Acordo de Processamento de Dados

Este ACORDO DE PROCESSAMENTO DE DADOS (doravante “DPA”) inclui os seus anexos que descrevem as obrigações das Partes, incluindo ao abrigo das leis aplicáveis de proteção de dados, no que diz respeito ao processamento de dados pessoais (conforme definido abaixo). O DPA está incorporado ao Acordo de Utilizador.

Este DPA é entre a Organização (doravante “Controlador”)

e 

Mollie B.V., uma sociedade de responsabilidade limitada (besloten vennootschap) com sede registada em Amsterdã, no Keizersgracht 126, 1015 CW Amsterdã, Países Baixos e registada na Câmara de Comércio Holandesa sob o número 30204462, (doravante “Mollie” ou “Processador”)

e 

Mollie UK Ltd., uma sociedade de responsabilidade limitada com sede registada em Londres, 7 Pancras Square, Londres N1C 4AG, Reino Unido e registada na Companies House sob o número 14013554, (doravante “Mollie” ou “Processador”),

cada uma uma “Parte” e conjuntamente “Partes”. 

Definições 

Neste DPA, os seguintes termos têm o significado estabelecido abaixo. Termos em maiúsculas utilizados mas não definidos aqui terão o significado estabelecido no Acordo.

Acordo: O acordo entre o Controlador e o Processador para a prestação de serviços (“Acordo de Utilizador”).

Regras Corporativas Vinculativas: Políticas de proteção de dados pessoais que são seguidas por um controlador ou processador estabelecido no território de um Estado Membro para transferências ou um conjunto de transferências de Dados Pessoais para um controlador ou processador em um ou mais países terceiros dentro de um grupo de empresas, ou grupo de empresas envolvidas numa atividade económica conjunta.

Controlador: A pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina a finalidade e os meios do Processamento de Dados Pessoais.

Cliente: Clientes da Organização que desejam pagar por produtos e/ou serviços fornecidos pela Organização através do Módulo de Pagamentos do Mollie.

Violação de Dados: Uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais transmitidos, armazenados ou de outra forma processados. 

Acordo de Processamento de Dados: Este acordo, incluindo todos os anexos.

Autoridade Supervisora: Um organismo governamental independente responsável por supervisionar o cumprimento das leis aplicáveis relacionadas ao Processamento de Dados Pessoais. Nos Países Baixos, isto é a Autoriteit Persoonsgegevens.

Avaliação de Impacto sobre a Proteção de Dados: Uma avaliação do impacto das operações de processamento previstas sobre a proteção de Dados Pessoais.

Leis de Proteção de Dados: Toda legislação aplicável relacionada à proteção de dados e privacidade, incluindo, sem limitação, o Regulamento Geral de Proteção de Dados da UE, todas as leis locais e regulamentos que modificam ou substituem qualquer um deles, juntamente com quaisquer leis nacionais de implementação em qualquer Estado Membro da Área Económica Europeia (EEA), na medida do aplicável, em qualquer outro país, conforme alteradas, revogadas, consolidadas ou substituídas de tempos em tempos.

Sujeito dos Dados: A pessoa natural a quem os Dados Pessoais se referem (e.g., Clientes).

RGPD: O Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas naturais no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados. 

Dados Pessoais: Qualquer informação relacionada a uma pessoa física identificada ou identificável; uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos à identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa natural. 

Processamento: Qualquer operação ou conjunto de operações realizada sobre Dados Pessoais ou conjuntos de Dados Pessoais, com ou sem meios automatizados, como a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. Esta lista não é exaustiva. Os termos “processar”, “processa” e “processado” serão interpretados em conformidade. 

Processador: Uma pessoa natural ou jurídica, autoridade pública, agência ou outro organismo que Processa (Pessoal) Dados em nome do Controlador.

Organização: A organização que utiliza o Módulo de Pagamentos do Mollie para fins incluindo, mas não se limitando, à venda de produtos e/ou serviços para Clientes.

Cláusulas Contratuais Padrão: Cláusulas Contratuais Tipo da Comissão Europeia para Processadores de Dados (2010/87/EU) ou a Decisão de Execução da Comissão (UE) 2021/914 de 4 de junho de 2021 sobre cláusulas contratuais tipo relativas à transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (C/2021/3972).
Sub-processador: qualquer terceira pessoa, entidade ou empresa contratada pelo Processador para processar Dados Pessoais na prestação dos serviços ao abrigo do Acordo.

SEÇÃO A: FINALIDADE 

Artigo A.1 Escopo

O Processador concordou em prestar serviços ao Controlador de acordo com os termos do Acordo de Utilizador. Na prestação de serviços, o Processador irá Processar Dados Pessoais em nome do Controlador conforme identificado neste DPA. O Processador, como instituição financeira, também processa Dados Pessoais atuando como controlador de dados. 

As Partes reconhecem e concordam que, na medida em que o Mollie processa Dados Pessoais envolvidos em transações de pagamento para: i) executar o Acordo de Utilizador com o Controlador; ii) monitorizar, prevenir e detetar transações fraudulentas de pagamento; iii) cumprir com obrigações legais ou regulatórias aplicáveis ao processamento e retenção de dados de pagamento a que o Mollie está sujeito, incluindo triagem de lavagem de dinheiro e conformidade com obrigações de conhecimento sobre o seu cliente; e iv) melhorar os produtos e serviços do Mollie, o Mollie está atuando como controlador de dados e tem a autoridade única e exclusiva para determinar as finalidades e meios do processamento de Dados Pessoais que recebe de ou através de (prestação de serviços ao) Controlador.

As atividades de processamento, Dados Pessoais e categorias de Sujeitos de Dados para os quais o Processador processa Dados Pessoais em nome do Controlador estão identificadas no Anexo A. 

SEÇÃO B: OBRIGAÇÕES 

Artigo B.1 Obrigações do Controlador 

O Controlador é responsável pelos Dados Pessoais que o Processador irá Processar e deve garantir a conformidade com todas as Leis de Proteção de Dados, incluindo requisitos relacionados à transferência de Dados Pessoais ao abrigo deste DPA e do Acordo de Utilizador. O Controlador garante ter o direito de Processar os Dados Pessoais e possui o direito de nomear o Processador, para Processar os dados em nome do Controlador.

O Controlador concorda que, sem limitação das obrigações do Processador ao abrigo deste DPA, o Controlador é o único responsável pelo seu uso dos serviços, incluindo (a) fazer uso apropriado dos serviços para garantir um nível de segurança adequado ao risco em relação aos Dados Pessoais; (b) proteger as credenciais de autenticação da conta, sistemas e dispositivos que o Controlador utiliza para aceder aos serviços; (c) proteger os sistemas e dispositivos do Controlador que utiliza com os serviços; e (d) manter suas próprias cópias de segurança dos Dados Pessoais.

Artigo B.2 Obrigações do Processador 

O Processador compromete-se a: 

1. processar os Dados Pessoais apenas de acordo com instruções documentadas do Controlador e tomará medidas necessárias para garantir que qualquer pessoa natural agindo sob sua autoridade que tenha acesso a Dados Pessoais não processe os Dados Pessoais, exceto mediante instruções do Controlador;

2. informar prontamente o Controlador se qualquer uma das instruções sobre o Processamento de Dados Pessoais fornecidas ao Processador pelo Controlador, violar qualquer Lei de Proteção de Dados aplicável ou as disposições estabelecidas neste DPA;

3. implementar procedimentos técnicos e organizacionais apropriados para proteger Dados Pessoais, considerando o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais; e

4. sem atraso indevido, informar o Controlador se receber uma queixa ou pedido relacionado às obrigações de qualquer das Partes sob as Leis de Proteção de Dados relevantes para este DPA, incluindo qualquer pedido de indenização de um Sujeito de Dados ou qualquer notificação, investigação ou outra ação de uma Autoridade Supervisora e fornecerá ao Controlador todos os detalhes de tal investigação, queixa ou pedido, a menos que não seja permitido por lei ou por solicitação da Autoridade Supervisora.

SEÇÃO C: TRANSFERÊNCIAS E SUB-PROCESSADORES

Artigo C.1 Transferência de Dados Pessoais 

Quando Dados Pessoais relacionados a um Sujeito de Dados da UE são transferidos para fora do EEE, eles deverão ser processados por uma entidade: (i) localizada num país ou território terceiro reconhecido pela Comissão da UE como tendo um nível de proteção adequado; ou (ii) que esteja sujeito às Cláusulas Contratuais Tipo da UE e/ou ao Acordo de Transferência Internacional de Dados do Reino Unido ou Adendo SCC do Reino Unido; ou (iii) que tenha outras garantias adequadas legalmente reconhecidas, como as Regras Corporativas Vinculativas, que garantem o mesmo nível de proteção e garantias que este DPA. 

Artigo C.2 Sub-processadores 

O Controlador consente por meio deste com o uso de Sub-processadores do Processador especificados no Anexo B. Esta lista pode ser atualizada pelo Processador de tempos em tempos de acordo com este DPA.

O Processador fornecerá ao Controlador a possibilidade de se opor a cada novo Sub-processador que será envolvido apenas para o escopo das atividades de processamento de dados conforme identificado no Anexo A. 

Antes de envolver um novo Sub-processador, o Processador deverá notificar o Controlador e fornecer pelo menos dez (10) dias de calendário para objeção, exceto quando o Processador acreditar razoavelmente que envolver um novo Sub-processador de forma acelerada é necessário para proteger a confidencialidade, integridade ou disponibilidade dos Dados Pessoais ou evitar uma interrupção material aos serviços prestados. Nesse caso, o Processador dará essa notificação assim que for viável. Se, dentro de cinco (5) dias de calendário após tal notificação, o Controlador notificar por escrito ao Processador que o Controlador se opõe à nomeação de um novo Sub-processador pelo Processador com base em preocupações razoáveis com a proteção de dados, as partes discutirão tais preocupações de boa fé e se podem ser resolvidas. Objeções a novos Sub-processadores devem ser submetidas a privacy@mollie.com. 

O Controlador reconhece que os Sub-processadores são essenciais para fornecer os serviços e que se opor ao uso de um Sub-processador pode impedir o Processador de oferecer os serviços ao Controlador. Se as partes não conseguirem concordar mutuamente com uma resolução de tais preocupações, o Controlador, como seu único e exclusivo recurso, poderá rescindir o DPA por conveniência.

Todos os Sub-processadores que processam Dados Pessoais na prestação de serviços ao Controlador devem cumprir com as obrigações estabelecidas neste DPA. O Processador deverá, antes da divulgação de Dados Pessoais a qualquer Sub-processador, realizar uma devida diligência adequada para garantir que o Sub-processador seja capaz de fornecer o nível de proteção para os Dados Pessoais do Controlador 

s conforme exigido por este DPA e entre em um acordo com esse Sub-processador no qual o Sub-processador concorda em cumprir com as obrigações equivalentes às estabelecidas neste DPA. 

SEÇÃO D: SEGURANÇA

Artigo D.1 Medidas de Segurança

O Processador deverá implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo inter alia, conforme apropriado:

1. pseudonimização e criptografia de Dados Pessoais; 

2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento; 

3. a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais de maneira oportuna no caso de um incidente físico ou técnico; e 

4. um processo para testar regularmente, avaliar e avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento. Ao avaliar o nível apropriado de segurança, deverá considerar-se em particular os riscos apresentados pelo processamento, em particular da destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Dados Pessoais transmitidos, armazenados ou de outra forma processados.

   
   

Artigo D.2 Notificação de Violação de Dados

O Processador deverá notificar o Controlador sem atraso indevido de qualquer destruição, perda, alteração ou divulgação ou acesso não autorizados ou ilegais a Dados Pessoais após a descoberta, na medida em que a Violação de Dados esteja apenas relacionada ao processamento de Dados Pessoais pelo Processador na sua capacidade como processador. Se e onde a Violação de Dados disser respeito a Dados Pessoais para os quais o Processador é considerado Controlador como descrito na Declaração de Privacidade do Processador, o Processador reserva-se o direito de tratar a Violação de Dados como controlador. 

Um atraso em dar um aviso de Violação de Dados solicitado por agentes da lei e/ou em função das necessidades legítimas do Processador de investigar ou remediar a questão antes de fornecer aviso não deverá constituir um atraso indevido. Esses avisos descreverão, na medida do possível, os detalhes da Violação de Dados, incluindo as etapas tomadas para mitigar os riscos potenciais. Sem prejuízo das obrigações do Processador ao abrigo desta Seção D.1, o Controlador é o único responsável por cumprir com as leis de notificação de Violação de Dados aplicáveis ao Controlador e por cumprir quaisquer obrigações de notificação a terceiros relacionadas a quaisquer Violação de Dados. A notificação do Processador de ou resposta a uma Violação de Dados sob esta Seção D.1. não deverá ser considerada um reconhecimento pelo Processador de qualquer falha ou responsabilidade em relação à Violação de Dados.

Qualquer custo incorrido na resolução da Violação de Dados e na implementação de medidas necessárias para prevenir tal Violação de Dados no futuro será suportado pela Parte que incorrer nos custos.

SEÇÃO E: AUDITORIA

Artigo E.1 Direito de Auditoria 

O Controlador terá o direito de solicitar, mediante aviso prévio razoável, relatórios de auditoria do Processador relacionados ao Processamento de Dados Pessoais no âmbito dos serviços prestados ao abrigo deste DPA.

Os relatórios de auditoria, conforme referenciado nesta cláusula, incluirão mas não se limitarão a, relatórios relacionados à segurança, confidencialidade e medidas de proteção de dados implementadas pelo Processador em conexão com o Processamento de Dados Pessoais. Esses relatórios também podem cobrir conformidade com as Leis de Proteção de Dados relevantes.

Solicitações de relatórios de auditoria deverão ser feitas por escrito e enviadas para privacy@mollie.com, especificando o escopo e o propósito da solicitação. O Processador deverá acusar o recebimento de tais solicitações de maneira oportuna.

O recebimento de relatórios de auditoria estará sujeito ao dever profissional de confidencialidade. O Controlador poderá usar os relatórios de auditoria apenas para fins de cumprimento dos requisitos de auditoria regulatória do Controlador e confirmação de que o Processamento de Dados Pessoais do Processador cumpre com este DPA. Os relatórios de auditoria não deverão ser compartilhados externamente.

SEÇÃO F: AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E CONSULTAS PRÉVIAS

Artigo F.1 Assistência

O Processador deverá ajudar o Controlador a realizar uma avaliação do impacto do Processamento de Dados Pessoais (artigo 35 do RGPD) e com quaisquer consultas a uma Autoridade Supervisora (artigo 36 do RGPD), se e na medida em que uma avaliação ou consulta for necessária ao abrigo das Leis de Proteção de Dados e onde o Processador for permitido e/ou obrigado a cooperar.

SEÇÃO G: DIREITOS DO SUJEITO DE DADOS

Artigo G.1 Assistência

Se o Processador receber um pedido de um Sujeito de Dados em relação a Dados Pessoais do Controlador, o Processador aconselhará o Sujeito de Dados a submeter seu pedido ao Controlador e/ou encaminhará o pedido ao Controlador, e o Controlador será responsável por responder a qualquer tal pedido.

Mediante solicitação do Controlador e às custas do Controlador, o Processador fornecerá ao Controlador a assistência razoavelmente necessária para cumprir com as obrigações ao abrigo das Leis de Proteção de Dados para responder a solicitações de sujeitos de dados para exercer seus direitos ao abrigo das Leis de Proteção de Dados (e.g., direitos de acesso a dados, retificação, eliminação, restrição, portabilidade e objeção) nos casos em que o Controlador não puder razoavelmente cumprir tais pedidos de forma independente através do seu acesso aos produtos e serviços do Processador.

SEÇÃO H: DIVERSOS 

Artigo H.1 Confidencialidade 

O Processador deverá manter confidenciais todos os Dados Pessoais e garantirá que todos os funcionários, agentes, oficiais e contratados com acesso ou envolvidos com o Processamento de Dados Pessoais estejam cientes da natureza confidencial dos Dados Pessoais e estejam contratualmente vinculados a manter os Dados Pessoais confidenciais e sejam informados e cumpram com as obrigações deste DPA.

Artigo H.2 Responsabilidade

Qualquer e toda responsabilidade decorrente deste DPA será regida pelas disposições relevantes do Acordo de Utilizador, incluindo limitações de responsabilidade. 

Não obstante as disposições do Acordo de Utilizador, cada Parte será responsável perante a outra Parte por quaisquer danos que causar à outra Parte por qualquer violação deste DPA. Esses danos devem ser claramente demonstrados. O Processador será responsável apenas pelos danos causados pelo processamento onde ele não tenha cumprido com as obrigações das Leis de Proteção de Dados especificamente direcionadas a processadores de dados ou onde tenha atuado fora ou em contrário às instruções legais do Controlador conforme descrito neste DPA. Nesse contexto, o Processador será responsável apenas se o Controlador provar que o Processador é responsável pelo evento que deu origem ao dano.

O Controlador será o único responsável perante o Sujeito dos Dados, e o Sujeito dos Dados terá direito a receber compensação, por quaisquer danos materiais ou imateriais que o Controlador ou o Processador (ou seu(s) Sub-processador(es)) causar ao Sujeito dos Dados por violar este DPA.

Artigo H.3 Prazo e Rescisão 

O prazo deste DPA coincidirá com o início do Acordo de Utilizador e/ou uso do produto ou serviço específico conforme incluído no Anexo A.

Este DPA será automaticamente rescindido junto com a rescisão do Acordo de Utilizador e/ou uso do produto ou serviço específico conforme incluído no Anexo A, o que for rescindido primeiro.

Após a rescisão deste DPA, o Processador deverá, mediante solicitação do Controlador, devolver os Dados Pessoais ao Controlador ou a um Processador nomeado pelo Controlador, ou excluir os Dados Pessoais, a menos que o Processador seja obrigado a reter uma cópia de acordo com qualquer lei da União Europeia ou de qualquer estado-membro da União Europeia.

SEÇÃO I: DISPOSIÇÕES FINAIS 

Artigo I.1 Acordo Integral 

Este DPA constitui parte do Acordo de Utilizador. Todos os direitos e obrigações decorrentes do Acordo de Utilizador também são aplicáveis a este DPA. O Anexo A constitui parte integrante deste DPA.

Artigo I.2 Alteração apenas por Acordo 

Nenhuma variação deste DPA será válida a menos que seja em escrita e assinada por representantes autorizados de cada Parte. 

Artigo I.3 Separabilidade 

Cada uma das disposições neste DPA são distintas e separáveis, e se qualquer disposição, ou parte de uma disposição for considerada inexequível, ilegal ou nula no todo ou em parte por qualquer tribunal, autoridade reguladora ou outra autoridade competente, será nessa extensão considerada como não fazendo parte deste DPA e a exequibilidade, legalidade e validade do restante deste DPA não serão afetadas. As Partes concordam em tentar substituir por qualquer disposição inválida ou inexequível uma disposição válida ou exequível que alcance na maior medida possível o mesmo efeito que teria sido obtido pela disposição inválida ou inexequível. Exceto por emendas implementadas por este DPA, o Acordo de Utilizador permanece inalterado e em pleno vigor e efeito.

Artigo I.4 Direito de Cessão 

As Partes só poderão transferir este DPA em linha com o Acordo de Utilizador (cláusula 8.9). 

Artigo I.5 Lei Aplicável 

Este DPA será regido e interpretado de acordo com as leis dos Países Baixos. Cada Parte consente com a jurisdição exclusiva dos tribunais de Amsterdã para resolver quaisquer disputas decorrentes deste DPA. No caso de qualquer tribunal ou órgão administrativo de jurisdição competente encontrar qualquer disposição deste DPA inválida, inexequível ou ilegal, as outras disposições deste DPA permanecerão em pleno vigor e efeito.

ANEXO A - ESPECIFICAÇÃO DO PROCESSAMENTO DE DADOS PESSOAIS 

1. FINALIDADE DO PROCESSAMENTO

O Processamento de Dados Pessoais está diretamente relacionado à prestação dos serviços prestados ao abrigo do Acordo de Utilizador.

As finalidades do processamento são:

• Facilitar o envio de faturas aos Clientes do Controlador através dos produtos e serviços do Mollie 

2. CATEGORIAS DE SUJEITOS DE DADOS 

O Processador processará Dados Pessoais das seguintes categorias de Sujeitos de Dados para o Controlador:

• Clientes do Controlador (ou seja, o pagador (consumidores, clientes empresariais))

3. TIPOS DE DADOS PESSOAIS 

O Processador processará os seguintes tipos de Dados Pessoais para o Controlador:

• Detalhes de contato básicos (inclui nome completo, número de telefone (do escritório), endereço de e-mail (empresarial), endereço residencial/da empresa)

• Detalhes de fatura (conforme incluído pelo Controlador)

Nenhuma categoria especial de Dados Pessoais (conforme definido pelo artigo 9 do RGPD) será processada pelo Processador. 

4. MEDIDAS DE SEGURANÇA 

Contexto 

Como instituição financeira, os controles de segurança e os procedimentos operacionais que o Mollie criou para nossas aplicações, sistemas e processos de TI são sujeitos a revisão pelo Banco Central Holandês (DNB), que por sua vez utiliza orientações da Autoridade Bancária Europeia (EBA) para os padrões técnicos aos quais os titulares de licença devem aderir. 

Além disso, como o Mollie (também) atua como controlador de dados pessoais, o Mollie é regulamentado por outra legislação que estabelece padrões para segurança e proteção de dados também, aplicada por autoridades adicionais - notavelmente o RGPD e seu regulador nos Países Baixos (Autoriteit Persoonsgegevens). 

Além disso, os sistemas específicos de processamento de dados de cartão são sistemas compatíveis com o nível 1 do PCI DSS, o que significa que este aplicativo específico e os procedimentos para desenvolvê-lo e mantê-lo estão sujeitos às medidas de proteção de dados delineadas pelo Conselho PCI, cuja conformidade é avaliada anualmente por uma entidade externa.

Medidas Gerais

Todas as aplicações, sistemas e procedimentos relacionados a elas estão sujeitos à Política de Segurança da Informação do Mollie. Destacamos desta e de outras políticas que são relevantes para o escopo dos serviços prestados:

• Triagem de funcionários

• Programa de formação em segurança para desenvolvedores

• Programa de conscientização em segurança

• Segregação de funções

• Gestão de mudanças

• Gestão de vulnerabilidades

• Gestão de incidentes

• Gestão de resiliência e backup

• Aplicação rigorosa de controle de acesso (IAM e IGA)

• Revisões de autorização de utilizadores

• Padrões de classificação de sistema

• Padrões de classificação de dados e política de dados

• Padrões de configuração segura baseados nas melhores práticas da indústria, aplicação de política (endurecimento)

• Segregação do ambiente de rede físico e lógico

• Padrões de criptografia segura

• Gestão de chaves de criptografia

• Criptografia (em trânsito, em repouso para ambientes de infraestrutura compartilhada, como nuvem)

• Gestão de riscos de terceiros

• Monitoramento de disponibilidade e erros

• Ciclo de vida de desenvolvimento seguro

  • Modelagem de ameaças em mudanças significativas e novas funcionalidades

  • Gestão de dependências e escaneamento de vulnerabilidades conhecidas

  • Análise de segurança de código estático

  • Varredura interna e externa de vulnerabilidades

• Divulgação coordenada de vulnerabilidades (CVD) e programa de recompensas por bugs

• Programa de inteligência de ameaças (e.g., participação no PI-ISAC holandês, centro de análise e partilha de informações de instituições de pagamento, monitoramento da web profunda)

• Colaboração com fornecedor de serviços de segurança geridos (MSSP) para operações de segurança, análise e investigações forenses

• Gestão de Segurança da Informação e Eventos (SIEM)

• Segurança de endpoints de pessoal

• Segurança de e-mail

Plataforma Mollie

Além das medidas gerais de segurança mencionadas acima, a aplicação da Plataforma Mollie é coberta pelas seguintes medidas de segurança - seja como resultado da implementação de nossas políticas gerais de segurança ou como uma medida de mitigação para abordar um risco reconhecido na avaliação de risco específica da aplicação:

• Controlo de acesso 2-Factor

• Testes de penetração de terceiros

• Gestão de eventos de incidentes de segurança

• Mitigação de DDoS

• Resposta a incidentes de segurança

• Monitoramento de disponibilidade

• Armazenamento seguro de credenciais

• Infraestrutura redundante

• Falha de recuperação de desastre

• Limitação de taxa e bloqueio

• Política de Segurança de Conteúdo Estrita

• Captcha

• Firewall de aplicações web

ANEXO B - VISÃO GERAL DE SUB-PROCESSADORES