A SISQUAL está verdadeiramente comprometida em cumprir com a legislação e a regulamentação da proteção de dados aplicáveis (incluindo o RGPD), e com os termos contratuais acordados com os seus clientes de serviços na cloud.
O nosso serviço de cloud é fornecido num modelo de Software como Serviço (SaaS), onde o cliente apenas acede e usa o nosso software WFM na cloud. Esta Política aplica-se apenas a prestações de serviço com o modelo SaaS. No contrato serão pormenorizadas exceções a este modelo de serviço e a quaisquer responsabilidades específicas resultantes.
Designamos um Data Protection Officer (DPO) que atual como um ponto de contacto para os nossos clientes no que diz respeito à proteção de dados pessoais, que pode ser contactado através deste e-mail: dpo@sisqual.com
Cooperação no que diz respeito aos direitos dos titulares dos dados
O nosso software WFM (a partir da versão 7) inclui funcionalidades que permitem aos nossos clientes cumprir com a sua obrigação de facilitar o exercício dos direitos de acesso dos titulares de dados, corrigir e/ou apagar dados pessoais que lhes digam respeito. Consulte o documento “RGPD SISQUAL WFM” para obter mais detalhes e também para obter informações sobre quaisquer situações que o cliente dependa de nós para facilitar o exercício dos direitos dos titulares dos dados.
Finalidade do tratamento
Não tratamos quaisquer dados pessoais armazenados pelo cliente ou pelos seus utilizadores finais na base de dados WFM para qualquer finalidade não incluída no contrato de serviço na cloud, a menos que o cliente nos dê instruções para o fazer. Também não utilizamos esses dados pessoais para fins de marketing e publicidade.
Notificação de divulgação
Notificaremos o cliente de serviço, de acordo com qualquer procedimento e período sinuoso acordado em contrato, de qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, a menos que tal notificação seja proibida de outra forma (por exemplo, para preservar a confidencialidade de uma investigação de aplicação da lei).
Consultaremos o cliente de serviço sempre que legalmente permitido antes de então qualquer divulgação de dados pessoais e aceitaremos quaisquer pedidos contratualmente acordados para a divulgação de dados pessoais que sejam autorizados pelo cliente do serviço.
Faremos o registo de todas as exposições de dados pessoais a terceiros, como as decorrentes de investigações legais ou auditorias externas, incluindo quais os dados que foram divulgados, a quem, em que altura, e a fonte da autoridade para efeito da divulgação.
Notificação de violações de dados
Notificaremos prontamente o cliente em caso de acesso não autorizado a dados pessoais ou acesso não autorizado a equipamentos ou instalações de processamento que resultem em perdas, divulgação ou alteração de dados pessoais, e forneceremos as informações necessárias para que o cliente cumpra com a sua obrigação de notificar as autoridades competentes. Esta obrigação de notificação não se estende a uma violação de dados causada pelo cliente ou por um titular de dados ou dentro dos componentes do sistema pelos quais são responsáveis.
No caso de ter ocorrido uma violação envolvendo dados pessoais, manteremos um registo detalhado do incidente, incluindo uma descrição dos dados comprometidos, se conhecidos, e quaisquer notificações realizadas de acordo com as leis e regulamentos aplicáveis.
Devolução, transferência e eliminação
Em caso de rescisão do contrato, após receber e satisfazer um pedido de devolução dos dados pessoais ao cliente, transferi-los para outro fornecedor cloud ou para outro responsável por dados pessoais (por exemplo, como resultado de uma fusão), asseguraremos a eliminação segura de todos os dados (por nós e qualquer um dos nossos subcontratantes autorizados) de onde quer que sejam armazenados, incluindo para efeitos de backup e continuidade de negócio, logo que estes deixem de ser necessários para o cliente específico.
Informações sobre subcontratantes
A utilização de subcontratantes que participam em tratamentos de dados pessoais está indicada no contrato com o cliente. Informaremos o cliente em tempo útil de quaisquer alterações pretendidas neste sentido para que o cliente tenha a capacidade de se opor a tais alterações ou de rescindir o contrato. Informaremos o cliente sobre os nomes dos nossos subcontratantes relevantes, os países em que podem processar os dados e os meios pelos quais esses subcontratantes são obrigados a cumprir ou exceder as nossas próprias obrigações.
Informaremos também os nossos clientes sobre os países onde os dados pessoais poderão ser armazenados, decorrentes da utilização de subcontratantes. Quaisquer alterações pretendidas a este respeito serão informadas ao cliente em tempo útil para que o cliente tenha a capacidade de se opor a tais alterações ou de rescindir o contrato.
Medidas técnicas e organizacionais
A SISQUAL implementou e melhora de forma contínua as medidas técnicas e organizativas alinhadas com as orientações e requisitos das normas internacionais ISO/IEC 27001, 27002, 27701 e 27018, para garantir que os requisitos de segurança contratados são cumpridos e que os dados pessoais não são tratados para qualquer fim independentemente das instruções do cliente, bem como para garantir o cumprimento das obrigações relevantes de segurança e proteção de dados pessoais impostas pela lei aplicável e regulamentos como o RGPD. Estamos a finalizar o processo de certificação de acordo com a ISO/IEC 27701 e, desde 2020, somos certificados de acordo com as normas internacionais ISO/IEC 27001, 27018, 20000-1 e ISO 9001.
Sensibilização, educação e formação
Toda a nossa equipa é informada das possíveis consequências negativas sobre os titulares de dados, nos nossos clientes, na SISQUAL e de seus colaboradores, de violar as regras e procedimentos de privacidade ou segurança, especialmente aqueles sobre o tratamento de dados pessoais e bens conexos.
Gestão do acesso ao utilizador
O SISQUAL WFM na cloud é fornecido num modelo de Software como Serviço (SaaS), pelo que o cliente é responsável por todos os aspetos da gestão de acesso para os utilizadores sob o seu controlo, fornecendo direitos administrativos para gerir ou terminar o acesso.
Recomendamos que todos os nossos clientes implementem procedimentos para registo e eliminação do utilizador para evitar situações em que o controlo de acesso ao utilizador seja comprometido, como a corrupção ou o compromisso de senhas ou outros dados de registo de utilizadores (por exemplo, como resultado de divulgação inadvertida), alinhados com as orientações e requisitos das normas internacionais ISO/IEC 27001 e 27002.
Utilização da criptografia
Para melhorar a proteção de dados pessoais utilizamos encriptação HTTPS.
Backups
Garantimos backup e restauro de todos os dados que residem no fornecedor cloud.
Auditorias
Realizamos auditorias internas independentes e somos auditados por um organismo de certificação acreditado todos os anos. Estas auditorias verificam que a segurança e privacidade da informação são implementadas e operadas de acordo com as nossas políticas e procedimentos.
Atualizada em 02/07/2021