ESTA PÁGINA FOI TRADUZIDA POR MÁQUINA E FORNECIDA APENAS PARA SUA CONVENIÊNCIA E PODE NÃO REFLETIR COM PRECISÃO O SIGNIFICADO ORIGINAL EM INGLÊS. OS SIGNIFICADOS DOS TERMOS, CONDIÇÕES E DECLARAÇÕES NESTE DOCUMENTO ESTÃO SUJEITOS ÀS SUAS DEFINIÇÕES E INTERPRETAÇÕES NO IDIOMA INGLÊS. EM CASO DE DISCREPÂNCIAS OU CONFLITOS ENTRE A VERSÃO EM INGLÊS DESTE TEXTO E QUALQUER TRADUÇÃO, A VERSÃO EM INGLÊS PREVALECE.
Em vigor a partir de 16 de junho de 2021
Este Adendo de Segurança da Informação ("Adendo") descreve os requisitos de segurança que a Cloudflare manterá como parte do Serviço ("Requisitos de Segurança") e é incorporado aos termos de serviço da Assinatura Enterprise ("Contrato") por e entre a Cloudflare e o Cliente. Os termos em letras maiúsculas usados neste Adendo sem uma definição terão os significados dados a eles no Contrato.
1.1 A Cloudflare (i) implementará e manterá um programa abrangente de segurança da informação por escrito; (ii) atualizará e revisará esse programa, conforme necessário, regularmente ou mediante uma mudança material na prestação do Serviço; e (iii) garantirá que esse programa (x) esteja em conformidade com as Leis aplicáveis e os padrões aplicáveis do setor (incluindo ISO/IEC 27001:2013, PCI DSS, SOC 2 Tipo II), (y) inclua proteções administrativas, lógicas, técnicas e físicas apropriadas que estejam em conformidade com este Adendo, e (z) seja razoavelmente projetado para atingir os seguintes objetivos:
(A) para garantir a segurança e a confidencialidade, integridade e disponibilidade dos dados de clientes;
(B) para proteger contra qualquer ameaça ou perigo à segurança e integridade dos dados de clientes; e
(C) para evitar acesso não autorizado ou acidental, aquisição, destruição, perda, exclusão, divulgação, alteração ou uso de dados de clientes.
1.2 As disposições deste Adendo prevalecerão em caso de conflito entre o Contrato (incluindo quaisquer outros anexos, mostruários ou cronogramas do mesmo) e este Adendo.
2.1 A Cloudflare revisará as políticas que tratam da segurança da informação pelo menos uma vez por ano, incluindo, mas não se limitando a: gerenciamento de acesso e autenticação, gerenciamento de ativos, gerenciamento de mudanças, criptografia, resposta a incidentes de segurança e privacidade, ciclo de vida de desenvolvimento de software e política de gerenciamento de riscos de terceiros.
2.2 A Cloudflare fornecerá treinamento de conscientização de segurança aos funcionários da Cloudflare no momento da contratação e, posteriormente, anualmente. O treinamento será atualizado regularmente para incluir informações aplicáveis sobre tópicos de segurança, inclusive responsabilidades pela proteção de dados e sistemas, além de ameaças e tendências emergentes.
3.1 A Cloudflare permitirá que apenas os funcionários da Cloudflare e terceiros autorizados nos termos do Contrato (coletivamente, "Usuários Autorizados") acessem os dados de clientes. A equipe autorizada da Cloudflare e terceiros autorizados usarão os dados de clientes do Cliente somente conforme permitido pelo Contrato e por este Adendo.
3.2 A Cloudflare seguirá os padrões do setor para autenticar e autorizar usuários.
3.3 Os Usuários Autorizados não usarão credenciais de identificação compartilhadas ou genéricas para acessar dados de clientes.
3.4 A Cloudflare exigirá que os Usuários Autorizados usem autenticação de dois fatores para acessar os sistemas onde os dados de clientes residem.
3.5 A Cloudflare manterá um repositório centralizado de todas as credenciais de identificação usadas para acessar a rede da Cloudflare onde residem os dados de clientes.
3.6 A Cloudflare revogará o acesso de Usuários Autorizados que não mais necessitem de acesso aos dados de clientes.
3.7 A Cloudflare revisará periodicamente e revogará os direitos de acesso dos Usuários Autorizados, conforme necessário.
3.8 A autenticação nos recursos de rede, plataformas, dispositivos, servidores, estações de trabalho, aplicativos e dispositivos da Cloudflare não será permitida com senhas padrão.
3.9 A Cloudflare garantirá que as conexões de rede externas à rede da Cloudflare sejam seguras.
3.10 A Cloudflare alterará as senhas padrão do servidor antes de colocar o dispositivo ou sistema em produção.
3.11 As estações de trabalho que ficarem inativas por um período de tempo serão automaticamente bloqueadas.
4.1 A Cloudflare criptografará os dados de clientes em repouso, em trânsito e em uso por meio de criptografia AES mínima de 128 bits e comprimento de chave de cifra de 1024 bits.
4.2 A Cloudflare aplicará e manterá a criptografia total de disco de quaisquer dados de clientes em repouso em todos os sistemas da Cloudflare que acessem, transmitam ou armazenem dados de clientes.
4.3 As chaves de criptografia simétrica e a chave privada assimétrica serão criptografadas em trânsito e armazenamento, protegidas contra acesso não autorizado e seguras. Os procedimentos de gerenciamento e rotação da chave criptográfica serão documentados. O acesso às chaves de criptografia será restrito aos guardiões das chaves. A Cloudflare seguirá os padrões do setor para gerar, armazenar e gerenciar a chave criptográfica usada para criptografar dados de clientes.
4.4 A Cloudflare manterá procedimentos de descarte seguro de dados, incluindo, entre outros, o uso de comandos de apagamento seguro, desmagnetização e "trituração de criptografia", conforme apropriado, e de acordo com os padrões do setor.
4.5 Os dados de clientes serão logicamente separados dos dados de outros clientes da Cloudflare.
5.1 A Cloudflare instalará, configurará e manterá controles de segurança de perímetro e rede para impedir o acesso não autorizado aos dados de clientes.
5.2 A Cloudflare realizará monitoramento e registro contínuos e alertas relevantes para eventos de segurança, incluindo tentativas de acesso e acesso bem-sucedido, alterações não autorizadas em endpoint, dispositivos de rede e sistemas de servidor que contenham dados de clientes e outros indicadores de comprometimento. Todos os registros serão protegidos contra acesso ou modificação não autorizados.
5.3 A Cloudflare implementará e manterá padrões de segurança e proteção para dispositivos de rede, com base nas melhores práticas do setor.
5.4 A Cloudflare seguirá os procedimentos documentados de gerenciamento de mudanças.
A Cloudflare seguirá as práticas de codificação segura do ciclo de vida de desenvolvimento de software seguro, como as desenvolvidas pelo Open web aplicativo Security Project (OWASP) Top 10 (encontrado em https://www.owasp.org/), para garantir que códigos prejudiciais não sejam entregues e que as melhores práticas sejam seguidas. As práticas de codificação incluirão (i) ambientes separados de desenvolvimento, teste e produção; (ii) revisões regulares do código de segurança; (iii) varredura de todos os softwares e/ou aplicativos da Cloudflare que armazenam, processam ou transmitem dados de clientes; e (iv) uso apenas de dados não produtivos, ofuscados ou desidentificados usados em ambientes não produtivos (por exemplo, desenvolvimento ou teste).
7.1 A Cloudflare manterá um programa de gerenciamento de risco de terceiros que inclui (i) a manutenção de contratos de segurança da informação para garantir que os terceiros da Cloudflare com acesso a dados de clientes estejam vinculados a requisitos de segurança de dados pelo menos tão restritivos quanto os estabelecidos neste Adendo; e (ii) o monitoramento e a auditoria da conformidade de terceiros com acesso a dados de clientes com os requisitos estabelecidos neste Adendo.
7.2 O gerenciamento de riscos incluirá a correção pela Cloudflare de quaisquer descobertas identificadas proporcionais ao risco e à evidência de conclusão.
7.3 A Cloudflare manterá um programa de avaliação de riscos, que define funções e responsabilidades para realizar a avaliação de riscos e responder aos resultados. A Cloudflare realizará avaliações de risco regulares para verificar o projeto de controles que protegem as operações comerciais e a tecnologia da informação.
8.1 A Cloudflare realizará varreduras de rotina na rede e no nível do aplicativo em busca de vulnerabilidades e as corrigirá de acordo com os padrões do setor (por exemplo PCI DSS).
8.2 Pelo menos uma vez por ano, a Cloudflare contratará uma empresa de segurança terceirizada independente para realizar um teste de penetração da rede e do aplicativo web. Mediante solicitação, a Cloudflare fornecerá um resumo dos resultados dos testes de penetração.
8.3 A Cloudflare aplicará correções de segurança e atualizações de sistema aos softwares e aplicativos gerenciados pela Cloudflare, appliances e sistemas operacionais de acordo com os padrões do setor (por exemplo PCI DSS).
A Cloudflare manterá um programa documentado e operacional de continuidade de negócios e recuperação de desastres ("BC&DR"). A Cloudflare exercerá e atualizará seu plano do programa BC&DR pelo menos uma vez por ano.
10.1 A Cloudflare manterá e atualizará anualmente um plano de ação e resposta documentado de violação de dados.
10.2 Se a Cloudflare descobrir ou for notificada de uma violação de segurança, que resulte em acesso não autorizado, aquisição, divulgação ou uso relacionado a quaisquer dados de clientes ("violação de dados"), a Cloudflare prontamente, às suas custas: (i) notificar o Cliente sobre a violação de dados sem atraso indevido; (ii) investigar a violação de dados; (iii) mitigar os efeitos da violação de dados; e (iv) realizar avaliações pós-incidente e relatar os resultados de tais avaliações ao Cliente.
11.1 Pelo menos anualmente, a Cloudflare se envolverá com um avaliador independente para: (i) conduzir uma avaliação de conformidade e fornecer um atestado, revisão ou relatório completo sob (A) Controle de Organização de Serviços (SOC 2 Tipo II) ou (B) outra avaliação de conformidade independente reconhecida pelo setor.
11.2 Mediante solicitação, a Cloudflare fornecerá uma cópia do relatório SOC 2 Tipo II mais recente da Cloudflare.
11.3 A Cloudflare cooperará com o Cliente em quaisquer investigações razoáveis de possível uso fraudulento ou não autorizado de ou acesso a dados de clientes por funcionários da Cloudflare ou terceiros. A Cloudflare concorda em discutir as descobertas aplicáveis e qualquer plano de remediação associado com o Cliente.
Se tiver dúvidas sobre esses termos ou qualquer outra coisa sobre a Cloudflare, não hesite em entrar em contato conosco:
+1 (650) 319-8930
Cloudflare, Inc.
101 Townsend St,
San Francisco, CA 94107
USA