Skip to main content

ANEXO DE SEGURANÇA PARA SERVIÇOS DOCUSIGN

Data da versão: 09 de março de 2026

Este Anexo de Segurança para Serviços Docusign (“Anexo de Segurança”) estabelece os compromissos da Docusign para a proteção dos Dados do Cliente e faz parte do Contrato. Salvo se de outra forma definido neste Anexo de Segurança, os termos e expressões iniciados em letras maiúsculas terão o significado atribuído a eles no Contrato. 

1. DEFINIÇÕES

Ambiente de Produção” significa a configuração do Sistema pela qual o software, o hardware, os dados, os processos e os programas são executados para suas operações finais e pretendidas pelos usuários finais dos Serviços Docusign.

"Incidente de Dados" significa qualquer violação confirmada da segurança da Docusign que leve à destruição, perda, alteração, divulgação não autorizada, exfiltração ou acesso acidental ou ilegal aos Dados do Cliente, que seja razoavelmente provável que cause danos materiais ao Cliente, exceto que os Incidentes de Dados não incluem tentativas malsucedidas, alertas de segurança comuns ou outros eventos que não comprometam materialmente a segurança, a disponibilidade ou a confidencialidade dos Dados do Cliente, incluindo tentativas de login malsucedidas, pings, varreduras de portas (port scans), ataques de negação (denial of service) de serviço e outros ataques de rede a firewalls ou sistemas em rede.

Leis Aplicáveis” significa todas as leis, regulamentos e outros requisitos legalmente vinculantes aplicáveis em qualquer jurisdição relacionados à proteção de dados, segurança de dados ou notificação de violação, que se aplicam ao Tratamento de Dados do Cliente pela Docusign.

Pessoal” significa todos os colaboradores e representantes da Docusign envolvidos na disponibilização dos Serviços Docusign do Cliente.

Subcontratado” significa um terceiro subcontratado pela Docusign para executar os Serviços Docusign, no todo ou em parte, em nome da Docusign.

Tratamento” ou “Tratar” significa, com relação a este Anexo de Segurança, qualquer operação ou conjunto de operações realizadas sobre Dados do Cliente, seja ou não por meios automáticos, o que inclui, sem limitação, a coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, por disseminação ou por outra forma de disponibilização, alinhamento ou combinação, bloqueio, eliminação ou destruição.

2. PROGRAMA DE SEGURANÇA DA INFORMAÇÃO

2.1 Programa de Segurança da Informação. 

(a) A Docusign mantém e manterá um programa de segurança da informação por escrito, que inclui políticas, procedimentos e controles que regem o Tratamento dos Dados do Cliente no âmbito dos Serviços Docusign (o “Programa de Segurança da Informação”).

(b) O Programa de Segurança da Informação foi concebido para proteger a segurança, a
disponibilidade e a confidencialidade dos Dados do Cliente, utilizando uma abordagem
de controles técnicos, processuais e humanos em várias camadas, em conformidade
com as melhores práticas do setor e as Leis Aplicáveis.

2.2 Uso Permitido de Dados do Cliente. A Docusign não Tratará os Dados do Cliente de qualquer outra forma que não a permitida ou exigida pelo Contrato.

2.3 Reconhecimento de Responsabilidades Compartilhadas. 

(a) A segurança dos Dados do Cliente que são acessados, armazenados, compartilhados ou tratados de qualquer outra forma por meio dos Serviços Docusign é uma responsabilidade compartilhada entre a Docusign e o Cliente.

(b) A Docusign é responsável pela implementação e operação do Programa de Segurança da Informação e pelas medidas de proteção de dados descritas no Contrato e neste Anexo de Segurança.

(c) O Cliente é responsável por implementar corretamente os controles de acesso e uso, e por configurar determinados recursos e funcionalidades dos Serviços Docusign que o Cliente optar por utilizar, de maneira que o Cliente considere adequada para manter a segurança, proteção, exclusão e backup apropriados dos Dados do Cliente, em conformidade com quaisquer requisitos legais aplicáveis ao Cliente.

(d) O Cliente é responsável por garantir a precisão dos Dados do Cliente que carrega e Trata através dos Serviços Docusign.

(e) A Docusign declara que não é, nem está sob a direção ou controle de uma “pessoa abrangida” (covered person), conforme definido no 28 CFR 202, do Department of Justice Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons (“Regra do DOJ”). A Docusign não transferirá de forma consciente quaisquer dados pessoais sensíveis ou dados governamentais dos EUA em massa para pessoas abrangidas ou países de preocupação em violação da Regra do DOJ.

2.4 Aplicabilidade aos Dados do Cliente. Este Anexo de Segurança e o Programa de Segurança da Informação aplicam-se especificamente aos Dados do Cliente Tratados através dos Serviços Docusign e não se estendem aos dados armazenados nos sistemas ou ambientes do Cliente, ao Tratamento realizado por meio de serviços de terceiros utilizados pelo Cliente (incluindo serviços de terceiros que se integram aos Serviços Docusign) ou a quaisquer soluções on-premise que possam ser oferecidas pela Docusign ao Cliente.


3. GESTÃO DE SEGURANÇA

3.1 Manutenção do Programa de Segurança da Informação. 

(a) A Docusign implementará medidas técnicas e organizacionais adequadas para proteger os Dados do Cliente localizados nos Serviços Docusign e manterá o Programa de Segurança da Informação em conformidade com os padrões da indústria, como a ISO/IEC 27001 ou outros padrões alternativos substancialmente equivalentes à ISO/IEC 27001, e em conformidade com a Lei Aplicável.

(b) A Docusign manterá uma estrutura de Política de Segurança da Informação escrita e abrangente que estabelece padrões e diretrizes relativos à segurança da informação nas operações da Docusign e na conduta de seu Pessoal, incluindo, entre outros, aqueles relacionados a uso aceitável; gerenciamento de ativos; continuidade de negócios e recuperação de desastres; gerenciamento de mudanças; gerenciamento de configuração; classificação e Tratamento de dados; segurança de dispositivos; criptografia; governança e conformidade; gerenciamento de identidade e acesso; gerenciamento e resposta a incidentes; auditorias e certificações independentes; segurança e proteção de rede; segregação de ambientes; segurança e gerenciamento de pessoal; segurança física; gerenciamento de riscos; desenvolvimento seguro de software; monitoramento, registro e alerta de sistemas; gerenciamento de terceiros; treinamento e conscientização; e gerenciamento de vulnerabilidades; entre outros.

(c) A Docusign poderá atualizar ou modificar o Programa de Segurança da Informação periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços Docusign.

3.2 Gestão de Riscos

(a) A Docusign implementará um programa de gestão de riscos de segurança para identificar, avaliar e tratar os riscos aos ativos de informação e às operações. A gestão de riscos está integrada aos processos de negócios e é atualizada regularmente.

(b) A Docusign realizará avaliações formais de risco de segurança pelo menos anualmente e sempre que houver alterações significativas. Essas avaliações identificam e avaliam os riscos aos ativos de informação e orientam as decisões sobre mitigação ou aceitação de riscos. Os resultados são integrados ao processo de gestão de riscos para acompanhamento e remediação.

3.3 Contato com o Cliente para Garantia de Segurança. 

(a) A equipe de gerenciamento de contas do cliente na Docusign será o primeiro ponto de contato do Cliente para informações e suporte relacionados ao Programa de Segurança da Informação. 

(b) A equipe de gerenciamento de contas do Cliente trabalhará diretamente com o Cliente para encaminhar suas dúvidas, problemas e solicitações às equipes internas da Docusign, conforme necessário.

4. SEGURANÇA DO PESSOAL

4.1 Verificação de Antecedentes e Treinamento. 

(a) A Docusign garantirá que sejam realizadas verificações de antecedentes razoáveis e
apropriadas em todo o Pessoal, em conformidade com as Leis Aplicáveis.

(b) O Pessoal deve atender aos requisitos de verificação de antecedentes da Docusign antes de serem designados para cargos nos quais terão, ou nos quais a Docusign razoavelmente espera que tenham, acesso a Dados do Cliente.

(c) A Docusign realizará treinamentos obrigatórios de conscientização sobre segurança e privacidade (e treinamentos adicionais específicos para cada função, conforme necessário) na contratação e, pelo menos, anualmente a partir de então, para informar seu Pessoal sobre os procedimentos e políticas relevantes ao Programa de Segurança da Informação e sobre as consequências da violação desses procedimentos e políticas, conforme exigido pelos padrões do setor e pelas Leis Aplicáveis.

5. GESTÃO DE RISCOS DE TERCEIROS 

(a) A Docusign avaliará todos os Subcontratados para garantir que estes mantenham controles físicos, técnicos, organizacionais e administrativos adequados, com base no nível de risco apropriado aos serviços subcontratados, que suportem a conformidade da Docusign com os requisitos do Contrato, deste Anexo de Segurança e das Leis Aplicáveis. 

(b) A Docusign garantirá que todos os Subcontratados estejam sujeitos à obrigação de reportar Incidentes de Dados à Docusign dentro de prazos que permitam à Docusign cumprir suas obrigações de notificar os Clientes sobre Incidentes de Dados dentro dos prazos estabelecidos na Cláusula 10.2 e de acordo com as Leis Aplicáveis.

(c) A Docusign permanecerá responsável pelos atos e omissões de seus Subcontratados em relação aos Serviços Docusign prestados sob o Contrato, como se ela própria tivesse praticado os atos ou omissões, e qualquer subcontratação não reduzirá as obrigações da Docusign para com o Cliente nos termos do Contrato.

6. MEDIDAS DE SEGURANÇA FÍSICA

6.1 Disposições Gerais. A Docusign manterá medidas de segurança física adequadas, projetadas para proteger itens tangíveis, como sistemas de computador, redes, servidores e dispositivos físicos, que Tratam Dados do Cliente. Na medida em que a Docusign dependa de provedores terceirizados, incluindo, entre outros, provedores de serviços em nuvem, para hospedar os Serviços Docusign, a Docusign garantirá que esses provedores terceirizados mantenham medidas de segurança física e controles de gerenciamento e proteção de dados adequados, projetados para proteger os Dados do Cliente.

6.2 Acesso Corporativo. A Docusign assegurará que:

(a) O acesso às instalações corporativas da Docusign é rigorosamente controlado, no mínimo, por meio de identificação física por cartão; 

(b) Todos os visitantes das instalações corporativas devem se cadastrar, concordar com as obrigações de confidencialidade e serem acompanhados pelo Pessoal em todos os momentos enquanto estiver nas instalações; e

(c) Os registros de visitantes são revisados regularmente pela equipe de segurança da Docusign.

A Docusign revogará o acesso físico do Pessoal às instalações corporativas da Docusign após o término do contrato de trabalho.

6.3 Data Centers. 

(a) A Docusign utilizará provedores de serviços de data center terceirizados para fornecer os Serviços Docusign e garantirá que todos os data centers estejam em conformidade com a norma ISO/IEC 27001 ou equivalentes e possuam controles físicos, ambientais e de proteção de dados adequados.

(b) No mínimo, todos os data centers devem atender aos seguintes requisitos:

(i) Medidas de segurança física multifatorial, incluindo mecanismos de entrada/saída auditáveis, que registram a identidade de todos os indivíduos que entram e saem das instalações.

(ii) O acesso deve ser limitado ao Pessoal autorizado.

(iii) Fornecedores e visitantes devem ser acompanhados pelo Pessoal autorizado em todos os momentos em que estiverem no data center.

(c) Controles de segurança do ambiente serão implementados em todos os data centers, incluindo:

(i) Sistemas de alimentação ininterrupta e fontes de alimentação secundárias em todos os sistemas principais;

(ii) Controles de temperatura e umidade para o equipamento de aquecimento, ventilação e ar condicionado; 

(iii) Dispositivos de detecção de calor e fumaça e sistemas de supressão de incêndio; e

(iv) Inspeções periódicas realizadas por autoridades de segurança competentes.

7. SEGURANÇA LÓGICA

7.1 Controles de Acesso. 

(a) A Docusign manterá uma política formal de controle de acesso e utilizará um sistema centralizado de gerenciamento de acesso para controlar o acesso do Pessoal ao Ambiente de Produção.

(b) A Docusign garantirá que todo o acesso ao Ambiente de Produção esteja sujeito à autenticação de multifatores bem-sucedida em nível global, tanto em locais corporativos quanto remotos, e seja restrito ao Pessoal autorizado que demonstre uma necessidade comercial legítima para tal acesso.

(c) A Docusign manterá um processo de controle de acesso associado para revisar e implementar solicitações de acesso de Pessoal.

(d) A Docusign revisará regularmente os direitos de acesso do Pessoal autorizado e, em caso de rescisão do contrato de trabalho ou alteração no escopo do emprego, removerá ou modificará tais direitos de acesso conforme apropriado.

(e) A Docusign monitorará e avaliará a eficácia das restrições de acesso aplicáveis ao controle dos administradores de sistema da Docusign no Ambiente de Produção, o que implicará gerar a atividade individual dos administradores de sistema e reter tais informações por um período de pelo menos 12 (doze) meses.

(f) A Docusign realizará um processo de desligamento ou rescisão de contrato de trabalho para todo o Pessoal, o qual incluirá a remoção do acesso do Pessoal desligado aos Dados do Cliente e aos sistemas e ativos sensíveis da Docusign.

7.2 Auditoria e Registro de Eventos. Com relação à auditoria e ao registro de eventos do sistema no Ambiente de Produção:

(a) A Docusign utilizará e manterá um mecanismo de auditoria e registro que, no mínimo, capture e registre logins e logouts de usuários, bem-sucedidos ou não (com data e hora, ID do usuário, nome do aplicativo e indicador de sucesso/reprovação).

(b) As atividades de acesso do usuário serão registradas e auditadas periodicamente pela Docusign para identificar acessos não autorizados e determinar possíveis falhas no sistema de controle de acesso da Docusign.

(c) Todos os componentes de aplicativos que possuem recursos de registro (como sistemas operacionais, bancos de dados, servidores web e aplicativos) serão configurados para gerar um registro de auditoria de segurança.

(d) Os registros de auditoria serão configurados com capacidade de armazenamento suficiente.

(e) Cada registro será configurado de forma que não possa ser desativado sem a devida autorização, e enviará alertas para o sucesso ou falha de cada evento auditável.

(f) O acesso aos arquivos de registro de segurança será limitado ao Pessoal autorizado.

7.3 Segurança de Rede. 

(a) A Docusign manterá uma abordagem de defesa profunda (defense-in-depth) para fortalecer o Ambiente de Produção contra exposição e ataques.

(b) A Docusign manterá Ambientes de Produção razoavelmente isolados para os Serviços Docusign, que incluem controles de gerenciamento de rede, como balanceadores de carga, firewalls, sistemas de detecção de intrusão distribuídos pelas redes de produção e proteção contra malware.

(c) A Docusign complementará sua arquitetura de Ambiente de Produção com tecnologias de prevenção e detecção que monitoram toda a atividade gerada e enviam alertas baseados em risco aos grupos de segurança relevantes.

7.4 Proteção contra Malware. A Docusign assegurará que:

(a) Seus sistemas de informação e operações de transferência de arquivos possuem software anti-malware eficaz e operacional;

(b) Foram implementadas, mantidas e atualizadas as soluções avançadas de detecção e resposta, bem como software antimalware empresarial;

(c) Todo o software antimalware está configurado para implantação e atualização automática; e

(d) O software antimalware aplicável está integrado aos processos e gera alertas automáticos para a Equipe de Resposta a Incidentes de Segurança da Docusign caso seja detectado algum código potencialmente prejudicial, para investigação e análise.

7.5 Ciclo de Vida de Desenvolvimento de Software Seguro. 

(a) A Docusign manterá um ciclo de vida formal de desenvolvimento de software que inclui práticas de codificação segura de acordo com a OWASP e padrões correlatos, e realizará revisões de código manuais e automatizadas.

(b) As equipes de engenharia, desenvolvimento de produtos e operações de produtos da Docusign analisarão as alterações incluídas nas versões de software para o Ambiente de Produção, a fim de verificar se os desenvolvedores realizaram revisões de código automatizadas e manuais, projetadas para minimizar os riscos associados.

(c) Caso seja identificada uma vulnerabilidade significativa durante a revisão do código, essa vulnerabilidade será corrigida antes da liberação para o Ambiente de Produção.

7.6 Varreduras de Vulnerabilidade e Testes de Penetração. 

(a) A Docusign realizará regularmente varreduras de vulnerabilidades e varreduras de aplicativos, tanto internas quanto externas.

(b) Análises externas e testes de penetração no Ambiente de Produção serão conduzidos somente por organizações externas, qualificadas, credenciadas e reconhecidas pelo setor, contratadas pela Docusign, com uma frequência baseada no risco, mas, no mínimo, anualmente.

(c) A Docusign corrigirá as vulnerabilidades relevantes identificadas durante as varreduras e testes de penetração de maneira comercialmente razoável e dentro de um prazo baseado no nível de gravidade classificado e priorizado. A correção das vulnerabilidades poderá ser acelerada com base na criticidade avaliada e/ou no impacto potencial. Os prazos de correção estão sujeitos a revisão, avaliação de risco interna e aprovação, caso uma extensão de prazo seja necessária.

(d) A Docusign poderá disponibilizar ao Cliente atestados, não privilegiados e de terceiros, resultantes de varreduras de vulnerabilidades e testes de penetração realizados por auditores externos independentes.

(e) Para fins de clareza, em nenhuma circunstância será permitido ao Cliente realizar quaisquer varreduras de vulnerabilidade ou testes de penetração no Ambiente de Produção da Docusign.

7.7 Gestão de Ativos. A Docusign gerenciará os seus ativos de informação ao longo do seu ciclo de vida, e implementará procedimentos para o seu comissionamento (commission), transporte, recuperação, manutenção programada regular (incluindo assistência técnica, inspeção e reparação), descomissionamento (decommission) e eliminação de forma segura.

7.8 Gerenciamento de Configuração. A Docusign manterá padrões de segurança e configuração básica que são documentados e revisados regularmente para garantir a consistência com os padrões de segurança de sistemas aceitos pelo setor para lidar com vulnerabilidades de segurança conhecidas. Esses padrões são atualizados anualmente ou sempre que ocorrer uma mudança significativa.

8. ARMAZENAMENTO, CRIPTOGRAFIA E DESCARTE

8.1 Armazenamento e Segregação.

(a) Os Dados do Cliente serão armazenados em ambientes seguros controlados pela Docusign, abrangendo infraestrutura baseada em nuvem e infraestrutura física e lógica nas instalações de subcontratadas (colocation) ou data centers da Docusign.

(b) Exceções relativas ao armazenamento só podem ser feitas com a autorização por escrito do Cliente para fins específicos, como, por exemplo, extração de Dados do Cliente para armazenamento em mídia portátil criptografada.

(c) A Docusign segregará, de forma lógica, os Dados do Cliente localizados no Ambiente de Produção dos dados de outros clientes da Docusign.

(d) A Docusign não utilizará os Dados do Cliente do Ambiente de Produção em ambientes que não sejam de produção sem a permissão expressa do Cliente.

8.2 Tecnologias de Criptografia. 

(a) A Docusign criptografará os Dados do Cliente usando padrões e protocolos de criptografia reconhecidos pelo setor, incluindo algoritmos criptográficos que atendem ou superam as melhores práticas atuais e práticas seguras de gerenciamento de chaves.

(b) A transmissão ou troca eletrônica de Dados do Cliente com os Serviços Docusign será realizada por meios seguros.

8.3 Descarte. Na medida em que a Docusign gerencia equipamentos físicos ou mídias que armazenam Dados do Cliente, a Docusign implementará processos e procedimentos reconhecidos pelo setor para gerenciamento de equipamentos e descarte seguro de dados, de acordo com as diretrizes identificadas nas Diretrizes para Sanitização de Mídia do Instituto Nacional de Padrões e Tecnologia (National Institute of Standards’ Guidelines for Media Sanitization), NIST SP800-88.

9. CONTINUIDADE DE NEGÓCIOS E RECUPERAÇÃO DE DESASTRES

9.1 Plano de Continuidade. 

(a) A Docusign manterá planos de continuidade de negócios e recuperação de desastres por escrito que garantam a disponibilidade dos Serviços Docusign (“Planos de Continuidade”).

(b) Os Planos de Continuidade incluirão elementos como:

i) Gestão de crises, planejamento e ativação de equipes, documentação de eventos e processos de comunicação; 

ii) recuperação de negócios, locais alternativos e teste de árvore de chamada (call tree testing); e 

iii) Infraestrutura, tecnologia, detalhes do(s) sistema(s), atividades de recuperação e identificação do Pessoal e das equipes necessárias para essa recuperação.

(c) A Docusign realizará um teste dos Planos de Continuidade pelo menos anualmente.

(d) Os Planos de Continuidade da Docusign devem prever a correção de quaisquer deficiências descobertas durante os testes desses Planos de Continuidade, dentro de prazos razoavelmente compatíveis com o nível de risco apresentado pela deficiência. 

(e) Os relatórios de auditoria interna e independente descritos na Cláusula 11.1 (Garantias Independentes) comprovarão ou relatarão a execução dos testes dos Planos de Continuidade da Docusign e quaisquer ações corretivas resultantes.

9.2 Continuidade dos Serviços Docusign. 

(a) A arquitetura de produção da Docusign para os Serviços Docusign foi projetada para executar a replicação segura, quase em tempo real (near real-time), para vários sistemas ativos em data centers geograficamente distribuídos e fisicamente seguros.

(b) A Docusign garantirá que:

i) Os sistemas de infraestrutura dos Serviços Docusign foram projetados para eliminar pontos únicos de falha e minimizar o impacto dos riscos ambientais previstos; 

ii) Cada data center que suporta os Serviços Docusign inclui infraestrutura completa de redundância e tolerância a falhas para sistemas elétricos, de refrigeração e de rede; e

iii) Os servidores do Ambiente de Produção são servidores de escala empresarial com energia redundante para garantir a máxima disponibilidade do serviço.

9.3 Recuperação de Desastres. 

(a) Em caso de falha de serviços críticos ou interrupção significativa dos negócios, a Docusign prontamente colocará em prática seus Planos de Continuidade e restaurará a capacidade dos serviços críticos e a infraestrutura crítica de tecnologia da informação dos Serviços Docusign (incluindo, entre outros, data centers, hardware, software e sistemas de energia, além de links críticos de voz, dados e comunicações).

(b) Exceto quando disposto de outra forma nos Planos de Continuidade aplicáveis, a Docusign envidará esforços comercialmente razoáveis para notificar prontamente os Administradores de Contas do Cliente sobre qualquer falha de serviços críticos ou interrupção significativa dos negócios.

(c) É responsabilidade da Docusign exigir que seus Subcontratados que realizam atividades que possam impactar processos críticos dos Serviços Docusign tenham planos em vigor que atendam aos mesmos padrões exigidos da Docusign nos termos deste documento.

(d) Não obstante qualquer disposição em contrário no Contrato (incluindo este Anexo de Segurança) e sem prejuízo de quaisquer responsabilidades da Docusign nos termos do mesmo:

i) A Docusign não terá a obrigação de fornecer ao Cliente seus planos de continuidade de negócios ou de recuperação de desastres para suas instalações de colocation ou data center.

ii) No entanto, informações publicamente disponíveis e referências às capacidades de qualquer instalação de colocation ou data center serão fornecidas pela Docusign mediante solicitação

10. RESPOSTA E NOTIFICAÇÃO DE INCIDENTES DE DADOS

10.1 Programa de Resposta a Incidentes de Dados 

(a) A Docusign manterá um programa de resposta a incidentes testado, que será gerenciado e executado pela Equipe de Resposta a Incidentes de Segurança dedicada da Docusign.

(b) A equipe de resposta a incidentes de segurança da Docusign seguirá uma estrutura padrão do setor que inclui políticas de gerenciamento de incidentes e notificação de violações, bem como os processos associados.

(c) O programa de resposta a incidentes da Docusign incluirá, no mínimo, as seguintes fases do ciclo de vida do incidente: preparação, detecção e análise, contenção, erradicação e recuperação, e atividades pós-incidente.

10.2 Notificação de Incidentes de Dados. 

(a) A Docusign cumprirá as leis e regulamentações aplicáveis sobre notificação de violação de segurança na prestação dos Serviços Docusign.

(b) A Docusign notificará o Cliente sem demora indevida e dentro dos prazos exigidos pela legislação aplicável, assim que tomar conhecimento de um Incidente de Dados. A Docusign não fará tais notificações se for proibida por lei ou se for instruída de outra forma por autoridades policiais ou outros órgãos reguladores, ou na medida em que tal notificação possa afetar negativamente a capacidade da Docusign de investigar e remediar o Incidente de Dados.

(c) Sem prejuízo da abrangência do disposto acima, o Cliente reconhece e concorda que os Incidentes de Dados não incluem tentativas malsucedidas, alertas de segurança cotidianas ou outros eventos que não comprometam materialmente a segurança, a disponibilidade ou a confidencialidade dos Dados do Cliente, incluindo tentativas de login malsucedidas, pings, varreduras de portas (port scans), ataques de negação de serviço (denial of service) e outros ataques de rede a firewalls ou sistemas de rede.

(d) A notificação pela Docusign acerca de um Incidente de Dados sob esta cláusula não é reconhecimento pela Docusign de qualquer falha ou responsabilidade com relação a tal Incidente de Dados

10.3 Resposta ao Incidente de Dados. 

(a) A Docusign adotará medidas razoáveis para mitigar a causa de qualquer Incidente de Dados, e tomará medidas corretivas razoáveis para prevenir que o mesmo Incidente de Dados ocorra no futuro.

(b) Na medida em que informações forem coletadas ou se tornarem disponíveis para a Docusign, e a menos que seja proibido por lei, a Docusign fornecerá informações sobre a natureza e as consequências do Incidente de Dados que sejam razoavelmente solicitadas para permitir que o Cliente notifique os indivíduos afetados, as entidades governamentais, conforme o caso.

(c) Devido à configuração de criptografia e aos controles de segurança associados aos Serviços Docusign, a Docusign pode não ter acesso ou ter conhecimento da natureza das informações contidas nos Dados dos Clientes e, sendo assim, o Cliente reconhece que talvez não seja possível para a Docusign fornecer ao Cliente uma descrição do tipo de informação ou da identidade de indivíduos que podem ter sido afetados por um Incidente de Dados.

(d) O Cliente é o único responsável por determinar se deve notificar os indivíduos afetados e por fornecer tal aviso, e para determinar se os órgãos reguladores ou autoridades legais aplicáveis ao Cliente ou ao uso dos Serviços Docusign pelo Cliente precisam ser notificados sobre um Incidente de Dados. A Docusign não identificará o Cliente em comunicações externas relacionadas a um Incidente de Dados, a menos que seja exigido por lei ou por um processo judicial válido.

11. VERIFICAÇÕES E AUDITORIAS INDEPENDENTES

11.1 Verificações Independentes. 

(a) A Docusign utiliza auditores externos independentes para verificar a adequação do seu Programa de Segurança da Informação.

(b) A Docusign fornecerá ao Cliente atestados, certificações e relatórios de terceiros não privilegiados, relacionados ao estabelecimento, implementação e controles do Programa de Segurança da Informação, incluindo, conforme aplicável, certificações ISO/IE 27001, certificações PCI DSS e relatórios SOC.

11.2 Requisitos Adicionais. Na medida em que o Cliente solicite informações de auditoria ou
assistência adicionais da Docusign, que excedam aquelas previstas na Cláusula 11.1
(Verificações Independentes), e conforme pode ser exigido pelas Leis Aplicáveis:

(a) O Cliente poderá submeter ao seu gerente de conta uma solicitação para tal informação
ou assistência adicional, na qual deverá constar informações sobre as Leis Aplicáveis
que embasaram tal solicitação.

(b) A Docusign trabalhará junto com o Cliente para chegar a termos mutuamente aceitáveis em relação ao escopo, prazo, duração e outros detalhes acerca da informação e assistência adicional solicitada.

11.3 Auditoria para Incidente de Dados. Após um Incidente de Dados, a Docusign, em prazo razoável:

(a) Contratará um auditor independente terceirizado, selecionado pela Docusign e às custas da Docusign, para realizar uma auditoria do Programa de Segurança da Informação da Docusign, conforme aplicável. 

(b) Mediante solicitação, a Docusign poderá fornecer ou disponibilizar ao Cliente partes não confidenciais do relatório de auditoria ou informações pertinentes não confidenciais derivadas do relatório de auditoria.

11.4 Condições para Auditoria pelo Cliente.

(a) Qualquer auditoria realizada de acordo com este Anexo de Segurança deve:

i) ser conduzida em horários razoáveis e ter duração razoável; 

ii) não ocorrer mais de uma vez por ano, exceto conforme estabelecido na Cláusula 11.3;

iii) não interferir de forma indevida nas operações diárias da Docusign; e

iv) ser conduzida sob termos mutuamente acordados e de acordo com as políticas e procedimentos de segurança da Docusign.

(b) A Docusign se reserva o direito de limitar uma auditoria de definições de configuração, sensores, monitores, dispositivos de rede e equipamentos, arquivos ou outros itens se a Docusign, a seu critério razoável, determinar que tal auditoria possa comprometer a segurança dos Serviços Docusign ou dos dados de outros clientes da Docusign. 

(c) Os direitos de auditoria do Cliente não incluirão, em seu escopo, testes de penetração nem avaliações ativas de vulnerabilidades do Ambiente de Produção ou dos sistemas Docusign.

(d) Caso o Cliente realize uma auditoria por meio de um auditor independente terceirizado, todos os termos estabelecidos na Cláusula 11.4(a) serão aplicáveis, e:

i) Tal auditor independente deverá celebrar um contrato de confidencialidade, contendo cláusulas de confidencialidade substancialmente semelhantes àquelas estabelecidas no Contrato, para proteger as informações confidenciais da Docusign.

ii) O Cliente deverá fornecer prontamente à Docusign quaisquer relatórios de auditoria, de avaliação de segurança, de avaliação de conformidade e quaisquer descobertas associadas preparadas por si ou por auditores contratados para comentários e apontamentos antes da formalização e/ou compartilhamento de tais informações com um terceiro.

11.5 Prazo de Correção e Resposta. Se qualquer auditoria realizada de acordo com este Anexo de Segurança revelar ou identificar qualquer descumprimento material por parte da Docusign de suas obrigações sob o Contrato e este Anexo de Segurança, e a Docusign confirmar a existência de tal descumprimento, então:

(a) A Docusign trabalhará para corrigir esses problemas dentro de um prazo razoável; e

(b) O Cliente poderá solicitar feedback e informações sobre as ações corretivas e de remediação tomadas em relação a essa auditoria.