, a Fast Track cumprirá uma solicitação de devolução e/ou exclusão de todas as cópias de Dados Pessoais do Cliente dentro de 40 dias dessa solicitação, garantindo o mesmo em relação a cada Subprocessador.

No entanto, os Dados Pessoais do Cliente podem ser retidos na medida exigida pela Legislação de Proteção de Dados aplicável pelo tempo necessário por tais leis, garantindo a confidencialidade desses dados a todo momento e mediante aviso ao Cliente.

Anexo B

Subprocessadores aprovados
Nome Completo e Detalhes do Subprocessador Local de Processamento Natureza e Finalidade do Processamento
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855, Luxemburgo Dublin

A Fast Track pode usar a infraestrutura técnica fornecida pela Amazon Web Services (AWS) para realizar os Serviços estipulados no Acordo com o Cliente.

A AWS é usada para os seguintes fins principais:

- Armazenar os dados pessoais e transacionais dos clientes do Cliente em servidores e bancos de dados da AWS;

- Possibilitar a realização dos Serviços prestados pela Fast Track, incluindo o lançamento de campanhas de marketing pelo Cliente em relação aos clientes do Cliente ou atividades de modelagem/ciência de dados;

- Possibilitar processos de segmentação dos dados transferidos pelo Cliente para a Fast Track, de acordo com as instruções do Cliente.

A AWS é certificada SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27017 e ISO 27018.

A Fast Track usa o centro de dados da AWS em Dublin, Irlanda. No entanto, caso o Cliente armazene dados em servidores localizados fora da Europa, para fins de desempenho técnico, a Fast Track pode contar com outro centro de dados da AWS e informará o Cliente sobre a localização desse centro de dados.

Anexo C – Medidas de Segurança Técnicas e Organizacionais

Medidas Gerais
ID de Controle Requisitos
5.1.1. a Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela administração, publicado e comunicado aos funcionários e partes externas relevantes.
5.1.1. b A Fast Track garantirá que seu pessoal concorde com os termos e condições relacionados à segurança da informação.
15.1.1 b Um processo formal de avaliação de riscos de segurança da informação deve ser definido e implementado.
15.1.1 c Um processo de tratamento de riscos de segurança da informação deve ser implementado para selecionar opções apropriadas de tratamento de riscos de segurança da informação.
15.1.3 e O Contratante de serviços em nuvem deve incluir requisitos para abordar os riscos de segurança da informação associados aos serviços de tecnologia da informação e comunicação por meio de sua cadeia de suprimentos de produtos.
15.1.3 f Todos os dados estruturados e não estruturados devem estar disponíveis para o cliente e fornecidos a ele mediante solicitação em um formato padrão do setor.
6.1.1 Todas as responsabilidades de segurança da informação devem ser definidas e alocadas.
6.1.2 Deverão ser segregadas as funções e áreas de responsabilidade conflitantes para reduzir oportunidades de modificação ou uso não autorizado ou não intencional dos ativos da organização.
6.1.3 Deverá ser implementada uma política e medidas de segurança de suporte para proteger informações acessadas, processadas ou armazenadas ao usar computação móvel e trabalho remoto.
7.1.1 Verificações de verificação de antecedentes em todos os candidatos a emprego devem ser realizadas de acordo com as leis, regulamentos e ética relevantes e devem ser proporcionais aos requisitos comerciais, à classificação das informações a serem acessadas e aos riscos percebidos.
7.2.2 Todos os funcionários da organização e, quando relevante, os contratados devem receber educação e treinamento adequados de conscientização e atualizações regulares nas políticas e procedimentos organizacionais relevantes para seus cargos.
8.1.2 A propriedade de um ativo deve ser atribuída e gerenciada durante o ciclo de vida do ativo.
8.1.3 Todos os funcionários e usuários de partes externas devem, em tempo hábil, devolver todos os ativos da Operadora em sua posse ao término de seu emprego, contrato ou 8.2.2 Deve ser desenvolvido e implementado um conjunto apropriado de procedimentos para rotulagem de informações, de acordo com o esquema de classificação de informações adotado pela organização.
8.2.3 Meios de armazenamento sensíveis e removíveis (por exemplo, CDs, DVDs e pen drives USB) devem ser protegidos contra acesso não autorizado, uso indevido ou corrupção durante o transporte.
8.3.3 Meios de armazenamento contendo informações confidenciais devem ser protegidos contra acesso não autorizado, uso indevido ou corrupção durante o transporte.
9.2.1 a O Contratado deve proteger as informações do Cliente contra acesso de outros clientes de nuvem ou pessoas não autorizadas.
9.1.2 b Um processo formal de registro e desregistro de usuários deve ser implementado para atribuir ou revogar direitos de acesso para todos os tipos de usuários em todos os sistemas e serviços.
9.2.1 b O uso de identidades de usuário individuais deve ser obrigatório.
9.2.3 A alocação e o uso de direitos de acesso privilegiados devem ser restritos e controlados.
9.2.4 a Senhas padrão e temporárias, bem como chaves criptográficas, devem ser mantidas em sigilo e alteradas antes de serem utilizadas.
9.2.4 b A alocação de informações de autenticação secreta deve ser controlada por meio de um processo de gerenciamento formal.
9.2.4.c As senhas devem ser armazenadas e transmitidas de forma segura para evitar comprometimento.
9.4.2 d Deve ser implementado um processo seguro de redefinição de senha.
9.2.5 Os direitos de acesso devem ser revisados e documentados em intervalos regulares.
9.2.6 Os direitos de acesso de todos os funcionários e usuários de partes externas às informações e instalações de processamento de informações devem ser removidos ao término de seu emprego, contrato ou acordo, ou ajustados em caso de alteração.
9.3.1 Os usuários devem ser obrigados a seguir as práticas da organização no uso de informações de autenticação secreta.
9.4.3 O uso de senhas de qualidade deve ser obrigatório.
9.4.4 O uso de programas utilitários que possam anular os controles do sistema e da aplicação deve ser restrito e rigorosamente controlado.
9.4.2 a Quando exigido pela política de controle de acesso, o acesso a sistemas e aplicativos deve ser controlado por um procedimento seguro de logon.
11.1.1 Devem ser definidos e utilizados perímetros de segurança para proteger áreas que contenham informações sensíveis ou críticas e instalações de processamento de informações.
11.1.2 As áreas seguras devem ser protegidas por controles de entrada adequados para garantir que apenas pessoal autorizado tenha acesso.
11.1.4 Deve ser projetada e aplicada proteção física contra desastres naturais, ataques maliciosos ou acidentes.
11.1.5 Os equipamentos devem ser instalados e protegidos para reduzir os riscos de ameaças e perigos ambientais, bem como as oportunidades de acesso não autorizado.
11.1.6 Os equipamentos devem ser protegidos contra falhas de energia e outras interrupções causadas por falhas nos serviços de suporte.
11.1.7 A segurança deve ser aplicada aos ativos fora das instalações da organização, levando em consideração os diferentes riscos de trabalhar fora das instalações da organização.
12.1.1 Os procedimentos operacionais devem ser documentados e disponibilizados a todos os usuários que precisam deles.
12.1.2 b As alterações nos sistemas e serviços devem ser autorizadas, aprovadas e comunicadas por e para as partes interessadas apropriadas, de acordo com as regras definidas.
12.1.2 c Deve ser definido e testado um procedimento de contingência antes que uma alteração seja realizada.
12.1.2 d O Contratado deve implementar alterações de emergência quando disponíveis e aprovadas, a menos que essa implementação introduza riscos comerciais mais altos.
12.1.4 a Os ambientes de desenvolvimento, teste e operacional devem ser separados para reduzir os riscos de acesso não autorizado ou alterações no ambiente operacional.
12.1.4 b As atividades e pontos de decisão no processo de alteração devem ser registrados.
12.1.4 c As regras para a transferência de software do desenvolvimento para o status operacional devem ser definidas e documentadas.
12.1.5 Os procedimentos para operações administrativas de um ambiente de computação em nuvem devem ser definidos, documentados e monitorados.
12.2.1 Devem ser implementados controles de detecção, prevenção e recuperação para proteger contra malware, combinados com conscientização adequada do usuário.
12.3.1 a Devem ser feitos backups de informações, software e imagens do sistema de acordo com os requisitos comerciais para o objetivo de ponto de recuperação e o objetivo de tempo de recuperação.
12.3.1 b Os backups devem ser testados regularmente para garantir a integridade dos dados e que os requisitos comerciais para o objetivo de ponto de recuperação e o objetivo de tempo de recuperação possam ser atendidos.
12.3.1 c Os backups devem ter um período de retenção definido, após o qual os dados podem ser descartados.
12.4.1 a Devem ser produzidos, mantidos e monitorados registros de eventos que registrem as atividades do usuário, exceções, falhas e eventos de segurança da informação.
12.4.1 b O registro deve ser ativado em todos os firewalls e os registros de firewall devem ser retidos centralmente e protegidos adequadamente.
12.4.2 As instalações de registro e as informações de registro devem ser protegidas contra adulteração e acesso não autorizado.
12.4.4 Os relógios de todos os sistemas de processamento de informações relevantes dentro de uma organização ou domínio de segurança devem ser sincronizados com uma única fonte de tempo de referência.
12.5.1 a Devem ser implementados procedimentos para controlar que apenas software suportado e documentado seja instalado em sistemas operacionais.
12.5.1 b As máquinas físicas e virtuais devem ser protegidas de acordo com as recomendações do Contratado.
12.6.1 a As vulnerabilidades nos sistemas e serviços devem ser identificadas.
12.6.1 b As vulnerabilidades nos sistemas e serviços devem ser gerenciadas.
13.1.1. a As redes devem ser gerenciadas e controladas para proteger informações em sistemas e aplicativos.
13.1.1 b Controles especiais devem ser habilitados para proteger a confidencialidade e a integridade dos dados em trânsito, de acordo com as melhores práticas e padrões do setor, como criptografia TLS, criptografia WPA2, firewall gerenciado, etc.
13.1.3 Devem ser implementados firewalls de aplicativos da web em frente a aplicativos e serviços da web voltados para o público.
13.2.4 Os requisitos para acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização para a proteção de informações devem ser identificados, revisados regularmente e documentados.
14.2.1 Devem ser estabelecidas e aplicadas regras para o desenvolvimento de software e sistemas dentro da organização.
14.2.5 Devem ser estabelecidos, documentados, mantidos e aplicados princípios para a engenharia de sistemas seguros em qualquer esforço de implementação de sistemas de informação.
14.2.9 Devem ser estabelecidos critérios e programas de testes de aceitação para novos sistemas de informação, atualizações e novas versões.
14.2.8 a O Contratado deve, pelo menos anualmente e após qualquer atualização ou modificação significativa da infraestrutura ou aplicativo, oferecer testes de penetração.
14.2.8 b As aplicações e interfaces de programação (APIs) devem ser projetadas, desenvolvidas, implantadas e testadas de acordo com os principais padrões do setor (por exemplo, OWASP para aplicações web) e devem obedecer a obrigações legais, estatutárias ou regulatórias aplicáveis.
14.2.8 c O Contratado deve realizar regularmente testes de segurança manuais e automatizados do aplicativo para garantir que o aplicativo esteja razoavelmente livre de defeitos de segurança do aplicativo.
14.3.1 Informações confidenciais ou sensíveis, incluindo, mas não se limitando a, Dados Pessoais e qualquer informação definida como informação confidencial, nunca devem ser usadas para fins de teste.
16.1.1 a Devem ser estabelecidas responsabilidades e procedimentos de gerenciamento para garantir uma resposta rápida, eficaz e ordenada a incidentes de segurança da informação.
16.1.1 b Eventos de segurança da informação devem ser relatados de forma padronizada por meio dos canais de gerenciamento apropriados o mais rápido possível.
16.1.4 Os eventos de segurança da informação devem ser avaliados e deve ser decidido se devem ser classificados como incidentes de segurança da informação.
16.1.5 a Planos de Resposta a Incidentes (IRP) específicos para Incidentes de Segurança da Informação identificados e acordados devem ser documentados para atender a exigências legais, regulatórias e comerciais.
16.1.5 b Deve haver exercícios anuais para treinar, testar e melhorar o processo geral e os planos de resposta a incidentes específicos com base em um plano de teste acordado e documentado.
17.1.1 Todos os sistemas de TI devem ter um procedimento documentado de restauração e recuperação para atender aos objetivos de tempo de recuperação.
17.1.2 Todos os planos de recuperação de desastres e procedimentos de recuperação de sistemas de TI devem ser verificados e testados em intervalos regulares.
18.1.1 a Os dados financeiros devem ser arquivados de acordo com a legislação aplicável.
18.1.1 b A segregação de funções ao processar dados financeiros deve ser definida e implementada.

18.1.1 c O Contratante deve manter uma classificação SSL Labs de pelo menos "A" para qualquer site externo usado para armazenar ou acessar os dados do Cliente.

18.2.1 a O Contratante deve fornecer suporte para conformidade com auditorias externas e internas às quais o Cliente está sujeito de tempos em tempos. Todas as ocorrências de auditorias técnicas (ou seja, testes de vulnerabilidade e penetração de infraestrutura e aplicativos em escopo) estão sujeitas a uma avaliação conjunta liderada pelo Cliente.

18.2.1 b Os sistemas de informação devem ser revisados regularmente para conformidade com as políticas e padrões de segurança da informação da organização.

Medidas Específicas

Portal de Migração de Dados

  • Os dados do usuário final do Cliente serão migrados usando um portal de migração de dados fornecido pela Fast Track. O portal permitirá que o gerente de migração de dados selecione quais dados do usuário migrar (detalhes, consentimentos, cassino, esportes, pagamentos aprovados etc.), quais usuários serão migrados e por qual período (vida útil ou dias específicos).
  • O Cliente é responsável por realizar qualquer migração ou correção de dados, iniciativas e deve, como parte desse processo, conciliar e aprovar que os dados importados estão corretos.
  • Se os dados fornecidos à Fast Track não estiverem conciliando com os sistemas do Cliente, eles devem ser tratados como um incidente de alta prioridade.

Correção de Dados com Base em Informações Errôneas

  • Caso haja algum problema com o banco de dados ou feed de dados ao vivo que cause a incorreção dos dados do cliente, o portal de migração de dados será usado para recuperar / corrigir tais dados.

Precisão dos Dados

  • Para garantir que os dados sejam precisos e corretos o tempo todo, foram implementadas três medidas principais para alcançar a maior integridade possível.
  1. O Cliente deve garantir a captura e o gerenciamento de todos os erros da API de integração da Fast Track. Cada transmissão deve ser verificada como recebida pela Fast Track com um OK.
  2. O Cliente deve assumir que, ao receber essa verificação por meio de um OK, a Fast Track é responsável por garantir que esses dados sejam processados e refletidos na plataforma da Fast Track.
  3. O Cliente pode, a seu critério, conciliar manualmente uma conta de usuário específica ou um grupo de contas de usuário por meio do portal de migração de dados.
  4. Para evitar dúvidas, o Cliente é responsável por fornecer o monitoramento necessário para gerenciar quaisquer falhas na transmissão de dados, bem como qualquer remédio complementar da transmissão de dados falhada. A Fast Track é responsável por fornecer o monitoramento necessário para gerenciar quaisquer falhas no processamento desses dados dentro da plataforma da Fast Track. A Fast Track fornecerá um painel que oferece transparência de qualquer problema relacionado ao Cliente, atualizado em tempo real.

Acesso a Dados e Segurança de Dados

  • A Fast Track só poderá acessar dados sensíveis do cliente (detalhes de contato) por meio de APIs fornecidas pelo Cliente.
  • Dados transacionais históricos ou correções específicas de pontos de dados de natureza não sensível (exceto detalhes de contato) podem, em alguns casos, não estar disponíveis na API e, nesse caso, devem ser transferidos em massa. Nesse caso, o arquivo contendo essas transações será transferido com segurança usando FTP (SFTP). Esse arquivo será destruído imediatamente após ser processado nos sistemas da Fast Track.
  • Os pontos de extremidade usados pelo portal de migração de dados, que não são necessários para o funcionamento da plataforma da Fast Track, só serão disponibilizados mediante solicitação e por um período de tempo específico para maior proteção.

Segurança da API

  • O Cliente fornecerá à Fast Track uma chave de API. Essa chave é necessária ao usar a API.
  • Toda a comunicação deve ser feita por meio de um canal criptografado usando https.
  • Lista de permissões de IPs específicos usados pela plataforma da Fast Track para acessar a API do Cliente.

Acesso do Usuário / Integração GSuite

  • A Fast Track fornecerá um portal abrangente para configurar direitos de acesso, grupos de usuários e convidar usuários.
  • O acesso do usuário é controlado pela plataforma da Fast Track.
  • Após a entrega do Ambiente de Integração ao Cliente, a Fast Track configurará uma conta de Super Administrador que pertence ao Cliente. Esse Super Administrador poderá configurar funções e direitos de acesso e convidar os usuários e associar as funções e grupos corretos na organização.
  • Qualquer usuário que tenha sido convidado / registrado na plataforma da Fast Track, em seguida, usará a solução de login único (SSO) do GSuite para fazer login no back-office.

Criptografia de Dados do Usuário

  • Além da criptografia fornecida pela plataforma da Fast Track, o Cliente pode sugerir uma criptografia adicional de campos ou dados do cliente e a Fast Track pode propor uma solução para suportar isso dentro de um prazo razoável.

Teste de Penetração / Auditoria do Sistema

  • A Fast Track ainda não passou por nenhum teste de penetração ou agendou nenhum até o momento.
  • O Cliente pode, a seu critério, organizar um teste de penetração potencial para auditar o sistema. Nesse caso, a Fast Track fornecerá recursos relevantes para apoiar esse teste. O Cliente deve dar um aviso prévio de 14 dias antes que esse teste ocorra para que a Fast Track possa garantir que tenha recursos suficientes disponíveis.
  • A Fast Track deve resolver quaisquer problemas críticos que possam surgir desse teste.

Acesso aos Ambientes

  • A Fast Track deve ter controle total e direitos de acesso relevantes ao ambiente para manter a plataforma da Fast Track operacional o tempo todo. Com isso dito, ambas as partes devem revisar regularmente e garantir que o acesso mínimo necessário seja fornecido.

Ambientes