Acordo de Confidencialidade Empresarial

1. Compromisso de Confidencialidade Empresarial

O nosso compromisso de confidencialidade:

A CobolPro («a Empresa», «nós», «nosso» ou «nos») compreende que os clientes empresariais lhe confiam os seus ativos digitais mais valiosos e sensíveis, incluindo código-fonte proprietário, dados críticos para o negócio, segredos comerciais e estratégias empresariais confidenciais. Comprometemo-nos a proteger as Informações do Cliente através de práticas documentadas de confidencialidade, controlo de acessos, cifragem e governação de projeto adequadas ao trabalho acordado.

O presente Acordo de Confidencialidade estabelece o nosso compromisso de proteger as informações confidenciais que nos sejam divulgadas, direta ou indiretamente, no decurso da nossa relação comercial. Aplicamos o acesso com privilégios mínimos, o tratamento cifrado dos dados e fluxos de trabalho aprovados pelo cliente para manter as informações sensíveis sob controlo ao longo de todo o ciclo de vida do projeto.

2. Definição de Informação Confidencial

A «Informação Confidencial» inclui, entre outros, toda a informação divulgada pelo Cliente ou obtida pela Empresa que seja:

• Código-fonte e dados técnicos: Todos os programas COBOL, aplicações, bases de dados, arquiteturas de sistemas, algoritmos, especificações técnicas e a documentação relacionada
• Informação comercial: Dados financeiros, planos de negócio, estratégias, listas de clientes, relações com fornecedores, modelos de preços e procedimentos operacionais
• Métodos proprietários: Regras de negócio, processos, metodologias, conhecimento técnico, segredos comerciais e propriedade intelectual
• Informação dos sistemas: Detalhes de infraestrutura, configurações de segurança, dados de desempenho e dependências dos sistemas
• Dados pessoais: Quaisquer dados de identificação pessoal (PII), informações de saúde protegidas (PHI) ou outros dados pessoais sensíveis
• Informação de terceiros: Qualquer informação confidencial pertencente aos clientes, parceiros ou fornecedores do Cliente

Toda a informação se presume confidencial, salvo designação expressa por escrito do Cliente como pública. Tal inclui informações que possam não estar marcadas como confidenciais mas que razoavelmente seriam consideradas sensíveis no contexto das operações empresariais.

3. Obrigações de Não Divulgação

COMPROMISSO RIGOROSO DE NÃO DIVULGAÇÃO

A Empresa não divulgará, revelará nem disponibilizará a terceiros a Informação Confidencial, exceto na medida permitida pelo acordo escrito aplicável, pelo consentimento prévio por escrito do cliente ou por um processo legal obrigatório.

As nossas obrigações de não divulgação incluem:

• Tolerância zero para qualquer divulgação não autorizada de Informação Confidencial
• Proibição de discutir o negócio, os sistemas ou os dados do Cliente com partes externas
• Controlos de acesso internos rigorosos baseados na necessidade de conhecer, com formação obrigatória em confidencialidade
• Verificações exaustivas de antecedentes e credenciações de segurança para todo o pessoal com acesso
• Acordos de confidencialidade vinculativos com todos os colaboradores, prestadores e subcontratantes
• Protocolos de cessação imediata para quaisquer violações da confidencialidade

4. Medidas de Segurança e de Proteção

Estas medidas são revistas à medida que as práticas e os requisitos do projeto evoluem, proporcionando às equipas do cliente medidas de proteção documentadas que podem avaliar durante as revisões de aquisição, segurança e auditoria.

5. Utilização Limitada e Restrição de Finalidade

Limitação rigorosa da finalidade: a Informação Confidencial será utilizada única e exclusivamente para efeitos da prestação dos serviços acordados ao Cliente. Não é permitida qualquer outra utilização, direta ou indireta, em quaisquer circunstâncias.

As nossas restrições de utilização incluem:

• O acesso à informação está reservado ao pessoal diretamente envolvido no projeto do Cliente
• Proibição de engenharia inversa, análise ou extração de propriedade intelectual
• Não criação de obras derivadas ou soluções concorrentes com base na informação do Cliente
• Segregação rigorosa dos dados do Cliente relativamente a outros clientes e aos sistemas internos da Empresa
• Proibição de agregação, anonimização ou análise estatística sem consentimento expresso por escrito
• Cessação imediata de toda a utilização aquando da conclusão ou da rescisão do projeto

6. Conservação de Dados e Destruição Segura

Após a conclusão dos serviços ou a pedido do Cliente, a Empresa deverá:

• Devolução imediata: Devolver todos os documentos originais, suportes e materiais que contenham Informação Confidencial no prazo de 48 horas
• Destruição segura: Eliminar ou destruir as cópias, excertos e derivados acordados utilizando o processo de saneamento especificado para o trabalho
• Saneamento digital: Efetuar o apagamento criptográfico ou os passos de eliminação equivalentes acordados para os suportes de armazenamento digital aplicáveis
• Verificação: Fornecer confirmação por escrito dos passos de devolução ou eliminação acordados, quando exigido
• Registo de auditoria: Manter registos detalhados de todas as atividades de destruição para fins de auditoria

Não é permitida qualquer conservação de Informação Confidencial sem autorização expressa por escrito do Cliente, e qualquer conservação autorizada deve cumprir os mesmos padrões de segurança descritos no presente documento.

7. Notificação de Violações e Resposta a Incidentes

PROTOCOLO DE NOTIFICAÇÃO IMEDIATA

Em caso de violação real ou suspeita que envolva a Informação do Cliente, a Empresa notificará o Cliente sem demora injustificada de acordo com o acordo aplicável e apoiará as medidas de contenção, investigação e correção.

A nossa resposta a incidentes inclui:

• Contenção e isolamento imediatos dos sistemas afetados
• Notificação em tempo real aos contactos de segurança designados pelo Cliente
• Investigação forense por profissionais qualificados, quando apropriado
• Relatório detalhado do incidente com análise da causa raiz e passos de correção
• Coordenação com as autoridades policiais e os organismos reguladores conforme necessário
• Tratamento comercial e jurídico de acordo com o acordo aplicável

8. Recursos Legais e Responsabilidade

MÁXIMA PROTEÇÃO DO CLIENTE

A Empresa reconhece que uma violação da confidencialidade pode causar danos graves ao Cliente. Os recursos legais, os limites de responsabilidade e as medidas de reparação disponíveis regem-se pelo acordo aplicável e pela lei imperativa.

As proteções legais incluem:

• Medidas inibitórias ou execução específica, quando disponíveis
• Condições de responsabilidade contratual especificadas no acordo aplicável
• Honorários, custas e despesas legais conforme previsto pelo acordo ou pela lei
• Condições de seguro e de transferência de risco sujeitas aos termos e condições da apólice

9. Conformidade Regulamentar e Normas Internacionais

A Empresa alinha os seus controlos e dossiês de evidências com os principais quadros de privacidade e segurança:

• RGPD — Regulamento Geral sobre a Proteção de Dados da UE
• SOC 2 Type II — Segurança e Disponibilidade da AICPA
• ISO 27001 — Gestão da Segurança da Informação

Outros quadros de conformidade incluem o NIST Cybersecurity Framework, os requisitos FedRAMP, a HIPAA (quando aplicável) e regulamentações específicas do setor conforme exigido pelo contexto comercial do Cliente.

10. Obrigações Perpétuas e Subsistência

CONFIDENCIALIDADE PERPÉTUA

As obrigações de confidencialidade subsistem após a cessação da relação comercial, conforme especificado no acordo aplicável e na lei imperativa.

Estas obrigações permanecem vinculativas para a Empresa, os seus colaboradores, sucessores e cessionários de acordo com o acordo aplicável.

11. Informações de Contacto e Questões

Para questões relativas ao presente Acordo de Confidencialidade ou para comunicar quaisquer preocupações de segurança: