Ao utilizar os serviços disponíveis neste site ou ao disponibilizar os serviços aos Usuários Autorizados, os Usuários Autorizados e o Titular da Licença concordam em cumprir com os seguintes termos e condições (o "Contrato"). Para fins deste Acordo, "EBSCO" é EBSCO Publishing, Inc. O " Titular da Licença" é a entidade ou instituição que disponibiliza bases de dados e serviços oferecidos pela EBSCO; os " Sites " são os sites da Internet oferecidos ou operados pelo Titular da Licença, dos quais os Usuários Autorizados podem obter acesso às Bases de Dados e Serviços da EBSCO; e o " Usuário(s) Autorizado(s)" são empregados, estudantes, usuários registrados, usuários walk-in ou outras pessoas afiliadas ao Titular da Licença ou de outra forma autorizadas a usar as instalações do Titular da Licença e autorizadas pelo Titular da Licença a acessar as Bases de Dados ou Serviços. O "Usuário(s) Autorizado(s)" não inclui(m) os ex-alunos do Titular da Licença. "Serviços" significa EBSCOhost, EBSCO Discovery Service, EBSCO eBooks, Flipster e produtos relacionados aos quais o Licenciado tenha adquirido acesso ou uma assinatura. Os "Serviços" também incluirão livros eletrônicos aos quais o Licenciado tenha adquirido acesso ou uma assinatura e periódicos aos quais o Licenciado tenha adquirido uma assinatura. "Bases de dados" são os produtos disponibilizados pela EBSCO. A EBSCO se isenta de qualquer responsabilidade pela precisão, integridade ou funcionalidade de qualquer material aqui contido, referido ou ligado a ele. A publicação das informações de manutenção neste conteúdo não implica a aprovação dos fornecedores dos produtos cobertos. A EBSCO não assume responsabilidade por erros ou omissões nem qualquer responsabilidade por danos decorrentes do uso das informações aqui contidas. As pessoas envolvidas nos procedimentos aqui incluídos fazem-no inteiramente por sua própria conta e risco.
I. LICENÇA
A. A EBSCO concede ao Titular da Licença o direito intransferível e não exclusivo de usar as Bases de Dados e Serviços disponibilizados pela EBSCO de acordo com os termos e condições deste Acordo. As Bases de Dados e Serviços disponibilizados aos Usuários Autorizados são objeto de proteção de direitos autorais, e o proprietário original dos direitos autorais (EBSCO ou seus licenciadores) retém a propriedade das Bases de Dados e Serviços e todas as porções dos mesmos. A EBSCO não transfere qualquer propriedade, e o Titular da Licença e os Sites não podem reproduzir, distribuir, exibir, modificar, transferir ou transmitir, de qualquer forma, ou por qualquer meio, qualquer Base de Dados ou Serviço ou qualquer parte dele sem o consentimento prévio por escrito da EBSCO, exceto conforme especificamente autorizado neste Acordo.
B. O Titular da Licença está autorizado a fornecer acesso através dos Sites às Bases de Dados e Serviços a qualquer Usuário Autorizado. O Titular da Licença não pode colocar senhas nas Bases de Dados ou Serviços em nenhum site indexado publicamente. O Titular da Licença e os Sites estão autorizados a fornecer acesso remoto às Bases de Dados e Serviços somente aos seus usuários, desde que sejam realizados procedimentos de segurança que impeçam o acesso remoto por instituições, funcionários de instituições não assinantes ou indivíduos, que não sejam partes deste Acordo e que não sejam expressamente e especificamente concedidos acesso pela EBSCO. Para evitar dúvidas, se o Titular da Licença fornecer acesso remoto a indivíduos em uma escala mais ampla do que foi contemplado no início deste Acordo, então a EBSCO poderá deter o Titular da Licença em violação e suspender o acesso ao(s) Bases(s) de Dados ou Serviços. O acesso remoto às Bases de Dados ou Serviços é permitido aos clientes de instituições assinantes que acessem a partir de locais remotos para uso pessoal e não comercial. No entanto, o acesso remoto às Bases de Dados ou Serviços de instituições não assinantes não é permitido se a finalidade do uso for para ganho comercial através da redução de custos ou para evitar que uma instituição não subscritor.
C. O Titular da Licença e os Utsuários Autorizados concordam em cumprir o Copyright Act de 1976, assim como quaisquer restrições contratuais, restrições de direitos de autor ou outras restrições fornecidas pelos editores e especificadas nas Bases de Dados ou Serviços. De acordo com estes termos e condições, o Titular da Licença e os Usuários Autorizados podem baixar ou imprimir cópias limitadas de citações, resumos, texto completo ou partes dos mesmos, desde que a informação seja utilizada exclusivamente de acordo com a lei de direitos de autor. O Titular da Licença e os Usuários Autorizados não podem publicar a informação. O Titular da Licença e os Usuários Autorizados não utilizarão a Base de Dados ou os Serviços como componente ou base de qualquer outra publicação preparada para venda e não duplicarão nem alterarão as Bases de Dados ou os Serviços ou qualquer dos seus conteúdos de qualquer forma, nem os utilizarão para venda ou distribuição. O Titular da Licença e os Usuários Autorizados podem criar impressões de materiais recuperados através da impressão online, impressão offline, fac-símile ou correio electrônico. Toda a reprodução e distribuição de tais impressões, e todo o download e armazenamento electrônico de materiais recuperados através das Bases de Dados ou Serviços deve ser para uso interno ou pessoal. É estritamente proibido fazer o download total ou parcial das Bases de Dados ou Serviços de forma sistemática ou regular, de modo a criar uma coleção de materiais que compreenda a totalidade ou parte das Bases de Dados ou Serviços, quer essa coleção seja ou não em formato electrônico ou impresso. Não obstante as restrições acima, este parágrafo não deve restringir o uso dos materiais sob a doutrina do "uso justo", conforme definido pelas leis dos Estados Unidos. Os editores podem impor as suas próprias condições de utilização aplicáveis apenas ao seu conteúdo. Tais condições de utilização devem ser exibidas na tela do computador associado a esse conteúdo. O Titular da Licença deverá tomar todas as precauções razoáveis para limitar a utilização das Bases de Dados ou Serviços àqueles especificamente autorizados pelo presente Contrato.
D. Sites Autorizados podem ser adicionados ou excluídos deste Contrato conforme mutuamente acordado entre a EBSCO e o Licenciado.
E. O Titular da Licença concorda em cumprir com o Copyright Act de 1976, e concorda em indenizar a EBSCO contra quaisquer ações do Titular da Licença que não sejam consistentes com o Copyright Act de 1976.
F. O software de computador utilizado através das Basess de Dados e Serviço(s) da EBSCO é protegido pela lei de direitos autorais e tratados internacionais. A reprodução ou distribuição não autorizada deste software, ou de qualquer parte dele, não é permitida. O usuário não deve fazer engenharia reversa, descompilar, desmontar, modificar, traduzir, fazer qualquer tentativa de descobrir o código fonte do software, ou criar trabalhos derivados do software.
G. As Bases de Dados não se destinam a substituir as subscrições existentes do Titular da Licença aos conteúdos disponíveis nas Bases de Dados.
H. O Titular da Licença concorda em não incluir qualquer publicidade nas Bases de Dados ou Serviços.
II. GARANTIA LIMITADA E LIMITAÇÃO DE RESPONSABILIDADE
A. A EBSCO e seus licenciadores renunciam a todas as garantias, expressas ou implícitas, incluindo, mas não limitadas a, garantias de comerciabilidade, não infração ou adequação a um propósito particular. Nem a EBSCO nem seus licenciadores assumem ou autorizam qualquer outra pessoa a assumir pela EBSCO ou seus licenciadores qualquer outra responsabilidade em relação ao licenciamento das Bases de Dados ou dos Serviços sob este Acordo e/ou seu uso pelo Titular da Licença e Sites ou Usuários Autorizados.
B. A RESPONSABILIDADE MÁXIMA DA EBSCO E SEUS LICENCIADORES, SE HOUVER, SOB ESTE ACORDO, OU DECORRENTE DE QUALQUER RECLAMAÇÃO RELACIONADA AOS PRODUTOS, POR DANOS DIRETOS, SEJA EM CONTRATO, ATO ILÍCITO OU DE OUTRA FORMA, SERÁ LIMITADA AO VALOR TOTAL DAS TAXAS RECEBIDAS PELA EBSCO DO TITULAR DA LICENÇA ATÉ O MOMENTO EM QUE A CAUSA DA AÇÃO QUE DEU ORIGEM A TAL RESPONSABILIDADE TENHA OCORRIDO. EM NENHUMA HIPÓTESE A EBSCO OU SEUS LICENCIADORES SERÃO RESPONSÁVEIS PERANTE O TITULAR DA LICENÇA OU QUALQUER USUÁRIO AUTORIZADO POR QUAISQUER DANOS INDIRETOS, INCIDENTAIS, CONSEQÜENTES, PUNITIVOS OU ESPECIAIS RELACIONADOS AO USO DAS BASES DE DADOS OU SERVIÇOS OU A ESTES TERMOS E CONDIÇÕES, MESMO QUE AVISADOS DA POSSIBILIDADE DE TAIS DANOS.
C. O Titular da Licença é responsável por manter uma licença válida para os recursos de terceiros configurados para serem utilizados através dos Serviços (se aplicável). A EBSCO se isenta de qualquer responsabilidade ou obrigação de um Titular da Licença acessar os recursos de terceiros sem a devida autorização.
D. A EBSCO não é responsável se os recursos de terceiros acessíveis através dos Serviços não funcionarem adequadamente ou se os recursos de terceiros acessíveis através dos Serviços causarem problemas para o Titular da Licença. Enquanto a EBSCO fará os melhores esforços para ajudar na solução de problemas, o Titular da Licença reconhece que certos aspectos da funcionalidade podem depender de terceiros fornecedores de recursos que podem precisar ser contatados diretamente para a resolução.
III. PREÇO E PAGAMENTO
A. As taxas de licença foram acordadas pela EBSCO e pelo Titular da Licença, e incluem todas as questões retrospectivas do(s) Produto(s), bem como as atualizações fornecidas durante a vigência deste Acordo. As obrigações de pagamento do Titular da Licença devem ser para com a EBSCO ou para com seu cessionário. Os pagamentos são devidos no recebimento da(s) fatura(s) e serão considerados inadimplentes se não forem recebidos dentro de trinta (30) dias. As faturas em mora estão sujeitas a juros de 12% ao ano sobre o saldo não pago (ou à taxa máxima permitida por lei, se essa taxa for inferior a 12%). O Titular da Licença será responsável por todos os custos de cobrança. A falha ou atraso na entrega dos pagamentos devidos à EBSCO sob este Acordo constituirá, a critério da EBSCO, uma violação material deste Acordo. Se mudanças forem feitas resultando em alterações na listagem de Sites autorizados, Bases de Dados, Serviços e preços identificados neste Acordo, ajustes pro rata do preço contratado serão calculados pela EBSCO e faturados ao Titular da Licença e/ou Sites de acordo com a data de tais mudanças. O pagamento será devido no recebimento de qualquer fatura pro rata adicional e será considerado inadimplente se não for recebido dentro de trinta (30) dias da data da fatura.
B. Os impostos, se existirem, não estão incluídos no preço acordado e podem ser faturados separadamente. Quaisquer impostos aplicáveis ao(s) Banco(s) de Dados sob este Acordo, sejam ou não faturados pela EBSCO, serão de responsabilidade exclusiva do Titular da Licença e/ou dos Sites.
IV. RESCISÃO
A. No caso de uma violação de qualquer uma de suas obrigações sob este Acordo, o Titular da Licença terá o direito de remediar a violação dentro de trinta (30) dias após o recebimento da notificação por escrito da EBSCO. Dentro do prazo de tal notificação, o Titular da Licença fará todos os esforços razoáveis e documentará os referidos esforços para remediar tal violação e instituirá quaisquer procedimentos razoáveis para prevenir futuras ocorrências de tais violações. Se o Titular da Licença falhar em remediar tal violação dentro do período de trinta (30) dias, a EBSCO poderá (a seu critério) rescindir este Contrato mediante notificação por escrito ao Titular da Licença.
B. Se a EBSCO tomar conhecimento de uma violação material das obrigações do Titular da Licençasob este Acordo ou uma violação por parte do Titular da Licença ou dos Usuários Autorizados dos direitos da EBSCO ou de seus licenciadores ou uma violação dos direitos da EBSCO ou de seus licenciadores, então a EBSCO notificará o Licenciado imediatamente por escrito e terá o direito de suspender temporariamente o acesso do Licenciado às Bases de Dados ou aos Serviços. Será dada ao licenciado a oportunidade de corrigir a violação ou infração dentro de trinta (30) dias após o recebimento da notificação por escrito da EBSCO. Uma vez que a violação ou violação tenha sido remediada ou a atividade infratora tenha sido interrompida, a EBSCO deve restabelecer o acesso às Bases de Dados ou Serviços. Se o Titular da Licença não solucionar satisfatoriamente a atividade ofensiva dentro de trinta (30) dias, a EBSCO poderá encerrar este Contrato mediante notificação por escrito ao Titular da Licença.
C. As disposições estabelecidas nas Seções I, II e V deste Acordo devem sobreviver ao termo deste Acordo e permanecer em vigor para sempre.
V. AVISOS DE ALEGADA VIOLAÇÃO DE DIREITOS AUTORAIS
A EBSCO nomeou um agente para receber notificações de reclamações de violação de direitos autorais em relação a materiais disponíveis ou acessíveis em, através de, ou em conexão com nossos serviços. Qualquer pessoa autorizada a agir por um proprietário de direitos autorais pode nos notificar sobre tais reivindicações entrando em contato com o seguinte agente: Kim Stam, EBSCO Publishing, 10 Estes Street, Ipswich, MA 01938; telefone: 978-356-6500, fax: 978-356-5191; e-mail: kstam@ebsco.com. Ao contatar este agente, a pessoa de contato deve fornecer todas as informações relevantes, incluindo os elementos de notificação estabelecidos no 17 U.S.C. 512.
VI. GERAL
A. Nem a EBSCO nem seus licenciadores serão responsáveis ou considerados inadimplentes por quaisquer atrasos ou falhas de desempenho resultantes direta ou indiretamente de qualquer causa ou circunstância além de seu controle razoável, incluindo, mas não limitado a atos de Deus, guerra, motim, embargos, atos de autoridade civil ou militar, chuva, incêndio, inundação, acidentes, terremoto(s), greves ou falta de mão de obra, falta de instalações de transporte ou falhas de equipamento, ou falhas da Internet.
B. Este Contrato e a licença aqui concedida não podem ser cedidos pelo Titular da Licença a terceiros sem o consentimento por escrito da EBSCO.
C. Se qualquer termo ou condição deste Acordo for considerado inválido ou inaplicável por um tribunal de jurisdição competente ou agência administrativa, os restantes termos e condições permanecerão em pleno vigor e efeito enquanto um Acordo válido estiver em vigor.
D. Se o Titular da Licença e/ou Sites usarem ordens de compra em conjunto com este Contrato, então o Titular da Licença e/ou Sites concordam que a seguinte declaração é automaticamente feita parte de tais ordens de compra: "Os termos e condições estabelecidos no Contrato de Licença da EBSCO fazem parte desta ordem de compra e substituem todos os termos e condições, expressas ou implícitas, nesta ordem de compra, incluindo quaisquer renovações aqui contidas".
E. Este Acordo e nossa Política de Privacidade representam todo o acordo e entendimento das partes com respeito ao assunto aqui tratado e substituem todo e qualquer acordo e entendimento prévio, escrito e/ou oral. Não há representações, garantias, promessas, pactos ou compromissos, exceto conforme descrito neste Acordo e em nossa Política de Privacidade.
F. A EBSCO concede ao Titular da Licença o direito não transferível de utilizar qualquer endereço IP fornecido pela EBSCO ao Titular da Licença para ser utilizado com os Serviços. A EBSCO não transfere qualquer propriedade dos endereços IP que fornece ao Titular da Licença. No caso de rescisão da licença do Titular da Licença para os Serviços, o direito do Titular da Licença de utilizar tais endereços IP cessará.
G. Todas as informações que a EBSCO coleta quando o Titular da Licença acessa, usa ou fornece acesso às Bases de Dados e Serviços estão sujeitas à Política de Privacidade da EBSCO, que é incorporada aqui por referência. Ao acessar ou usar as Baes de Dados e/ou Serviços, você consente com todas as ações tomadas pela EBSCO com respeito às suas informações em conformidade com a Política de Privacidade.
ADENDO SOBRE PROCESSAMENTO DE DADOS
Este Adendo de Processamento de Dados (o "Adendo") complementa o Contrato de Licença da EBSCO (o "Contrato") entre o Cliente ("Cliente") e a EBSCO Publishing, Inc. ("EBSCO").
- Definições
- Para os fins deste Adendo, os termos "Controlador", "Processador", "Titular", "DadosPessoais", "Violação de Dados Pessoais", "Processamento", "Subprocessador" e "Autoridade Supervisora" terão os mesmos significados que na Legislação de Protecção de Dados aplicável, e os seus termos relacionados serão interpretados em conformidade.
- as "medidas técnicas e organizativas adequadas" devem ser interpretadas de acordo com a legislação aplicável em matéria de proteção de dados.
- "Dados Pessoais do Cliente" significa os Dados Pessoais que são fornecidos pelo Cliente à EBSCO ou que são processados pela EBSCO em nome do Cliente em conexão com o Acordo.
- "Legislação de Proteção de Dados" significa toda a legislação aplicável de proteção de dados e privacidade em vigor de tempos em tempos onde a EBSCO faz negócios, incluindo o Regulamento Geral de Proteção de Dados, Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (o "GDPR"), a Diretiva de Privacidade e Comunicações Eletrônicas 2002/58/CE (conforme atualizada pela Diretiva 2009/136/CE), a Lei de Privacidade do Consumidor da Califórnia de 2018, Cal. Civ. Código § 1798.100, et seq. (a "CCPA"), e todas as outras leis e regulamentos aplicáveis relativos ao Processamento de Dados Pessoais, incluindo qualquer legislação que implemente ou complemente, substitua, revogue e/ou substitua qualquer uma das anteriores.
- "Transferência Internacional de Dados" significa a transferência (directamente ou através de transferência) de Dados Pessoais do Espaço Económico Europeu/Reino Unido (conforme aplicável) para um país não reconhecido pela Comissão Europeia como fornecendo um nível adequado de protecção de Dados Pessoais (conforme descrito no GDPR).
- "Dados Pessoais do Usuário" significa os Dados Pessoais fornecidos diretamente pelos usuários finais do Cliente à EBSCO através dos produtos e serviços adquiridos pelo Cliente.
- Processamento de dados: EBSCO como Processador para o cliente
- Onde os Dados Pessoais do Cliente são processados pela EBSCO, a EBSCO atuará como Processador e o Cliente atuará como Controlador.
- Assunto. O assunto do Processamento são os Dados Pessoais do Cliente.
- Duração. O Processamento será realizado pela duração estabelecida no Contrato.
- Natureza e Finalidade. O objetivo do Processamento é o fornecimento de produtos e serviços ao Cliente, adquiridos pelo Cliente de tempos a tempos.
- Tipo de Dados Pessoais do Cliente e Sujeitos de Dados. Os Dados Pessoais do Cliente consistem nas seguintes categorias de informações relevantes para as seguintes categorias de Sujeitos de Dados:
- Representantes do Cliente: nome, endereço; endereço de e-mail; informações de faturamento; credenciais de login; dados de geolocalização; e afiliação profissional.
- Usuários finais dos produtos e serviços EBSCO comprados pelo Cliente (onde informações de conta personalizadas são fornecidas à EBSCO pelo Cliente): nome; endereço; e endereço de e-mail.
- A EBSCO não deverá processar os Dados Pessoais do Cliente a não ser nas instruções documentadas do Cliente (como estabelecido neste Adendo ou no Acordo ou como de outra forma orientado pelo Cliente por escrito). A EBSCO não processará os Dados Pessoais do Cliente para qualquer propósito, incluindo para qualquer propósito comercial, exceto para o propósito específico de executar os serviços especificados no Contrato. Se o Processamento de Dados Pessoais do Cliente inconsistente com as disposições precedentes desta seção for exigido pela Legislação de Proteção de Dados aplicável à qual a EBSCO está sujeita, a EBSCO deverá, na medida permitida pela Legislação de Proteção de Dados aplicável, informar o Cliente sobre essa exigência legal antes de proceder com o Processamento relevante desses Dados Pessoais do Cliente.
- A EBSCO notificará imediatamente o Cliente se, na opinião da EBSCO, uma instrução para o Processamento de Dados Pessoais do Cliente infringir a Legislação de Proteção de Dados aplicável.
- A EBSCO deve assegurar que todo o pessoal que tenha acesso e/ou processe os Dados Pessoais do Cliente esteja sujeito a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.
- A EBSCO deve, em relação aos Dados Pessoais do Cliente, implementar medidas técnicas e organizacionais apropriadas para proteger contra o processamento não autorizado ou ilegal dos Dados Pessoais do Cliente e contra a perda ou destruição acidental ou dano aos Dados Pessoais do Cliente. Ao considerar que medida é apropriada, cada parte deve ter em conta o estado das boas práticas, o desenvolvimento técnico e o custo da implementação de quaisquer medidas para garantir um nível de segurança adequado aos danos que possam resultar desse processamento não autorizado ou ilegal ou da perda ou destruição acidental, bem como à natureza dos dados a proteger.
- A EBSCO ajudará o Cliente, tendo em conta a natureza do Processamento, (A) através de medidas técnicas e organizacionais apropriadas e, sempre que possível, no cumprimento das obrigações do Cliente de responder aos pedidos dos sujeitos dos dados que exercem os seus direitos ao abrigo da Legislação Aplicável de Protecção de Dados; (B) na garantia do cumprimento das obrigações nos termos dos Artigos 32 a 36 da GDPR, tendo em conta a natureza do Processamento e as informações disponíveis para a EBSCO; e (C) disponibilizando ao Cliente todas as informações razoavelmente solicitadas pelo Cliente com a finalidade de demonstrar que as obrigações do Cliente relativas à nomeação dos processadores, conforme estabelecido no Artigo 28 da GDPR, foram cumpridas.
- A EBSCO deve notificar imediatamente o Cliente ao tomar conhecimento de qualquer violação confirmada de Dados Pessoais que afete os Dados Pessoais do Cliente.
- No término do Acordo, a EBSCO deverá, na eleição do Cliente, apagar ou devolver com segurança os Dados Pessoais do Cliente e destruir as cópias existentes, a menos que a preservação ou retenção de tais Dados Pessoais do Cliente seja exigida por qualquer lei aplicável à qual a EBSCO esteja sujeita.
- A EBSCO deverá permitir que o Cliente e seus representantes autorizados acessem e revisem atestados, relatórios ou extratos atualizados de organismos independentes (por exemplo, auditores externos, auditores de proteção de dados) ou certificações adequadas, ou conduzam auditorias ou inspeções para assegurar a conformidade com os termos deste Adendo. Qualquer auditoria ou inspeção deve ser conduzida durante o horário comercial regular da EBSCO, com aviso prévio razoável à EBSCO e sujeita a procedimentos de confidencialidade razoáveis. Além disso, as auditorias ou inspeções devem ser limitadas a uma vez por ano.
EBSCO deverá, no caso de sub-processamento de terceiros que esteja sujeito à Legislação de Proteção de Dados, (A) informar o Cliente e obter seu consentimento prévio por escrito (a execução deste Adendo será considerada como consentimento prévio por escrito do Cliente a tal sub-processamento de terceiros); (B) fornecer uma lista de Sub-processadores de terceiros a pedido do Cliente; e (C) informar o Cliente sobre quaisquer alterações pretendidas nos Sub-processadores de terceiros, e dar ao Cliente uma oportunidade razoável de se opor a tais alterações. Se a EBSCO fornecer Dados Pessoais a Subprocessadores de terceiros, a EBSCO incluirá em seu acordo com qualquer um desses termos de Subprocessadores de terceiros que ofereçam pelo menos o mesmo nível de proteção para os Dados Pessoais do Cliente que aqueles contidos aqui e que são exigidos pela Legislação de Proteção de Dados aplicável.
- Onde os Dados Pessoais do Cliente são processados pela EBSCO, a EBSCO atuará como Processador e o Cliente atuará como Controlador.
- Processamento de dados: EBSCO como Joint Controller With Customer (EBSCO)
- A EBSCO e o Cliente devem agir como Controladores conjuntos no que diz respeito aos Dados Pessoais do Usuário.
- A EBSCO será responsável por fornecer aos Sujeitos de Dados de Usuários Finais do Cliente as informações exigidas nos Artigos 13 e 14 da GDPR (incluindo a identificação de um ponto de contato para os Sujeitos de Dados) antes de processar os Dados Pessoais do Usuário, e por informar os usuários finais do Cliente sobre a essência do acordo da EBSCO com o Cliente.
- A EBSCO deve fornecer aos Sujeitos de Dados do Usuário Final do Cliente a capacidade de exercer seus direitos individuais com respeito aos Dados Pessoais do Usuário dentro de um portal de auto-atendimento.
- Transferências Internacionais de Dados
- Na medida em que quaisquer Dados Pessoais do Cliente estejam sujeitos a qualquer Transferência Internacional de Dados, as partes concordam em estar vinculadas, e todos os termos e disposições do Controlador às Cláusulas Contratuais Padrão do Processador adoptadas pela Comissão Europeia ("Cláusulas Modelo do Processador") serão incorporadas por referência a este Adendo com a mesma força e efeito como se estivessem totalmente estabelecidas no presente Adendo, no qual:
- O cliente é o "exportador de dados" e a EBSCO International, Inc. é o "importador de dados"; e
- As disposições do Módulo Dois são incorporadas; as disposições dos Módulos Um, Três e Quatro, as notas de rodapé e as Cláusulas 9, 11(a) Opção e 17 Opção 1 são omitidas; as cláusulas serão regidas pela legislação da Irlanda; e a autoridade de controlo competente é a Irlanda.
- Na medida em que quaisquer Dados Pessoais do Usuário estejam sujeitos a qualquer Transferência Internacional de Dados, as partes concordam em estar vinculadas, e todos os termos e disposições do Controlador às Cláusulas Contratuais Padrão do Controlador adotadas pela Comissão Européia ("Cláusulas Modelo do Controlador") serão incorporadas por referência a este Adendo com a mesma força e efeito como se estivesse totalmente estabelecido neste Adendo, no qual:
- O cliente é o "exportador de dados" e a EBSCO é o "importador de dados"; e
- As disposições do Módulo Um são incorporadas; as disposições dos Módulos Dois, Três e Quatro, as notas de rodapé e as Cláusulas 9, 11(a) Opção e 17 Opção 1 são omitidas; as cláusulas serão regidas pela lei da Irlanda; e a autoridade de supervisão competente é a Irlanda.
- As Cláusulas Modelo do Processador e as Cláusulas Modelo do Controlador serão coletivamente, as "Cláusulas Contratuais Padrão". A versão aplicável das Cláusulas Contratuais Padrão é aquela que foi aprovada pela Comissão Européia em 4 de junho de 2021. No caso de as Cláusulas Contratuais Padrão serem actualizadas, substituídas, alteradas ou reemitidas pela Comissão Europeia (sendo as Cláusulas Contratuais Padrão actualizadas as "Novas Cláusulas Contratuais") durante o prazo deste Adendo, as Novas Cláusulas Contratuais serão consideradas como substituindo as Cláusulas Contratuais Padrão e as partes comprometem-se a respeitar os termos das Novas Cláusulas Contratuais em vigor a partir da data da actualização (a menos que qualquer uma das partes se oponha a tal alteração) e as partes deverão executar uma forma das Novas Cláusulas Contratuais.
- As descrições exigidas pelos Anexos das Cláusulas Contratuais Padrão são substituídas pelas informações do Anexo 1, Anexo 2 e Anexo 3 do presente Adendo.
- Na medida em que o Gabinete do Comissário de Informação do Reino Unido emita quaisquer cláusulas contratuais padrão com a finalidade de fazer transferências de dados internacionais lícitas durante o prazo deste Adendo que irão impactar as transferências de Dados Pessoais do Cliente ou Dados Pessoais do Usuário (sendo tais cláusulas as "Cláusulas Contratuais Padrão do Reino Unido"), na medida do possível, as Cláusulas Contratuais Padrão do Reino Unido serão consideradas incorporadas neste Adendo e as partes se comprometem a estar vinculadas aos termos das Cláusulas Contratuais Padrão do Reino Unido em vigor a partir da data de sua emissão (a menos que qualquer uma das partes se oponha a tal alteração) e as partes deverão executar uma forma das Cláusulas Contratuais Padrão do Reino Unido.
- Na medida em que quaisquer Dados Pessoais do Cliente estejam sujeitos a qualquer Transferência Internacional de Dados, as partes concordam em estar vinculadas, e todos os termos e disposições do Controlador às Cláusulas Contratuais Padrão do Processador adoptadas pela Comissão Europeia ("Cláusulas Modelo do Processador") serão incorporadas por referência a este Adendo com a mesma força e efeito como se estivessem totalmente estabelecidas no presente Adendo, no qual:
QUADRO I: Lista das partes e descrição das transferências de dados
A. LISTA DE PARTIDOS
Exportador(es) de dados: [Identidade e dados de contacto do(s) exportador(es) de dados e, se for caso disso, do seu responsável pela proteção de dados e/ou representante na União Europeia]
-
Nome:
Endereço:
Nome, cargo e dados de contacto da pessoa a contactar:
Actividades relevantes para os dados transferidos ao abrigo das presentes cláusulas:
Assinatura e data:
Função (responsável pelo tratamento/transformador): Responsável pelo tratamento e responsável conjunto pelo tratamento -
Informação Adicional: A EBSCO e o Cliente actuarão como Controladores Conjuntos no que diz respeito aos Dados Pessoais do Utilizador (tal como definido no Acordo). Os controladores conjuntos assumem as seguintes responsabilidades em conformidade:
Cliente | EBSCO |
---|---|
Personalização: o cliente decide se pretende ativar as funcionalidades de contas personalizadas no produto Autorizar o processamento dos dados do usuário final pela EBSCO através do Acordo entre as partes
Implementação de medidas técnicas e organizacionais para garantir a segurança da rede
Solicitações de acesso do titular dos dados
|
Implementação de medidas organizacionais e técnicas
Manutenção e suporte do produto
Armazenamento de dados, incluindo cópias de segurança Estabelecer os objectivos e o âmbito do tratamento através do acordo entre as partes Pedidos de acesso dos titulares dos dados
Fornecer a base legal para o processamento de dados do usuário final
Resposta a incidentes
Subprocessadores - verificação e notificação ao cliente sobre novos subprocessadores Avaliações de risco de privacidade - conduza PRA/DPIA conforme necessário para fornecedores, recursos, produtos, etc. que processam informações pessoais |
Importador(es) de dados:
Para dados pessoais do cliente:
-
Nome: EBSCO Publishing, Inc.
Endereço: 10 Estes Street, Ipswich, MA 01938
Nome, cargo e dados de contacto da pessoa a contactar:
Actividades relevantes para os dados transferidos ao abrigo destas cláusulas: Investigação académica e escolar, criação e personalização de perfis de utilizador
Assinatura e data:
Função (responsável pelo tratamento/processador): Responsável conjunto pelo tratamento, Processador -
Informação adicional: O Cliente actuará como Controlador dos Dados Pessoais do Cliente quando os Dados Pessoais do Cliente forem processados pela EBSCO. A EBSCO actuará como o Processador dos Dados Pessoais do Cliente.
"Dados Pessoais do Cliente" significa os Dados Pessoais que são fornecidos pelo Cliente à EBSCO ou que são processados pela EBSCO em nome do Cliente em conexão com o Contrato.
Para dados pessoais do usuário:
- Nome: EBSCO International, Inc.
Endereço: 10 Estes Street, Ipswich, MA 01938
Nome, cargo e contactos da pessoa a contactar:
Actividades relevantes para os dados transferidos ao abrigo das presentes cláusulas: Investigação académica e escolar, criação e elaboração de perfis de utilizador
Assinatura e data:
Função (responsável pelo tratamento/processador): Responsável conjunto pelo tratamento e processador - Informação adicional: O Cliente actuará como Controlador dos Dados Pessoais do Usuário quando os Dados Pessoais do Usuário forem processados pela EBSCO. A EBSCO actuará como Controlador Conjunto dos Dados Pessoais do UtilizadorUsuário.
"Dados Pessoais do Utilizador" significa os Dados Pessoais fornecidos diretamente pelos usuários finais do Cliente à EBSCO através dos produtos e serviços adquiridos pelo Cliente.
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos: Informações da entidade necessárias para o tratamento da subscrição e usuários de aplicações, incluindo, mas não se limitando a, estudantes, professores, funcionários, autores
Categorias de dados pessoais transferidos: nome próprio, apelido, endereço eletrônico, informações de autenticação, informações de pesquisa, notas de investigação
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos: Não aplicável
A frequência da transferência (por exemplo, se os dados são transferidos numa base pontual ou contínua): Contínua
Natureza do tratamento: fornecer acesso às bases de dados da EBSCO; armazenar informações do usuário em perfis personalizados; facilitar a recuperação do histórico de pesquisas do usuário ;
Objetivo(s) da transferência de dados e do seu tratamento posterior: Cumprir as obrigações entre as partes, nos termos do Acordo, fornecer ferramentas de investigação, personalizar a experiência e evitar a recolha de dados. O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período: Enquanto for razoavelmente necessário, algumas informações de personalização serão conservadas até serem eliminadas a pedido de um cliente ou utilizador.
Para transferências para (sub) processadores, especificar também o assunto, natureza e duração do processamento:
- Assunto: Nome próprio, apelido, endereço eletrónico, informações de autenticação, informações de pesquisa, notas de investigação
- Natureza do tratamento: O tratamento inclui o seguinte: armazenamento de dados e fornecimento de software, gerenciamento do consentimento, cumprimento dos pedidos de direitos dos titulares dos dados. Consulte também o Anexo III, Lista de subcontratantes, para obter informações completas sobre a forma como subcontratantes específicos processam dados.
- Duração: Contínua
C. AUTORIDADE DE CONTROLO COMPETENTE
A autoridade de controlo competente, em conformidade com a cláusula 13, é a Autoridade de Controlo da Irlanda.
ESQUEMA II: Medidas técnicas e organizativas, incluindo medidas técnicas e organizativas para garantir a segurança dos dados
A EBSCO deve manter e usar salvaguardas apropriadas para prevenir o acesso não autorizado ou o uso não autorizado dos Dados Pessoais do Cliente e para implementar salvaguardas administrativas, físicas e técnicas para proteger os Dados Pessoais do Cliente. Tais salvaguardas devem incluir:
- Segurança de redes e aplicações e gestão de vulnerabilidades:
- Medidas de pseudonimização e encriptação de dados pessoais: Os dados pessoais são encriptados em repouso utilizando a norma de encriptação avançada de 256 bits (AES-256) e em trânsito utilizando a encriptação Transport Layer Security (TLS). A gestão de chaves criptográficas é efectuada de acordo com a norma 800-57 do Instituto Nacional de Ciência e Tecnologia (NIST).
- Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento: A EBSCO tem um compromisso contínuo com a certificação de acordo com as normas relevantes da Organização Internacional de Normalização (ISO), incluindo as normas ISO 27001, 27017, 27018 e 27701, tanto no local como nos centros de dados geridos pela Amazon Web Services (AWS). A EBSCO está hospedada tanto na plataforma Amazon Web Services quanto em centros de dados legados no local em Ipswich, MA e Boston, MA. As aplicações e os dados são distribuídos para efeitos de elevada disponibilidade e resiliência. Foram implementadas funcionalidades como a recuperação automática e o escalonamento automático. As aplicações, juntamente com a sua configuração de contentores, podem ser reimplantadas em minutos, se necessário.
- Medidas para garantir a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo útil em caso de incidente físico ou técnico: Todas as aplicações e dados estão distribuídos por vários nós e os nós estão distribuídos por várias zonas de disponibilidade dentro da Amazon Web Services para garantir uma elevada disponibilidade do serviço. A utilização de uma arquitetura baseada em contentores ajuda ainda a garantir uma elevada disponibilidade do serviço. Por exemplo, as aplicações reiniciam-se automaticamente se tiverem problemas e, se um nó específico falhar, é retirado do serviço e o tráfego é direcionado para os restantes nós "saudáveis". Quando apropriado, os nós são configurados para escalar automaticamente para lidar com picos inesperados de tráfego. As reuniões regulares de gestão do serviço analisam o desempenho e as necessidades futuras de capacidade do serviço. A infraestrutura permite a implementação de escalas horizontais e verticais com tempos de execução significativamente reduzidos em comparação com uma infraestrutura física.
Para o nosso legado no local, o EIS utiliza dois centros de dados simultâneos com capacidades de ativação pós-falha no caso de um dos locais sofrer uma falha. Os centros de dados locais da EBSCO são protegidos com fontes de alimentação ininterruptas, sistemas de supressão de incêndio e acesso limitado apenas ao pessoal necessário para a operação contínua dos centros de dados.
A EBSCO monitoriza continuamente a disponibilidade do serviço. A situação atual pode ser consultada aqui: https://status.ebsco.com/
- Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do tratamento: a EBSCO contrata anualmente testes de penetração de terceiros. Além disso, as análises de vulnerabilidades são efectuadas através de um pipeline de implementação de código automatizado. O nosso ambiente de produção é objeto de um controlo permanente. Empregamos uma equipe de operações de segurança gerenciada 24 horas por dia, 7 dias por semana, para monitorar continuamente nosso ambiente. A EBSCO aplica regularmente atualizações de segurança em nosso ambiente, seguindo nosso abrangente processo de gerenciamento de vulnerabilidades. Essas atualizações são feitas em uma base contínua usando o SAFe (Scaled Agile Framework for Enterprises).
As medidas organizacionais são revisadas duas vezes por ano, por meio de uma auditoria interna e de uma auditoria externa realizada anualmente por auditores terceirizados credenciados. Além disso, são realizadas regularmente análises de acesso a dados e sistemas confidenciais.
A EBSCO avalia continuamente a segurança de sua rede e serviços associados para determinar se medidas de segurança adicionais ou diferentes são necessárias para responder aos riscos de segurança ou descobertas geradas por revisões periódicas.
- Medidas de proteção dos dados durante a transmissão: Todos os dados são criptografados em trânsito usando TLS, tanto do navegador do usuário para os aplicativos quanto os dados em trânsito entre os sistemas e subprocessadores da EBSCO.
- Medidas de proteção dos dados durante o armazenamento: Os dados pessoais são criptografados em repouso usando o Advanced Encryption Standard (AES-256) de 256 bits. Todo o armazenamento de dados é isolado da Internet pública por um firewall dedicado para garantir que apenas a equipe da EBSCO possa acessar o banco de dados.
- Medidas para garantir a configuração do sistema, incluindo a configuração por defeito: As configurações normalizadas do sistema são aplicadas através de condutas de implementação de código automatizadas, quando adequado.
- Medidas para a governação e gestão interna das TI e da segurança das TI: A Equipe de Governança, Risco e Conformidade (GRC) da EBSCO mantém o Sistema de Gerenciamento de Segurança e Privacidade da Informação da EBSCO (ISPMS). O ISPMS é continuamente monitorado e aprimorado para estar em conformidade ou exceder os padrões exigidos pelas normas ISO 27001, ISO 27701, ISO 27017 e ISO 27108. O ISPMS da EBSCO é composto pelo ISMS - Sistema de Gerenciamento de Segurança da Informação e pelo PIMS - Sistema de Gerenciamento de Informações de Privacidade. As auditorias externas e internas do ISPMS são realizadas anualmente. Os registros de segurança são monitorados continuamente.
- Medidas de certificação/garantia de processos e produtos: Além das medidas de gerenciamento interno de TI e de governança de segurança de TI acima, um treinamento regular e obrigatório é oferecido por meio de uma plataforma de aprendizado on-line para garantir que todos os funcionários estejam familiarizados com suas responsabilidades e atualizados com as políticas e os procedimentos. Existem processos claros para gerenciar incidentes relacionados à segurança e para entrar em contato com as autoridades policiais, se necessário.
- Medidas para assegurar a minimização de dados: A A EBSCO segue as melhores práticas para minimizar os atributos de dados para apenas aqueles necessários para executar as funções requeridas e permitir que seus clientes e usuários patronos possam estender o conjunto mínimo de dados padrão, se necessário.
- Medidas para garantir a qualidade dos dados: As instituições e os usuários finais podem revisar e atualizar suas informações por meio de um módulo de autoatendimento ou entrando em contato com a EBSCO de acordo com a Política de Privacidade. Quando aplicável, os controles de validação de dados são implementados em nosso ambiente.
- Controles de acesso lógico:
- Medidas para a identificação e autorização do utilizador: Um pequeno número de membros da equipe da EBSCO com responsabilidades de administração e suporte do sistema tem acesso ao ambiente de produção e aos bancos de dados. Isso é estritamente controlado por função e requer autenticação de dois fatores para obter acesso.
O acesso do Administrador do Cliente aos dados do usuário final só é possível através do uso de uma conta de administrador EBSCOadmin. Somente o pessoal designado pelo cliente e um pequeno número de usuários privilegiados da EBSCO têm acesso a essas informações.
Os clientes têm a possibilidade de configurar diferentes opções de autenticação. As opções incluem, entre outras, a integração por meio de Single Sign On (SSO) usando SAML 2.0, nome de usuário e senha, autenticação de lista branca de IP, ID do usuário, Google Campus Activated Subscriber Access (CASA), Universal CASA e cookies.
- Medidas para a identificação e autorização do utilizador: Um pequeno número de membros da equipe da EBSCO com responsabilidades de administração e suporte do sistema tem acesso ao ambiente de produção e aos bancos de dados. Isso é estritamente controlado por função e requer autenticação de dois fatores para obter acesso.
- Controles seguros de descarte de mídia:
- Medidas para garantir a retenção limitada de dados: É vital que os dados pessoais armazenados nos sistemas da EBSCO atendam aos requisitos de privacidade e proteção de dados, e parte disso é garantir que os dados pessoais não sejam retidos além do necessário para o propósito definido.
Em muitos casos, a EBSCO permite que os clientes anonimizem os dados do usuário final por meio de uma configuração SSO pseudonimizada ou removendo a opção de personalização dos usuários. - Medidas para permitir a portabilidade dos dados e assegurar a sua eliminação: Mediante solicitação ou por meio do módulo de autoatendimento, os clientes da EBSCO podem extrair relatórios de uso de banco de dados, relatórios de uso de interface, relatórios de atividade de link, relatório de uso de login e relatórios de uso de título. Esses dados também podem ser obtidos mediante solicitação no término do contrato ou a qualquer momento por meio do EBSCOadmin.
- Medidas para garantir a retenção limitada de dados: É vital que os dados pessoais armazenados nos sistemas da EBSCO atendam aos requisitos de privacidade e proteção de dados, e parte disso é garantir que os dados pessoais não sejam retidos além do necessário para o propósito definido.
- Controles de registro:
- Medidas para garantir o registo de eventos: A EBSCO permite que os clientes visualizem relatórios de uso do banco de dados, relatórios de uso da interface, relatórios de atividades de links, relatórios de uso de login e relatórios de uso de títulos através do EBSCOadmin.
A EBSCO emprega registros de Gerenciamento de Informações e Eventos de Segurança (SIEM) em todos os nossos recursos. Esses registros são monitorados internamente pela nossa equipe de segurança da informação e pelo centro de operações de segurança (SOC) gerenciado 24 horas por dia, 7 dias por semana. Não é necessária nenhuma ação do cliente, e os clientes não têm acesso a esses registros internos.
- Medidas para garantir o registo de eventos: A EBSCO permite que os clientes visualizem relatórios de uso do banco de dados, relatórios de uso da interface, relatórios de atividades de links, relatórios de uso de login e relatórios de uso de títulos através do EBSCOadmin.
- Controlos do pessoal: Os contratos para novos funcionários e o processo de integração enfatizam as responsabilidades individuais pela segurança das informações e as possíveis penalidades por uso indevido. A demissão de funcionários aciona um processo automatizado para garantir que os direitos de acesso aos sistemas da EBSCO sejam revogados em tempo hábil.
O Acordo de Uso Aceitável de TI abrange o uso aceitável dos ativos de informação da EBSCO. Ele é emitido para funcionários permanentes e contratados e faz parte do processo de indução de novos funcionários.
O treinamento de conscientização de segurança é fornecido por meio da plataforma de treinamento on-line da EBSCO. Ele é realizado pelo menos uma vez por ano e é obrigatório para todos os funcionários.
- Segurança física e controles ambientais:
- Medidas para garantir a segurança física dos locais onde os dados pessoais são processados: A EBSCO está comprometida em garantir a segurança de seus funcionários, contratados e ativos e leva muito a sério a questão da segurança física. A EBSCO possui um conjunto abrangente de controles de segurança física que garantem que seus centros de dados e escritórios estejam suficientemente protegidos. O acesso aos data centers é limitado apenas ao pessoal necessário, e todos os acessos são registrados e analisados quanto a anormalidades
A EBSCO também contrata a AWS para o processamento de dados de clientes. O AWS oferece segurança de classe mundial em seus data centers hospedados. Para obter mais informações sobre segurança física em ambientes hospedados na AWS, consulte: https://aws.amazon.com/compliance/data-center/controls/.
- Medidas para garantir a segurança física dos locais onde os dados pessoais são processados: A EBSCO está comprometida em garantir a segurança de seus funcionários, contratados e ativos e leva muito a sério a questão da segurança física. A EBSCO possui um conjunto abrangente de controles de segurança física que garantem que seus centros de dados e escritórios estejam suficientemente protegidos. O acesso aos data centers é limitado apenas ao pessoal necessário, e todos os acessos são registrados e analisados quanto a anormalidades
ESQUEMA III: Lista de subprocessadores
MÓDULO DOIS: Transferência do controlador para o processador
O responsável pelo tratamento foi notificado da utilização dos seguintes subprocessadores que podem ser utilizados no momento da execução do contrato.