Mapeamento DORA
Histórico
Instituições financeiras da União Europeia (UE) e seus principais prestadores de serviços de Tecnologia da Informação e Comunicação (TIC) devem estar em conformidade com a Lei de Resiliência Operacional Digital (Digital Operational Resilience Act, DORA) até 17 de janeiro de 2025. A GoTo elaborou este documento para ajudar nossos clientes de serviços financeiros a cumprir suas obrigações previstas na DORA.
Mapeamentos referentes ao artigo 30 (Principais disposições contratuais):
A GoTo criou este documento para ajudar nossos clientes de serviços financeiros a avaliar como os nossos serviços se alinham com os requisitos do artigo 30 da DORA. Este documento ajudará a sua empresa a:
- Identificar os elementos contratuais obrigatórios especificados no artigo 30;
- Demonstrar como os nossos serviços e documentações estão relacionados a cada requisito; e
- Entender como lidar com os requisitos usando os serviços e/ou os documentos da GoTo mencionados abaixo.
Os seguintes documentos são mencionados abaixo:
- Termos de Serviço da GoTo e Documentação de Pedidos (integram o Contrato de Prestação de Serviços da GoTo ou Contrato de Prestação de Serviços)
- Descrições de Serviços
- Complemento Regional
- Medidas Técnicas e Organizacionais (TOMs)
- Divulgação de Suboperadores
- Adendo de Tratamento de Dados (DPA) da GoTo
- Código de Conduta e Ética Empresarial
Os seguintes recursos da GoTo são mencionados abaixo:
- O Centro de Confiança e Privacidade da GoTo, que inclui o seguinte: TOMs específicos do Produto, Divulgações de Suboperadores, DPA executável
- Suporte VIP*: entre em contato com nossos representantes de vendas para saber mais em https://www.goto.com/company/contact-us
*Observação: o Suporte VIP pode não estar disponível para todos os produtos e serviços - Página de status: https://www.goto.com/company/trust/status
| Nº | Padrão | Referência legal | Descrição | Comentário da GoTo | Referência e recursos de contratos da GoTo |
|---|---|---|---|---|---|
| 1 | Contrato de Prestação de Serviços | Artigo 30 (1) | Os direitos e obrigações da instituição financeira e do prestador de serviços de TIC devem ser claramente atribuídos e definidos por escrito. Todo o contrato deverá incluir os acordos de nível de serviço e ser documentado em um documento escrito que deverá estar disponível para as partes em papel ou em outro formato durável, acessível e disponível para download. | Os respectivos direitos e obrigações das partes
estão definidos por escrito no contrato de Termos de Serviço da GoTo
, incluindo as Descrições de Serviços
nele incorporadas e a documentação de pedido
, todos disponibilizados ao cliente
no ato da compra ou quando
solicitado. Para gerenciar o risco de TIC, os clientes que são instituições financeiras têm a opção de adquirir nosso Suporte VIP, que oferece garantias e documentações sobre tempos de resposta e resoluções. Para isso, é preciso entrar em contato com nossos representantes de vendas para saber mais em https://www.goto.com/company/contact-us. Os clientes também podem monitorar a disponibilidade do serviço em https://www.goto.com/company/trust/status. |
Termos de Serviço
Documentação de Pedidos
Descrições de Serviços
Suporte VIP* Página de Status |
| 2 | Subcontratação | Artigo 30 (2) (a) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir uma descrição clara e completa de todas as funções e serviços de TIC a serem executados pelo prestador de serviços de TIC, indicando se a subcontratação de um serviço de TIC que suporte uma função crítica ou importante ou partes relevantes dela é permitida e, quando for esse o caso, as condições aplicáveis a essa subcontratação. | O Pedido estabelece os serviços adquiridos
e incorpora os Termos de Serviço da GoTo
, que inclui referência à nossa Descrição dos Serviços
, que descreve cada produto/serviço que oferecemos
. A Seção 4.2 dos Termos de Serviço da GoTo estabelece que as informações sobre o tratamento de dados são apresentadas em mais detalhes em nosso Centro de Confiança e Privacidade (https://www.goto.com/company/trust), onde é possível se informar sobre os locais aplicáveis de tratamento de dados e Declarações de Suboperadores, bem como obter informações específicas de Serviços acerca das nossas medidas de segurança técnicas e organizacionais (localizadas nas Medidas Técnicas e Organizacionais ou documentação de “TOMs”). |
Documentações de Pedidos Termos de Serviço Descrições de Serviços Divulgações de Suboperadores TOMs |
| 3 | Local | Artigo 30 (2) (b) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir os locais, ou seja, as regiões ou países, onde as funções contratadas ou subcontratadas e os serviços de TIC devem ser prestados e onde os dados devem ser tratados, incluindo o local de armazenamento, e a exigência de que o prestador de serviços de TIC notifique a instituição financeira com antecedência se pretender alterar esses locais. | Os locais dos Suboperadores da GoTo estão disponíveis no Centro de Confiança e Privacidade (https://www.goto.com/company/trust). O DPA da GoTo descreve os compromissos e as obrigações da GoTo em relação a seus Suboperadores incluindo o processo de nomeação, aviso de alterações e direitos de objeção. A infraestrutura da GoTo foi projetada para aumentar a estabilidade do serviço e reduzir o risco de tempo de inatividade. Conforme descrito no DPA da GoTo, o Cliente pode se cadastrar para receber avisos de alterações em nossos Suboperadores ou TOMs no Centro de Confiança e Privacidade da GoTo em https://www.goto.com/company/trust. |
Informações de Suboperadores DPA |
| 4 | Dados e segurança | Artigo 30 (2) (c) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir disposições sobre disponibilidade, autenticidade, integridade e confidencialidade em relação à proteção de dados, incluindo dados pessoais. | As TOMs da GoTo estabelecem que a GoTo mantém
programas globais robustos de privacidade e segurança
e proteções organizacionais, administrativas e
técnicas projetadas para: (i) garantir
a confidencialidade, a integridade e a disponibilidade do Conteúdo do Cliente
; (ii) proteger
contra ameaças e riscos à segurança do Conteúdo do Cliente
; (iii) proteger contra qualquer
perda, uso indevido, acesso não autorizado, divulgação,
adulteração e destruição do Conteúdo do Cliente
; e (iv) manter a conformidade com
leis e regulamentos aplicáveis, incluindo leis de proteção e privacidade de dados.
|
TOMs |
| 5 | Dados e segurança | Artigo 30 (2) (d) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir disposições para garantir o acesso, a recuperação e a devolução em um formato facilmente acessível de dados pessoais e não pessoais tratados pela instituição financeira em caso de insolvência, resolução ou interrupção das operações comerciais do prestador de serviços de TIC, ou em caso de rescisão dos acordos contratuais. | O DPA da GoTo prevê que, mediante solicitação por escrito do Cliente e quando permitido por lei, a GoTo devolverá ao Cliente qualquer Conteúdo do Cliente ou orientará o Cliente sobre como conduzir uma exportação de dados por autoatendimento. As TOMs aplicáveis da GoTo também contêm essas informações (Exclusão e devolução de conteúdos). A Seção 3.3 dos Termos de Serviço da GoTo também estabelece um prazo para que o Cliente recupere seu Conteúdo após a rescisão do contrato. | DPA TOMs Termos de Serviço |
| 6 | Serviços e Nível de Serviço | Artigo 30 (2) (e) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir descrições de nível de serviço , incluindo suas atualizações e revisões. | Para gerenciar o risco de TIC, os clientes que são instituições financeiras
têm a opção de adquirir nosso Suporte VIP, que oferece garantias e documentações sobre tempos de resposta e resoluções. Entre em contato com nossos representantes de vendas para saber mais em https://www.goto.com/company/contact-us. Os clientes também podem monitorar a disponibilidade do serviço em https://www.goto.com/company/trust/status. |
Suporte VIP* Página de Status |
| 7 | Continuidade dos negócios e resiliência operacional | Artigo 30 (2) (f) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir a obrigação do prestador de serviços de TIC de prestar assistência à instituição financeira sem custo adicional ou a um custo que seja previamente determinado, quando ocorrer um incidente de TIC relacionado ao serviço de TIC prestado à instituição financeira. | O DPA da GoTo descreve o suporte que a GoTo
prestará ao cliente sem custo adicional no caso de
um incidente de TIC. Ele também especifica a obrigação da
GoTo de notificar o cliente caso
ocorra um incidente desse tipo. Os clientes também podem monitorar a disponibilidade do serviço em https://www.goto.com/company/trust/status. |
Página de status DPA |
| 8 | Autoridades de Supervisão | Artigo 30 (2) (g) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir a obrigação do prestador de serviços de TIC de cooperar plenamente com as autoridades competentes e as autoridades de resolução da instituição financeira, incluindo pessoas nomeadas por elas. | A Seção 5 dos Termos de Serviço da GoTo estabelece que,
se necessário e de acordo com a lei aplicável,
cooperaremos com as autoridades governamentais locais,
estaduais, federais e internacionais
com relação aos Serviços. Além disso, o DPA da GoTo também estabelece que a GoTo cooperará plenamente com as autoridades de supervisão, autoridades de resolução e seus representantes que exerçam seus direitos de informação e auditoria em relação aos Serviços. |
Termos de Serviço DPA |
| 9 | Rescisão | Artigo 30 (2) (h) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir direitos de rescisão e prazos mínimos de aviso prévio relacionados para a rescisão dos acordos contratuais, em conformidade com as expectativas das autoridades competentes e autoridades de resolução. | Os prazos de aviso prévio aplicáveis à rescisão dos Serviços
estão definidos na Seção 3.1
dos Termos de Serviço da GoTo e no
Complemento Regional incorporado, que inclui requisitos específicos de cada país. |
Termos de Serviço Complemento Regional |
| 10 | Continuidade dos negócios e resiliência operacional | Artigo 30 (2) (i) | Os acordos contratuais sobre o uso de serviços de TIC devem incluir as condições para a participação de prestadores de serviços de TIC nos programas de conscientização de segurança de TIC e treinamentos de resiliência operacional digital das instituições financeiras, em conformidade com o artigo 13(6). | O DPA da GoTo especifica nossas obrigações, responsabilidades e deveres em relação a treinamentos internos sobre segurança e privacidade. As TOMs da GoTo contêm informações sobre os nossos programas de conscientização sobre privacidade e segurança e especificam que colaboradores recém-contratados, prestadores de serviços e estagiários sejam informados sobre as políticas de segurança e o Código de Conduta e Ética Empresarial da GoTo durante a integração. Além disso, todos os colaboradores, prestadores de serviços e subsidiárias da GoTo são obrigados a ler e cumprir o Código de Conduta e Ética Empresarial da GoTo. | DPA TOMs Código de Conduta e Ética Empresarial |
| 11 | Serviços e Nível de Serviço | Artigo 30 (3) (a) | Os acordos contratuais sobre o uso de serviços de TIC que apoiam funções críticas ou importantes devem incluir descrições do nível de serviço completo, incluindo atualizações e revisões com metas precisas de desempenho quantitativo e qualitativo dentro dos níveis de serviço acordados para permitir o monitoramento efetivo pela instituição financeira dos serviços de TIC e permitir que ações corretivas apropriadas sejam tomadas, sem atraso indevido, quando os níveis de serviço acordados não forem cumpridos . | Para gerenciar o risco de TIC, os clientes que são instituições financeiras
têm a opção de adquirir nosso Suporte VIP,
que oferece garantias e documentações
sobre tempos de resposta e resoluções.
Entre em contato com nossos representantes de vendas
para saber mais em
https://www.goto.com/company/contact-us. Os clientes também podem monitorar a disponibilidade dos serviços da GoTo em https://www.goto.com/company/trust/status. |
Suporte VIP* Página de Status |
| 12 | Monitoramento e notificação | Artigo 30 (3) (b) | Os acordos contratuais sobre o uso de serviços de TIC que apoiam a funções críticas ou importantes devem incluir prazos de aviso e obrigações de relato do prestador de serviços de TIC para a instituição financeira, incluindo a notificação de qualquer ocorrência que possa ter um impacto material na capacidade do prestador de serviços de TIC de prestar efetivamente os serviços de TIC de apoio a funções críticas ou importantes de acordo como os níveis de serviço acordados. | As notificações e os alertas de serviço são publicados em
https://www.goto.com/company/trust/status Outras obrigações de notificação estão definidas no DPA da GoTo, (notificações de Suboperadores e notificações de incidentes de segurança relacionados ao Conteúdo do Cliente). |
Página de status DPA |
| 13 | Continuidade dos negócios e resiliência operacional | Artigo 30 (3) (c) | Os acordos contratuais sobre
o uso de serviços de TIC
que apoiam funções críticas ou importantes
devem incluir requisitos para que o prestador de serviços de TIC implemente e teste planos de contingência de negócios e tenha em vigor medidas de segurança de TIC, ferramentas e políticas que forneçam um nível adequado de segurança para a prestação de serviços pela instituição financeira de acordo com sua estrutura regulatória. |
O DPA da GoTo declara que a GoTo deverá implementar
e manter medidas técnicas e
organizacionais apropriadas para a proteção da
segurança (incluindo a proteção contra um
Incidente de Segurança), confidencialidade e integridade
do Conteúdo do Cliente, conforme estabelecido nas
Medidas Técnicas e Organizacionais
aplicáveis (Anexo 4). As TOMs da GoTo estabelecem que a implementação de proteções, recursos e práticas da GoTo envolve: I. O desenvolvimento de produtos que levem em conta os conceitos de Security by Design, Privacy by Design, Security by Default e Privacy by Default, e incluindo camadas adicionais de segurança em para proteger o Conteúdo do Cliente; II. A manutenção de controles organizacionais que operacionalizam políticas e procedimentos internos relacionados à conformidade com padrões, gerenciamento de incidentes, segurança de aplicativos , segurança de pessoal e programas regulares de treinamento ; e III. A garantia de que as práticas de privacidade estejam em vigor para controlar o manuseio e o gerenciamento de dados de acordo com a legislação aplicável, incluindo o GDPR, CCPA, LGPD, bem como e nosso próprio Adendo de Tratamento de Dados (DPA) e políticas e compromissos aplicáveis da GoTo. Ao incorporar proteções de segurança ao produto , nós nos esforçamos para proteger o Conteúdo do Cliente da GoTo contra ameaças e garantir que os controles de segurança sejam adequados à natureza e ao escopo dos Serviços. |
DPA TOMs |
| 14 | Dados e segurança | Artigo 30 (3) (d) | Os acordos contratuais sobre o uso de serviços de TIC que apoiam funções críticas ou importantes devem incluir a obrigação do prestador de serviços de TIC de participar e cooperar plenamente com os TLPT (Testes de Penetração baseado em Ameaças) da instituição financeira, conforme mencionado nos artigos 26 e 27. | As TOMs da GoTo especificam que, além dos testes internos, a GoTo contrata empresas externas para realizar periodicamente avaliações de segurança e/ou testes de penetração. | TOMs |
| 15 | Auditoria, acesso e informações | Artigo 30 (3) (e) | Os acordos contratuais sobre
o uso de serviços de TIC
que apoiam funções críticas ou importantes
devem incluir o direito
de monitorar, de forma contínua,
o desempenho do prestador de serviços de TIC
, o que
implica o seguinte: •
direitos irrestritos de acesso,
inspeção e auditoria pela instituição financeira, ou seu auditor independente nomeado, e pela autoridade competente,
de modo que tais direitos não serão limitados por outros acordos contratuais
ou
políticas de implementação; • o direito de concordar com níveis alternativos de garantia se os direitos de outros clientes forem afetados; • a obrigação do prestador de serviços de TIC de cooperar totalmente durante as inspeções físicas realizadas pelas autoridades competentes , pelo supervisor principal, pela instituição financeira ou por um terceiro nomeado; • a obrigação de fornecer detalhes sobre o escopo e os procedimentos a serem seguidos e a frequência de tais inspeções e auditorias. |
O DPA da GoTo, na seção Certificações de Terceiros e Auditorias, estabelece que a GoTo disponibilizará ao cliente suas certificações de terceiros, e/ou o cliente , ou seu terceiro designado, poderá solicitar razoavelmente uma auditoria. A GoTo tem o compromisso de realizar uma avaliação de terceiros competente e independente (como um auditor credenciado pela AICPA ou ISO) de seus controles de segurança relevantes pelo menos anualmente, conforme especificado na disposição que descreve a Conformidade com os Padrões das TOMs aplicáveis, e fornecerá uma cópia dos resultados dessa avaliação (ou prova dela) uma vez por ano civil ao Cliente (desde que o Cliente não seja um concorrente direto da GoTo e esteja sujeito a obrigações de confidencialidade apropriadas), mediante solicitação por escrito do Cliente. | DPA TOMs |
| 16 | Rescisão | Artigo 30 (3) (f) | Os acordos contratuais sobre o uso de serviços de TIC que apoiam funções críticas ou importantes devem incluir estratégias de saída, em particular o estabelecimento de um período de transição obrigatório adequado: durante o qual o prestador de serviços de TIC continuará atendendo às respectivas funções ou serviços de TIC com o objetivo de reduzir o risco de interrupção na instituição financeira ou para garantir sua resolução e reestruturação eficazes; • permitindo que a instituição financeira migre para outro prestador de serviços de TIC ou mude para soluções internas de acordo com a complexidade do serviço prestado. | A Seção 3.3 dos Termos de Serviço prevê
que, mediante solicitação, a GoTo fornecerá acesso limitado
aos Serviços por um período
não superior a 30 dias, para permitir que o Cliente recupere seu Conteúdo
dos Serviços.
O DPA da GoTo também prevê que, mediante solicitação por escrito do Cliente e quando permitido por lei, a GoTo devolverá ao Cliente qualquer Conteúdo do Cliente ou o orientará sobre como conduzir uma exportação de dados por autoatendimento. Além disso, as TOMs aplicáveis descrevem como um Cliente pode solicitar assistência com a devolução e/ou exclusão de seu Conteúdo do Cliente. No entanto, se uma instituição regulamentada desejar suporte, mediante solicitação, a GoTo fornecerá serviços de consultoria e implementação para auxiliar na migração de cargas de trabalho ou na transição do uso dos Serviços. |
Termos de Serviço
DPA TOMs Assistência à transição |
| 17 | Auditorias | Artigo 30 (3) | Em derrogação ao ponto (e), o prestador de serviços de TIC e a instituição financeira que for uma microempresa podem concordar que os direitos de acesso, inspeção e auditoria da instituição financeira podem ser delegados a um terceiro independente, nomeado pelo prestador de serviços de TIC e que a instituição financeira possa solicitar informações e garantias sobre o desempenho do prestador de serviços de TIC ao terceiro a qualquer momento. | O DPA da GoTo, na seção Certificações de Terceiros e Auditorias, estabelece que a GoTo disponibilizará ao cliente suas certificações de terceiros, e/ou o cliente , ou seu terceiro designado, poderá solicitar razoavelmente uma auditoria. A GoTo tem o compromisso de realizar uma avaliação de terceiros competente e independente (como um auditor credenciado pela AICPA ou ISO) de seus controles de segurança relevantes pelo menos anualmente, conforme especificado na disposição que descreve a Conformidade com os Padrões das TOMs aplicáveis, e fornecerá uma cópia dos resultados dessa avaliação (ou prova dela) uma vez por ano civil ao Cliente (desde que o Cliente não seja um concorrente direto da GoTo e esteja sujeito a obrigações de confidencialidade apropriadas), mediante solicitação por escrito do Cliente. | DPA TOMs |
Suporte adicional
Este documento foi criado para ilustrar como nossos serviços atendem às obrigações da sua empresa previstas na DORA. Se precisar de suporte adicional em relação às obrigações previstas na DORA, inclusive para solicitar um adendo ao seu Contrato de Prestação de Serviços assinado em relação à DORA, entre em contato com seu representante de Suporte da GoTo em https://www.goto.com/company/contact-us.
