23. Do empréstimo de equipamentos
23. Em alguns casos previamente acordados por meio de instrumento específico, a Sympla poderá realizar o empréstimo de equipamentos a título de comodato ao Produtor. Nesses casos, a Sympla adotará ferramentas para identificação, proteção de ameaças e gerenciamento de vulnerabilidades dos dispositivos cedidos.
23.1. O Produtor, durante o uso dos dispositivos cedidos, deverá observar as práticas de Segurança da Informação conforme padrões de mercado PCI-DSS. Dessa maneira, o Produtor compromete-se e responsabiliza-se:
i) Pela segurança física dos computadores e pinpads, de modo a manter controles que assegurem o acesso de somente pessoas autorizadas aos dispositivos cedidos, protegendo-os contra substituição, falsificação, furtos e conexões a dispositivos não autorizados;
ii) Pela segurança lógica dos dispositivos, de modo a não instalar, desinstalar ou substituir os softwares;
iii) Pela coleta, armazenamento e exposição das informações obtidas ao longo da prestação do serviço, não devendo armazenar informações confidenciais, como dados de pagamento, de identificação, biométricos, entre outros, nos dispositivos fornecidos pela Sympla;
iv) Pela conexão dos dispositivos à Internet em rede com ou sem fio, disponibilizando a conexão segura e a configuração dos dispositivos à Internet, mesmo que para uso dos sistemas da Sympla, e providenciando controles para evitar a conexão não autorizada à rede lógica utilizadas nos dispositivos fornecidos;
v) Pelas orientações dadas aos prestadores de serviços que utilizarão os dispositivos no que toca às boas práticas de Segurança da Informação e proteção de dados pessoais.
vi) pela segurança física dos dispositivos de captura (PIN Pads ou SmartPOS) e realizar inspeções periódicas visando a identificação de dispositivos acoplados aos pontos de captura
23.1 O Produtor deverá comunicar a Sympla em um prazo de até 24 horas a respeito de qualquer ocorrência que contrarie as disposições acima, de modo que a Sympla reserva-se ao direito de regresso por qualquer responsabilização direta ou indireta pela inobservância, por parte do Produtor, dos parâmetros estabelecidos neste documento.
23.2 O Produtor se compromete em colaborar com quaisquer possíveis investigações de órgãos de auditoria externo como o PCI-SSC em eventuais casos de incidentes de comprometimento ou suspeita de vazamento de dados de cartão.