« Para Fundamentos do Riverside: Visão geral
O Riverside deve implementar e manter controles adequados de segurança da informação para proteger contra o acesso não autorizado ou o uso de Dados Pessoais do Cliente. Sem limitar a generalidade do que foi dito anteriormente, o Riverside deve implementar e manter os seguintes controles de segurança da informação (coletivamente, os "Controles de Segurança da Informação"):
a. que protegem a confidencialidade, integridade e autenticidade dos Dados Pessoais para garantir que sejam processados, usados, mantidos e divulgados somente conforme necessário para a finalidade específica para a qual essas informações foram divulgadas ao Riverside e apenas de acordo com o DPA;
b. um programa de segurança da informação documentado, como ISO 27001:27002 em conjunto com relatórios SSAE16 Tipo 2, que atenda aos padrões regulatórios relevantes atuais e seja projetado para garantir e demonstrar um programa de segurança da informação adequado, sustentável e auditável;
c. controles de acesso em sistemas de informação, incluindo controles para autenticar, permitir, remover e auditar acessos, que garantem que somente os funcionários, diretores, colaboradores, consultores, advogados, contadores, agentes e subcontratados independentes autorizados (e seus funcionários) e outros representantes ou terceiros que tenham necessidade de saber tenham acesso a tais Dados Pessoais para cumprir as obrigações do Riverside de acordo com a legislação aplicável;
d. padrão forte da indústria para criptografia e gerenciamento apropriado das chaves de criptografia dos Dados Pessoais eletrônicos, como TLS 1.2/1.3 e AES-256 Bits no mínimo, incluindo durante a transferência e em repouso;
e. sistemas de monitoramento eficazes, pessoal qualificado e procedimentos para detectar e responder a ataques reais e tentativas de invasão em sistemas de informação;
f. programas de resposta que especificam ações a serem tomadas quando o Riverside detectar acesso não autorizado a sistemas de informação ou locais físicos contendo Dados Pessoais;
g. controles e medidas padrão da indústria de backup para proteger contra a destruição, perda ou dano dos Dados Pessoais devido à violação de integridade, autenticidade e/ou potenciais riscos ambientais, como incêndio e danos ocasionados por água; e
h. testes regulares dos principais controles, sistemas e procedimentos desses Controles de Segurança da Informação.