Contrato do PayPal Plus

O PayPal Plus é uma finalização de compra otimizada para Usuários Recebedores que permite que pessoas que não têm uma Conta do PayPal processem pagamentos ("PayPal Plus").

O PayPal Plus só está disponível para Usuários Recebedores elegíveis e mediante solicitação prévia. A elegibilidade para o PayPal Plus fica a critério exclusivo do PayPal, conforme estabelecido na Seção 2 ("Integração e Requisitos do PayPal Plus") abaixo.

Este Contrato do PayPal Plus ("Contrato do PayPal Plus") é um contrato celebrado entre você, Usuário Recebedor, e o PayPal do Brasil Instituição de Pagamento Ltda. ("PayPal"), uma empresa constituída e existente sob as leis do Brasil, inscrita no Cadastro Nacional de Pessoas Jurídicas do Ministério da Fazenda ("CNPJ/MF") sob o n.º 10.878.448/0001-66, com escritório na cidade de São Paulo, Estado de São Paulo, na Avenida Paulista, 1048, 13^o e 14^o andares, CEP 01310-100, e se aplica ao seu uso dos Serviços do PayPal para aceitar pagamentos on-line usando o PayPal Plus.

Todas as palavras e expressões com inicial maiúscula aqui usadas devem ter os significados atribuídos a elas neste Contrato do PayPal Plus ou no Contrato do Usuário do PayPal. Os títulos abaixo são apenas para referência e não limitam o escopo de cada seção.

Você deve ler, concordar com e aceitar todos os termos e condições contidos no presente Contrato do PayPal Plus para usar o PayPal Plus para aceitar pagamentos on-line. Ao usar o PayPal Plus, você reconhece que aceitou o presente Contrato do PayPal Plus.

Este Contrato do PayPal Plus, em conjunto com o Contrato do Usuário do PayPal e qualquer outro contrato que você tenha firmado com o PayPal (coletivamente, "Contratos do PayPal"), se aplicam ao seu uso do PayPal Plus. Se houver alguma inconsistência entre os termos do Contrato do Usuário do PayPal e este Contrato do PayPal Plus, o Contrato do PayPal Plus regerá o seu uso do PayPal Plus.

Os Contratos do PayPal são contratos eletrônicos disponíveis na Página de Termos de Uso do PayPal, bem como as políticas que fazem parte dos Contratos do PayPal e que estão disponíveis na mesma página.

O PayPal reserva-se o direito de alterar os termos do Contrato do PayPal Plus a qualquer momento, sem aviso prévio, publicando uma versão revisada em seu site por meio do link do Contrato do PayPal Plus. Qualquer nova versão revisada entrará em vigor no momento em que for publicada no link acima mencionado. Se tal versão incluir uma Alteração Substancial, forneceremos a você um aviso prévio com pelo menos 30 dias de antecedência sobre qualquer Alteração Substancial, por e-mail ou publicando um aviso na página "Atualizações dos Contratos" de nosso site, por meio do link de Atualizações dos contratos.

O presente Contrato do PayPal Plus altera e reafirma qualquer outro contrato celebrado entre você e o PayPal no passado em conexão com o seu uso do PayPal Plus, a menos que seja acordado de outra forma entre você e o PayPal.

A continuidade no uso do PayPal Plus após a nova versão revisada deste Contrato do PayPal Plus tornar-se efetiva implicará automaticamente que o Usuário Recebedor tem pleno conhecimento e aceita todos os termos e condições do presente.

O PayPal reserva-se o direito de suspender ou limitar seu acesso ao PayPal Plus e/ou aos Serviços do PayPal imediatamente se você violar quaisquer termos deste Contrato do PayPal Plus, do Contrato do Usuário do PayPal e de qualquer outra política do PayPal. Observe os seguintes riscos de usar os Serviços do PayPal, conforme definido no Contrato do Usuário do PayPal:

i. Se você se qualificar como um Usuário Recebedor, os pagamentos recebidos por você poderão ser revertidos posteriormente, por exemplo, se um pagamento estiver sujeito a um chargeback, reversão, reclamação ou for invalidado por algum motivo. Isso significa que um pagamento pode ser revertido depois que você, como Usuário Recebedor, tiver fornecido os produtos ou serviços que foram comprados por um Usuário Pagador.

ii. Os Usuários Recebedores podem reduzir o risco de que um pagamento seja revertido seguindo os critérios definidos no Contrato do Usuário do PayPal e seguindo as outras diretrizes de segurança fornecidas na página "Central de segurança" do site do PayPal; e

iii. O PayPal se reserva o direito de encerrar, suspender ou limitar seu acesso à sua Conta ou aos Serviços do PayPal e/ou limitar o acesso aos recursos retidos em sua Conta, se você for titular de uma Conta Comercial com Saldo se violar o Contrato do Usuário do PayPal, a Política de Uso Aceitável PayPal ou qualquer outro contrato que você possa ter celebrado com o PayPal.

A critério exclusivo do PayPal, o PayPal Plus poderá ser integrado ao seu site em dois formatos diferentes: i) tela em contexto ou ii) mininavegador.

Você pode solicitar a integração do PayPal Plus ao seu site entrando em contato com o Serviço de atendimento ao cliente do PayPal ou com o seu gerente de contas do PayPal. Se o seu site estiver hospedado em uma Plataforma que ofereça o PayPal Plus como opção de finalização de compra, você poderá solicitar a Integração do PayPal Plus enviando sua solicitação por meio da Plataforma.

Para ser elegível para usar o PayPal Plus, você deve ter uma Conta do PayPal com uma boa reputação e fornecer determinadas informações comerciais, de operações e/ou dados financeiros, conforme solicitado pelo PayPal, para permitir que o PayPal faça uma análise de sua empresa e de seu site. Você também precisará estar em conformidade com os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e com os Padrões de Segurança de Dados de Aplicativos de Pagamento (PA DSS) se optar por integrar o PayPal Plus à tela de contexto, conforme estabelecido na Seção 3 ("Proteção de Dados, Segurança de Dados, Portabilidade de Dados") abaixo.

O PayPal analisará as informações fornecidas por você e responderá, em tempo hábil, se você foi aprovado ou não para usar o PayPal Plus. Você deve ser previamente aprovado pelo PayPal para usar o PayPal Plus.

Depois que sua solicitação de uso do PayPal Plus for aprovada, você poderá integrar o PayPal Plus, de acordo com as diretrizes de integração do PayPal Plus que serão informadas a você pelo PayPal.

O PayPal reserva-se o direito de reavaliar sua elegibilidade para o PayPal Plus a qualquer momento se o seu negócio e/ou site se tornar diferente das informações que você forneceu ao solicitar a integração do PayPal Plus.

Você concorda em cumprir todas as leis e regras aplicáveis em conexão com a coleta, a segurança e o compartilhamento de todas as informações pessoais ou de transação ("Dados") em seu site. Você é totalmente responsável pela segurança de todos os Dados em seu site ou de outra forma em sua posse ou controle. No que diz respeito a quaisquer dados pessoais processados por você ou pelo PayPal relacionados a esse Contrato do PayPal Plus, você e o PayPal, respectivamente, serão um controlador de dados em relação a esse processamento. Você e o PayPal concordam em cumprir, individualmente, os requisitos das leis de proteção de dados aplicáveis aos controladores de dados sobre a prestação dos serviços prestados no âmbito deste Contrato do PayPal Plus e de outra forma em conexão com este contrato, incluindo no que diz respeito às informações fornecidas pelo PayPal a você de acordo com a Declaração de Privacidade do PayPal. Para evitar dúvidas, você e o PayPal, individualmente, têm seus próprios avisos, procedimentos e declarações de privacidade para os dados pessoais que detêm e são, individualmente, um controlador de dados (e não controladores de dados conjuntos). Ao cumprir as leis de proteção de dados, você e o PayPal devem, cada um, sem limitação:

1. implementar e manter todas as medidas de segurança adequadas em relação ao processamento dos dados pessoais;
2. manter um registro de todas as atividades de processamento realizadas em conformidade com o Contrato do PayPal Plus; e
3. não fazer nada nem permitir que algo seja feito que possa levar a uma violação pela outra parte das leis de proteção de dados aplicáveis.

No que diz respeito às suas transferências de dados para o PayPal de seus clientes localizados na União Europeia, na Suíça, no Espaço Econômico Europeu e/ou em seus estados membros e no Reino Unido, concordamos que (i) sua assinatura do Contrato será considerada como assinatura e aceitação das disposições das cláusulas contratuais padrão do Módulo 1 (Controlador para Controlador) para transferir dados pessoais para outros países em conformidade com a Norma (EU) 2016/679 aprovada pela Decisão da Comissão Europeia 2021/914 de 4 de junho de 2021 ("Cláusulas de Transferência de C2C") pelo Vendedor, como o exportador de dados e (ii) a assinatura deste Contrato pelo PayPal será considerada como assinatura e aceitação das Cláusulas de Transferência de C2C pelo PayPal, como o importador de dados. Se a Comissão Europeia revisar e, posteriormente, publicar novas Cláusulas de Transferência de C2C (ou se forem exigidas ou implementadas pela Comissão Europeia) ou o Secretário de Estado do Reino Unido (ou outro órgão autorizado do Reino Unido aplicável) aprovar e emitir cláusulas contratuais padrão do Reino Unido ou outro mecanismo contratual semelhante ("Cláusulas do Reino Unido") a serem usadas em vez das Cláusulas de Transferência de C2C para legitimar a transferência de dados pessoais fora do Reino Unido, as partes concordam que, respectivamente, essas novas Cláusulas de Transferência de C2C ou as Cláusulas do Reino Unido substituirão as atuais Cláusulas de Transferência de C2C ou Cláusulas do Reino Unido, conforme aplicável, e as partes adotarão todas as ações necessárias para colocar em vigor as novas Cláusulas de Transferência de C2C ou Cláusulas do Reino Unido, conforme aplicável. As Cláusulas de Transferência de C2C (Módulo 1) serão incorporadas ao Contrato por referência e serão consideradas devidamente executadas entre as partes após a entrada em vigor deste Contrato, sujeito aos seguintes detalhes:

1. em casos de transferências de dados pessoais da Suíça, sujeitas exclusivamente à Lei Federal Suíça de Proteção de Dados e outras leis de proteção de dados da Suíça ("Leis Suíças de Proteção de Dados"); ou o Reino Unido, referências gerais e específicas nas Cláusulas de Transferência de C2C para: (a) Norma (UE) 2016/679 ou Lei da UE ou do Estado-Membro, terá o mesmo significado que a referência equivalente em, respectivamente, o GDPR do Reino Unido, a Lei de Proteção de Dados de 2018 e outras leis de proteção de dados do Reino Unido ("Leis de Proteção de Dados do Reino Unido"), ou as Leis Suíças de Proteção de Dados; e (b) "Estado-Membro" ou "Estado-Membro da UE" ou "UE" serão lidos como referências, respectivamente, para a Suíça, Reino Unido;
2. de acordo com a cláusula 13 (Supervisão), a Autoridade Supervisora competente deverá ser (i) a Comissão Nacional de Proteção de Dados (CNDP) de Luxemburgo ou (ii) quando o exportador de dados estiver estabelecido no Reino Unido ou se enquadrar no escopo territorial de aplicação das Leis de Proteção de Dados do Reino Unido, será o Escritório do Comissário de Informações ou (iii) quando o exportador de dados estiver estabelecido na Suíça ou se enquadrar no escopo territorial da aplicação das Leis de Proteção de Dados da Suíça, será o Comissário de Proteção de Dados e de Informações Federais da Suíça, na medida em que a transferência de dados relevante seja regida pelas Leis Suíças de Proteção de Dados;
3. a opção 1 da Cláusula 17 (Lei aplicável) será aplicável e as leis de Luxemburgo (ou quando o exportador de dados estiver estabelecido no Reino Unido, as leis do Reino Unido) regerá as Cláusulas de Transferência de C2C; 
4. de acordo com a cláusula 18 (Escolha de fórum e jurisdição), os tribunais de Luxemburgo (ou quando o exportador de dados estiver estabelecido no Reino Unido, as leis do Reino Unido) resolverão qualquer disputa decorrente das Cláusulas de Transferência de C2C. Sem interferir com os outros direitos de um titular de dados de acordo com as Cláusulas de Transferência de C2C, um titular de dados deverá ter o direito de encaminhar disputas de acordo com as Cláusulas de Transferência do C2C aos tribunais do Estado-Membro em que tal titular de dados reside (incluindo o Reino Unido ou a Suíça, se corresponder ao país de residência habitual do titular de dados); e
5. as partes concordam que os detalhes exigidos sob o Apêndice das Cláusulas de Transferência de C2C são os estabelecidos no Anexo 1.

Você concorda que deverá cumprir com o PCI DSS e o PA DSS a todo momento enquanto utilizar do PayPal Plus com tela em contexto, na medida necessária para integrar e manter o PayPal Plus em seu site.

Para integrar e manter o PayPal Plus na tela de contexto, você deve preencher e/ou fornecer toda e qualquer documentação necessária para estar em conformidade com os PCI DSS e os PA DSS. Você concorda em fornecer prontamente ao PayPal qualquer documentação que comprove a conformidade com os PCI DSS e/ou os PA DSS, mediante solicitação do PayPal. A não conformidade com esse requisito deve ser considerada uma Atividade Restrita, conforme o Contrato do Usuário do PayPal, e pode resultar na adoção das medidas descritas no Contrato do Usuário do PayPal, incluindo, sem limitação, a imposição de Reservas em sua Conta do PayPal e a suspensão imediata dos recursos de processamento do PayPal Plus, sem incorrer em nenhuma penalidade para o PayPal.

Se o PayPal acreditar que ocorreu uma violação de segurança e/ou o comprometimento dos Dados em seu site e/ou que você não está em conformidade com os PCI DSS e/ou os PA DSS ao utilizar o PayPal Plus na tela de contexto, você poderá ter que contratar um examinador forense ou um especialista, às suas próprias custas, para certificar que você pode continuar usando o PayPal Plus, sem limitar a capacidade do PayPal de adotar as medidas descritas no Contrato do Usuário do PayPal. Você concorda em indenizar o PayPal por todo e qualquer dano e/ou perda, incluindo, sem limitação, multas e/ou penalidades relacionadas a uma potencial violação de segurança e/ou o comprometimento dos Dados em seu site.

Você concorda que o PayPal pode contratar serviços de terceiros para analisar periodicamente a segurança de seu site ("Inspetores"), com o objetivo de verificar possíveis vulnerabilidades que possam colocar em risco os Dados e/ou as informações dos clientes do PayPal e/ou o PayPal. Você concorda em cooperar com os Inspetores para que eles possam realizar as verificações em seu site, dando aos Inspetores e/ou ao PayPal acesso a seus sistemas e a toda a documentação relacionada à segurança dos Dados.

Você renuncia expressamente a qualquer ato contra o PayPal e/ou as Afiliadas do PayPal originado das verificações mencionadas acima e/ou de danos causados pelos Inspetores. Você aceita que os Inspetores são os únicos responsáveis pelas verificações realizadas.

Após qualquer rescisão ou expiração deste Contrato, o PayPal concorda, mediante solicitação por escrito de você, em fornecer a seu novo banco adquirente ou provedor de serviços de pagamento ("Destinatário de Dados") todas as informações de cartão de crédito disponíveis, incluindo dados pessoais relacionados a seus clientes ("Informações de Cartões"). Para fazer isso, você deve fornecer ao PayPal todas as informações solicitadas, incluindo prova de que o Destinatário de Dados está em conformidade com os Requisitos dos PCI-DSS para Associação e em conformidade com o PCI de nível 1. O PayPal concorda em transferir as Informações de Cartão para o Destinatário de Dados, contanto que: (a) você forneça ao PayPal prova de que o Destinatário de Dados está em conformidade com os Requisitos de PCI-DSS de Associação (conformidade com PCI de Nível 1) fornecendo ao PayPal um certificado ou um relatório sobre a conformidade com os Requisitos de PCI-DSS de Associação de um provedor qualificado e quaisquer outras informações razoavelmente solicitadas pelo PayPal; (b) a transferência de tais Informações de Cartão esteja em conformidade com a versão mais recente dos Requisitos de PCI-DSS de Associação; e (c) a transferência de tais Informações de Cartão seja permitida conforme as Regras de Associação aplicáveis e todas as leis, regras ou regulamentos aplicáveis (incluindo as leis de proteção de dados).

Você, o Usuário Recebedor, aprovado para usar o PayPal Plus, poderá ser elegível para a Proteção ao Vendedor do PayPal para transações com o PayPal Plus se, além de cumprir todos os requisitos previstos no Contrato do Usuário do PayPal, também compartilhar com o PayPal o endereço de entrega, o e-mail e o número de telefone de seus clientes que pagaram as compras deles usando o PayPal Plus. Esse compartilhamento de dados é necessário para verificar o cumprimento dos requisitos de Proteção ao Vendedor do PayPal, conforme o Contrato do Usuário do PayPal.

Você se compromete a obter o consentimento prévio e expresso de seus clientes para compartilhar os dados pessoais deles descritos acima com o PayPal, de acordo com a legislação aplicável; e o PayPal armazenará esses dados da mesma forma como os dados pessoais dos Usuários do PayPal são armazenados, em conformidade com a Declaração de Privacidade do PayPal.

Você deve informar claramente seus clientes em sua declaração de privacidade sobre os serviços prestados pelo PayPal. Além disso, sua declaração de privacidade deve declarar que os dados pessoais de seus clientes a serem compartilhados com o PayPal poderão ser usados para:

i. Facilitar o processamento de pagamentos;

ii. Evitar, detectar, mitigar e investigar atos potencialmente ilegais, fraudes e/ou violações de segurança, avaliar e gerenciar riscos; e

iii. Prestar serviços de atendimento ao cliente.

Se o PayPal acreditar que você não obteve o consentimento prévio expresso de seus clientes para compartilhar os Dados pessoais deles com o PayPal, conforme descrito acima, o PayPal poderá suspender a Proteção ao Vendedor do PayPal e/ou o processamento de transações por meio do PayPal Plus imediatamente, sem que o PayPal incorra em qualquer penalidade.

Anexo 1

Apêndice das Cláusulas de Transferência de C2C

A. Os dispositivos abaixo se aplicam, na medida do possível, em conformidade com as Cláusulas de Transferência de C2C

Exportador de dados

• Nome e endereço: o exportador de dados é o Vendedor e o endereço é conforme consta no Contrato
• Nome, cargo e detalhes de contato da pessoa de contato: conforme consta no Contrato
• Atividades relevantes aos dados transferidos em conformidade com a Cláusula Contratual Padrão: conforme consta no Contrato
• Assinatura e data: consulte as informações fornecidas na Seção 3 ("Proteção de dados; Segurança de dados; Portabilidade de dados")
• Função (controlador/processador): controlador

Importador de dados

• Nome e endereço: o importador de dados é o membro do Grupo do PayPal que presta os serviços de acordo com o Contrato, e o endereço é conforme consta no Contrato
• Nome, cargo e detalhes de contato da pessoa de contato: conforme consta no Contrato
• Atividades relevantes aos dados transferidos em conformidade com a Cláusula Contratual Padrão: conforme consta no Contrato

• Assinatura e data: consulte as informações fornecidas na Seção 3 ("Proteção de dados; Segurança de dados; Portabilidade de dados")

• Função (controlador/processador): controlador

Anexo 1.B. Descrição da transferência

Titulares de dados cujos dados pessoais são transferidos
Os dados pessoais transferidos referem-se às seguintes categorias de titulares de dados:

• Os clientes, funcionários e outros contatos comerciais do exportador de dados.

Categorias de dados pessoais transferidos

• Nome do cliente, valor a ser debitado, data/hora, detalhes da conta bancária, informações do cartão de pagamento, código CVC, código postal, código do país, endereço, e-mail, fax, telefone, site, data de expiração, detalhes do frete, status fiscal, identificador de cliente exclusivo, endereço IP, local e quaisquer outros dados recebidos pelo PayPal de acordo com o Contrato.

Dados confidenciais (se apropriado) e restrições ou salvaguardas aplicadas
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados confidenciais:

• Não aplicável, a menos que o Vendedor configure o serviço para receber tais dados.

Aplica restrições e salvaguardas:

• Não aplicável, a menos que o Vendedor configure o serviço para receber tais dados.

Natureza do processamento

Conforme estabelecido no Contrato.

Finalidade(s) da(s) transferência(s)

A transferência é feita para os seguintes fins:

• Desempenho dos serviços prestados pelo importador de dados ao exportador de dados de acordo com o Contrato.
• Para identificar atividade fraudulenta e risco que possam afetar o importador de dados, o exportador de dados ou outros clientes do importador de dados.
• Para cumprir as leis e solicitações de aplicação da lei aplicáveis ao importador de dados.
• Conforme estabelecido na Declaração de Privacidade do importador de dados.

Período pelo qual os Dados Pessoais serão retidos ou, se não for possível, os critérios utilizados para determinar esse período

O importador de dados só reterá os dados pessoais pelo tempo necessário com relação às finalidades relevantes para os quais ele foi coletado (consulte as finalidades acima). Para determinar o período de retenção apropriado de dados pessoais, o importador de dados considera a quantidade, a natureza e a confidencialidade dos dados pessoais, o risco potencial de danos por uso não autorizado ou a divulgação dos dados pessoais, as finalidades para as quais os dados pessoais são processados e se tais finalidades podem ser alcançadas por outros meios, e os termos legais, exigências regulatórias, fiscais, contábeis ou outras exigências aplicáveis.

Para transferências para (sub)processadores, especifique também o assunto, a natureza e a duração do processamento

O importador de dados pode compartilhar dados pessoais com prestadores de serviços de terceiros que executam serviços e funções conforme instruções do importador de dados e em seu nome. Esses prestadores de serviços de terceiros podem, por exemplo, fornecer um elemento dos serviços prestados de acordo com o Contrato, como verificação do cliente, processamento de transações ou atendimento ao cliente, ou prestar um serviço ao importador de dados que ofereça suporte aos serviços prestados de acordo com o contrato, como armazenamento. Ao determinar a duração do processamento realizado pelos prestadores de serviços terceirizados, o importador de dados aplica os critérios previstos acima neste Anexo 1.B.

Anexo 1.B. Autoridade supervisora

De acordo com a cláusula 13(a) das Cláusulas de Transferência da UE, a autoridade supervisora é responsável por garantir a conformidade do exportador de dados com a Norma (UE) 2016/679 no que diz respeito à transferência de dados e, conforme indicado, atuará como autoridade supervisora competente.

B. Medidas técnicas e de organizações, incluindo medidas técnicas e organizacionais, para garantir a segurança dos dados

1. Uso de pseudônimo, criptografia e proteção de dados durante a transmissão.udo

As políticas do PayPal garantem a conformidade com esse princípio e exigem o uso de controles técnicos para evitar o risco de divulgação de dados pessoais. O PayPal usa criptografia em trânsito e em repouso para todos os dados pessoais. Também utilizamos técnicas de uso de pseudônimo padrão do setor, como tokenização, para proteger dados pessoais, quando aplicável. O PayPal tem políticas abrangentes que fornecem obrigações e processos importantes para proteger os dados quando são transferidos dentro da empresa e externamente com terceiros.

2. Gerenciamento de alterações e continuidade dos negócios.

O robusto processo de gerenciamento de alterações do PayPal protege a disponibilidade e a resiliência contínua dos dados e sistemas ao longo de seu ciclo de vida, garantindo que as mudanças sejam planejadas, aprovadas, executadas e analisadas adequadamente. O processo de gestão de continuidade dos negócios da Empresa oferece uma estrutura para a criação de resiliência organizacional com a capacidade de uma resposta efetiva que protege os interesses das principais partes interessadas.

3. Recuperação de desastres.

O robusto programa de recuperação de desastres do PayPal tem processos para recuperar sistemas de informações ou tecnologia no caso de qualquer interrupção significativa, com foco nos sistemas de TI que oferecem suporte aos processos comerciais e as atividades dos clientes críticos. A infraestrutura de tecnologia do PayPal está armazenada em vários centros de dados seguros, com capacidade principal e secundária, cada um equipado com infraestrutura de rede e segurança, servidores e armazenamento dedicados de aplicativos e banco de dados.

4. Teste e avaliação regular de eficácia de medidas técnicas e organizacionais.

O PayPal regularmente planeja, executa e informa os resultados do programa de testes da Empresa para avaliar a eficácia de suas medidas tecnológicas e organizacionais. O programa é gerenciado por meio de nossa equipe de risco corporativo e conformidade que trabalha com as partes interessadas relevantes para obter e avaliar as informações necessárias para testes, relatórios e remediação conforme necessário.

5. Autorização e identificação do usuário.

Os processos de gerenciamento de acesso do PayPal exigem que os usuários acessem a rede corporativa usando um ID de conta corporativo exclusivo e uma senha para identificação e autenticação do usuário antes de acessar quaisquer outros aplicativos do escopo. Políticas automatizadas sobre composição, comprimento, alteração, reutilização e bloqueio de senha são aplicadas. As aprovações e acesso baseados em funções, que são certificadas trimestralmente, são implementadas em todos os sistemas de escopo para aplicar o princípio menos privilegiado.

6. Segurança física de locais em que os dados pessoais são processados.

As políticas e processos de segurança globais do PayPal estabelecem os requisitos necessários para facilitar processos de segurança robustos, incluindo segurança física, de acordo com as leis, normas e requisitos do parceiro aplicáveis. Ênfase especial é voltada aos sistemas de segurança e salvaguardas ao construir áreas especiais ou confidenciais, como salas de correio, armazenamento de equipamentos, áreas de frete e recebimento, salas de computador/servidor, cofres de comunicação ou áreas de armazenamento de documentos/informações sigilosos, de acordo com o padrão de processamento de segurança de informações da Empresa.

7. Registro e configuração de eventos.

O PayPal elaborou e definiu tipos e atributos de registro de eventos e monitoramento. A Empresa coleta vários tipos de registros e os agrega ao sistema de monitoramento de segurança centralizado. O controle padrão de gerenciamento de configuração é aplicado para garantir que os registros sejam coletados dos sistemas e, em seguida, encaminhados para o nosso sistema centralizado de monitoramento de segurança. As políticas e os processos de suporte do PayPal estabelecem que a configuração do sistema e o endurecimento das linhas de base devem ser implementados em todos os sistemas.

8. Governança e gestão de TI; Certificação e garantia de processos e produtos.

O PayPal promove uma forte filosofia de segurança em toda a Empresa. Nosso Diretor de Segurança da Informação supervisiona a segurança da informação em toda nossa empresa global. Como parte do nosso Programa de Gerenciamento de Riscos Corporativos e Conformidade, nosso Programa de Supervisão de Tecnologia e Segurança da Informação foi projetado para apoiar a Empresa no gerenciamento de tecnologias e riscos de segurança da informação e na identificação, proteção, detecção, resposta e recuperação de ameaças à segurança da informação. O PayPal certifica e garante seus processos e produtos por meio de vários programas corporativos, incluindo (i) auditorias e avaliações das obrigações padrão do setor técnico do PayPal, incluindo, sem limitação, ISO 27001, Normas aplicáveis da Indústria de Cartões de Pagamento (PCI) (DSS, PIN, P2PE etc.) e o Instituto Americano de Contadores Públicos Certificados (AICPA) SOC-1 e SOC-2, (ii) Processo de Identificação de Controle de Risco (RCIP) que garante o envolvimento antecipado e uma abordagem padrão para a medição, o gerenciamento e o monitoramento de riscos associados ao desenvolvimento e liberação de soluções de produtos, (iii) avaliações de impacto de privacidade que estão integradas nos estágios iniciais dos processos de desenvolvimento de produtos e softwares, e (iv) um programa abrangente de gerenciamento de terceiros, que fornece garantia por meio de um gerenciamento contínuo de riscos ao longo do ciclo de vida de um envolvimento com terceiros.

9. Minimização de dados.

Nossas políticas exigem, por meio de controles técnicos, que os elementos de dados coletados e gerados sejam adequados, relevantes e limitados aos necessários em relação às finalidades para as quais são processados. Os processos de avaliação de impacto de privacidade do PayPal garantem a conformidade com essas políticas.

10. Qualidade e retenção de dados.

A política de acesso e qualidade do PayPal garante que todos os dados pessoais estejam corretos, completos e atualizados, permitindo que os usuários individuais acessem o sistema para corrigir e modificar suas particularidades (por exemplo, endereço, dados de contato etc.), e, quando uma solicitação de correção for recebida de um titular de dados, o serviço ofereça direito à correção. Nosso programa de governança de dados monitora a qualidade dos dados, problemas e remediações, conforme necessário. Exigimos que todos os dados sejam classificados de acordo com o seu valor para a empresa com períodos de retenção atribuídos, que se baseiem nos requisitos legais, regulatórios e de registro do PayPal. Após a expiração do período de retenção, os dados e informações serão eliminados, excluídos ou destruídos.

11. Responsabilidade.

O PayPal desenvolveu um conjunto de segurança da informação, tecnologia, governança de dados, gerenciamento de terceiros e princípios e declarações de privacidade alinhados aos padrões do setor e projetados para envolver a colaboração e a parceria das partes interessadas na conscientização e conformidade com tais políticas e controles em toda a empresa para garantir a participação e a responsabilidade em toda a empresa. Cada programa define responsabilidades para a tomada de decisões, os processos e os controles relacionados a dados multifuncionais. Como controlador de dados, o PayPal é responsável e demonstra a conformidade com os artigos relevantes que exercem uma obrigação de responsabilidade com relação ao GDPR e a outras leis de proteção de dados aplicáveis por meio da implementação de uma política de programa de privacidade e uma estrutura de controle organizacional e técnica em camadas subjacentes para garantir a conformidade em toda a empresa com as leis, normas, políticas e procedimentos de privacidade. Isso inclui a capacidade de demonstrar a conformidade com as leis de proteção de dados por meio de: 1) uma forte cultura de conformidade, 2) uma estrutura de governança de risco corporativo e conformidade que inclui comitês de gestão, funções de supervisão, relatórios de privacidade, 3) responsabilidade comercial para conformidade com o programa de privacidade, incluindo a definição, documentação e manutenção de processos e controles comerciais, 4) um departamento de privacidade global dentro da Organização de Conformidade Corporativa para supervisionar a conformidade comercial com o programa de privacidade e definir políticas, padrões, procedimentos e ferramentas que estejam operacionais por funções comerciais, 5) comunicações à empresa enviadas pela função de privacidade global para promover a conscientização e o entendimento da privacidade, 6) Estrutura de gerenciamento de riscos corporativos e conformidade para garantir o uso de processos consistentes, incluindo avaliações de impacto de privacidade, monitoramento e teste de privacidade, gerenciamento de problemas de privacidade, treinamento de privacidade, plano anual de privacidade e 7) relatórios e análises aos comitês de gerenciamento que supervisionam o Programa de Privacidade.

12. Direitos dos titulares de dados.

O PayPal tem um programa em vigor para garantir que os direitos dos titulares de dados sejam cumpridos, incluindo acesso, correção e eliminação. As solicitações de eliminação de dados serão cumpridas, a menos que o PayPal tenha uma obrigação legal, regulatória ou outro motivo comercial legítimo para mantê-los. As políticas do PayPal garantem que a eliminação ocorra em todo o ciclo de vida do cliente.

13. Processadores.

O PayPal tem um programa abrangente de gerenciamento de terceiros, que fornece garantia por meio do gerenciamento contínuo de riscos ao longo do ciclo de vida de um envolvimento com terceiros. Temos controles contratuais em vigor para exigir que nossos processadores e seus subprocessadores coloquem em prática padrões abrangentes de segurança de dados e privacidade em toda a cadeia de processamento. Todos os subprocessadores devem exigir nossa aprovação antecipada antes de serem engajados.