CenturyLink e Proteção de Dados

Atualização: 23 de outubro de 2018

A CenturyLink está comprometida com a proteção e gestão cuidadosa de todos os dados dos clientes. Embora as diretrizes e regulamentos de proteção global tenham continuado a evoluir, a legislação da União Européia sobre o Regulamento Geral sobre a Proteção de Dados (GDPR) entreou em vigor recentemente, com o objetivo de fortalecer e unificar essas leis para os cidadãos da UE.

Se tiver interesse em saber mais sobre a  conformidade da CenturyLink para com o GDPR, clique aqui.

Se a sua empresa estiver usando os serviços da CenturyLink para o processamento de dados pessoais sujeitos ao Regulamento Geral sobre a Proteção de Dados da UE, clique aqui para aceitar os Termos da Proteção de Dados da CenturyLink e receba a confirmação por e-mail para seuns fins de registro.


Anexo de Proteção de Dados da CenturyLink

  1. Aplicabilidade. Este Anexo de Proteção de Dados ("Anexo de DP") faz parte do Contrato entre o Cliente e a CenturyLink e é aplicável à prestação de determinados Serviços da CenturyLink. No caso de conflito entre o Contrato, o(s) Anexo(s) de Serviços aplicável(is) e este Anexo de DP, os termos deste Anexo de DP prevalecerão.
  2. Definições. Neste Anexo de DP, as seguintes definições se aplicam:
    • "Controlador de Dados" "Processador de Dados" "Sujeitos de Dados" "Dados Pessoais" e "Violação de Dados Pessoais" terão os significados a eles designados no GDPR.
    • "Leis de Proteção de Dados" significam as disposições de leis aplicáveis que regulam o uso e o processamento de dados relativos a pessoas, conforme possa ser definido nessas disposições, incluindo a) antes de 25 de maio de 2018, a Diretiva de Proteção de Dados da UE 95/46/CE, b) depois de 25 de maio de 2018 o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679) ("GDPR"), c) a Diretiva de Proteção de Dados de Comunicações Eletrônicas 2002/58/CE, os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva CE) 2003 e d) todas as demais leis e regulamentos relativos ao processamento de dados pessoais.
    • "Serviços" significam os Serviços da CenturyLink a serem fornecidos ao Cliente de acordo com o Contrato e o(s) Anexo(s) de Serviços aplicável(eis).
  3. Conformidade com as Leis de Proteção de Dados.
    1. A CenturyLink e o Cliente concordam que o Cliente é um Controlador de Dados independente com relação ao processamento de Dados Pessoais que são necessários para a operação dos Serviços, e a CenturyLink é uma Controladora de Dados independente com relação ao processamento de faturamento, utilização, padrões/contagens, estatística de uso, dados de tráfego e outras informações relacionadas com a conta do Cliente (p. ex., nome, endereço, endereço de e-mail) na medida em que são Dados Pessoais que são necessários para a CenturyLink desempenhar suas obrigações de acordo com o Contrato e o(s) Anexo(s) de Serviços aplicável(is) ou com relação a quaisquer Dados Pessoais mantidos para fins de negócios gerais.
    2. A CenturyLink e o Cliente cumprirão sempre todas as suas obrigações sob as Leis de Proteção de Dados com relação a quaisquer Dados Pessoais processados por ela sob o Contrato.
  4. Processamento de Dados
    1. A CenturyLink reconhece que é uma Processadora de Dados em nome do Cliente para os fins de fornecimento de Serviços e realização de suas obrigações relacionadas (incluindo serviços de resolução de incidentes, suporte ou consultoria). O assunto, a duração e a natureza do processamento, os tipos de Dados Pessoais e os Sujeitos de Dados aplicáveis estão descritos no(s) Anexo(s) de Serviços.
    2. Na medida em que CenturyLink processa os Dados Pessoais em nome do Cliente como Processadora de Dados, a CenturyLink (e todas as coligadas da CenturyLink):
      • Somente processará Dados Pessoais de acordo com as instruções documentadas do Cliente, incluindo o estabelecido no Contrato e neste Anexo de DP e garantirá que o pessoal da CenturyLink processe Dados Pessoais somente de acordo com essas instruções do Cliente, a menos que o processamento seja exigido por lei da UE ou de um estado-membro ao qual a CenturyLink esteja sujeita, e nesse caso a CenturyLink, no limite permitido por essa lei, informará o Cliente sobre essa exigência legal antes de processar os Dados Pessoais.
      • Restringirá a divulgação e processamento de Dados Pessoais ao limite necessário para fornecer os Serviços, ou se de outra forma permitido nos termos deste Contrato e de seu Anexo DP, ou pelo Cliente por escrito, e somente divulgará Dados Pessoais que precisem ser conhecidos em conexão com os Serviços àqueles que tenham se comprometido com a confidencialidade, ou como exigido pela lei aplicável.
      • Considerando o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento assim como o risco da probabilidade e severidade variáveis dos direitos e liberdades das pessoas naturais, implementará e manterá medidas técnicas e organizacionais adequadas projetadas para proteger os Dados Pessoais contra destruição acidental ou ilegal, ou perda acidental, alteração, divulgação ou acesso não autorizados, e contra todas as formas ilegais de processar e assegurar um nível de segurança apropriado ao risco apresentado pelo processamento.
      • Assegurará que somente as pessoas que precisam ter acesso aos Dados Pessoais tenham esse acesso, e que esse acesso seja concedido somente para o fornecimento adequado dos Serviços; e
      • Se e na medida em que a CenturyLink mantiver uma cópia de quaisquer Dados Pessoais, não manterá esses Dados Pessoais por mais tempo que o necessário para executar os Serviços e, a critério do Cliente, destruirá seguramente ou devolverá esses Dados Pessoais, salvo se a manutenção desses Dados Pessoais for exigida por lei ou regulamento. As partes concordam que a CenturyLink não processará ativamente esses Dados Pessoais e será vinculada pelas disposições deste Anexo de DP com relação a quaisquer Dados Pessoais mantidos. A CenturyLink excluirá esses dados imediatamente depois que não mais for obrigada a mantê-los e só os processará na medida necessária para cumprir as leis aplicáveis.
  5. Subprocessamento
    1. O Cliente dá autorização geral à CenturyLink para nomear subprocessadores de acordo com quaisquer restrições neste Anexo de DP e no Contrato.
    2. Antes de divulgar quaisquer Dados Pessoais a qualquer subprocessador, a CenturyLink garantirá que realizou auditoria adequada com relação a esse subprocessador e garantirá também que o subprocessador celebre um contrato escrito com termos que disponham que o subprocessador tem obrigações equivalentes àquelas estabelecidas neste Anexo de DP. A CenturyLink permanecerá totalmente responsável perante o Cliente por qualquer violação dessas obrigações pelo subprocessador.
    3. A CenturyLink manterá uma lista atualizada desses subprocessadores e informará ao Cliente detalhes de qualquer alteração pretendida nos subprocessadores pelo menos 30 dias antes de tal alteração. O Cliente poderá apresentar objeção à nomeação ou substituição de um subprocessador pela CenturyLink antes da nomeação ou substituição, contanto que essa objeção seja baseada em suposição fundada com relação à proteção de dados. Nesse caso, a CenturyLink não nomeará ou substituirá o subprocessador ou, se isso não for possível, o Cliente poderá rescindir o Anexo de Serviço aplicável (sem prejuízo de quaisquer taxas incorridas pelo Cliente antes da rescisão). A CenturyLink não usará esse subprocessador até que essas objeções sejam resolvidas ou o Cliente tenha rescindido o Anexo de Serviço aplicável.
  6. Cooperação
    1. Na medida do possível, a CenturyLink notificará imediatamente o Cliente sobre qualquer consulta, aviso de reclamação ou outra comunicação que receber de qualquer autoridade de supervisão ou de qualquer Sujeito de Dados com relação aos Serviços (incluindo solicitações para acessar, corrigir, excluir, bloquear ou restringir o acesso aos Dados Pessoais ou receber uma cópia legível por máquina desses dados) e, na medida do possível e viável do ponto de vista técnico, ajudar o Cliente em sua obrigação de responder a qualquer notificação ou solicitação de direitos de Sujeitos de Dados de acordo com os prazos estabelecidos nas Leis de Proteção de Dados.
    2. Se o Cliente acreditar razoavelmente que o processamento de Dados Pessoais pela CenturyLink provavelmente resultará em alto risco para os direitos e liberdades de proteção de dados de Sujeitos de Dados, a CenturyLink, mediante solicitação do Cliente, ajudará o Cliente com relação a qualquer avaliação e consulta prévia relativas ao impacto na proteção de dados, que podem estar sujeitas a taxas e termos adicionais que podem ser exigidos pelas Leis de Proteção de Dados, levando em consideração a natureza do processamento e as informações disponíveis à CenturyLink.
  7. Relatório de Violação. A CenturyLink notificará o Cliente sem atraso indevido se tomar conhecimento de qualquer Violação de Dados Pessoais envolvendo Dados Pessoais Processados em nome do Cliente usando os Serviços, e subsequentemente cooperará com o Cliente e fornecerá ao Cliente assistência razoável que possa ser necessária na investigação, remediação e mitigação de tal violação. A CenturyLink fornecerá ao Cliente assistência razoável com relação a obrigações de relatório de violação que o Cliente possa ter, e fornecerá as informações adicionais relativas a tal violação que o Cliente possa razoavelmente solicitar. As partes concordam antecipadamente e por escrito com relação a responsabilidades de remediação e custos que excedam aqueles do processo de resposta a incidentes padrão da CenturyLink.
  8. Auditorias. A CenturyLink manterá todas as informações necessárias para demonstrar conformidade com suas obrigações identificadas neste Anexo de DP e um registro escrito de todo processamento de Dados Pessoais em nome do Cliente e, mediante solicitação razoável, concederá ao Cliente, seus auditores e agentes o direito de acesso e de fazer cópias de registros relativos à conformidade e todo processamento desses Dados Pessoais em nome do Cliente para avaliar se a CenturyLink cumpriu suas obrigações com relação ao processamento de Dados Pessoais. Mediante aviso razoável, a CenturyLink permitirá ao Cliente acesso ou, quando aplicável, cooperará com o Cliente e terceiros provedores da CenturyLink o acesso às instalações e a outros materiais e pessoal, e fornecerá assistência razoável para ajudar o Cliente a exercer seus direitos de auditoria de acordo com esta cláusula contanto que: (i) esse acesso ocorra em um horário acordado mutualmente e o escopo da visita seja mutuamente acordado; (ii) esse acesso não interfira razoavelmente nas operações da CenturyLink; e (iii) o acesso às instalações e sistemas da CenturyLink esteja sujeito a políticas razoáveis de requisitos de acesso e segurança da CenturyLink e não comprometa nenhuma informação confidencial à qual o Cliente não tem direito.
  9. Transferências. A CenturyLink não transferirá nenhum Dado Pessoal para fora do EEE, salvo na medida autorizada pelo Cliente, como segue:
    1. Na data deste Anexo de DP o Cliente autoriza a CenturyLink a transferir Dados Pessoais para os Estados Unidos com a finalidade específica de prestar Serviços e executar suas obrigações de acordo com o Contrato e o Anexo de Serviços aplicável. As partes concordam com as Cláusulas Contratuais Padrão (na forma adotada pela decisão 2010/87/UE de 5 de fevereiro de 2010) com a(s) coligada(s) da CenturyLink em nome do Cliente para fornecer proteção adequada para esses Dados Pessoais, com os Apêndices 1 e 2 a essas Cláusulas conforme anexadas a este documento; e
    2. Se após a data deste Anexo de DP a CenturyLink (ou qualquer coligada ou subcontratada) propuser a transferência de quaisquer Dados Pessoais para fora do EEE, exceto conforme autorizado acima, a CenturyLink (ou qualquer coligada ou subcontratada) obterá o consentimento do Cliente antes dessa transferência, e esse consentimento pode ser condicional à celebração pelas partes de um acordo que garanta que os Dados Pessoais estão precisamente protegidos conforme exigido pelas Leis de Proteção de Dados.
  10. Limite de Indenização. NÃO OBSTANTE NADA EM CONTRÁRIO EM OUTRA PARTE DO CONTRATO, A RESPONSABILIDADE AGREGADA TOTAL DE CADA PARTE RESULTANTE DE OU RELACIONADA COM ESTE ANEXO SERÁ LIMITADA (I) AO TOTAL DE MRC E TAXAS DE USO PAGAS OU A PAGAR PELO CLIENTE À CENTURYLINK NOS 12 MESES IMEDIATAMENTE ANTERIORES À OCORRÊNCIA DO EVENTO QUE CAUSOU A RECLAMAÇÃO OU (II) DOIS MILHÕES DE DÓLARES. ALÉM DISSO, A CENTURYLINK NÃO SERÁ RESPONSÁVEL NOS TERMOS DESTE INSTRUMENTO NA MEDIDA EM QUE QUALQUER PARTE QUE NÃO A CENTURYLINK OU SEUS SUBPROCESSADORES CAUSE OU CONTRIBUA PARA QUALQUER RESPONSABILIDADE.
  11. Futuras Alterações. As partes podem alterar este Anexo de DP a qualquer momento durante a vigência do Contrato mediante acordo escrito, se necessário, para cumprir qualquer exigência ou orientação legal de uma autoridade em nível de supervisão ou se necessário para levar em consideração quaisquer alterações ao processamento de Dados Pessoais em conformidade com o Contrato e o(s) Anexo(s) de Serviços aplicável(is).

Cláusulas Contratuais Padrão

Apêndice 1

Este Apêndice faz parte das Cláusulas e precisa ser preenchido pelas Partes.

Exportador de Dados: o Exportador de Dados é o Cliente, um cliente empresarial do Importador de Dados domiciliado nos Estados Unidos e que processa dados pessoais no curso regular de seus negócios, e que deseja obter serviços de processamento conforme autorizado por suas Coligadas no EEE e suas respectivas filiais que são controladoras baseadas no EEE.

Importador de Dados: o Importador de Dados é a CenturyLink Communications, uma empresa que presta serviços de comunicação e serviços de processamento de dados para o Exportador de Dados.

Sujeitos de Dados: os dados pessoais transferidos referem-se a funcionários, usuários, clientes e partes similares atuais, anteriores e futuras envolvidas com o Exportador de Dados.

Categorias de dados: os dados pessoais transferidos podem incluir, entre outros, nome, endereço, e-mail, número de telefone e outros dados pessoais que possam ser transferidos do controlador de dados para o processador de dados para serviços de processamento.

Categorias especiais de dados: os dados pessoais transferidos podem envolver categorias especiais de dados.

Operações do processador: o Importador de Dados, por meio de pessoal autorizado, executará os seguintes serviços de processamento: serviços de hospedagem em nuvem e comunicações conforme individualmente solicitados pelo Exportador de Dados e descritos mais amplamente em ordens de serviço, documentos de serviço e documentação contratual similar.

Cláusulas Contratuais Padrão

Apêndice 2

A CenturyLink implementou as medidas de segurança de dados descritas neste Apêndice e as manterá, ou manterá medidas equivalentes igualmente seguras, durante o prazo aplicável dos Serviços. Geralmente essas medidas aplicam-se a serviços padrão da CenturyLink e algumas medidas podem não se aplicar ou podem se aplicar diferentemente a serviços, configurações ou ambientes personalizados solicitados ou implementados pelo Cliente. Essas medidas foram implementadas pela CenturyLink para proteger, direta ou indiretamente, a confidencialidade, integridade e disponibilidade de Dados do Cliente. Conforme usado neste Apêndice, o termo "Dados do Cliente" significa quaisquer dados, conteúdo ou informações do Cliente ou seus usuários finais que são armazenadas, transmitidas ou processadas usando os Serviços da CenturyLink.

  1. CONFORMIDADE COM A LEI, RELATÓRIO DE AUDITORIA. A CenturyLink adotou e implementou um programa corporativo de segurança da informação, conforme descrito abaixo, que está sujeito a alterações razoáveis da CenturyLink periodicamente. A CenturyLink completou um relatório de auditoria Tipo II aprovado pela AICPA (SSAE18/ISAE3402 SOC 1 ou SOC 2) para determinadas instalações/serviços e continuará a conduzir essas auditorias em conformidade com uma norma aprovada atualmente ou sucessora. O Cliente terá o direito de receber uma cópia do relatório disponível na ocasião mediante solicitação, e esse relatório é Informação Confidencial da CenturyLink. O Cliente pode disponibilizar esse relatório para seus usuários finais sujeitos a termos de confidencialidade fornecidos pela CenturyLink. O Cliente garantirá que todos os Dados do Cliente estejam em conformidade com as leis aplicáveis e práticas de segurança da informação adequadas, e nada neste documento libera o Cliente de sua responsabilidade de selecionar e implementar essas práticas.
  2. PROGRAMA DE SEGURANÇA DA INFORMAÇÃO. A CenturyLink implementou um programa de segurança da informação ("Programa") que inclui medidas razoáveis destinadas a: (1) proteger a confidencialidade e a integridade dos Dados do Cliente; (2) na medida relacionada com o Serviços e a infraestrutura da CenturyLink, proteger contra ameaças previsíveis à segurança ou integridade dos Dados do Cliente; (3) proteger contra acesso não autorizado, divulgação ou uso não autorizado dos Dados do Cliente; e (4) assegurar que os funcionários da CenturyLink estejam cientes da necessidade de manter a confidencialidade, integridade e segurança dos Dados do Cliente. A CenturyLink limitará o acesso aos Dados do Cliente apenas aos funcionários, agentes, contratados ou provedores de serviço da CenturyLink que precisam das informações para realizar as tarefas para as quais os Dados do Cliente foram divulgados à CenturyLink.
    O Programa da CenturyLink é modelado segundo o Sistema de Gerenciamento de Segurança da Informação ("ISMS") baseado na ISO 27001:2013, que estabelece as orientações e princípios gerais usados para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar as proteções de informações e Dados de Clientes da CenturyLink. O Programa da CenturyLink, em alinhamento com o ISMS, foi projetado para selecionar controles de segurança adequados e proporcionais para proteger as informações, e fornece orientações sobre as metas geralmente aceitas de gestão de segurança da informação e práticas padrão para controles nas seguintes áreas de gestão de segurança da informação:
    • Política de segurança
    • Organização de segurança da informação
    • Gestão de ativos
    • Segurança de recursos humanos
    • Segurança física e ambiental
    • Gestão de comunicações e operações
    • Segurança de comunicações
    • Controle de acesso
    • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Gestão de incidentes de segurança da informação
    • Gestão de continuidade dos negócios
    • Conformidade
    • Criptografia
    • Relacionamentos com fornecedores

    A CenturyLink também implementou uma política de segurança da informação formal e métodos e procedimentos de suporte, normas técnicas e processos para reforçar a importância da segurança da informação em toda a organização ("Política de Segurança da Informação"). A Política de Segurança da Informação está alinhada com a ISO 27002:2013 e foi aprovada pelo Diretor de Segurança da Informação. A Política de Segurança da Informação descreve os requisitos para manter segurança razoável para os Serviços. Funcionários e contratados com acesso a informações corporativas e Dados de Clientes precisam completar um treinamento de segurança anual baseado na Política de Segurança da Informação. A Política de Segurança da Informação inclui:
    • Política de Segurança Física para data centers e Locais de Escritórios
    • Política de Uso de Meios Eletrônicos, incluindo:
      • Uso de E-mail
      • Redes Sem Fio
      • Acesso à Internet
      • Controle Antivírus
    • Gerenciamento de Senhas
    • Trabalho Remoto e Residencial
    • Plano de Resposta a Incidentes de Segurança de Computadores
    • Proteção de Informações
    • Acordos de Conexões de Terceiros
    • Acesso de Terceiros
    • Digitalização Sem Fio
    • Gestão de Riscos
    • Gestão de Fornecedores.
  3. CONTROLES DE SEGURANÇA ESPECÍFICOS. Os controles de segurança da CenturyLink incluem:
    • Controles de acesso lógicos para gerenciar o acesso aos Dados do Cliente em base menos privilegiada e de acordo com a necessidade de conhecimento, incluindo pelo uso de níveis de autoridade e funções de trabalho definidos, ID e senhas definidos, autenticação forte (i.e. de dois fatores) para sistemas de acesso remoto (e outros conforme necessário) e revogar ou alterar imediatamente o acesso em resposta a rescisões ou alterações nas funções de trabalho.
    • Controles de senha para gerenciar e controlar a complexidade e o vencimento de senhas. Qualquer senha que controle o acesso à infraestrutura da CenturyLink precisa ter comprimento e complexidade mínimos.
    • Procedimentos e controles operacionais que estabeleçam que os sistemas de tecnologia e informação estão configurados e mantidos de acordo com as normas internas prescritas.
    • Controles de segurança da rede, incluindo o uso de firewalls, DMZ em camada e sistemas atualizados de detecção/prevenção e intrusão para ajudar a proteger os sistemas contra intrusão e/ou limitar o escopo ou o sucesso de qualquer ataque ou tentativa de acesso não autorizado.
    • Procedimentos e tecnologias de gestão de vulnerabilidade para identificar, avaliar, mitigar e proteger contra vulnerabilidades e ameaças novas e existentes, inclusive vírus, bots e outros códigos mal-intencionados.
    • Os equipamentos da CenturyLink contêm software antimalware instalado que pode ser executado quando o risco de infecção é alto. É configurado para impedir que os usuários desabilitem o software quando possível ou alterem sua configuração sem autorização. Avaliações periódicas são realizadas para confirmar se os sistemas ainda precisam (ou não) de software antivírus.
    • Procedimentos de gestão de alterações informando que as modificações à tecnologia e aos ativos de informação da CenturyLink foram testadas, aprovadas, registradas e monitoradas.
    • Gestão organizacional para garantir desenvolvimento e manutenção adequados de políticas, procedimentos e normas de segurança da informação e tecnologia.
    • Organizações dedicadas com responsabilidade global por todas as operações de segurança física, sistemas de segurança, administração de acesso e controles de segurança em todas as instalações e data centers de propriedade da CenturyLink. Data centers de terceiros são utilizados para determinados serviços e, nesses casos, alguns controles de segurança física e outros controles são revisados pela CenturyLink.
    • Políticas de segurança que reforçam a importância da segurança física de todas as instalações da empresa, incluindo procedimentos específicos para a segurança física de data centers. O pessoal de segurança do data center é responsável pelo controle de acesso ao data center, monitoramento de alarmes de segurança locais e gerenciamento de todos os eventos relacionados com a segurança física reportados.
    • CCTV (Televisão de Circuito Fechado) geralmente implementado como controle de segurança física em instalações de alto valor para deter, detectar e identificar intrusos. O Centro de Operações de Segurança Corporativa (CSOC) fornece suporte global 24/7 com monitoramento remoto, gestão, administração e manutenção dos sistemas de vigilância por vídeo usados na CenturyLink.
    • O Centro de Controle de Acesso Central (CACC) dá suporte à distribuição de todos os crachás de acesso da CenturyLink e administração de permissões de acesso no sistema de controle de acesso.
    • Procedimentos de descarte para diferentes tipos e classificações de informação que são documentados e comunicados ao pessoal. Os funcionários têm acesso a fragmentadoras seguras para cópias impressas. Mídia eletrônica é descartada por meio de fornecedores de serviços de descarte certificados.
    • Verificações antes da contratação e verificações de antecedentes são conduzidas para o pessoal que ingressa na empresa, de acordo com as práticas de integração de recursos humanos da CenturyLink e a legislação local aplicável. As verificações dependem, entre outros, de: função, localização, requisitos específicos e podem incluir: verificação de identidade, drogas, criminal, acadêmica e de crédito.
    • Treinamento de conscientização sobre segurança anual para funcionários da CenturyLink e contratados trabalhando nas instalações da CenturyLink. O treinamento reflete ameaças atuais e incentiva a prática de boa segurança básica, acesso e conhecimento da Política de Segurança da Informação e procedimentos, como por exemplo como reportar um incidente. Funcionários em posições específicas recebem treinamento adicional em segurança e, quando um treinamento ou teste é realizado (p. ex., exercícios internos sobre phishing), orientações adicionais são fornecidas. A CenturyLink conduz um programa contínuo de testes de phishing com o pessoal para reforçar a necessidade de conscientização e bons hábitos de e-mail e navegação e para avaliar a eficácia do treinamento de conscientização de segurança. A intranet e o sistema de e-mail da empresa são usados para enviar anúncios flash sobre questões de segurança conforme apropriado.
  4. AUDITORIAS DE SEGURANÇA. O Cliente poderá, no máximo uma vez por ano e a suas próprias custas, auditar o desempenho da CenturyLink com relação a suas obrigações de segurança de acordo com este Apêndice ("Auditoria"). Se o Cliente contratar um terceiro para executar uma Auditoria, a CenturyLink poderá exigir documentação adicional a ser assinada pelo auditor terceirizado antes de conceder acesso a uma instalação da CenturyLink onde os Serviços são prestados, e a CenturyLink poderá, a seu critério exclusivo e razoável, recusar ao terceiro o acesso a um data center. A CenturyLink cooperará dentro do razoável com o Cliente no desempenho da Auditoria, e disponibilizará ao Cliente ou seus auditores documentos e registros razoavelmente necessários para completar a Auditoria. A CenturyLink fornecerá ao Cliente acesso razoável às instalações relevantes para fins de inspeção dos equipamentos e instalações que são usados para prestar os Serviços ao Cliente. Para fins de esclarecimento, não será concedido acesso a determinadas áreas de determinadas instalações (como data centers) às quais a CenturyLink geralmente não concede acesso a seus clientes (p. ex., áreas que contêm equipamentos usados para dar suporte a serviços para vários clientes). O acesso para auditoria está sujeito aos requisitos de segurança razoáveis da CenturyLink para suas políticas/materiais de segurança mais confidenciais. O acesso para auditoria deve ocorrer dentro do horário regular de funcionamento da CenturyLink e deve ser agendado com pelo menos (10) dias úteis de antecedência, e o Cliente ou seu auditor deve ser acompanhado pelo pessoal da CenturyLink durante o período de acesso. A Auditoria e as constatações relacionadas com a Auditoria devem ser tratadas como Informações Confidenciais.
  5. INCIDENTES DE SEGURANÇA E RESPOSTA. Se a CenturyLink determinar que um Incidente de Segurança impactou os Dados do Cliente, a CenturyLink realizará prontamente as seguintes ações:
    • Notificará o Cliente sobre o Incidente de Segurança e fornecerá atualizações periódicas conforme apropriado dada a natureza do Incidente de Segurança e à medida que informações se tornarem disponíveis;
    • Tomará medidas razoáveis para remediar e mitigar o Incidente de Segurança, na medida em que essas medidas forem tecnicamente viáveis e adequadas nas circunstâncias;
    • Conduzirá uma investigação preliminar do Incidente de Segurança para determinar, na medida razoavelmente viável, sua causa raiz; e
    • Cooperará razoavelmente com o Cliente em seus esforços para remediar ou mitigar o Incidente de Segurança e em seus esforços para cumprir as leis aplicáveis e obedecer às autoridades legais, conforme necessário.

    Para os fins deste documento, "Incidente de Segurança" significa qualquer acesso ilegal ou não autorizado, roubo ou uso de Dados do Cliente enquanto armazenados, transmitidos ou processados usando os serviços da CenturyLink.