Atualizado: 24 de agosto de 2021

Este Acordo de Tratamento de Dados (“DPA” do acrônimo em inglês de Data Processing Agreement) é celebrado entre você e a entidade que você representa (doravante denominada simplesmente como o “Cliente” ou “Você”) e a Cybersource Corporation e/ou qualquer entidade contratante que seja afiliada à Cybersource (“Cybersource”). Este instrumento é parte integrante de qualquer contrato escrito ou eletrônico entre você e a Cybersource (cada um denominado simplesmente como um “Contrato”), pelo qual a Cybersource realiza o Tratamento de dados pessoais em seu nome (os “Dados Pessoais Vinculados ao Cliente”), ressalvados quaisquer contratos realizados entre Você e a Cybersource que tenham estabelecido condições de tratamento de dados incluindo o objeto deste contrato.

1 Tratamento de Dados Pessoais Vinculados ao Cliente. As partes reconhecem e concordam que, conforme a Lei de Proteção de Dados Aplicável, a Cybersource poderá exercer diversas funções no tratamento de dados. De forma a permitir a cada parte o adimplemento de suas obrigações com relação à Lei de Proteção de Dados Aplicável, cada uma das partes concorda, ainda, em cumprir, conforme aplicável, quaisquer disposições requeridas no Anexo A: Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act) e/ou pelo Anexo B: Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR), ambas no que forem aplicáveis.

1.1 GDPR. Nos casos em que o Regulamento Geral sobre a Proteção de Dados (Regulamento UE - 2016/679 (o “GDPR”) resulte aplicável para o uso pelo Cliente dos Serviços de Transações ou se a Lei de Proteção de Dados Aplicável impuser um requisito comparável, as partes reconhecem e ajustam o que segue com relação aos Dados Pessoais vinculados ao Cliente que a Cybersource tratar:

1.1.1 A Cybersource é uma “operadora” ou, caso exista, termo equivalente conforme previsto na Lei de Proteção de Dados Aplicável (denominado “Operador” para fins deste DPA) com relação aos “Serviços de Tratamento”. Esses Serviços de Tratamento incluem, sem limitação, os Tratamentos arrolados nos Detalhes de Tratamento (Apêndice 2, cláusula 1); e

1.1.2 Tanto o Cliente como a Cybersource são “controladores em conjunto” ou, se existir, termo equivalente conforme previsto na Lei de Proteção de Dados Aplicável, com relação aos “Serviços do Controlador”. Esses Serviços do Controlador incluem o Tratamento especificado nos Detalhes de Tratamento (Apêndice 2, cláusula 2).

1.2 Outras Normas de Proteção de Dados Aplicáveis. Nos casos em que a cláusula 1.1 não for aplicável, as partes reconhecem e ajustam que a Cybersource será o Operador para todos os Serviços de Transações.

2 Cumprimento da normativa. Tanto a Cybersource, no fornecimento de Serviços de Transações ao Cliente, como o Cliente, no uso desses Serviços, tratarão os Dados Pessoais Vinculados ao Cliente conforme a Lei de Proteção de Dados Aplicável.

3 Aviso de Privacidade. O Cliente deverá disponibilizar aos Usuários Finais os avisos de privacidade, informações e todas as opções necessárias, bem como deverá obter eventuais consentimentos necessários parar permitir às partes atender a Lei de Proteção de Dados Aplicável com relação aos Serviços de Transações.

4 Obrigações do Operador

4.1 Autorização para Tratar. Quando a Cybersource atuar como Operador, ela tratará os Dados Pessoais em nome do Cliente para fornecer os Serviços de Transações, e o Operador terá autorização apenas para Tratar Dados Pessoais Vinculados ao Cliente em conexão com as atividades a seguir:

4.1.1 Conforme os Contratos em vigor, inclusive os apêndices, anexos e tabela de preços aplicáveis, entre outros, com o objetivo de fornecer os Serviços de Transações e quaisquer Tratamentos requeridos pela lei ou regulamentos em vigor;

4.1.2 Com base nas instruções do Cliente e seu uso dos Serviços de Transações, o Operador transfere os Dados Pessoais aos credenciadores, emissores e processadores de pagamento prestando serviços para credenciadores empresas de cartões de crédito e débito, prestadores de serviços que realizam serviços de autenticação de pagadores utilizados pelo Cliente, como Verified by Visa e MasterCard Identity Check (Verificação de ID); e

4.1.3 Conquanto resulte razoavelmente necessário para permitir ao Operador o cumprimento de outras diretrizes ou instruções do Cliente.

4.2 Direitos do Titular dos Dados. O Operador deverá, na medida em que for legalmente permitido, fornecer assistência razoável ao Cliente com o fim de responder solicitações dos Usuários Finais no exercício de seus direitos conforme a Lei de Proteção de Dados Aplicável (ex. O direito de acessar seus Dados Pessoais ou removê-los), de forma tal que resulte consistente com a natureza e funcionalidade dos Serviços de Transações. O Cliente deverá apresentar esses requerimentos de assistência no Business Center. Caso o Operador receba uma solicitação, o Operador informará ao Usuário Final que o Cliente é o responsável pelo atendimento desses requerimentos feitos pelo Usuário Final, segundo a Lei de Proteção de Dados Aplicável.

4.3 Contratação de Suboperadores. O Operador, ao realizar acordos com outros operadores de dados, incluindo suas Empresas Afiliadas (os “Suboperadores”), no cumprimento de atividades específicas de Tratamento em nome do Cliente, deverá assegurar a existência de um contrato escrito entre o Operador e o Suboperador correspondente. Esses contratos escritos, na medida em que for aplicável à natureza dos Serviços de Transações fornecidos pelo Suboperador correspondente, deverão oferecer, no mínimo, o mesmo nível de proteção de Dados Pessoais Vinculados ao Cliente estabelecido neste DPA.

4.4 Pessoal. O Operador assegurará que o pessoal autorizado para Tratar os Dados Pessoais Vinculados ao Cliente tenha se comprometido em manter a confidencialidade ou que seja sob a obrigação legal de manter a confidencialidade.

4.5 Segurança do Tratamento. Levando em consideração os avanços tecnológicos, os custos de implementação, a natureza, alcance, contexto e fins do Tratamento, assim como os riscos de severidade e probabilidade variáveis para os direitos e liberdades dos indivíduos, o Operador implementará as medidas técnicas e organizacionais que resultarem apropriadas para garantir um nível de segurança adequado a esse risco. Ao avaliar a adequação do nível de segurança, o Operador deverá considerar especialmente o grau de sensibilidade dos Dados Pessoais e os riscos que seu Tratamento apresentar, notadamente, os decorrentes do Tratamento não autorizado, destruição, perda ou alteração acidental ou ilícita, divulgação ou acesso não autorizado aos Dados Pessoais Vinculados ao Cliente, transmitidos, armazenados ou de outra forma tratados. O Operador deverá oferecer ao Cliente assistência razoável com o intuito de garantir que o Cliente atenda suas próprias obrigações com relação às medidas de segurança acima. Além disso, as partes cumprirão o padrão PCI-DSS na forma determinada pelo Contrato.

5 Incidente de Segurança. As partes investigarão de forma imediata e cuidadosa toda alegação de acesso não autorizado, uso ou divulgação dos Dados Pessoais Vinculados ao Cliente. Na hipótese de existência de uma Violação à Segurança (conforme definido a seguir) que afete os Dados Pessoais Vinculados ao Cliente, as partes prestarão cooperação e assistência mútua e em boa fé naquilo em que for preciso para o cumprimento da Lei de Proteção de Dados Aplicável, inclusive, se aplicável, a de dar ciência à Autoridade Supervisora sobre a Incidente de Segurança (conforme definido a seguir) que afete os Dados Pessoais Vinculados ao Cliente em:

5.1 Sistemas da Cybersource. A Cybersource deverá, sem atrasos injustificados, dar ciência ao Cliente sobre o Incidente de Segurança e manter o Cliente informado periodicamente sobre o avanço da investigação e os esforços para remediar a situação. A notificação referida nesta cláusula deverá ser realizada mediante envio de correio eletrônico e/ou mensagem de texto ao endereço eletrônico ou número de telefone registrado pelo Cliente no Business Center. Com relação aos Serviços do Controlador, o Cliente deverá oferecer à Cybersource a assistência e cooperação conforme necessárias para que a Cybersource possa dar ciência sobre o Incidente de Segurança às Autoridades de Controle pertinentes.

5.2 Sistemas do Cliente. O Cliente poderá optar por dar ciência à Cybersource sobre o Incidente de Segurança e esse aviso será realizado ao correio eletrônico vsirt@visa.com. A Cybersource deverá oferecer ao Cliente a assistência e cooperação necessárias para que ele possa dar ciência sobre o Incidente de Segurança às Autoridades Supervisoras pertinentes.

5.3 O Cliente será responsável por dar ciência de qualquer Incidente de Segurança aos Usuários Finais se essa notificação for requerida pela Lei de Proteção de Dados Aplicável.

5.4 A menos que a lei ou regulações aplicáveis o requeiram, nenhuma das partes realizará (nem permitirá que qualquer terceiro realize) declarações concernentes ao Incidente de Segurança que incluam referências diretas ou indiretas à outra parte, a menos que exista autorização escrita e expressa.

5.5 Na medida em que o Incidente de Segurança tenha sido provocado pelo Cliente ou Usuário Final do Cliente, o Cliente será responsável pelos custos decorrentes da assistência fornecida em virtude desta cláusula 5.

6 Supressão ou Conservação. O Operador, à escolha do Cliente, removerá ou restituirá ao Cliente todos os Dados Pessoais ao Cliente no momento da finalização deste Contrato e eliminará todas as cópias existentes, a menos que a legislação aplicável requeira sua conservação.

7 Disposições Gerais. Os termos deste DPA somente serão aplicáveis na medida requerida pela Lei de Proteção de Dados Aplicável. As disposições do Contrato ou Contratos em vigor (inclusive, entre outras, as isenções, limitações de responsabilidade, cumprimento ou interpretação) serão aplicáveis a este DPA na medida em que não forem contrárias a ele. Na hipótese de divergência entre este DPA e os termos do Contrato em vigor, os termos deste DPA irão prevalecer exclusivamente no que tange às condições de tratamento de dados segundo for requerido pela Lei de Proteção de Dados Aplicável, em todos os outros aspectos os termos do respectivo Contrato irão prevalecer. Sem prejuízo do estabelecido nas condições do DPA, o DPA não é aplicável aos dados ou informações que não tenham relação com um ou mais indivíduos identificáveis conforme a Lei de Proteção de Dados Aplicável, tais como os dados que foram agrupados, desidentificados ou anonimizados, ou na medida em que a Cybersource e o Cliente tenham ajustado termos de tratamento de dados apartados que enderecem os assuntos aqui considerados.

8 Definições. Ressalvada disposição em contrário no Contrato (incluindo este DPA), os termos do DPA terão as definições a eles atribuídas pela Lei de Proteção de Dados Aplicável.

“Lei de Proteção de Dados Aplicável”

Refere-se à lei ou regulação sobre proteção de dados, privacidade e/ou o Tratamento de Dados Pessoais na medida em que aplicável em relação às obrigações de alguma das partes em virtude do Contrato e do DPA. A título meramente ilustrativo, as Leis de Proteção de Dados em vigor incluem, entre outras: o Regulamento Geral de Proteção de Dados (Regulamento (EU) 2016/679) (o “GDPR”), a Lei de Privacidade do Consumidor da Califórnia de 2018, Cód. Civ. Qualif., art. 1798.100 e seg. (“CCPA”), a Lei de Proteção de Dados Pessoais e Documentos Eletrônicos do Canadá, S.C. 2000, c. 5 (“PIPEDA”), as Leis de Proteção de Dados do Reino Unido, as Leis PD de Suíça e quaisquer legislou forem consideradas substancialmente similares às referidas acima, na medida em que for aplicável.

“Cláusulas Contratuais Padrão do EEE”

significa as Cláusulas Contratuais Padrão estabelecidas pela Decisão de Execução (UE) 2021/914 sobre as cláusulas contratuais padrão para a transferência de dados pessoais a outros países conforme o Regulamento (UE) 2016/679 do, com as alterações e substituições que oportunamente a autoridade competente possa introduzir em decorrência da Lei de Proteção de Dados Aplicável.

“Usuário(s) Final(Finais)”

Refere-se a qualquer pessoa que adquira bens e serviços do Cliente, cujos dados forem entregues pelo Cliente à Cybersource durante a prestação dos Serviços de Transações conforme este Instrumento.

“Dados Pessoais”

Significam todos os dados ou informações em qualquer forma ou formato, que identificam, fazem referência a, descrevem ou são aptos para se associar com ou razoavelmente vincular a, direta ou indiretamente, um consumidor em particular (o “Titular dos Dados”) ou com pessoas em geral, ou que sejam regulados como “dados Pessoais”, “informações pessoais” ou de outra forma na Lei de Proteção de Dados Aplicável. Com o intuito de dirimir quaisquer dúvidas, esse conceito inclui quaisquer informações relativas a um Usuário Final conforme definido no Contrato.

“Tratar” ou “Tratamento”

significa qualquer operação ou conjunto de operações realizadas sobre os Dados Pessoais, seja mediante procedimentos automatizados ou não, como a coleta, cadastro, organização, conservação, adaptação ou alteração, extração, divulgação ou qualquer outra forma de habilitação de acesso, duplicação, transmissão, combinação, bloqueio, redação, supressão ou destruição;

“Incidente de Segurança”

significa um incidente de segurança que envolva a destruição, perda ou alteração acidental ou ilícita, ou a divulgação ou acesso não autorizados a Dados Pessoais. Um Incidente de Segurança envolve uma “violação da segurança dos dados pessoais” (conforme a definição do GDPR) uma “violação da segurança de um sistema” (conforme a definição de qualquer dos Estados Unidos da América), uma “violação das medidas de segurança” (conforme a definição de PIPEDA), ou qualquer termo similar (conforme quaisquer definições contidas em uma norma de privacidade aplicável), assim como qualquer outro evento que comprometa a segurança, confidencialidade ou integridade de Dados Pessoais.

“Leis PD da Suíça”

significa a Lei Federal de Proteção de dados de 19 de junho de 1992, com suas atualizações, alterações e substituições, incluindo todas suas regulações de implementação.

“Transferência”

Significa transmitir ou de qualquer outra forma disponibilizar os Dados Pessoais Vinculados ao Cliente para além das fronteiras nacionais em circunstâncias restritas pela Lei de Proteção de Dados Aplicável.

“Leis de Proteção de Dados do Reino Unido”

Refere-se ao GDPRGDPR em vigor no direito interno do Reino Unido (“RU”) em virtude do artigo 3 da Lei de 2018 de Retirada da União Europeia, com as alterações introduzidas pelo Regulamento de Proteção de Dados, Privacidade e Comunicações Eletrônicas (Alterações, etc.) (Saída da UE) Regulamentos de 2019 e quaisquer legislações referidas à proteção de dados ou à privacidade oportunamente em vigor no Reino Unido. Neste DPA, a menos que, e na medida em que, forem de aplicação exclusivamente para o GDPR RU, as referências ao GDPR e suas disposições deverão ser interpretadas como referências ao GDPR RU e suas disposições respectivas.

“Cláusulas Contratuais Padrão do Reino Unido”

 

Refere-se em conjunto a: cláusulas contratuais padrão do controlador para o processador estabelecidas na Decisão C(2010)593 de 5 de fevereiro de 2010, conforme a Diretiva 95/46/CE do Parlamento Europeu e do conselho (“UK C2P SCC”) e as cláusulas contratuais padrão de controlador para controlador (adotadas pela Decisão 2004/915/EC de 27 de dezembro de 2004, conforme a Diretiva 95/46/CE do Parlamento Europeu e do Conselho e as que oportunamente as alterarem ou substituírem) ( “UK C2C SCC”)

 

A versão em Português deste DPA é fornecida apenas por conveniência. Em caso de qualquer conflito entre as versões em Português e Inglês, a versão em Inglês, disponível em Data Processing Agreement | Cybersource, prevalecerá.

ANEXO A

LEI DE PRIVACIDADE DO CONSUMIDOR DA CALIFÓRNIA (CCPA)

Este Anexo CCPA é complementar aos termos estabelecidos no corpo do DPA (e faz parte integrante dele), sendo aplicável nos casos em que o CCPA seja requerido ao uso pelo Cliente dos Serviços de Transações ou se a Lei de Proteção de Dados Aplicável impuser um requisito similar ao descrito neste Anexo A. Os termos em letras maiúsculas que não estejam definidos no presente instrumento possuem o significado a eles atribuído no DPA. Na medida em que existirem divergências entre este Anexo CCPA e o DPA, o CCPA que prevalecerá.

1 A Cybersource se absterá de: (i) vender Dados Pessoais Vinculados ao Cliente; e de (ii) reter, usar ou divulgar Dados Pessoais Vinculados ao Cliente, ressalvados os estabelecidos no texto do DPA e a menos que seja requerido ou permitido pela Lei de Proteção de Dados Aplicável.

2 Na medida requerida pela Lei de Proteção de Dados Aplicável, este Anexo CCPA constitui a certificação das restrições para o Tratamento aqui contidas.

ANEXO B

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS (GDPR)

Este Anexo GDPR é complementar aos termos estabelecidos no corpo do texto do DPA (e faz parte integrante dele) ), sendo aplicável nos casos em que o GDPR seja aplicado ao uso pelo Cliente dos Serviços de Transações ou se a Lei de Proteção de Dados Aplicável impuser um requisito similar a aquele descrito neste Anexo B. Os termos em letras maiúsculas que não estejam definidos no presente possuem o significado a eles atribuído no DPA. Na medida em que existirem divergências entre este Anexo GDPR e o DPA, o GDPR prevalecerá.

1 Obrigações do Operador. O Operador somente tratará os Dados Pessoais Vinculados ao Cliente conforme as instruções razoáveis documentadas do Cliente (o que inclui instruções com relação às transferências de Dados Pessoais Vinculados ao Cliente para terceiros países, conforme aplicável), ressalvado o caso em que o Operador esteja obrigado a Tratar os Dados pessoais Vinculados ao Cliente de uma forma diversa em decorrência da Lei de Proteção de Dados Aplicável. Nessas circunstâncias, o Operador dará ciência ao Cliente sobre esse requisito legal de forma prévia ao Tratamento, a menos que isso seja proibido pela legislação aplicável, por motivos de interesse público relevante. O Operador informará imediatamente ao Cliente se, segundo o critério do Operador, as instruções do Cliente envolverem um inadimplemento da Lei de Proteção de Dados Aplicável. O Cliente reconhece o Operador não tem obrigação de tomar qualquer ação para alcançar esse entendimento.

2 Uso de Subprocessadores

2.1 O Cliente autoriza o Processador a contratar Suboperadores indicados no Business Center. O Operador reserva para si o direito de divulgar sua lista de Suboperadores por meio da referida publicação on-line da lista de Subpoperador.

2.2 O Operador dará ciência ao Cliente sobre sua intenção de realizar alterações mediante a adição ou substituição de Suboperadores, de forma que seja dado ao Cliente a oportunidade de questionar essas alterações. Caso o Cliente questione a alteração de um Suboperador realizada pelo Operador, deverá prontamente notificar por escrito o Operador, observando o prazo de até 10 dias úteis a partir do recebimento da notificação sobre a alteração .

2.3 O Operador poderá, ao seu critério, envidar os esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços de Transações ou recomendar uma modificação comercialmente adequada de configuração ou utilização pelo Cliente dos Serviços de Transações, com o intuito de evitar o Tratamento de Dados Pessoais Vinculados ao Cliente pelo novo Suboperador questionado. Se o Operador não estiver em condições de realizar essa modificação em um prazo razoável, que não poderá ultrapassar os 30 (trinta) dias, o Cliente poderá, mediante comunicação escrita ao Operador, rescindir o Contrato apenas em relação aos aspectos dos Serviços de Transações que não possam ser fornecidos pelo Operador sem utilizar o novo Suboperador questionado, mediante aviso de forma escrita. Se os Serviços de Transações não puderem ser oferecidos na íntegra sem a intervenção do novo Suboperador questionado, o Cliente poderá rescindir a totalidade do Contrato.

2.4 O Operador concorda em que a rescisão ocorrida com base nessa Cláusula 2 não gerará qualquer penalidade em face do Cliente.

3 Avaliação do Impacto na Proteção de Dados e Consulta Prévia com as Autoridades Reguladoras. O Operador oferecerá razoável assistência ao Cliente com relação aos requerimentos legais a seguir: (i) avaliação de impacto na proteção de dados, e (ii) consultas prévias realizadas pelo Cliente junto à autoridade reguladora relativas a essas avaliações de impacto da proteção de dados. Essa assistência deverá ser limitada estritamente ao Tratamento dos Dados Pessoais Vinculados ao Cliente pelo Operador em nome do Cliente em decorrência do Contrato, tendo em consideração a natureza do Tratamento e as informações disponibilizadas para o Operador.

4 Comprovação do Cumprimento deste DPA. O Operador disponibilizará ao Cliente todas as informações necessárias para comprovar o cumprimento das obrigações assumidas em decorrência deste DPA e permitirá (e prestará colaboração) em auditorias, inclusive em inspeções pelo Cliente ou outro auditor por ele nomeado para os mesmos fins de comprovação do cumprimento das obrigações estabelecidas neste DPA. O direito do Cliente estabelecido na cláusula 4 deste Anexo GDPR é subordinado ao seguinte:

4.1 Se o Operador puder comprovar cumprimento de suas obrigações sob o DPA mediante a observância de um código de conduta aprovado, a obtenção de uma certificação aprovada ou mediante a entrega ao Cliente de um relatório de auditoria elaborado por um terceiro independente (desde que o Cliente cumpra as obrigações de confidencialidade estabelecidas no Contrato e não utilize esse relatório de auditoria para qualquer outro propósito), e o Cliente concorda em não realizar uma auditoria ou inspeção conforme a cláusula 4 acima; e

4.2 Em reconhecimento do tempo, despesas e interrupção das atividades comerciais relacionadas aos trabalhos de auditoria e inspeções que envolvam entrevistas ou visitas ao local, o Cliente concorda que somente realizará essas auditorias e inspeções sob a condição de comprovar que elas são necessárias em adição às informações disponibilizadas ao Operador, em decorrência da cláusula 4 precedente. Essas auditorias e inspeções serão realizadas com intervalos razoáveis (porém, com frequência que não supere uma vez ao ano) mediante notificação com antecedência mínima de 60 (sessenta) dias, na data que as Partes ajustarem e desde que a auditoria (i) não interrompa as atividades comerciais do Operador; (ii) seja realizada durante horários de expediente e que as despesas que gere sejam arcadas pelo Cliente; (iii) não interfira com os interesses dos outros clientes do Operador; e (iv) não ultrapasse o prazo de 02 (dois) dias úteis consecutivos.

5 Transferência a outros países de Serviços de Tratamento. O Operador deverá cumprir as instruções documentadas emitidas pelo Cliente no relativo à transferência de Dados Pessoais Vinculados ao Cliente a um terceiro país. O Operador somente transferirá Dados Pessoais Vinculados ao Cliente fora da jurisdição correspondente ao Cliente ou da jurisdição de residência do Usuário Final, o que inclui, sem limitação, fora do Espaço Economico Europeu (“EEE”), o Reino Unido ou Suíça, conforme a Lei de Proteção de Dados Aplicável. O Cliente concorda e reconhece que o Operador transfere e conserva determinados Dados Pessoais Vinculados ao Cliente (incluindo os relacionados com indivíduos localizados no EEE, Suíça e/ou o Reino Unido) nos Estados Unidos da América.

5.1 Transferências sujeitas ao GDPR, ou às leis PD da Suíça. O Módulo 2 (Transferência do controlador para o operador) das Cláusulas Padrão do EEE será aplicável a toda Transferência de Dados Pessoais Vinculados ao Cliente desde o EEE ou Suíça para a Cybersource ou qualquer de suas empresas afiliadas nos Estados Unidos da América ou outros terceiros países (as “Entidades da Cybersource”). As partes reconhecem e concordam em que o Módulo 2 (Transferência do controlador para o operador) das Cláusulas Padrão do EEE fique fazendo parte integrante do presente por referência; e

5.1.1 Tanto o Cliente como suas empresas afiliadas ou controladas que tenham celebrado um Contrato de Serviços de Processador (as “Entidades do Cliente”) serão consideradas como “exportador de dados” e as Entidades Cybersource como “importador de dados”.

5.1.2 A Cláusula 7 – Docking Clause será aplicável;

5.1.3 A Cláusula 9 - Uso de Suboperadores Opção 2 será aplicável; e o “prazo” será de 10 dias úteis;

5.1.4 A Cláusula 11(a) – Reparação, o idioma nacional não será aplicável;

5.1.5 Cláusula 13(a) – Supervisão

5.1.5.1 Se o exportador de dados estiver sediado em um Estado Membro da UE: “A autoridade supervisora responsável por garantir que o exportador de dados cumpra o Regulamento (UE) 2016/679 quanto à transferência dos dados, indicada no anexo I.C, atuará como autoridade supervisora competente.

5.1.5.2 Se o exportador de dados não estiver sediado em um Estado Membro da UE, porém dentro do âmbito territorial de aplicação do Regulamento (UE) 2016/679, conforme o artigo 3(2), e tenha nomeado um representante de acordo com o artigo 27(1) do GDPR, o seguinte será aplicável: “A autoridade supervisora do Estado Membro em que o representante estiver sediado no sentido do artigo 27(1) do Regulamento (UE) 2016/679, indicada no anexo I.C, exercerá como autoridade supervisora competente”.

5.1.5.3 Se o exportador de dados não estiver sediado em um Estado Membro da UE, mas estiver dentro do âmbito territorial de aplicação do GDPR conforme o 3(2) e não tenha nomeado um representante conforme o artigo 27(2) do GDPR, o seguinte será aplicável: “A autoridade supervisora de um dos Estados Membros onde se localizem os interessados cujos dados pessoais sejam transferidos em decorrência destas cláusulas no contexto de uma oferta de bens ou serviços, ou cujo comportamento esteja sendo controlado, indicada no anexo I.C, atuará como autoridade supervisora competente.”

5.1.6 A Cláusula 17 – Legislação aplicável: a Opção 1 será aplicada e o “Estado Membro” será a Irlanda;

5.1.7 A Cláusula 18 – Eleição do fórum e jurisdição do Estado Membro será a Irlanda; e

5.1.8 as informações contidas no Apêndice 1 (Tabela 1) deste Anexo GDPR fica incorporado aos Anexos 1, 2 e 3 das Cláusulas Contratuais Padrão do EEE.

5.2 Transferências sujeitas ao GDPR RU: As cláusulas contratuais padrão do Reino Unido (“UK C2P SCC”) serão aplicadas a toda Transferência de Dados Pessoais Vinculados ao Cliente do o Reino Unido às Entidades Cybersource. As partes concordam e reconhecem que:

5.2.1 O UK C2P SCC (RU Controlador a Operador) fica incorporado ao presente por referência;

5.2.2 As Entidades do Cliente serão consideradas como “exportadoras de dados” e as Entidades Cybersource como “importadoras de dados”;

5.2.3 As informações contidas no Apêndice 1 (Tabela 2) deste Anexo GDPR é incorporada aos Anexos 1 e 2 do UK C2P SCC; e

5.2.4 Na hipótese que o Reino Unido ou o Comissário de Informação aprovarem o uso das Cláusulas Contratuais Padrão do EEE aos fins do GDPR RU, as Cláusulas Contratuais Padrão do EEE serão aplicadas em lugar do estabelecido na cláusula 5.1 (Transferências sujeitas ao GDPR, ou as leis DP da Suíça) do presente (porém, entender-se-á que toda modificação requerida pelo GDPR RU ou recomendada pelo Comissário de Informação passam a fazer parte integrante e a autoridade supervisora competente será o Escritório do Comissário de Informação; e a legislação aplicável a da Inglaterra e Gales.

5.2.5 Na hipótese de divergência entre um termo deste DPA, um Contrato correspondente e um termo no Módulo 2 (Transferência do controlador ao operador) das Cláusulas Contratuais Padrão do EEE (ou, na medida em que resultar aplicável, o UK C2P SCC) incorporadas a este DPA, prevalecerá o termo no Módulo 2 (Transferência do controlador para o operador) das Cláusulas Contratuais Padrão do EEE (ou, na medida que resulte aplicável, o UK C2P SCC).

6 Obrigações dos Controladores Conjuntos. As obrigações incluídas neste DPA, inclusive aquelas estabelecidas no Anexo GDPR, constituem o acordo escrito que atribui as responsabilidades entre os controladores conjuntos, que o Artigo 26 do GDPR requer com relação aos Serviços do Controlador.

7 Assistência Razoável. Com relação aos Serviços do Controlador, as partes oferecerão assistência mútua na medida em que resulte razoável, para atender as obrigações impostas pela regulação sobre segurança dos dados, notificação de um Incidente de Segurança e as avaliações de impacto na proteção de dados pelos Serviços do Controlador.

8 Notificações. Com relação aos Serviços do Controlador, o cliente deverá oferecer a seus Usuários Finais as notificações de privacidade, informação e todas as opções necessárias e deverá obter todos os consentimentos que resultarem necessários para permitir às partes cumprirem a Lei de Proteção de Dados Aplicável com relação aos Serviços de Transações.

9 Direitos do Titular dos Dados. As partes concordam em que o Cliente será nomeado como ponto de contato para o Titular dos Dados com relação aos requerimentos sobre Direitos do Titular dos Dados realizados em decorrência dos Serviços do Controlador, e a Cybersource prestará colaboração razoável e assistência ao Cliente na execução e cumprimento de suas obrigações conforme a Lei de Proteção de Dados Aplicável com relação a esses requerimentos.

10 Autoridade Supervisora. As partes se darão mútua ciência e sem demora sobre a recepção de quaisquer comunicações de uma Autoridade Supervisora com relação aos Serviços do Controlador, na medida em que resulte permitido pela lei aplicável.

11 Segurança do Tratamento. Cada uma das partes será responsável por garantir um nível adequado de segurança com relação ao tratamento de Dados Pessoais para os Serviços do Controlador que seja realizado dentro dos sistemas de cada uma das partes.

12 Incidente de Segurança. Para fins de esclarecimento, na hipótese de um evento de violação da segurança relacionado com os Serviços do Controlador, a cláusula 5 do Contrato será aplicável.

13 Transferência de Serviços do Controlador para outros países

13.1 Transferências sujeitas ao GDPR ou às leis PD da Suíça: O Módulo 1 (Transferência de controlador para controlador) das Cláusulas Contratuais Padrão do EEE será aplicado a toda transferência de Dados Pessoais desde o EEE ou a Suíça para a Cybersource Corporation nos Estados Unidos da América, exclusivamente quando a Cybersource Corporation estiver agindo como controlador aos fins dos Serviços do Controlador. As partes reconhecem e concordam em que o Módulo 1 (Transferência de controlador) das Cláusulas Padrão do EEE façam parte integrante do presente por referência; e

13.1.1 O Cliente e quaisquer Entidades do Cliente serão consideradas como “exportador de dados” e as Entidades Cybersource como “importadora de dados”;

13.1.2 A Cláusula 7 – Docking clause é aplicável;

13.1.3 A Cláusula 11(a) - Reparação, o idioma opcional não será aplicado;

13.1.4 Cláusula 13(a) – Supervisão

13.1.4.1 O que segue será aplicável quando o exportador de dados esteja sediado em um Estado Membro da EU: “A autoridade supervisora responsável por garantir que o exportador de dados cumpra o Regulamento (UE) 2016/679 quanto à transferência dos dados, indicada no anexo I.C, atuará como autoridade supervisora competente.

13.1.4.2 Se o exportador de dados não estiver sediado em um Estado Membro da EU, porém, esteja dentro do âmbito territorial de aplicação do Regulamento (EU) 2016/679, conforme o artigo 3(2), e tenha nomeado um representante de acordo com o artigo 27(1) do GDPR, será aplicável o seguinte: “A autoridade supervisora do Estado Membro em que o representante esteja sediado no sentido do artigo 27(1) do Regulamento (UE) 2016/679, indicada no anexo I.C, atuará como autoridade supervisora competente”.

13.1.4.3 Se o exportador de dados não estiver sediado em um Estado Membro da EU, porém, estiver dentro do âmbito territorial de aplicação GDPR conforme o artigo 3(2) e não tenha nomeado um representante de acordo com o artigo 27(2) do GDPR, o seguinte será aplicável: “A autoridade supervisora de um dos Estados Membros onde estejam localizados os interessados cujos dados pessoais sejam transferidos em decorrência destas cláusulas no contexto de uma oferta de bens ou serviços, ou cujo comportamento esteja sendo controlado, indicada no anexo I.C, atuará como autoridade supervisora competente.”

13.1.5 A Cláusula 17 – Legislação aplicável: será aplicável a Opção 1 e o “Estado Membro” será a Irlanda;

13.1.6 A Cláusula 18 – Eleição do fórum e jurisdição do Estado Membro será a Irlanda; e

13.1.7 As informações contidas no Apêndice 1 (Tabela 1) deste Anexo GDPR são incorporadas aos Anexos 1, 2 e 3 das Cláusulas Contratuais Padrão do EEE.

13.2 Transferências sujeitas ao GDPR RU: As cláusulas contratuais padrão do Reino Unido (“UK C2C SCC”) serão aplicáveis a toda Transferência de Dados Pessoais Vinculados ao Cliente desde o Reino Unido para as Entidades Cybersource. As partes concordam e reconhecem que o UK C2P SCC é incorporado ao presente por referência e que:

13.2.1 As Entidades do Cliente serão consideradas como “exportador de dados” e as Entidades Cybersource como “importador de dados”;

13.2.2 As partes concordam em que as informações contidas no Apêndice 1 (Tabela 3 deste Anexo GDPR sejam incorporadas à Cláusula II (h) e Anexo B do UK C2C SCC.

13.2.3 Na hipótese que o governo do Reino Unido ou o Comissário de Informação aprovarem o uso das Cláusulas Contratuais Padrão do EEE aos fins do GDPR RU, as Cláusulas Contratuais Padrão do EEE serão aplicadas em lugar do estabelecido na cláusula 13.1 (Transferências sujeitas ao GDPR, ou às leis DP da Suíça) do presente (porém, entender-se-á que incorpora quaisquer alterações requeridas pelo UK GDPR ou recomendadas pelo Comissário de Informação e a autoridade supervisora competente será o Escritório do Comissário de Informação; e a legislação aplicável, a da Inglaterra e Gales).

13.2.4 Na hipótese de divergência entre um termo no corpo deste DPA, um Contrato correspondente e um termo no Módulo 1 (Transferência de controlador a controlador) das Cláusulas Contratuais Padrão do EEE (ou, na medida em que resulte aplicável, UK C2C SCC) incorporadas a este DPA, prevalecerá o termo nas Cláusulas Contratuais Padrão do EEE (ou, na medida em que resulte aplicável, o UK C2C SCC).

APÊNDICE 1

INFORMAÇÃO REQUERIDA PELAS CLÁUSULAS CONTRATUAIS PADRÃO DO EEE

E O REINO UNIDO

Tabela 1: Informação a ser adicionada às Cláusulas Contratuais Padrão do EEE

ANEXO I A. Lista das Partes

Dados de identidade e contato do EXPORTADOR de Dados

Nome

Entidades do Cliente

Domicílio

A ser fornecido sob requerimento

Nome de pessoa de contato, função e dados de contato:

A ser fornecido sob requerimento

Atividades relevantes em relação aos dados transferidos em virtude destas Cláusulas:

Conforme o estabelecido no Apêndice 2 sob o “Natureza e Propósito do Tratamento

Função (controlador/operador):

Controlador

Dados de identidade e contato do IMPORTADOR de Dados

Nome

Entidades Cybersource

Endereço

900 Metro Center Boulevard

Foster City, CA 94404

Estados Unidos de América.

Nome de pessoa de contato, função e dados de contato:

privacy@visa.com

Atividades relevantes em relação aos dados transferidos em virtude dessas Cláusulas:

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

Função (controlador/operador):

Módulo 1: Controlador

Módulo 2: Operador

ANEXO I B. Descrição da Transferência

Categorias de titular dos dados cujos dados pessoais são transferidos

Conforme o estabelecido no Apêndice 2 sob o título “Categorias de Titulares dos Dados

Categorias de dados pessoais transferidos

Conforme o estabelecido no Apêndice 2 sob o título “Classes de Dados Pessoais”.

Dados sensíveis transferidos (conforme aplicável) e restrições ou medidas de segurança aplicadas que consideram a natureza dos dados e os riscos envolvidos, tais como, limitação estrita com relação ao objeto, restrições de acesso (inclusive acesso exclusivo pelo pessoal que tenha recebido capacitação específica), manter registro do acesso aos dados, restrições ou transferências subsequentes ou medidas de segurança adicionais.

Não aplicável

A frequência da transferência (ex. se os dados são transferidos por única vez ou de forma contínua).

Contínua

Natureza do tratamento

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

Propósito(s) da transferência de dados e tratamento subsequente

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

O período de tempo durante o qual os dados pessoais serão retidos ou, se isso não for possível, o critério utilizado para determinar esse período.

Os Dados Pessoais serão retidos conforme as políticas de retenção da Cybersource, apenas até que seja necessário para cumprimento dos requerimentos legais, reguladores e operacionais da Cybersource e na medida em que resulte necessário para oferecer os serviços.

Para transferências a suboperadores, especificar ainda o objeto, natureza e duração do tratamento

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

Anexo I C. Autoridade Supervisorsa Competente

Autoridade(s) de controle competente(s)

A ser fornecidas pelo exportador de dados sob requerimento.

ANEXO II Medidas de Segurança Técnicas e Organizacionais inclusive Medidas de Segurança Técnicas e Organizacionais para Garantir a Segurança dos Dados

Descrição das medidas técnicas e organizacionais implementadas pelos importadores de dados (inclusive as certificações pertinentes) para garantir um nível de segurança apropriado, levando em consideração a natureza, o alcance, o contexto e os fins do tratamento, bem como os riscos para os direitos e liberdades das pessoas naturais.

Conforme o estabelecido na Tabela 2 deste Apêndice 1 sob o título “Descrição das medidas de segurança e organizativas implementadas pelo importador de dados”.

Para transferências a suboperadores , descrever ainda as medidas de segurança técnicas e organizacionais específicas que devam ser adotadas pelos suboperadores para permitir a eles oferecer assistência ao controlador e, para transferências de um operador para um suboperador, ao exportador de dados.

Com relação aos Serviços de Transações: as iniciativas, produtos, processos e tecnologia de suporte são avaliados sob o ponto vista de privacidade dos dados, permitindo à Cybersource incrustar controles de privacidade para mitigar os riscos nas fases iniciais (privacidade por desenho). A Cybersource conta com um robusto âmbito de avaliação de riscos (que inclui a avaliação de impacto à privacidade) que incorpora esse processo em nossos veículos de modificação no negócio, aos fins de garantir a avaliação tanto nas atividades de tratamento de dados pessoais novas como aquelas que sofreram modificações. Quando o Cliente solicitar assistência específica, pode encaminhar suas solicitações de assistência para o Business Center.

ANEXO III Lista de Suboperadores

O responsável autorizou o uso de suboperadores que são elencados abaixo:

Listas no Business Center.

 

Tabela 2: Informação para incorporar ao UK C2P SCC

Informação para incorporar ao Anexo 1 do UK C2P SCC

Categoria de Informação requerida pelo Anexo 1 das Cláusulas Contratuais Padrão do C2P (Controlador a Operador)

Informação convencionada pelas Partes

Exportador de Dados

Entidades do Cliente

Importador de Dados

Entidades Cybersource

Titulares dos Dados

Conforme o estabelecido pelo Apêndice 2 sob o título “Categorias de Titulares dos Dados

Categorias de Dados

Conforme o estabelecido no Apêndice 2 sob o título “Classes de Dados Pessoais”.

Categorias Especiais de Dados

Não aplicável

Operações de Tratamento

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

Informação para incorporar ao Anexo 2 do UK C2P SCC

Categoria de Informação requerida pelo Anexo 2 das Cláusulas Contratuais Padrão do C2P (Controlador a Operador)

Informação convencionada pelas Partes

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados conforme as cláusulas 4(d) e 5(c) (ou a documentação/legislação que é anexada)

 

A Cybersource Corporation possui certificação de cumprimento dos padrões estabelecidos pelas Normas de Segurança de Dados da Indústria dos cartões de Pagamento (e as que no futuro as substituírem, “PCI DSS”) que resultam aplicáveis à Cybersource Corporation e suas empresas afiliadas (os “Padrões PCI”). Aos fins de comprovar esse cumprimento, o Cliente poderá acessar a Certificação de Conformidade da Cybersource Corporation assinada por um Assessor de Segurança Qualificado (QSA) pela indústria de Cartões de Pagamento mediante Visa Online.

A Cybersource Corporation sustenta e faz cumprir as políticas de segurança de informação e de segurança física, procedimentos e padrões, comercialmente razoáveis, desenhados para (i) proteger a segurança e confidencialidade dos arquivos e as informações do Cliente; (ii) oferecer proteção contra ameaças ou riscos previsíveis para a segurança e integridade desses arquivos; (iii) oferecer proteção contra o acesso não autorizado e o uso desses arquivos ou informações de forma tal que possa resultar um dano significativo (o “Sistema de Segurança das Informações da Visa”). No mínimo, o Sistema de Segurança da Informação da Visa é indicado para atender o padrão ISO 27002 publicados pela Organização Internacional de Normalização, bem como suas revisões, versões ou outros padrões ou objetivos que os substituírem.

A Cybersource Corporation contrata contadores públicos independentes com o objetivo de que realizem a avaliação de suas operações e procedimentos, arcando com as despesas que isso demandar. Os contadores devem realizar a avaliação conforme a Declaração sobre Padrões para Compromissos de Certificação do Instituto Americano de Contadores Públicos Certificados No. 18 SOC I Tipo II (“SSAE 18”) e declaram seus achados e recomendações em seu relatório para a Cybersource Corporation. A requerimento, e sujeito às obrigações de confidencialidade usuais, a Cybersource Corporation proporcionará seu SSAE 18 mais recente e, conforme sua discricionaridade as informações adicionais que lhe forem requeridas para os fins de atender os questionamentos ou reparos que possa haver com relação às informações do SSAE 18.

 

Tabela 3: Informação para incorporar ao UK C2C SCC

Informação para incorporar à Cláusula II (h) do UK C2C SCC

O importador de dados tratará os dados pessoais conforme

(iii) os princípios de tratamento de dados estabelecidos no Anexo A

Informação para incorporar ao Anexo B do C2C (controlador a controlador) das Cláusulas Contratuais Padrão do EEE

Titulares dos Dados

Conforme o estabelecido no Apêndice 2 sob o título “Categorias de Titulares dos Dados

Propósito(s) da(s) transferência(s)

Conforme o estabelecido no Apêndice 2 sob o título “Natureza e Propósito do Tratamento

Categorias de Dados

Conforme o estabelecido no Apêndice 2 sob o título “Classes de Dados Pessoais

Destinatários

Serviços de Terceiros, à discrição do Cliente

Dados sensíveis

Conforme o estabelecido no Apêndice 2 sob o título “Classes de Dados Pessoais

Registro de proteção de dados informação do exportador de dados

A ser fornecido sob pedido

Ponto de contato para solicitações de proteção de dados (importador de dados)

privacy@visa.com

Ponto de contato para solicitações de proteção de dados (exportador de dados)

A ser fornecido sob pedido


APÊNDICE 2 DADOS DO TRATAMENTO DE DADOS PESSOAIS VINCULADOS AO CLIENTE

1 Dados do Tratamento com relação aos Serviços do Operador

Na tabela abaixo são incluídas determinadas informações sobre o Tratamento de Dados Pessoais Vinculados ao Cliente com relação aos Serviços do Operador conforme o artigo 28(3) do GDPR. Cada uma das descrições de serviço elencadas abaixo é aplicada na medida em que o Cliente utilize esse serviço conforme o Contrato.

Serviço

Natureza e propósito do tratamento

Classes de Dados Pessoais

Categorias de Titulares de Dados Pessoais com as que os Dados Pessoais são relacionados

Serviço de Plataforma de Pagamentos (Gateway Service)

Plataforma de Serviços para transferências bancárias, débitos diretos, autorização de créditos/débitos, pagamentos, autenticação e crédito, inclusive o tratamento e fornecimento de suporte ao cliente.

Portador do cartão e informações bancárias, inclusive os números de cartão, números de conta bancária, nome, endereço, número de telefone e endereço eletrônico, outros.

 

Os Usuários Finais definidos conforme o Contrato (inclusive os portadores de cartões de crédito, usuários de transferências bancárias, usuários de cartões de débito, todos os Usuários Finais cujas informações de conta bancária ou de portador de cartão são enviadas para o Processador para seu processamento).

Tokenização

A tokenização é uma tecnologia de Proteção de Dados que ajuda os clientes a facilitar a transferência e conservação de informações sensíveis de forma segura.
O Serviço de Tokenização da Cybersource substitui os dados sensíveis de pagamento por um identificador ou token único. Isso simplifica as operações do cliente e suprime os dados sensíveis de seu ambiente. Os dados reais de pagamento são guardados nos centros de tratamento de dados de Visa dentro da chave de segurança do token do cliente.

Se o Cliente se cadastrar para o Serviço de Tokenização, poderá escolher que dados do Cliente guardar. A Cybersource pode manter dados, tais como números de conta, nome, endereço de faturamento, endereço de envio, número de telefone, endereço eletrônico etc.

 

 

 

 

 

 

Payer Authentication

O Payer Authentication, também chamada de 3D Secure, fornece ao Cliente serviços de gestão de risco e de autenticação.

A Payer Authentication facilita o intercâmbio de dados entre o Cliente e um emissor de cartão para autenticar um portador de cartão mediante o roteamento de dados para programas de Payer Authentication, como: Visa Secure, Mastercard Identity Check (ID Check), American Express SafeKey y JCB J/Secure.

O Payer Authentication ajuda a minimizar transações fraudulentas onerosas ao adicionar uma camada de proteção adicional ao processo de pagamento e isso contribui para incrementar as taxas de autorizações, bem como a diminuir o risco de fraude.

Se o Cliente optar por utilizar o serviço de Authentication, este serviço poderá utilizar informações bancárias e do Portador do Cartão, inclusive números de cartões, números de contas bancárias, nomes, endereços, números de telefone e endereço eletrônico, entre outros, como parte do processo de requerimento de autorização com o emissor.

Order Screening

O Order Screening fornece aos clientes gestão de risco e serviços de revisão de pedidos.

Os Dados Pessoais Vinculados ao Cliente são utilizados para avaliar a potencial fraude e para assinalar essas transações com recomendações para o cliente.

O Order Screening aproveita os dados do Cliente disponibilizados no serviço Decision Manager.

Esses dados abrangem informações bancárias do portador de cartão, inclusive os números de cartão, números de conta bancária, nome, endereço, número de telefone e endereço eletrônico, entre outros, assim como o dispositivo do portador de cartão utilizado para completar a transação do Cliente (como ser a impressão digital do dispositivo, se o cliente optar por utilizar ThreatMetrix).

Performance Monitoring

O Performance Monitoring oferece ao Cliente um analista experto em risco com o objetivo de assessorá-lo no âmbito de gestão de fraude, notadamente, com relação ao uso de Decision Manager.

O Performance Monitoring aproveita os dados do Cliente disponibilizados no serviço Decision Manager.

Esses dados abrangem informações bancárias e do portador do cartão, inclusive os números de conta bancária, nome, endereço, número de telefone e endereço eletrônico, entre outros, assim como o dispositivo do portador do cartão utilizado para completar a transação do Cliente (como ser a impressão digital do dispositivo, se o cliente optar pela utilização do ThreatMetrix).

 

Alternative payments

Serviços Alt Pay para Transferências Bancárias Online, eWallets, Buy Now Pay Later e pagamentos baseados em Dinheiro.

Nome, endereço, correio eletrônico, número de telefone, IBAN (opcional), BIC/SWIFT (opcional)

 

2 Informações do Tratamento com relação aos Serviços do Controlador.

Na tabela abaixo são incluídas determinadas informações sobre o Tratamento de Dados do Cliente com relação aos Serviços do Controlador. Cada uma das descrições de serviço elencadas a seguir resultam aplicáveis na medida em que o Cliente utilizar esse serviço segundo o Contrato.

Serviço

Natureza e propósito do Tratamento

Classes de Dados Pessoais

Categorias de Titulares de Dados Pessoais com as quais os Dados Pessoais são relacionadas

Decision Manager

O Decision Manager oferece ao Cliente serviços de gestão de riscos e mitigação de fraude.

Os Dados Pessoais Vinculados ao Cliente são utilizados como base para a criação e melhoramento de ferramentas e modelos de segurança e prevenção da fraude para seu uso pelo Cliente ou quaisquer clientes da Cybersource. Esses modelos garantem que a pontuação dos Serviços Antifraude se mantenha atualizada.

Informações bancárias e do portador do cartão, inclusive os números de cartão, números de conta bancária, nome, endereço, número de telefone e endereço eletrônico, entre outros, assim como o dispositivo do portador do cartão utilizado para completar a transação do Cliente (como ser a impressão digital do dispositivo, se o cliente optar pela utilização de ThreatMetrix).

 

Os Usuários Finais definidos conforme o Contrato (inclusive os titulares de cartões de crédito, usuários de transferências bancárias, usuários de cartões de débito, todos os Usuários Finais cujas informações de conta bancária ou de portador do cartão são enviadas ao Processador para seu processamento).

FME (Fraud Management Essentials)

FME (Fraud Management Essentials) oferece ao Cliente serviços de gestão de riscos e mitigação de fraude.

Os Dados Pessoais Vinculados ao Cliente são utilizados como base para a criação e melhoramento de ferramentas e modelos de segurança e prevenção de fraude para seu uso pelo Cliente ou quaisquer clientes da Cybersource. Esses modelos garantem que a pontuação dos Serviços Antifraude se mantenha atualizada.

Informações bancárias e do portador do cartão, inclusive os números de cartão, números de conta bancária, nome, endereço, número de telefone e endereço eletrônico, entre outros, assim como o dispositivo do dispositivo do portador do cartão utilizado para completar a transação do Cliente (como a impressão digital do dispositivo se o cliente optar pela utilização de ThreatMetrix).