Acordo de Processamento de Dados

Introdução

Este Acordo de Processamento de Dados ("DPA") faz parte dos Termos de Serviço entre diffray, Inc. ("Processador", "nós", "nos") e o cliente ("Controlador", "você") para a prestação de serviços de revisão de código com IA (o "Serviço").

Este DPA se aplica onde e apenas na medida em que processamos Dados Pessoais em seu nome no curso da prestação do Serviço, e tais Dados Pessoais estão sujeitos às Leis de Proteção de Dados.

1. Definições

• "Dados Pessoais" significa qualquer informação relativa a uma pessoa natural identificada ou identificável processada por nós em seu nome.
• "Leis de Proteção de Dados" significa todas as leis aplicáveis relacionadas à proteção de dados e privacidade, incluindo GDPR (UE), UK GDPR, CCPA (Califórnia), LGPD (Brasil) e outras regulamentações aplicáveis.
• "Subprocessador" significa qualquer terceiro contratado por nós para processar Dados Pessoais em seu nome.
• "Titular dos Dados" significa o indivíduo a quem os Dados Pessoais se referem.
• "Incidente de Segurança" significa qualquer violação não autorizada ou ilegal de segurança que leve à destruição, perda, alteração acidental ou ilegal, divulgação não autorizada ou acesso a Dados Pessoais.

2. Escopo do Processamento

2.1 Objeto

Processamento de Dados Pessoais em conexão com serviços de revisão de código com IA para repositórios do GitHub.

2.2 Natureza e Finalidade

• Fornecimento de serviços de revisão e análise de código
• Processamento de pull requests e dados de repositório
• Autenticação de usuário e gerenciamento de conta
• Análise e melhoria do serviço

2.3 Categorias de Titulares dos Dados

• Seus funcionários e contratados
• Seus usuários finais que interagem com repositórios de código
• Contribuidores para repositórios que você autoriza para revisão

2.4 Tipos de Dados Pessoais

• Nomes de usuário e endereços de e-mail do GitHub
• Informações de perfil (nomes, avatares)
• Metadados de repositório e informações de commit
• Endereços IP e dados de uso

2.5 Duração

O processamento continua pela duração do acordo de Serviço, mais qualquer período de retenção exigido por lei ou conforme especificado em nossa Política de Privacidade.

3. Obrigações do Processador

Devemos:

• Processar Dados Pessoais apenas sob suas instruções documentadas, a menos que exigido por lei
• Garantir que pessoas autorizadas a processar Dados Pessoais estejam vinculadas por obrigações de confidencialidade
• Implementar medidas técnicas e organizacionais de segurança apropriadas
• Não contratar Subprocessadores sem sua autorização prévia (geral ou específica)
• Auxiliá-lo em responder a solicitações de Titulares dos Dados
• Auxiliá-lo em garantir conformidade com obrigações de segurança, notificação de violação e avaliação de impacto
• Excluir ou retornar todos os Dados Pessoais após a rescisão, a menos que a retenção seja exigida por lei
• Disponibilizar informações necessárias para demonstrar conformidade e permitir auditorias

4. Obrigações do Controlador

Você deve:

• Garantir que você tem uma base legal para processar Dados Pessoais
• Fornecer instruções claras para processamento de Dados Pessoais
• Garantir que os Titulares dos Dados foram informados sobre o processamento
• Ser responsável pela precisão dos Dados Pessoais fornecidos a nós
• Cumprir com as Leis de Proteção de Dados aplicáveis

5. Subprocessadores

Você nos autoriza a contratar os seguintes Subprocessadores:

Notificaremos você de quaisquer mudanças pretendidas aos Subprocessadores, dando-lhe a oportunidade de objetar. Todos os Subprocessadores estão vinculados por acordos de processamento de dados com proteções equivalentes.

6. Medidas de Segurança

Implementamos e mantemos medidas técnicas e organizacionais apropriadas incluindo:

• Criptografia: TLS 1.2+ para dados em trânsito; AES-256 para dados em repouso
• Controle de Acesso: Acesso baseado em função, autenticação multifator, princípio de menor privilégio
• Infraestrutura: AWS com certificação SOC 2 Type II, VPCs isoladas, grupos de segurança
• Monitoramento: Registro 24/7, detecção de intrusão, alertas automatizados
• Segurança de Código: Ambientes de processamento efêmeros destruídos após cada revisão
• Pessoal: Verificação de antecedentes, treinamento de segurança, acordos de confidencialidade
• Resposta a Incidentes: Procedimentos documentados, testes regulares, caminhos de escalação definidos

7. Direitos dos Titulares dos Dados

Auxiliaremos você em responder a solicitações de Titulares dos Dados exercendo seus direitos sob as Leis de Proteção de Dados, incluindo:

• Direito de acesso
• Direito à retificação
• Direito ao apagamento
• Direito à restrição de processamento
• Direito à portabilidade de dados
• Direito de objeção

Se recebermos uma solicitação diretamente de um Titular dos Dados, notificaremos você prontamente, a menos que proibido por lei.

8. Notificação de Incidente de Segurança

Ao tomar conhecimento de um Incidente de Segurança afetando seus Dados Pessoais, devemos:

• Notificá-lo sem demora indevida (dentro de 72 horas quando viável)
• Fornecer informações sobre a natureza do incidente, categorias de dados afetados, número aproximado de Titulares dos Dados, consequências prováveis e medidas tomadas
• Cooperar com sua investigação e esforços de mitigação
• Documentar o incidente e etapas de remediação

9. Exclusão e Devolução de Dados

Após a rescisão do Serviço ou mediante sua solicitação:

• Excluiremos ou devolveremos todos os Dados Pessoais em até 30 dias
• Forneceremos confirmação por escrito da exclusão mediante solicitação
• Retenção além deste período apenas quando exigido por lei aplicável

Nota: O código fonte nunca é armazenado permanentemente. Cada revisão é executada em um ambiente efêmero que é completamente destruído após a conclusão.

10. Auditorias

Mediante aviso razoável e sujeito a obrigações de confidencialidade:

• Disponibilizaremos informações necessárias para demonstrar conformidade com este DPA
• Permitiremos e contribuiremos para auditorias conduzidas por você ou um auditor independente
• Auditorias serão conduzidas durante horário comercial normal, não mais de uma vez por ano
• Você arcará com os custos de qualquer auditoria, a menos que revele não conformidade material

Também mantemos certificações de terceiros e relatórios de auditoria (disponíveis mediante solicitação sob NDA).

11. Transferências Internacionais

Para transferências de Dados Pessoais fora do EEE, Reino Unido ou Suíça:

• Confiamos nas Cláusulas Contratuais Padrão (SCCs) da UE conforme aprovadas pela Comissão Europeia
• Para transferências do Reino Unido, usamos o UK International Data Transfer Agreement ou UK Addendum às SCCs
• Implementamos medidas suplementares quando exigido por orientação aplicável

As SCCs são incorporadas por referência e disponíveis mediante solicitação.

12. Responsabilidade

A responsabilidade sob este DPA está sujeita às limitações estabelecidas nos Termos de Serviço. Cada parte será responsável por danos causados por processamento que infrinja as Leis de Proteção de Dados ou este DPA.

13. Prazo e Rescisão

Este DPA permanecerá em vigor pela duração do nosso processamento de Dados Pessoais em seu nome. Após a rescisão do Serviço, obrigações relacionadas à exclusão de dados, confidencialidade e direitos de auditoria sobreviverão.

14. Lei Aplicável

Este DPA será regido pelas leis especificadas nos Termos de Serviço (Estado de Delaware, EUA), exceto quando as Leis de Proteção de Dados exigirem o contrário.

15. Contato

Para perguntas sobre este DPA ou para solicitar uma cópia assinada: