数据处理附录（DPA）

本附录构成服务条款的一部分，适用于 Dash4Sec 处理包含个人数据的客户内容时。客户为控制者，Dash4Sec 为处理者，按照客户的书面指示和适用法律（LGPD，以及在适用时 GDPR）行事。

性质与目的：提供成熟度/合规和 TPRM 平台。期限：合同有效期。数据类型：用户和联系人注册数据，以及客户在环境、证据、问卷和供应商中输入的数据。数据主体：客户的用户、联系人和供应商回复人。

Dash4Sec：(a) 仅按照客户指示并为提供本服务而处理数据；(b) 确保访问数据者的保密性；(c) 采取适当的安全措施；(d) 协助客户响应数据主体权利并履行安全义务；以及 (e) 在终止时删除或返还数据，但法律保留的除外。

客户授权使用隐私政策中列出的次级处理者（托管、Stripe、Resend、Cloudflare Turnstile 和 Anthropic）。我们将使这些次级处理者承担同等的保护义务，并将告知重大变更。

如发生涉及个人数据的安全事件，我们将在无不当延迟的情况下通知客户，并提供可用信息以支持其履行法律义务（包括在被要求时向 ANPD 和数据主体通报）。

在存在次级处理者进行国际传输时，适用标准合同条款（SCC）的保障措施以及 LGPD 和 GDPR 允许的其他机制。