Atualizado em 14 de junho de 2023

Este Acordo de Tratamento de Dados (“DPA”, na sigla em inglês) é um acordo entre você e a entidade que você representa (“Cliente” ou “você”), de um lado, e a Cybersource Corporation e/ou qualquer outra entidade contratante afiliada da Cybersource aplicável (“Cybersource”), do outro lado.  O DPA faz parte de qualquer acordo escrito ou eletrônico entre você e a Cybersource (cada um, um “Acordo”) sob o qual a Cybersource realiza o Tratamento de Informações Pessoais em seu nome (“Informação Pessoal do Cliente”), exceto com relação a qualquer Acordo sob o qual você e a Cybersource tenham estabelecido termos de tratamento de dados que abordem o assunto aqui tratado.

1      Tratamento da Informação Pessoal do Cliente.  As partes reconhecem e concordam que, sob a Lei de Proteção de Dados Aplicável, a Cybersource pode desempenhar vários papéis de tratamento de dados. Para permitir que cada parte cumpra suas obrigações sob a Lei de Proteção de Dados Aplicável, cada parte concorda ainda em cumprir quaisquer disposições exigidas do Anexo A: California Consumer Privacy Act e/ou Anexo B: General Data Protection Regulation, cada um, na medida aplicável. 

1.1  GDPR.  Quando o General Data Protection Regulation (Regulamento (UE) nº 2016/679 (o “GDPR”) se aplica ao seu uso dos Serviços de Transação ou se a Lei de Proteção de Dados Aplicável impuser uma exigência comparável, as partes reconhecem e concordam, com relação à Informação Pessoal do Cliente que a Cybersource Trata, que:

1.1.1      A Cybersource é um “operador de dados” ou termo equivalente sob a Lei de Proteção de Dados Aplicável, se houver (referido como “Operador” para fins deste DPA), para os “Serviços de Operador”.  Tais Serviços de Operador incluem, a título exemplificativo e para fins ilustrativos, o Tratamento especificado em Detalhes do Tratamento (Anexo 2, seção 1); e

1.1.2      Tanto o Cliente quanto a Cybersource são “controladores conjuntos”, ou termo equivalente sob a Lei de Proteção de Dados Aplicável, se houver, para os “Serviços de Controlador”.  Tais Serviços de Controlador incluem o Tratamento especificado em Detalhes de Tratamento (Anexo 2, seção 2).

1.2  Outra Lei de Proteção de Dados Aplicável.  Onde a seção 1.1 não se aplica, as partes reconhecem e concordam que a Cybersource é um Operador para todos os Serviços de Transação.

2      Conformidade com a lei.  Cada uma das partes, a Cybersource, na sua prestação de Serviços de Transação ao Cliente, e o Cliente, no seu uso dos Serviços de Transação, deverá Tratar a Informação Pessoal do Cliente de acordo com a Lei de Proteção de Dados Aplicável. 

3      Aviso de Privacidade.  O Cliente deverá fornecer ao(s) Usuário(s) Final(is) todos os avisos de privacidade, informações e quaisquer escolhas necessárias e deverá obter quaisquer consentimentos necessários para permitir que as partes cumpram a Lei de Proteção de Dados Aplicável com relação aos Serviços de Transação.

4      Obrigações do Operador

4.1  Autorização para Tratar. Quando a Cybersource atua como Operador, Tratará a Informação Pessoal em nome do Cliente para fornecer tais Serviços de Transação, e o Operador está autorizado a Tratar a Informação Pessoal do Cliente exclusivamente em conexão com as seguintes atividades:

4.1.1      De acordo com o(s) Acordo(s) aplicável(eis), incluindo, sem limitação, quaisquer adendos, anexos e tabela(s) de preços aplicável(eis), para fornecer os Serviços de Transação, e qualquer Tratamento exigido por lei ou regulamentação aplicável;  

4.1.2      Com base nas instruções do Cliente e no seu uso dos Serviços de Transação, o Operador transfere a Informação Pessoal para bancos adquirentes, bancos emissores, processadores de pagamento fornecendo serviços em nome de adquirentes, empresas de cartão de crédito/débito, ou provedores de serviços de payer authentication utilizados pelo Cliente, como Verified by Visa e MasterCard Identity Check (ID Check); e

4.1.3      Na medida em que for razoavelmente necessário para permitir que o Operador cumpra quaisquer outras orientações ou instruções fornecidas pelo Cliente.

4.2  Direitos do Titular dos Dados.  O Operador fornecerá, na medida legalmente permitida, assistência razoável ao Cliente para responder aos pedidos dos Usuários Finais para exercer seus direitos sob a Lei de Proteção de Dados Aplicável (por exemplo, direitos de acessar ou excluir Informação Pessoal) de uma maneira que seja consistente com a natureza e funcionalidade dos Serviços de Transação.  O Cliente deverá enviar tais pedidos de assistência ao Business Center.  Quando o Operador receber qualquer desses pedidos, ele deverá informar o Usuário Final que o Cliente é responsável por lidar com tais pedidos por um Usuário Final de acordo com a Lei de Proteção de Dados Aplicável.

4.3  Relação com Suboperadores.  O Operador deverá garantir que, ao se envolver com outro operador de dados, incluindo quaisquer Afiliadas (um “Suboperador”), para fins de realização de atividades específicas de Tratamento em nome do Cliente, haja um contrato escrito em vigor entre o Operador e o Suboperador relevante.  Esses contratos escritos, na medida aplicável à natureza dos Serviços de Transação fornecidos pelo Suboperador relevante, proporcionarão pelo menos o mesmo nível de proteção para a Informação Pessoal do Cliente conforme estabelecido neste DPA.

4.4  Equipe.  O Operador deverá garantir que as pessoas autorizadas a Tratar a Informação Pessoal do Cliente tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade. 

4.5  Segurança do Tratamento.  Levando em conta o estado atual da tecnologia, os custos de implementação e a natureza, escopo, contexto e propósitos do Tratamento, bem como o risco de diferentes probabilidades e gravidades para os direitos e liberdades das pessoas naturais, o Operador implementará medidas técnicas e organizacionais para assegurar um nível de segurança apropriado a esse risco.  Na avaliação do nível de segurança apropriado, o Operador, em particular, levará em consideração a sensibilidade da Informação Pessoal e os riscos apresentados pelo Tratamento, em particular quanto a Tratamento não autorizado ou ilícito, destruição, perda, alteração, divulgação não autorizada ou acesso à Informação Pessoal do Cliente transmitida, armazenada ou de outra forma Tratada.  O Operador fornecerá assistência razoável ao Cliente para garantir que o Cliente cumpra suas próprias obrigações de conformidade com relação a essas mesmas medidas de segurança. As partes também cumprirão o PCI-DSS (Padrão de Segurança de Dados da Indústria de Pagamento com Cartão), conforme estabelecido no Acordo.

5      Incidente de Segurança. Uma parte deverá investigar pronta e cuidadosamente todas as alegações de acesso não autorizado, uso ou divulgação da Informação Pessoal do Cliente.   No caso de um  Incidente de Segurança real (definido abaixo) que afete a Informação Pessoal do Cliente, as partes devem cooperar e auxiliar uma à outra de boa-fé conforme necessário para cumprir as Leis de Proteção de Dados Aplicáveis, incluindo, quando aplicável, notificar a Autoridade Supervisora do Incidente de Segurança e comunicar o Incidente de Segurança aos Titulares dos Dados relevantes. No caso de um Incidente de Segurança real (definido abaixo) que afete a Informação Pessoal do Cliente contida em:

5.1  Sistemas da Cybersource, a Cybersource deverá notificar o Cliente do Incidente de Segurança sem atraso indevido e continuar a manter o Cliente informado regularmente do progresso da investigação e das medidas de remediação.  A notificação nos termos desta seção deverá ser feita enviando um e-mail e/ou mensagem de texto para o endereço de e-mail e/ou número de celular registrado pelo Cliente no Business Center. Para os Serviços de Controlador, o Cliente deverá cooperar e auxiliar a Cybersource conforme necessário para que a Cybersource comunique o Incidente de Segurança às Autoridades Supervisoras relevantes.

5.2  Sistemas do Cliente, o Cliente pode optar por notificar a Cybersource do Incidente de Segurança, e tal notificação deve ser feita enviando um e-mail para vsirt@visa.com.  A Cybersource deverá cooperar e apoiar o Cliente conforme necessário para que o Cliente comunique o Incidente de Segurança às Autoridades Supervisoras relevantes.

5.3  O Cliente será responsável por comunicar qualquer Incidente de Segurança aos Usuários Finais se a notificação for exigida pelas Leis de Proteção de Dados Aplicáveis.

5.4  Exceto conforme exigido por lei ou regulamentação aplicável, nenhuma das partes fará (ou permitirá que terceiros façam) qualquer declaração sobre o Incidente de Segurança que referencie direta ou indiretamente a outra parte, a menos que a outra parte forneça sua autorização explícita e por escrito.

5.5  Na medida em que um Incidente de Segurança tenha sido causado pelo Cliente ou pelos Usuários Finais do Cliente, o Cliente será responsável pelos custos decorrentes da prestação de assistência do Operador sob esta seção 5.

6      Exclusão e Retenção.  O Operador deverá, conforme escolha do Cliente, excluir ou devolver todas as Informações Pessoais do Cliente após o término do Acordo e excluir as cópias existentes, a menos que o armazenamento seja exigido por lei aplicável.

7      Diversos.  Os termos deste DPA aplicar-se-ão apenas na medida exigida pela Lei de Proteção de Dados Aplicável.  Na medida em que não sejam inconsistentes com este DPA, as disposições aplicáveis do(s) Acordo(s) (incluindo, sem limitação, indenizações, limitações de responsabilidade, aplicação e interpretação) aplicar-se-ão a este DPA.  No caso de qualquer conflito entre este DPA e os termos de um Acordo aplicável, os termos deste DPA prevalecerão exclusivamente no que diz respeito aos termos de tratamento de dados quando exigidos pela Lei de Proteção de Dados Aplicável, e, em todos os outros aspectos, prevalecerão os termos do Acordo aplicável.  Não obstante qualquer termo ou condição do DPA, o DPA não se aplica a nenhum dado ou informação que não se relacione com um ou mais pessoas identificáveis sob a Lei de Proteção de Dados Aplicável, como dados que foram agregados, desidentificados ou anonimizados, ou na medida em que a Cybersource e você tenham firmado termos de tratamento de dados separados que abordem o assunto aqui indicado. 

8      Definições.  A menos que definido de outra forma no Acordo (incluindo este DPA), todos os termos neste DPA terão as definições dadas a eles pela Lei de Proteção de Dados Aplicável.

“Lei de Proteção de Dados Aplicável”

significa qualquer lei ou regulamento referente à proteção de dados, privacidade e/ou ao Tratamento de Informação Pessoal, na medida aplicável em relação às obrigações de uma parte sob o Acordo e este DPA.  Para fins ilustrativos, as Leis de Proteção de Dados Aplicáveis incluem, sem limitação, e na medida aplicável, a General Data Protection Regulation (Regulamento (UE) 2016/679 (o “GDPR”), a California Consumer Privacy Act de 2018, Cal. Civ. Code § 1798.100 et seq. (“CCPA”), Personal Information Protection and Electronic Documents Act, S.C. 2000, c. 5 (“PIPEDA”), Leis de Proteção de Dados do Reino Unido, Leis de Proteção de Dados da Suíça e qualquer legislação ou regulamento que transponha, substitua ou seja considerado substancialmente similar aos supramencionados.

“Cláusulas Contratuais Padrão do EEE”

significa as Cláusulas Contratuais Padrão estabelecidas na European Implementing Decision (UE) 2021/914 sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679, conforme alterado ou substituído de tempos em tempos por uma autoridade competente sob a Lei de Proteção de Dados Aplicável, incluindo as emendas suíças às Cláusulas Contratuais Padrão da UE exigidas pelo Swiss Federal Data Protection Information Commissioner (o “Adendo Suíço”) na medida aplicável.

“Usuário(s) Final(is)”

significa qualquer pessoa que compra bens ou serviços do Cliente, cuja informação é enviada pelo Cliente à Cybersource durante o uso dos Serviços de Transação aqui descritos.

“Informação Pessoal”

significa todos os dados ou informações, em qualquer forma ou formato, que identifiquem, relacionem, descrevam, sejam capazes de ser associados, ou possam ser vinculados, direta ou indiretamente, a um consumidor (“Titular dos Dados”) ou domicílio ou que sejam regulamentados como “dados pessoais”, “informações pessoais”, ou de outra forma sob a Lei de Proteção de Dados Aplicável.  Para evitar dúvidas, isso inclui qualquer informação relacionada a um Usuário Final, conforme definido no Acordo. Para evitar dúvidas, isso inclui dados relacionados a entidades legais, se e enquanto estiverem protegidos sob as Leis de Proteção de Dados da Suíça, bem como qualquer informação relacionada a um Usuário Final, conforme definido no Acordo.

“Tratar” ou “Tratado” ou “Tratamento”

significa qualquer operação ou conjunto de operações realizadas sobre as Informações Pessoais, seja ou não por meios automáticos, como acesso, coleta, gravação, organização, armazenamento, adaptação ou alteração, recuperação, divulgação ou disponibilização, duplicação, transmissão, combinação, bloqueio, supressão, exclusão ou destruição.

“Incidente de Segurança”

significa um incidente de segurança levando à destruição, perda, alteração, divulgação não autorizada ou ao acesso à Informação Pessoal. Um Incidente de Segurança inclui “personal data breach” (conforme definido no GDPR), uma “breach of security of a system” (conforme definido em qualquer lei dos EUA), uma “breach of security safeguards” (conforme definido no PIPEDA) ou termo similar (conforme definido em qualquer outra lei de privacidade aplicável), bem como qualquer outro evento que comprometa a segurança, confidencialidade ou integridade da Informação Pessoal.

“Leis de Proteção de Dados da Suíça”

significa a Federal Act on Data Protection de 19 de junho de 1992 (conforme atualizada, alterada e substituída de tempos em tempos), incluindo todas as portarias de implementação. Neste DPA, em circunstâncias em que e somente na medida em que as Leis de Proteção de Dados da Suíça se apliquem, as referências ao GDPR e suas disposições deverão ser interpretadas como referências às Leis de Proteção de Dados da Suíça e suas disposições correspondentes.

“Transferir”

significa transmitir ou, de outra forma, disponibilizar as Informações Pessoais do Cliente além das fronteiras nacionais em circunstâncias que sejam restritas pela Lei de Proteção de Dados Aplicável.

“Leis de Proteção de Dados do Reino Unido”

 

significa o GDPR conforme transposto para a legislação nacional do Reino Unido pela operação da seção 3 da Lei da União Europeia (Retirada) de 2018 e conforme alterado pela Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (“GDPR do Reino Unido”), juntamente com a Data Protection Act 2018,  Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 e outras legislações de proteção de dados ou privacidade em vigor no momento no Reino Unido.  Neste DPA, em circunstâncias em que e somente na medida em que o GDPR do Reino Unido se aplique, as referências ao GDPR e suas disposições deverão ser interpretadas como referências ao GDPR do Reino Unido e suas disposições correspondentes.

“IDTA do Reino Unido”

significa o International Data Transfer Addendum para as Cláusulas Contratuais Padrão do EEE emitido pelo UK Information Commissioner sob a seção 119A(1) do Data Protection Act 2018.

 

ANEXO A
CALIFORNIA CONSUMER PRIVACY ACT (CCPA)

Este Anexo  CCPA aplica-se além de quaisquer termos estabelecidos no corpo do DPA (e está incorporado a ele) quando a CCPA se aplica ao seu uso dos Serviços de Transação ou se a Lei de Proteção de Dados Aplicável impõe um requisito comparável descrito no Anexo A.  Os termos em maiúsculas não definidos aqui têm o significado atribuído a eles no DPA.  Na medida em que houver conflitos entre este Anexo CCPA e o DPA, este Anexo CCPA prevalecerá.

1      A Cybersource não deve:
(i)             vender ou compartilhar para publicidade comportamental em diferentes contextos, Informações Pessoais do Cliente;
(ii)            combinar Informações Pessoais do Cliente com informações pessoais obtidas de diferentes fontes;
(iii)          reter, usar ou divulgar Informações Pessoais do Cliente, exceto para os propósitos específicos estabelecidos no corpo do DPA; ou
(iv)          quando aplicável, usar qualquer Informação Pessoal Sensível recebida do Cliente, exceto para ajudar o Cliente nos propósitos autorizados por instrução do Cliente;

em cada caso, exceto conforme exigido para realizar um propósito de negócio definido neste Acordo ou conforme permitido pela Lei de Proteção de Dados Aplicável.

2      Na medida exigida pela Lei de Proteção de Dados Aplicável, este Anexo CCPA constitui sua certificação para as restrições de Tratamento aqui contidas para permitir que o Cliente:

(i)             garanta que as Informações Pessoais do Cliente sejam usadas de acordo com a Lei de Proteção de Dados Aplicável;

(ii)            impeça e remedeie o uso não autorizado de Informações Pessoais do Cliente, e

(iii)          conduza avaliações razoáveis das políticas e das medidas técnicas e organizacionais da Cybersource. A Cybersource concede ao Cliente os direitos estabelecidos no Anexo B, Seção 4, para os propósitos da Seção 2 (iii) deste Anexo.

3     As obrigações do Suboperador de acordo com a CCPA serão regidas pela Seção 4.3 do DPA.

A Cybersource e o Cliente deverão cumprir as disposições aplicáveis da CCPA, inclusive, no caso do Cliente, fornecer as notificações e divulgações exigidas com relação às obrigações da empresa nos termos da CCPA; e, no caso da Cybersource, notificar o Cliente imediatamente (e, em qualquer caso, dentro de qualquer período exigido por lei) ao determinar que não poderá mais cumprir suas obrigações com relação às Informações Pessoais do Cliente nos termos da CCPA.

ANEXO B
GENERAL DATA PROTECTION REGULATION (GDPR)

Este Anexo GDPR aplica-se além de quaisquer termos estabelecidos no corpo do DPA (e está incorporado a ele) quando o GDPR se aplica ao seu uso dos Serviços de Transação ou se a Lei de Proteção de Dados Aplicável impõe um requisito comparável descrito no Anexo B.  Os termos em maiúsculas não definidos aqui têm o significado atribuído a eles no DPA.  Na medida em que houver conflitos entre este Anexo GDPR e o DPA, este Anexo GDPR prevalecerá.

1      Obrigações do Operador.  O Operador deve Tratar as Informações Pessoais do Cliente apenas com instruções documentadas e razoáveis do Cliente (incluindo instruções sobre transferências de Informações Pessoais do Cliente para um terceiro país, se aplicável) a menos que o Operador seja obrigado a Tratar as Informações Pessoais do Cliente de outra forma pela Lei de Proteção de Dados Aplicável.  Em tais circunstâncias, o Operador deve informar o Cliente dessa exigência legal antes do Tratamento, a menos que proibido de fazê-lo por lei aplicável, em razões importantes de interesse público. O Operador deve informar imediatamente ao Cliente se, na opinião do Operador, as instruções do Cliente violarem a Lei de Proteção de Dados Aplicável.  O Cliente concorda que o Operador não está sob obrigação de tomar ações destinadas a formar tal opinião.

2      Uso de Suboperador

2.1  O Cliente fornece autorização para o Operador engajar os Suboperadores listados no Business Center.  O Operador se reserva o direito de manter sua lista de Suboperadores por meios como a publicação on-line de sua lista de Suboperadores.

2.2  O Operador deve informar ao Cliente quaisquer mudanças pretendidas referentes à adição ou substituição de outros Suboperadores para dar ao Cliente uma oportunidade razoável de se opor a tais mudanças.  Caso o Cliente se oponha à alteração ou inclusão de um Suboperador pelo Operador, o Cliente deverá notificar prontamente o Operador sobre suas objeções, por escrito, em até 10 dias úteis após o recebimento da notificação do Operador sobre tal alteração ou inclusão. 

2.3  O Operador poderá, a seu critério, empreender esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços de Transação ou recomendar uma alteração comercialmente razoável na configuração do Cliente ou no uso dos Serviços de Transação para evitar o Tratamento das Informações Pessoais do Cliente pelo novo Suboperador contestado.  Se o Operador não puder disponibilizar essa alteração em um período de tempo razoável, que não deverá exceder 30 (trinta) dias, o Cliente poderá rescindir o Acordo com relação apenas aos aspectos dos Serviços de Transação que não puderem ser fornecidos pelo Operador sem o uso do novo Suboperador contestado, mediante notificação por escrito ao Operador. Se os Serviços de Transação como um todo não puderem ser executados sem o novo Suboperador contestado, o Cliente poderá rescindir todo o Acordo.  

2.4  O Operador concorda em não impor uma penalidade ao Cliente por qualquer rescisão nos termos desta seção 2.

3      Avaliações de Impacto na Proteção de Dados e Consulta Prévia ao Órgão Regulador.  O Operador deverá fornecer assistência razoável ao Cliente em quaisquer (i) avaliações de impacto de proteção de dados legalmente exigidas; e (ii) consultas prévias iniciadas pelo Cliente com seu regulador em relação a tais avaliações de impacto de proteção de dados.  Essa assistência deverá ser estritamente limitada ao Tratamento das Informações Pessoais do Cliente pelo Operador em nome do Cliente nos termos do Acordo, levando em consideração a natureza do Tratamento e as informações disponíveis para o Operador.

4      Demonstração da Conformidade com este DPA.  O Operador disponibilizará ao Cliente todas as informações necessárias para demonstrar a conformidade com suas obrigações nos termos deste DPA e permitirá (e contribuirá para) auditorias, incluindo inspeções conduzidas pelo Cliente ou por outro auditor sob as instruções do Cliente para os mesmos fins de demonstrar a conformidade com as obrigações estabelecidas neste DPA.  O direito do Cliente, nos termos destaseção 4 deste Anexo GDPR, está sujeito ao seguinte:

4.1  Se o Operador puder demonstrar conformidade com suas obrigações estabelecidas neste DPA aderindo a um código de conduta aprovado, obtendo uma certificação aprovada ou fornecendo ao Cliente um relatório de auditoria emitido por um auditor terceirizado independente (desde que o Cliente cumpra as obrigações de confidencialidade apropriadas, conforme estabelecido no Acordo, e não use esse relatório de auditoria para qualquer outra finalidade), o Cliente concorda que não realizará uma auditoria ou inspeção nos termos da seção 4 acima; e

4.2  Reconhecendo o tempo, as despesas e a interrupção dos negócios associados à realização de auditorias e inspeções que envolvam entrevistas e visitas ao local, o Cliente concorda em realizar tais auditorias e inspeções somente na condição de que o Cliente possa demonstrar que tal auditoria ou inspeção é necessária além das informações disponibilizadas pelo Operador de acordo com a seção 4 acima.  Tais auditorias e inspeções deverão ocorrer em intervalos razoáveis (mas não mais do que uma vez por ano), mediante aviso prévio de pelo menos 60 dias e em uma data mutuamente acordada pelas Partes, desde que a auditoria (i) não prejudique os negócios do Operador; (ii) seja realizada durante o horário comercial e às custas do Cliente; (iii) não interfira nos interesses de outros clientes do Operador; e (iv) não exceda um período de dois dias úteis sucessivos.

5      Transferências Internacionais para Serviços de Operador.  O Operador deverá cumprir as instruções documentadas do Cliente com relação à Transferência de Informações Pessoais do Cliente para um terceiro país.  O Operador somente Transferirá quaisquer Informações Pessoais do Cliente para fora da jurisdição aplicável do Cliente ou da jurisdição residente do Usuário Final, incluindo, sem limitação, fora do Espaço Econômico Europeu (“EEE”), do Reino Unido ou da Suíça, em conformidade com a Lei de Proteção de Dados Aplicável.  O Cliente concorda e reconhece que o Operador Transfere e armazena determinadas Informações Pessoais do Cliente (inclusive relacionadas a indivíduos localizados no EEE, na Suíça e/ou no Reino Unido) nos Estados Unidos. 

5.1  Transferências sujeitas ao GDPR, ao GDPR do Reino Unido ou às Leis de Proteção de Dados da Suíça.  O Módulo 2 (Transferência do controlador para o operador) das Cláusulas Contratuais Padrão do EEE deverá ser aplicado com relação a qualquer Transferência de Informações Pessoais do Cliente do EEE, Reino Unido ou Suíça para a Cybersource e qualquer uma de suas entidades afiliadas nos Estados Unidos ou em outros países terceiros (“Entidades da Cybersource”). As partes reconhecem e concordam que o Módulo 2 (Transferência do controlador para o operador) das Cláusulas Contratuais Padrão do EEE é aqui incorporado por referência e;

5.1.1      O Cliente e qualquer uma de suas afiliadas de propriedade ou controle comum que tenham assinado um Acordo para Serviços de Operador (“Entidades do Cliente”) serão considerados “exportadores de dados” e as Entidades da Cybersource serão os “importadores de dados”;

5.1.2      Aplicar-se-á a Cláusula 7 – Cláusula de Adesão;

5.1.3      Aplicar-se-á a Cláusula 9 -Uso de suboperadores Opção 2 e o “prazo” será de 10 dias úteis;

5.1.4      Cláusula 11(a) – Reparação o idioma opcional não se aplicará;

5.1.5      Cláusula 13(a) – Supervisão

5.1.5.1   Quando o exportador de dados estiver estabelecido em um Estado-Membro da UE, aplicar-se-á o seguinte: “A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

5.1.5.2   Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679, de acordo com seu Artigo 3(2), e tiver nomeado um representante de acordo com o Artigo 27(1) do GDPR, aplicar-se-á o seguinte: “A autoridade supervisora do Estado-Membro no qual o representante, na acepção do Artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

5.1.5.3   Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do escopo territorial de aplicação do GDPR de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do GDPR, aplicar-se-á o seguinte: “A autoridade supervisora de um dos Estados-Membros em que os titulares de dados cujos dados pessoais são transferidos nos termos destas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

5.1.6      Cláusula 17 – Lei aplicável A opção 1 será aplicada e o “Estado-Membro” será a Irlanda;

5.1.7      Cláusula 18 – Escolha de foro e jurisdição O Estado-Membro será a Irlanda; e

5.1.8      as informações no Anexo 1 (Tabela 1) deste Anexo do GDPR estão incorporadas nos Anexos 1, 2 e 3 das Cláusulas Contratuais Padrão do EEE.

5.1.9      Transferências sujeitas ao GDPR do Reino Unido: quando a Transferência estiver sujeita ao GDPR do Reino Unido, as Cláusulas Contratuais Padrão do EEE e a Cláusula 5.1 deste Anexo B deverão ser lidas de acordo com as disposições da Parte 2 (Cláusulas Obrigatórias) da IDTA do Reino Unido, e consideradas alteradas por elas.  Para os fins da Tabela 4 na Parte 1 (Tabelas) da IDTA do Reino Unido, as partes selecionam a opção “nenhuma das partes”. Caso contrário, as Partes confirmam que as informações exigidas para os fins da Parte 1 (Tabelas) da IDTA do Reino Unido estão definidas no Anexo 1.  Se houver qualquer conflito ou inconsistência entre um termo no corpo deste DPA, um Acordo e um termo no Módulo 2 (Transferência do controlador para o operador) das Cláusulas Contratuais Padrão do EEE, incorporado a este DPA, o termo no Módulo 2 (Transferência do controlador para o operador) das Cláusulas Contratuais Padrão do EEE terá precedência.

5.1.10    Transferências sujeitas às Leis de Proteção de Dados da Suíça: Quando a Transferência estiver sujeita às Leis de Proteção de Dados da Suíça, as Cláusulas Contratuais Padrão do EEE e a Cláusula 5.1 deste Anexo B deverão ser lidas de acordo com a seção 13.4 do Anexo B dessa Proteção de Dados.

6      Obrigações do Controlador Conjunto.  As obrigações neste DPA, incluindo as estabelecidas abaixo neste Anexo GDPR, constituirão o acordo por escrito que aloca as responsabilidades entre os controladores conjuntos exigidos pelo Artigo 26 do GDPR com relação aos Serviços de Controlador.

7      Assistência Razoável.  Com relação aos Serviços de Controlador, cada parte deverá auxiliar a outra parte, conforme razoavelmente necessário, no cumprimento de quaisquer obrigações regulatórias em relação à segurança de dados, notificação de um Incidente de Segurança e avaliações de impacto de proteção de dados para os Serviços de Controlador.

8      Aviso.  Com relação aos Serviços de Controlador, o Cliente deverá fornecer ao(s) Usuário(s) Final(is) todos os avisos de privacidade, informações e quaisquer escolhas necessárias e deverá obter quaisquer consentimentos necessários para permitir que as partes cumpram a Lei de Proteção de Dados Aplicável com relação aos Serviços de Transação.

9      Direitos do Titular dos Dados. As partes concordam que o Cliente será o ponto de contato designado para o Titular dos Dados com relação às solicitações de Direitos do Titular dos Dados para os Serviços de Controlador, e a Cybersource deverá cooperar e auxiliar razoavelmente o Cliente na execução e no cumprimento de suas obrigações sob as Leis de Proteção de Dados Aplicáveis em relação a tais solicitações.

10   Autoridades Supervisoras.  As partes deverão, sem atrasos indevidos, notificar uma à outra sobre o recebimento de qualquer correspondência de uma Autoridade Supervisora em relação aos Serviços de Controlador, quando e na medida permitida pela lei aplicável.

11   Segurança do Tratamento.  Cada parte será responsável por garantir a segurança adequada em relação ao tratamento de Informações Pessoais para os Serviços de Controlador que ocorrerem nos sistemas da própria parte.

12   Incidente de Segurança.  Para evitar dúvidas, no caso de um Incidente de Segurança relacionada aos Serviços de Controlador, a seção 5 do corpo do Acordo deverá prevalecer.

13   Transferências Internacionais para Serviços de Controlador

13.1       Transferências sujeitas ao GDPR, ao GDPR do Reino Unido ou às Leis de Proteção de Dados da Suíça: O Módulo 1 (transferência de controlador para controlador) das Cláusulas Contratuais Padrão do EEE será aplicado com relação a qualquer Transferência de Informações Pessoais do Cliente do EEE, do Reino Unido ou da Suíça para a Cybersource Corporation nos Estados Unidos, somente quando a Cybersource Corporation estiver atuando como controladora para os fins dos Serviços de Controlador. As partes reconhecem e concordam que o Módulo 1 (Transferência de controlador para controlador) das Cláusulas Contratuais Padrão do EEE é aqui incorporado por referência e;

13.1.1    O Cliente e quaisquer Entidades do Cliente serão considerados “exportadores de dados” e as Entidades da Cybersource serão os “importadores de dados";

13.1.2    Aplicar-se-á a Cláusula 7 – Cláusula de Adesão;

13.1.3    Cláusula 11(a) – Correção ao idioma opcional não se aplicará;

13.1.4    Cláusula 13(a) – Supervisão

13.1.4.1        Quando o exportador de dados estiver estabelecido em um Estado-membro da UE, aplicar-se-á o seguinte: “A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

13.1.4.2        Quando o exportador de dados não estiver estabelecido em um Estado-membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679, de acordo com seu Artigo 3(2), e tiver nomeado um representante de acordo com o Artigo 27(1) do GDPR, aplicar-se-á o seguinte: “A autoridade supervisora do Estado-Membro no qual o representante, na acepção do Artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

13.1.4.3        Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do escopo territorial de aplicação do GDPR de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do GDPR, aplicar-se-á o seguinte: “A autoridade supervisora de um dos Estados-Membros em que os titulares de dados cujos dados pessoais são transferidos nos termos destas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.”

13.1.5    Cláusula 17 – Lei aplicável A opção 1 será aplicada e o “Estado-Membro” será a Irlanda;

13.1.6    Cláusula 18 – Escolha de foro e jurisdição O Estado-Membro será a Irlanda;

13.1.7    as informações no Anexo 1 (Tabela 1) deste Anexo do GDPR estão incorporadas nos Anexos 1, 2 e 3 das Cláusulas Contratuais Padrão do EEE.

13.2     Transferências sujeitas ao GDPR do Reino Unido: quando a Transferência estiver sujeita ao GDPR do Reino Unido, as Cláusulas Contratuais Padrão do EEE e a Cláusula 13.1 deste Anexo B deverão ser lidas de acordo com as disposições da Parte 2 (Cláusulas Obrigatórias) da IDTA do Reino Unido, e consideradas alteradas por elas.  Para os fins da Tabela 4 na Parte 1 (Tabelas) da IDTA do Reino Unido, as partes selecionam a opção “nenhuma das partes”. Caso contrário, as Partes confirmam que as informações exigidas para os fins da Parte 1 (Tabelas) da IDTA do Reino Unido estão definidas no Anexo 1.

13.3     Se houver qualquer conflito ou inconsistência entre um termo no corpo deste DPA, um Acordo e um termo no Módulo 1 (transferência de controlador para controlador) das Cláusulas Contratuais Padrão do EEE incorporadas a este DPA, o termo nas Cláusulas Contratuais Padrão do EEE terá precedência.

13.4     Transferências sujeitas às Leis de Proteção de Dados da Suíça: na medida em que as Leis de Proteção de Dados da Suíça sejam aplicáveis a uma exportação de dados nos termos das Cláusulas Contratuais Padrão do EEE estabelecidas neste DPA, as Partes concordam com as seguintes alterações às Cláusulas Contratuais Padrão do EEE e à Cláusula 13.1 deste Anexo B:

13.4.1 O termo “Estado-Membro”, de acordo com a Cláusula 18 (c) das Cláusulas Contratuais Padrão do EEE, não deverá ser interpretado de forma que os titulares de dados na Suíça sejam excluídos do exercício de seus direitos, se houver, em seu local de residência habitual;

13.4.2 A autoridade supervisora de acordo com a Cláusula 13 das Cláusulas Contratuais Padrão do EEE é o Swiss Federal Data Protection and Information Commissioner;

13.4.3 A lei aplicável às Cláusulas Contratuais Padrão do EEE de acordo com a Cláusula 17 das Cláusulas Contratuais Padrão do EEE serão as Leis de Proteção de Dados da Suíça;

13.4.4 O local de jurisdição nos termos da Cláusula 18 (b) das Cláusulas Contratuais Padrão do EEE será o tribunal da cidade de Zurique;

13.4.5 Quando as Cláusulas Contratuais Padrão do EEE incluírem referências ao GDPR, tais referências deverão ser entendidas como referências às Leis de Proteção de Dados da Suíça.

MODELO 1
INFORMAÇÕES NECESSÁRIAS PARA AS CLÁUSULAS CONTRATUAIS PADRÃO DO EEE E PARA A IDTA DO REINO UNIDO E AS LEIS DE PROTEÇÃO DE DADOS DA SUÍÇA

Tabela 1: Informações a serem incorporadas às Cláusulas Contratuais Padrão do EEE

ANEXO I A. Relação das partes

Identificação e informações de contato do EXPORTADOR de dados

Nome

Entidades do cliente

Endereço

A ser fornecido mediante solicitação

Nome, cargo e informações de contato da pessoa de contato:

A ser fornecido mediante solicitação

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas:

Conforme estabelecido na tabela do Anexo 2 em "Natureza e finalidade do Tratamento".

Função (controlador/operador):

Controlador

Identidade e informações de contato do IMPORTADOR de dados

Nome

Entidades da Cybersource

Endereço

900 Metro Center Boulevard
Foster City, CA 94404
EUA

Nome, cargo e informações de contato da pessoa de contato:

privacy@visa.com

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas:

Conforme estabelecido na tabela do Anexo 2 em "Natureza e finalidade do Tratamento".

Função (controlador/operador):

Módulo 1: Controlador
Módulo 2: Operador

ANEXO I B. Descrição da Transferência

Categorias de titulares de dados cujos dados pessoais são transferidos

Conforme estabelecido na tabela do Anexo 2 em "Categorias de Titulares de Dados".

Categorias de dados pessoais transferidos

Conforme estabelecido na tabela do Anexo 2 em "Tipos de Informações Pessoais".

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

Não aplicável

A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

Contínua

Natureza do tratamento

Conforme estabelecido na tabela do Anexo 2 em "Natureza e finalidade do tratamento".

Finalidade(s) da transferência de dados e tratamento posterior

Conforme estabelecido na tabela do Anexo 2 em "Natureza e finalidade do tratamento".

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Os dados pessoais serão retidos de acordo com as políticas de retenção da Cybersource, apenas pelo tempo necessário para atender aos requisitos legais, regulatórios e operacionais da Cybersource e conforme necessário para a execução dos serviços.

Para transferências para (sub)operadores, especifique também o assunto, a natureza e a duração do tratamento

Conforme estabelecido na tabela do Anexo 2 em "Natureza e finalidade do Tratamento".

Anexo I C. Autoridades Supervisoras Competentes

Autoridade(s) supervisora(s) competente(s)

A ser fornecida pelo exportador de dados mediante solicitação.

ANEXO II Medidas Técnicas e Organizacionais Incluindo Medidas Técnicas e Organizacionais para Garantir a Segurança dos Dados

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do tratamento, e os riscos para os direitos e liberdades das pessoas físicas.

A Cybersource Corporation é certificada como estando em conformidade com todos os padrões estabelecidos pelos Payment Card Industry Data Security Standards (juntamente com qualquer organização sucessora, “PCI DSS”) que são aplicáveis à Cybersource Corporation e suas afiliadas (tais padrões, os “Padrões PCI”).  Como prova de conformidade, o Cliente pode acessar o Atestado de Conformidade atual da Cybersource Corporation, assinado por um Assessor de Segurança Qualificado da Payment Card Industry, por meio da Visa Online.

A Cybersource Corporation mantém e aplica políticas, procedimentos e padrões de segurança física e de segurança da informação comercialmente razoáveis, que são projetados (i) para garantir a segurança e a confidencialidade dos registros e informações do Cliente, (ii) para proteger contra quaisquer ameaças ou riscos previstos à segurança ou integridade de tais registros e (iii) para proteger contra o acesso não autorizado ou uso de tais registros ou informações que possam resultar em danos substanciais (o “Programa de Segurança da Informação da Visa”).  O Programa de Segurança da Informação da Visa foi concebido, fundamentalmente, para cumprir as normas estabelecidas na norma ISO 27002, publicada pela International Organization for Standardization, bem como quaisquer revisões, versões ou outras normas ou objetivos que as substituam.

A Cybersource Corporation contrata seus auditores independentes para realizar uma análise das operações e dos procedimentos da Cybersource Corporation às custas da Cybersource Corporation.  Os auditores realizam a análise de acordo com a Statement on Standards for Attestation Engagements No. 18 SOC I Type II (“SSAE 18”) do American Institute of Certified Public Accounts e registram suas conclusões e recomendações em um relatório para a Cybersource Corporation.  Mediante solicitação, e sujeita às obrigações de confidencialidade padrão, a Cybersource Corporation fornecerá sua SSAE 18 mais recente e, a critério razoável da Cybersource Corporation, informações adicionais razoavelmente solicitadas para tratar de dúvidas ou problemas relacionados às conclusões da SSAE 18.

No caso de transferências para (sub)operadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub)operador para poder prestar assistência ao controlador e, no caso de transferências de um operador para um suboperador, ao exportador de dados

Em relação aos Serviços de Transação: iniciativas, produtos, processos e tecnologia de suporte são avaliados sob a perspectiva da privacidade de dados, permitindo que a Cybersource incorpore controles de privacidade para mitigar os riscos nos estágios iniciais (privacidade desde a concepção). A Cybersource tem uma estrutura robusta de avaliação de risco de privacidade (incluindo avaliações de impacto de privacidade), incorporando esse processo em nossos veículos de mudança por toda a empresa, para garantir que atividades de tratamento de dados pessoais novas e alteradas sejam revisadas. Quando o Cliente precisar de assistência específica, ele poderá enviar essas solicitações de assistência ao Business Center.

ANEXO III Lista de Suboperadores
O controlador autorizou o uso dos seguintes suboperadores:

Conforme listado no Business Center.

 

MODELO 2
DETALHES DO TRATAMENTO DE INFORMAÇÕES PESSOAIS DO CLIENTE

1    Detalhes do Tratamento com relação aos Serviços do Operador 

A tabela abaixo inclui determinados detalhes do Tratamento de Informações Pessoais do Cliente com relação aos Serviços do Operador, conforme exigido pelo Artigo 28(3) do GDPR. Cada uma das descrições de serviço abaixo se aplica na medida em que o Cliente usa esse serviço nos termos do Acordo.

Serviço

Natureza e finalidade do tratamento

Tipos de informações pessoais

Categorias de titulares de dados aos quais as informações pessoais se referem

Serviço Payment Gateway

Serviços de gateway para transferências bancárias, débitos diretos, autorização de cartão de crédito/débito, liquidação, autenticação e crédito, incluindo processamento, fornecimento de suporte ao cliente.

Informações bancárias e do portador do cartão, incluindo, sem limitação, números de cartões, números de contas bancárias, nome, endereço, número de telefone e endereço de e-mail.

 

Usuários Finais, conforme definido no Acordo (incluindo portadores de cartões de crédito, usuários de transferências bancárias, usuários de débito direto, todos os Usuários Finais cujos dados do portador do cartão ou da conta bancária são enviados ao Operador para tratamento).

Tokenização

A tokenização é uma tecnologia de Segurança de Dados que ajuda os clientes a viabilizarem a transferência e o armazenamento seguros de informações confidenciais.

O serviço de Tokenização da Cybersource substitui dados de pagamento confidenciais por um identificador ou token exclusivo.  Isso simplifica as operações do cliente e remove os dados confidenciais de seu ambiente. Os dados reais de pagamento são armazenados com segurança nos centros de dados da Visa, dentro do cofre de tokens dos clientes.

Se o Cliente se inscrever para o serviço de Tokenização, ele poderá escolher quais dados do Cliente serão armazenados.  A Cybersource pode dar suporte a dados como números de conta, nome, endereço de cobrança, endereço de entrega, número de telefone, endereço de e-mail etc.

 

 

 

 

 

 

Payer Authentication

O Payer Authentication, também chamado de 3D Secure, fornece ao Cliente serviços de gerenciamento de risco e autenticação.

O Payer Authentication facilita a troca de dados entre o Cliente e um emissor de cartão para autenticar um titular de cartão, encaminhando os dados para programas do Payer Authentication, como Visa Secure, Mastercard Identity Check (ID Check), American Express SafeKey e JCB J/Secure.

O Payer Authentication ajuda a minimizar transações fraudulentas dispendiosas, acrescentando uma camada extra de proteção ao processo de pagamento, ajudando a aumentar as taxas de aprovação de autorização e a reduzir o risco de fraude.

Se o Cliente optar por usar o serviço de Autenticação, o serviço poderá usar informações bancárias e do portador do cartão, incluindo, sem limitação, números de cartões, números de contas bancárias, nomes, endereços, números de telefone e endereços de e-mail como parte do processamento da solicitação de autenticação com o emissor.

Triagem de Pedidos

A Triagem de Pedidos oferece aos clientes serviços de gerenciamento de riscos e revisão de pedidos.

As Informações Pessoais do Cliente são usadas para avaliar o potencial de fraude e marcar essas transações com recomendações para o cliente.

A Triagem de Pedidos aproveita os dados do Cliente disponíveis no serviço Decision Manager.

Esses dados incluem informações bancárias e do portador do cartão, como, sem limitação, números de cartões, números de contas bancárias, nome, endereço, número de telefone, endereço de e-mail, bem como o dispositivo do portador do cartão usado para concluir as transações do Cliente (como a impressão digital do dispositivo, se o cliente optar por usar o ThreatMetrix). 

Monitoramento de Desempenho

O Monitoramento de Desempenho fornece ao Cliente um analista de risco especializado para fins de consultoria na área de gerenciamento de fraudes, especificamente relacionado ao uso do Decision Manager.

O Monitoramento de Desempenho aproveita os dados do Cliente disponíveis no serviço Decision Manager.

Esses dados incluem informações bancárias e do portador do cartão, como, sem limitação, números de cartões, números de contas bancárias, nome, endereço, número de telefone, endereço de e-mail, bem como o dispositivo do portador do cartão usado para concluir as transações do Cliente (como a impressão digital do dispositivo, se o cliente optar por usar o ThreatMetrix).

 

Pagamentos Alternativos

Os serviços de Pagamentos Alternativos para Transferências Bancárias On-line, Carteiras Digitais, Compre Agora, Pague Depois e Pagamentos em Dinheiro

Nome, endereço, endereço de e-mail, número de telefone, IBAN (opcional), BIC/SWIFT (opcional)

 

2    Detalhes do Tratamento em relação aos Serviços de Controlador 

A tabela abaixo inclui determinados detalhes do Tratamento de Informações Pessoais do Cliente em relação aos Serviços de Controlador. Cada uma das descrições de serviço abaixo se aplica na medida em que o Cliente usa esse serviço nos termos do Acordo.    

Serviço

Natureza e finalidade do tratamento

Tipos de informações pessoais

Categorias de titulares de dados aos quais as informações pessoais se referem

Decision Manager

O Decision Manager fornece ao Cliente serviços de gerenciamento de riscos e mitigação de fraudes.

As Informações Pessoais do Cliente são usadas para apoiar a criação e o aprimoramento de ferramentas e modelos de segurança e prevenção de fraudes para uso pelo Cliente e por qualquer outro cliente da Cybersource. Esses modelos garantem que a pontuação nos Serviços de Fraude seja mantida atualizada.

Informações bancárias e do portador do cartão, como, sem limitação, números de cartões, números de contas bancárias, nome, endereço, número de telefone, endereço de e-mail, bem como o dispositivo do portador do cartão usado para concluir as transações do Cliente (como a impressão digital do dispositivo, se o cliente optar por usar o ThreatMetrix).

 

Usuários Finais, conforme definido no Acordo (incluindo portadores de cartões de crédito, usuários de transferências bancárias, usuários de débito direto, todos os Usuários Finais cujos dados do portador do cartão ou da conta bancária são enviados ao Operador para tratamento).

Fraud Management Essentials (FME)

O Fraud Management Essentials fornece ao Cliente serviços de gerenciamento de riscos e mitigação de fraudes.

As Informações Pessoais do Cliente são usadas para apoiar a criação e o aprimoramento de ferramentas e modelos de segurança e prevenção de fraudes para uso pelo Cliente e por qualquer outro cliente da Cybersource. Esses modelos garantem que a pontuação nos Serviços de Fraude seja mantida atualizada.

Informações bancárias e do titular do cartão, como, sem limitação, números de cartões, números de contas bancárias, nome, endereço, número de telefone, endereço de e-mail, bem como o dispositivo do titular do cartão usado para concluir as transações do Cliente (como a impressão digital do dispositivo, se o cliente optar por usar o ThreatMetrix).