Дадатак аб апрацоўцы дадатковых даных DocuSign

ЯК ВЫКАНАЦЬ ГЭТЫ DPA

1. Гэты Дадатковы DPA складаецца з дзвюх частак: асноўнай часткі Дадатковага DPA і Дадаткаў 1, 2, 3, 4 і 5.
2. Гэта Дадатковае DPA было папярэдне падпісана ад імя Own.
3. Каб запоўніць гэты Дадатковы DPA, Кліент павінен:
   a. Запоўніце раздзел "Імя кліента" і "Адрас кліента".
   b. Запоўніце інфармацыю ў поле для подпісу і распішыцеся.
   c. Пераканайцеся, што інфармацыя ў Дадатку 3 («Падрабязнасці апрацоўкі») дакладна адлюстроўвае прадметы і катэгорыі даных, якія падлягаюць апрацоўцы.
   d. Адпраўце запоўненае і падпісанае дадатковае DPA на адрас Own privacy@owndata.com.

Пасля атрымання кампаніяй Own правільна запоўненага Дадатковага DPA на гэты адрас электроннай пошты гэта Дадатковае DPA стане юрыдычна абавязковым.

Падпісанне гэтага Дадатковага DPA на старонцы 3 будзе лічыцца падпісаннем і прыняццем Стандартных дагаворных палажэнняў (уключаючы Дадаткі да іх) і Дадатку Вялікабрытаніі, абодва ўключаныя сюды шляхам спасылкі.

ЯК ПРЫМЕНЯЕЦЦА ГЭТЫ DPA

Калі арганізацыя-заказчык, якая падпісвае гэты Дадатковы DPA, з'яўляецца бокам Пагаднення, гэты Дадатковы DPA з'яўляецца дадаткам і з'яўляецца часткай Пагаднення або Існуючага DPA. У такім выпадку ўласная арганізацыя, якая з'яўляецца бокам Пагаднення або існуючага DPA, з'яўляецца ўдзельнікам гэтага DPA.

Калі арганізацыя-заказчык, якая падпісвае гэты Дадатковы DPA, аформіла Форму замовы з Уласным або са сваім філіялам у адпаведнасці з Пагадненнем або Дзеючым DPA, але сама не з'яўляецца бокам Пагаднення або Дзеючага DPA, гэта Дадатковае DPA з'яўляецца дадаткам да гэтай Формы замовы і прыдатныя Формы заказаў на падаўжэнне, і ўласная арганізацыя, якая з'яўляецца ўдзельнікам такой Формы заказу, з'яўляецца ўдзельнікам гэтага Дадатковага DPA.

Калі арганізацыя-заказчык, якая падпісвае гэты Дадатковы DPA, не з'яўляецца ні бокам Формы заказу, ні Пагаднення або існуючага DPA, гэты Дадатковы DPA не з'яўляецца сапраўдным і не з'яўляецца юрыдычна абавязковым. Такая арганізацыя павінна запытаць, каб арганізацыя-заказчык, якая з'яўляецца бокам Пагаднення або існуючага DPA, выканала гэта Дадатковае DPA.

Калі арганізацыя Кліента, якая падпісвае Дадатковае DPA, не з'яўляецца бокам формы замовы, генеральнага пагаднення аб падпісцы або існуючага DPA непасрэдна з Own, а з'яўляецца кліентам ускосна праз аўтарызаванага рэсэлера паслуг Own, гэта Дадатковае DPA несапраўднае і з'яўляецца не маюць юрыдычнай сілы. Такая арганізацыя павінна звязацца з упаўнаважаным пасярэднікам, каб абмеркаваць, ці патрабуецца ўнясенне змяненняў у пагадненне з гэтым пасярэднікам.

У выпадку любога канфлікту або неадпаведнасці паміж гэтым Дадатковым DPA і любым іншым пагадненнем паміж Заказчыкам і Уласнікам (у тым ліку, без абмежавання, Пагадненнем або Існуючым DPA), умовы гэтага Дадатковага DPA будуць мець перавагу і мець перавагу.

Гэта Дадатковае пагадненне аб апрацоўцы даных, уключаючы яго Дадаткі і Дадаткі («Дадатковае DPA») з'яўляецца часткай існуючага Дапаўнення аб апрацоўцы даных, названага вышэй («Існуючае DPA») паміж OwnBackup Inc. («Уласны») і Кліентам. У сукупнасці гэта Дадатковае DPA і Існуючае DPA ўтвараюць поўнае пагадненне аб апрацоўцы даных («DPA») для дакументавання згоды бакоў адносна апрацоўкі персанальных даных. Калі такі Кліент і Уласнік не заключылі Пагадненне, то гэты DPA з'яўляецца несапраўдным і не мае юрыдычнай сілы.

Суб'ект кліента, названы вышэй, заключае гэтае Дадатковае DPA ад сябе і, калі хто-небудзь з яго філіялаў выступае ў якасці кантралёраў персанальных даных, ад імя гэтых аўтарызаваных філіялаў. Усе тэрміны з вялікай літары, не вызначаныя тут, маюць значэнне, выкладзенае ў Пагадненні.

У ходзе прадастаўлення Паслуг SaaS Кліенту ў адпаведнасці з Пагадненнем Own можа апрацоўваць персанальныя даныя ад імя Кліента. Бакі згаджаюцца з наступнымі дадатковымі ўмовамі ў дачыненні да такой Апрацоўкі.

1. ВЫЗНАЧЭННІ
   “CCPA” азначае Каліфарнійскі закон аб канфедэнцыйнасці спажыўцоў, Каліфорнія. грамадзянскі Код § 1798.100 і інш. паслядоўна, з папраўкамі, унесенымі ў Каліфарнійскі закон аб правах на канфідэнцыяльнасць ад 2020 г. і разам з любымі нарматыўнымі актамі.
   «Кантралёр» азначае суб'ект, які вызначае мэты і сродкі апрацоўкі персанальных даных і лічыцца таксама адносіцца да «бізнэсу», як гэта вызначана ў CCPA.
   «Кліент» азначае арганізацыю, названую вышэй, і яе філіялы.
   «Законы і правілы аб абароне даных» азначае ўсе законы і правілы Еўрапейскага саюза і яго
   дзяржавы-члены, Еўрапейская эканамічная зона і яе дзяржавы-члены, Вялікабрытанія, Швейцарыя, Злучаныя Штаты, Канада, Новая Зеландыя і Аўстралія, а таксама іх адпаведныя палітычныя падраздзяленні, якія прымяняюцца да апрацоўкі персанальных даных. Да іх адносяцца, але не абмяжоўваючыся імі, наступнае, у той ступені, у якой гэта дастасавальна: GDPR, Закон Вялікабрытаніі аб абароне даных, CCPA, Закон Вірджыніі аб абароне даных спажыўцоў («VCDPA»), Закон Каларада аб канфідэнцыяльнасці і адпаведныя нарматыўныя акты («CPA»). »), Закон штата Юта аб канфідэнцыяльнасці спажыўцоў («UCPA») і Закон штата Канэктыкут аб канфідэнцыяльнасці персанальных даных і маніторынгу ў Інтэрнэце («CPDPA»).
   «Суб'ект даных» азначае ідэнтыфікаваную або ідэнтыфікаваную асобу, да якой адносяцца і ўключаюць персанальныя даныя “consumer” як гэта вызначана ў законах і правілах аб абароне даных. “Europe” азначае Еўрапейскі саюз, Еўрапейскую эканамічную прастору, Швейцарыю і Злучанае Каралеўства. Дадатковыя палажэнні, якія прымяняюцца да перадачы персанальных даных з Еўропы, утрымліваюцца ў Дадатку 5. У выпадку выдалення Дадатку 5 Кліент гарантуе, што ён не будзе апрацоўваць персанальныя даныя ў адпаведнасці з законамі і правіламі Еўропы аб абароне даных.
   «GDPR» азначае Рэгламент (ЕС) 2016/679 Еўрапейскага парламента і Савета ад 27 красавіка 2016 г. аб абароне фізічных асоб у дачыненні да апрацоўкі персанальных даных і аб свабодзе перамяшчэння такіх даных, а таксама аб адмене Дырэктывы 95/46 /EC (Агульны рэгламент аб абароне дадзеных).
   «Свая група» азначае ўласнасць і яе філіялы, якія ўдзельнічаюць у апрацоўцы персанальных даных.
   «Асабістыя дадзеныя» азначае любую інфармацыю, якая адносіцца да (i) ідэнтыфікаванай або ідэнтыфікаванай фізічнай асобы і (ii) ідэнтыфікаванай або ідэнтыфікаванай юрыдычнай асобы (калі такая інфармацыя абаронена гэтак жа, як персанальныя даныя, персанальная інфармацыя або асабістая інфармацыя ў адпаведнасці з дзеючымі законамі і правіламі аб абароне даных ), дзе для кожнага (i) або (ii) такія даныя з'яўляюцца Данымі кліента.
   «Паслугі апрацоўкі персанальных даных» азначае Паслугі SaaS, пералічаныя ў Дадатку 2, для якіх Own можа апрацоўваць персанальныя даныя.
   «Апрацоўка» азначае любую аперацыю або набор аперацый, якія выконваюцца з персанальнымі дадзенымі, аўтаматычнымі ці не аўтаматычнымі сродкамі, такімі як збор, запіс, арганізацыя, структураванне, захоўванне, адаптацыя або змяненне, пошук, кансультацыі, выкарыстанне, раскрыццё шляхам перадачы, распаўсюджвання або іншым чынам прадастаўленне, выраўноўванне або спалучэнне, абмежаванне, сціранне або знішчэнне.
   «Апрацоўшчык» азначае суб'ект, які апрацоўвае персанальныя даныя ад імя Кантралёра, у тым ліку, калі гэта дастасавальна, любога «пастаўшчыка паслуг», як гэты тэрмін вызначаецца ў CCPA.
   «Стандартныя дагаворныя пункты» азначае Дадатак да рашэння аб выкананні Еўрапейскай камісіі
   (ЕС) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ад 4 чэрвеня 2021 г. аб стандартных дагаворных пунктах для перадачы персанальных даных апрацоўшчыкам, створаным у трэціх краінах, у адпаведнасці з Рэгламентам (ЕС) 2016/679 Еўрапейскага парламента і Савета Еўрапейскага саюза і з улікам неабходных паправак для Злучаных Штатаў Каралеўства і Швейцарыя далей апісаны ў Дадатку 5.
   «Суб-працэсар» азначае любы працэсар, заняты Уласным, членам Уласнай групы або іншым суб-працэсарам.
   «Наглядны орган» азначае дзяржаўны або ўпаўнаважаны ўрадам рэгулюючы орган, які мае абавязковыя юрыдычныя паўнамоцтвы ў дачыненні да Кліента.
   «Дадатак Вялікабрытаніі» азначае Дадатак Вялікабрытаніі аб міжнароднай перадачы даных да стандартных дагаворных палажэнняў Камісіі ЕС (даступны з 21 сакавіка 2022 г. па адрасе https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), завершаны, як апісана ў Дадатку 5.
   «Закон Вялікабрытаніі аб абароне дадзеных» азначае Рэгламент 2016/679 Еўрапейскага парламента і Савета аб абароне фізічных асоб у дачыненні да апрацоўкі персанальных даных і аб свабодным перамяшчэнні такіх даных, паколькі ён з'яўляецца часткай заканадаўства Англіі і Уэльса, Шатландыі і Паўночнай Ірландыя ў адпаведнасці з раздзелам 3 Закона аб выхадзе з Еўрапейскага саюза 2018 года, у які час ад часу могуць уносіцца змены Законамі і правіламі Вялікабрытаніі аб абароне даных.
2. ПАРАДАК СТАРШЫНСТВА
   a. За выключэннем стандартных дагаворных палажэнняў, уключаных тут, якія маюць перавагу, у выпадку любых неадпаведнасцей паміж гэтым Дадатковым DPA і Існуючым DPA пераважную сілу маюць умовы Дзеючага DPA.
3. АБМЕЖАВАННЕ АДКАЗНАСЦІ
   a. У той ступені, у якой гэта дазволена законамі і правіламі аб абароне даных, адказнасць кожнага з бакоў і ўсіх яго афіляваных асоб, узятая разам у сукупнасці, якая вынікае з гэтага Дадатковага DPA або звязана з ім, па кантракце, дэлікце або любой іншай тэорыі адказнасці, падпадае пад дзеянне пунктаў «Абмежаванне адказнасці» і такіх іншых пунктаў, якія выключаюць або абмяжоўваюць адказнасць Пагаднення, і любая спасылка ў такіх пунктах на адказнасць боку азначае сукупную адказнасць гэтага боку і ўсіх яго Афіляваных асоб.
4. ЗМЯНЕННІ Ў ТРАНСФЕРНЫХ МЕХАНІЗМАХ
   a. У выпадку, калі дзеючы механізм перадачы, на які бакі спадзяюцца для садзейнічання перадачы персанальных даных у адну або некалькі краін, якія не забяспечваюць належны ўзровень абароны даных у сэнсе Законаў і правілаў аб абароне даных, прызнаецца несапраўдным, уносяцца змены , або замененыя бакі будуць працаваць добрасумленна, каб увесці ў дзеянне такі альтэрнатыўны механізм перадачы, каб забяспечыць працяг апрацоўкі персанальных даных, прадугледжанай Пагадненнем. Выкарыстанне такога альтэрнатыўнага механізму перадачы будзе залежаць ад выканання кожным бокам усіх заканадаўчых патрабаванняў для выкарыстання такога механізму перадачы.

Упаўнаважаныя асобы, якія падпісалі бакі, належным чынам падпісалі гэта Пагадненне, уключаючы ўсе адпаведныя Дадаткі, Дадаткі і Дадаткі, уключаныя ў яго.

Спіс раскладаў

Расклад 1: бягучы спіс падпрацэсараў
Расклад 2: Паслугі SaaS, якія прымяняюцца да апрацоўкі персанальных даных
Расклад 3: Дэталі апрацоўкі
Расклад 4: уласны кантроль бяспекі
Расклад 5: Еўрапейскія палажэнні

РАСКЛАД 1 Бягучы спіс субпрацэсараў

* Кліент можа выбраць Amazon Web Сэрвісы або Microsoft (Azure) і жаданае месца апрацоўкі падчас першапачатковай наладкі Кліентам Сэрвісаў SaaS.
** Прымяняецца толькі да кліентаў Archive, якія выбіраюць разгортванне ў воблаку Microsoft (Azure).

ДАЛЕКСАМ 2 Паслугі SaaS, якія прымяняюцца да апрацоўкі персанальных даных

• Аднаўленне для ServiceNow
• Аднаўленне для Dynamics
• Аднаўленне для Salesforce
• Governance Plus для Salesforce
• Архіў
• Прынясіце сваё ўласнае кіраванне ключамі
• Разганяць

ДАДАТАК 3 Дэталі апрацоўкі

Экспарцёр дадзеных

Поўнае юрыдычнае імя: Імя кліента, як паказана вышэй
Асноўны адрас: Адрас кліента, пазначаны вышэй
Кантакты: Калі не прадугледжана іншае, гэта будзе асноўны кантакт ва ўліковым запісе Кліента.
Кантактны адрас электроннай пошты: Калі не прадугледжана іншае, гэта павінен быць асноўны кантактны адрас электроннай пошты ва ўліковым запісе Кліента.

Імпарцёр дадзеных 

Поўнае юрыдычнае імя: Кампанія OwnBackup Inc.
Асноўны адрас: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, ЗША
Кантакты: Супрацоўнік прыватнасці
Кантактны адрас электроннай пошты: privacy@owndata.com

Характар ​​і прызначэнне апрацоўкі

Own будзе апрацоўваць персанальныя даныя па меры неабходнасці для аказання Паслуг SaaS у адпаведнасці з Пагадненнем і Замовамі, а таксама ў адпаведнасці з далейшымі інструкцыямі Кліента пры выкарыстанні Паслуг SaaS.

Працягласць апрацоўкі

Own будзе апрацоўваць персанальныя даныя на працягу тэрміну дзеяння Пагаднення, калі іншае не ўзгоднена ў пісьмовай форме.

Утрыманне

Own будзе захоўваць персанальныя даныя ў Паслугах SaaS на працягу ўсяго тэрміну дзеяння Пагаднення, калі іншае не ўзгоднена ў пісьмовай форме, з улікам максімальнага перыяду захоўвання, указанага ў Дакументацыі.

Частата перадачы

Як вызначана Заказчыкам пры выкарыстанні Паслуг SaaS.

Перадае субпрацэсарам(ам) 

Па меры неабходнасці для аказання паслуг SaaS у адпаведнасці з Пагадненнем і заказамі, а таксама ў адпаведнасці з дадатковым апісаннем у Дадатку 1.

Катэгорыі суб'ектаў дадзеных

Кліент можа адпраўляць Персанальныя даныя ў Паслугі SaaS, аб'ём якіх вызначаецца і кантралюецца Кліентам па яго ўласным меркаванні і якія могуць уключаць, але не абмяжоўваючыся імі, Персанальныя даныя, якія адносяцца да наступных катэгорый суб'ектаў даных:

• Патэнцыйныя кліенты, дзелавыя партнёры і прадаўцы Заказчыка (якія з'яўляюцца фізічнымі асобамі)
• Супрацоўнікі або кантактныя асобы патэнцыйных кліентаў, кліентаў, дзелавых партнёраў і прадаўцоў
• Супрацоўнікі, агенты, кансультанты, фрылансеры Кліента (якія з'яўляюцца фізічнымі асобамі) Карыстальнікі Кліента, упаўнаважаныя Кліентам на выкарыстанне Паслуг SaaS

Тып персанальных даных

Кліент можа адпраўляць персанальныя даныя ў Паслугі SaaS, аб'ём якіх вызначаецца і кантралюецца кліентам па ўласным меркаванні і можа ўключаць, але не абмяжоўваецца імі, наступныя катэгорыі персанальных даных:

• Імя і прозвішча
• Назва
• Пазіцыя
• Працадаўца
• Кантактная інфармацыя (кампанія, электронная пошта, тэлефон, фізічны адрас кампаніі)
• Ідэнтыфікацыйныя дадзеныя
• Дадзеныя аб прафесійным жыцці
• Дадзеныя асабістага жыцця
• Дадзеныя лакалізацыі

Спецыяльныя катэгорыі даных (пры неабходнасці)

Кліент можа адпраўляць спецыяльныя катэгорыі персанальных даных у Сэрвісы SaaS, аб'ём якіх вызначаецца і кантралюецца Кліентам па ўласным меркаванні, і якія для большай яснасці могуць уключаць у сябе апрацоўку генетычных даных, біяметрычных даных з адназначнай мэтай ідэнтыфікацыя фізічнай асобы або дадзеныя аб стане здароўя. Глядзіце меры ў Дадатку 4, каб даведацца, як Own абараняе спецыяльныя катэгорыі даных і іншыя асабістыя даныя.

ДАЛЕКСАМ 4 Сродкі ўласнага кантролю бяспекі 3.3

1. Уводзіны
   1. Уласныя прыкладанні праграмнага забеспячэння як паслугі (SaaS Services) з самага пачатку былі распрацаваны з улікам бяспекі. Сэрвісы SaaS распрацаваны з мноствам элементаў кіравання бяспекай на некалькіх узроўнях для ліквідацыі шэрагу рызык бяспекі. Гэтыя меры бяспекі могуць быць зменены; аднак любыя змены захаваюць або палепшаць агульную пазіцыю бяспекі.
   2. Прыведзеныя ніжэй апісанні элементаў кіравання прымяняюцца да рэалізацыі службы SaaS як на Amazon Web Паслугі (AWS) і платформы Microsoft Azure (Azure) (разам называюцца нашымі пастаўшчыкамі воблачных паслуг або CSP), за выключэннем выпадкаў, указаных у раздзеле "Шыфраванне" ніжэй. Гэтыя апісанні элементаў кіравання не прымяняюцца да праграмнага забеспячэння RevCult, за выключэннем выпадкаў, указаных у раздзеле «Бяспечная распрацоўка праграмнага забеспячэння» ніжэй.
2. Аўдыты і сертыфікацыі
   1. Паслугі SaaS сертыфікаваны ў адпаведнасці з ISO/IEC 27001:2013 (Сістэма кіравання інфармацыйнай бяспекай) і ISO/IEC 27701:2019 (Сістэма кіравання канфідэнцыяльнасцю інфармацыі).
   2. Own праходзіць штогадовы аўдыт SOC2 тыпу II у адпаведнасці з SSAE-18 для незалежнай праверкі эфектыўнасці сваіх метадаў інфармацыйнай бяспекі, палітык, працэдур і аперацый па наступных крытэрыях даверных паслуг: бяспека, даступнасць, канфідэнцыяльнасць і цэласнасць апрацоўкі.
   3. Own выкарыстоўвае глабальныя рэгіёны CSP для сваіх вылічэнняў і захоўвання для Паслуг SaaS. AWS і Azure - гэта аб'екты вышэйшага ўзроўню з некалькімі акрэдытацыямі, у тым ліку SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 і HIPAA.
3. Web Элементы кіравання бяспекай прыкладанняў
   1. Доступ кліентаў да SaaS-сэрвісаў ажыццяўляецца толькі праз HTTPS (TLS1.2+), усталёўваючы шыфраванне даных, якія перадаюцца паміж канчатковым карыстальнікам і дадаткам, а таксама паміж уласнай і староннім крыніцай даных (напрыклад, Salesforce).
   2. Адміністратары Сэрвісу SaaS заказчыка могуць прадастаўляць і адключаць карыстальнікаў Сэрвісу SaaS і звязаны доступ па меры неабходнасці.
   3. Паслугі SaaS забяспечваюць кантроль доступу на аснове роляў, каб кліенты маглі кіраваць дазволамі некалькіх арганізацый.
   4. Адміністратары сэрвісу SaaS заказчыка могуць атрымаць доступ да запісаў аўдыту, уключаючы імя карыстальніка, дзеянне і часamp, і палі зыходнага IP-адраса. Часопісы аўдыту могуць быць viewрэдагавацца і экспартавацца адміністратарам службы SaaS кліента, які ўвайшоў у службу SaaS, а таксама праз API паслуг SaaS.
   5. Доступ да Паслуг SaaS можа быць абмежаваны зыходным IP-адрасам.
   6. Паслугі SaaS дазваляюць кліентам уключыць шматфактарную аўтэнтыфікацыю для доступу да ўліковых запісаў службы SaaS з выкарыстаннем аднаразовых пароляў на аснове часу.
   7. Паслугі SaaS дазваляюць кліентам уключыць адзіны ўваход праз пастаўшчыкоў ідэнтыфікацыйных дадзеных SAML 2.0.
   8. Паслугі SaaS дазваляюць кліентам уключаць наладжвальныя палітыкі пароляў, каб дапамагчы ўзгадніць паролі паслуг SaaS з карпаратыўнай палітыкай.
4. Шыфраванне
   1. Own прапануе наступныя варыянты службы SaaS для шыфравання даных у стане спакою:
      1. Стандартная прапанова.
         • Дадзеныя шыфруюцца з выкарыстаннем сервернага шыфравання AES-256 з дапамогай сістэмы кіравання ключамі, праверанай у адпаведнасці з FIPS 140-2.
         • Шыфраванне канверта выкарыстоўваецца такім чынам, што галоўны ключ ніколі не пакідае апаратны модуль бяспекі (HSM).
         • Абмена ключоў шыфравання адбываецца не радзей, чым кожныя два гады.
      2. Опцыя Advanced Key Management (AKM).
         • Даныя шыфруюцца ў спецыяльным кантэйнеры для захоўвання аб'ектаў з дапамогай галоўнага ключа шыфравання (CMK), які прадастаўляецца кліентам.
         • AKM дазваляе ў будучыні архіваваць ключ і ратаваць яго з іншым галоўным ключом шыфравання.
         • Кліент можа адклікаць галоўныя ключы шыфравання, што прывядзе да неадкладнай недаступнасці даных.
      3. Прынясіце ўласную сістэму кіравання ключамі (KMS) (даступна толькі на AWS).
         • Ключы шыфравання ствараюцца ва ўласным уліковым запісе кліента, набытым асобна, з дапамогай AWS KMS.
         • Кліент вызначае палітыку ключа шыфравання, якая дазваляе ўліковага запісу SaaS Service кліента на AWS атрымліваць доступ да ключа з уласнай AWS KMS кліента.
         • Даныя шыфруюцца ў спецыяльным кантэйнеры для захоўвання аб'ектаў, якім кіруе Own, і настроены на выкарыстанне ключа шыфравання кліента.
         • Кліент можа імгненна адклікаць доступ да зашыфраваных даных, адмяніўшы доступ Own да ключа шыфравання, не ўзаемадзейнічаючы з Own.
         • Уласныя супрацоўнікі не маюць доступу да ключоў шыфравання і не маюць непасрэднага доступу да KMS.
         • Усе дзеянні па выкарыстанні ключоў рэгіструюцца ў KMS кліента, уключаючы пошук ключоў у спецыяльным сховішчы аб'ектаў.
      4. Шыфраванне пры перадачы паміж службамі SaaS і староннім крыніцай даных (напрыклад, Salesforce) выкарыстоўвае HTTPS з TLS 1.2+ і OAuth 2.0.
5. Сетка
   1. Паслугі SaaS выкарыстоўваюць элементы кіравання сеткай CSP для абмежавання ўваходу і выхаду з сеткі.
   2. Групы бяспекі з захаваннем стану выкарыстоўваюцца для абмежавання ўваходу і выхаду з сеткі ў аўтарызаваных канечных кропках.
   3. Паслугі SaaS выкарыстоўваюць шматузроўневую сеткавую архітэктуру, уключаючы некалькі лагічна падзеленых віртуальных прыватных воблакаў Amazon (VPC) або віртуальных сетак Azure (VNets), якія выкарыстоўваюць прыватныя, DMZ і ненадзейныя зоны ў інфраструктуры CSP.
   4. У AWS абмежаванні канчатковай кропкі VPC S3 выкарыстоўваюцца ў кожным рэгіёне, каб дазволіць доступ толькі з аўтарызаваных VPC.
6. Маніторынг і аўдыт
   1. Сістэмы і сеткі SaaS Service кантралююцца на наяўнасць інцыдэнтаў бяспекі, стану сістэмы, парушэнняў у працы сеткі і даступнасці.
   2. Паслугі SaaS выкарыстоўваюць сістэму выяўлення ўварванняў (IDS) для маніторынгу сеткавай актыўнасці і папярэджання Own аб падазроных паводзінах.
   3. Паслугі SaaS выкарыстоўваюць web брандмаўэры прыкладанняў (WAF) для ўсіх публічных web паслугі.
   4. Уласныя журналы падзей прыкладання, сеткі, карыстальніка і аперацыйнай сістэмы на лакальны сервер сістэмнага часопіса і SIEM для пэўнага рэгіёну. Гэтыя часопісы аўтаматычна аналізуюцца і паўторнаviewасуджаны за падазроныя дзеянні і пагрозы. Любыя анамаліі абвастраюцца па меры неабходнасці.
   5. У Own выкарыстоўваюцца сістэмы кіравання інфармацыяй аб бяспецы і падзеямі (SIEM), якія забяспечваюць бесперапынны аналіз бяспекі сетак і асяроддзя бяспекі SaaS Services, папярэджанне карыстальнікаў аб анамаліях, камандаванне і кантроль (C&C), разведку атак, аўтаматызаванае выяўленне пагроз і справаздачнасць аб індыкатарах узлому (IOC). ). Усімі гэтымі магчымасцямі кіруюць супрацоўнікі службы бяспекі і аперацый Own.
   6. Уласная група рэагавання на інцыдэнты кантралюе security@owndata.com псеўданім і рэагуе ў адпаведнасці з Планам рэагавання на інцыдэнты (IRP) кампаніі, калі гэта неабходна.
7. Ізаляцыя паміж акаўнтамі
   1. Паслугі SaaS выкарыстоўваюць пясочніцу Linux для ізаляцыі даных уліковых запісаў кліентаў падчас апрацоўкі. Гэта дапамагае гарантаваць, што любая анамалія (напрыклад,ample, з-за праблемы бяспекі або памылкі праграмнага забеспячэння) застаецца абмежаваным адным уласным уліковым запісам.
   2. Доступ да даных арандатара кантралюецца праз унікальных карыстальнікаў IAM з дадзенымі tagging, які забараняе неаўтарызаваным карыстальнікам доступ да даных арандатара.
8. Аварыйнае аднаўленне
   1. Own выкарыстоўвае сховішча аб'ектаў CSP для захоўвання зашыфраваных даных кліентаў у некалькіх зонах даступнасці.
   2. Для даных кліентаў, якія захоўваюцца ў сховішчы аб'ектаў, Own выкарыстоўвае кіраванне версіямі аб'ектаў з аўтаматычным устарэннем, каб падтрымаць адпаведнасць палітыкам аварыйнага аднаўлення і рэзервовага капіравання Own. Для гэтых аб'ектаў сістэмы Own распрацаваны для падтрымкі мэтавай кропкі аднаўлення (RPO) 0 гадзін (гэта значыць магчымасці аднаўлення любой версіі любога аб'екта ў тым выглядзе, у якім ён існаваў у папярэдні 14-дзённы перыяд).
   3. Любое неабходнае аднаўленне вылічальнага асобніка выконваецца шляхам перабудовы асобніка на аснове аўтаматызацыі кіравання канфігурацыяй Own.
   4. Уласны план аварыйнага аднаўлення распрацаваны з улікам 4-гадзіннага мэтавага часу аднаўлення (RTO).
9. Кіраванне ўразлівасцямі
   1. Уласны выконвае перыядыч web ацэнкі ўразлівасці прыкладанняў, статычны аналіз кода і знешнія дынамічныя ацэнкі ў рамках праграмы бесперапыннага маніторынгу, каб гарантаваць належнае прымяненне і эфектыўную працу сродкаў кантролю бяспекі прыкладанняў.
   2. Раз у паўгода Own наймае незалежных старонніх тэсціроўшчыкаў пранікнення для выканання сеткавых і web ацэнкі ўразлівасці. Аб'ём гэтых знешніх аўдытаў уключае адпаведнасць Open Web Праект бяспекі прыкладанняў (OWASP) 10 лепшых Web Уразлівасці (www.owasp.org).
   3. Вынікі ацэнкі ўразлівасцяў уключаюцца ў уласны жыццёвы цыкл распрацоўкі праграмнага забеспячэння (SDLC) для ліквідацыі выяўленых уразлівасцяў. Канкрэтныя ўразлівасці расстаўляюцца па прыярытэтах і ўводзяцца ва ўласную ўнутраную сістэму тыкетаў для адсочвання праз дазвол.
10. Рэагаванне на інцыдэнты
    1. У выпадку патэнцыйнага парушэння бяспекі ўласная група рэагавання на інцыдэнты правядзе ацэнку сітуацыі і распрацуе адпаведныя стратэгіі змякчэння наступстваў. Калі патэнцыйнае парушэнне будзе пацверджана, Own неадкладна прыме меры па змякчэнні парушэння і захаванні крыміналістычных доказаў, а таксама паведаміць асноўным кантактным пунктам закранутых кліентаў без залішняй затрымкі, каб праінфармаваць іх аб сітуацыі і прадастаўляць абнаўленні статусу рашэння.
11. Бяспечная распрацоўка праграмнага забеспячэння
    1. Own выкарыстоўвае бяспечныя практыкі распрацоўкі праграмных прыкладанняў Own і RevCult на працягу ўсяго жыццёвага цыкла распрацоўкі праграмнага забеспячэння. Гэтыя практыкі ўключаюць статычны аналіз кода, бяспеку Salesforceview для прыкладанняў RevCult і ўласных прыкладанняў, усталяваных у асобніках Salesforce кліентаў, аднарангавы паўторview змены кода, абмежаванне доступу да сховішча зыходнага кода на аснове прынцыпу найменшых прывілеяў, а таксама запіс доступу і змяненняў да сховішча зыходнага кода.
12. Спецыяльная каманда бяспекі
    1. У Own ёсць спецыяльная каманда па бяспецы з больш чым 100-гадовым сумесным шматгранным вопытам інфармацыйнай бяспекі. Акрамя таго, члены каманды падтрымліваюць шэраг прызнаных у галіны сертыфікатаў, уключаючы, але не абмяжоўваючыся, CISM, CISSP і ISO 27001 вядучых аўдытараў.
13. Канфідэнцыяльнасць і абарона даных
    1. Own забяспечвае ўнутраную падтрымку для запытаў доступу суб'ектаў даных, такіх як права на выдаленне (права быць забытым) і ананімізацыю, каб падтрымаць захаванне правілаў прыватнасці даных, у тым ліку Агульнага рэгламенту аб абароне даных (GDPR), Закона аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA) і Закон Каліфорніі аб абароне прыватнасці спажыўцоў (CCPA). Own таксама дае Дадатак аб апрацоўцы даных, які датычыць законаў аб канфідэнцыяльнасці і абароне даных, у тым ліку юрыдычных патрабаванняў да міжнароднай перадачы даных.
14. Праверкі даных
    1. Own праводзіць групавую праверку, у тым ліку крымінальную, свайго персаналу, які можа мець доступ да даных кліентаў, у залежнасці ад юрысдыкцыі пражывання супрацоўніка на працягу апошніх сямі гадоў у адпаведнасці з дзеючым заканадаўствам.
15. Страхоўка
    Own забяспечвае, як мінімум, наступнае страхавое пакрыццё: (a) страхаванне кампенсацыі работнікам у адпаведнасці з усім прыдатным заканадаўствам; (b) страхаванне аўтамабільнай адказнасці для транспартных сродкаў, якія не належаць, і арандаваных транспартных сродкаў з агульным лімітам у 1,000,000 1,000,000 2,000,000 долараў ЗША; (c) страхаванне камерцыйнай агульнай адказнасці (грамадскай адказнасці) з адзіным лімітам страхавання ў памеры 20,000,000 20,000,000 5,000,000 долараў ЗША за выпадак і агульным сукупным пакрыццём у XNUMX XNUMX XNUMX долараў ЗША; (d) страхаванне ад памылак і ўпушчэнняў (прафесійная адказнасць) з лімітам XNUMX XNUMX XNUMX долараў ЗША за падзею і сукупна XNUMX XNUMX XNUMX долараў ЗША, уключаючы першасны і лішні ўзроўні, а таксама кіберадказнасць, тэхналогіі і прафесійныя паслугі, тэхналагічныя прадукты, бяспеку даных і сеткі, рэагаванне на парушэнні, нарматыўнае права абавязацельствы па абароне і штрафах, кібервымагальніцтве і аднаўленні даных; і (e) страхаванне супрацоўнікаў ад несумленнасці/злачынстваў з пакрыццём XNUMX XNUMX XNUMX долараў. Own прадаставіць Кліенту доказы такой страхоўкі па запыце.

ДАДАТАК 5 Еўрапейскія палажэнні

Гэты расклад прымяняецца толькі да перадачы персанальных даных (уключаючы далейшыя перадачы) з Еўропы, якія пры адсутнасці прымянення гэтых палажэнняў прывядуць да парушэння або Кліентам, або Уладальнікам адпаведных законаў і правілаў аб абароне даных.

1. Механізм перадачы даных.
   a) Стандартныя дагаворныя пункты прымяняюцца да любой перадачы персанальных даных у адпаведнасці з гэтым Дадатковым DPA з Еўропы ў краіны, якія не забяспечваюць належны ўзровень абароны даных у сэнсе законаў і правілаў аб абароне даных такіх тэрыторый, у той ступені, у якой такая перадача падлягае такім Законам і правілам аб абароне даных. Own уваходзіць у стандартныя дагаворныя пункты ў якасці імпарцёра даных. Дадатковыя ўмовы ў гэтым Дадатку таксама прымяняюцца да такой перадачы даных.
2. Трансферы ў адпаведнасці са стандартнымі дагаворнымі пунктамі.
   a) Кліенты, на якіх распаўсюджваюцца стандартныя дагаворныя пункты. Стандартныя дагаворныя пункты і дадатковыя ўмовы, указаныя ў гэтым Дадатку, прымяняюцца да (i) Кліента ў той ступені, у якой Кліент падпадае пад дзеянне Законаў і правілаў Еўропы аб абароне даных, і (ii) да яго ўпаўнаважаных філіялаў. Для мэт Стандартных дагаворных палажэнняў і гэтага Дадатку такія арганізацыі з'яўляюцца «экспарцёрамі даных».
   b) Модулі. Бакі згаджаюцца з тым, што там, дзе дадатковыя модулі могуць прымяняцца ў рамках Стандартных дагаворных пунктаў, будуць прымяняцца толькі тыя, якія пазначаны як «МОДУЛЬ ДРУГІ: перадача кантролера працэсару».
   c) Інструкцыя. Бакі згаджаюцца з тым, што выкарыстанне Кліентам Паслуг апрацоўкі персанальных даных у адпаведнасці з Пагадненнем і Існуючым DPA лічыцца інструкцыяй Кліента па апрацоўцы персанальных даных для мэт Пункта 8.1 Стандартных палажэнняў дагавора.
   d) Прызначэнне новых суб-працэсараў і спіс цяперашніх суб-працэсараў. У адпаведнасці з ВАРЫЯНТАМ 2 пункта 9(a) Стандартных дагаворных палажэнняў, Заказчык згаджаецца з тым, што Own можа прыцягваць новых субпрацэсараў, як апісана ў Існуючым DPA, і што афіляваныя асобы Own могуць быць захаваны ў якасці субпрацэсараў, а Own і афіляваныя асобы Own могуць прыцягваць староннія Суб-апрацоўшчыкі ў сувязі з прадастаўленнем Паслуг апрацоўкі даных. Бягучы спіс субпрацэсараў, які прыкладаецца ў Дадатку 1.
   e) Пагадненні субпрацэсара. Бакі згаджаюцца з тым, што перадача даных Суб-апрацоўшчыкам можа абапірацца на механізм перадачы, адрозны ад стандартных дагаворных палажэнняў (напр.ample, абавязковыя карпаратыўныя правілы), і таму пагадненні Own з такімі субпрацэсарамі могуць не ўключаць або адлюстроўваць Стандартныя дагаворныя пункты, нягледзячы на ​​любыя адваротныя пункты ў пункце 9(b) Стандартных дагаворных пунктаў. Тым не менш, любое такое пагадненне з Суб-апрацоўшчыкам павінна ўтрымліваць абавязацельствы па абароне даных, не менш ахоўныя, чым тыя, што ў гэтым Дадатковым DPA адносна абароны даных кліента, у той ступені, у якой гэта прымяняецца да паслуг, якія прадстаўляюцца такім Суб-апрацоўшчыкам. Копіі пагадненняў аб субпрацэсары, якія павінны быць прадастаўлены Own Кліенту ў адпаведнасці з пунктам 9(c) Стандартных дагаворных палажэнняў, будуць прадастаўлены Own толькі па пісьмовым запыце Кліента і могуць мець усю камерцыйную інфармацыю або пункты, не звязаныя з стандартныя дагаворныя пункты або іх эквівалент, выдалены Own загадзя.
   f) Аўдыты і сертыфікацыі. Бакі згаджаюцца з тым, што аўдыты, апісаныя ў Пункце 8.9 і Пункце 13(b) Стандартных палажэнняў дагавора, павінны праводзіцца ў адпаведнасці з умовамі Існуючага DPA.
   g) Сціранне дадзеных. Бакі згаджаюцца з тым, што выдаленне або вяртанне даных, прадугледжаных пунктам 8.5 або пунктам 16(d) Стандартных палажэнняў дагавора, павінна адбывацца ў адпаведнасці з умовамі Дзеючага DPA, а любая сертыфікацыя выдалення павінна быць прадастаўлена Own толькі пасля запыту Кліента запыт.
   h) Староннія бенефіцыяры. Бакі згаджаюцца з тым, што, зыходзячы з характару Паслуг SaaS, Заказчык павінен аказваць усю дапамогу, неабходную для таго, каб Own мог выканаць свае абавязацельствы перад суб'ектамі дадзеных у адпаведнасці з пунктам 3 Стандартных дагаворных пунктаў.
   i) Ацэнка ўздзеяння. У адпаведнасці з пунктам 14 Стандартных дагаворных палажэнняў бакі правялі аналіз у кантэксце канкрэтных абставін перадачы заканадаўства і практыкі краіны прызначэння, а таксама канкрэтных дадатковых дагаворных, арганізацыйных і тэхнічных гарантыі, якія прымяняюцца, і на аснове інфармацыі, якая была ім дастаткова вядома ў той час, вызначылі, што законы і практыка краіны прызначэння не перашкаджаюць бакам выконваць абавязацельствы кожнага з бакоў у адпаведнасці са Стандартнымі пунктамі дагавора.
   j) Дзеючае права і форум. Бакі пагаджаюцца ў дачыненні да ВАРЫЯНТА 2 пункта 17, што ў выпадку, калі дзяржава-член ЕС, у якой заснаваны экспарцёр даных, не дазваляе правы бенефіцыяра трэцяга боку, стандартныя дагаворныя пункты будуць рэгулявацца заканадаўствам Ірландыя. У адпаведнасці з Пунктам 18, спрэчкі, звязаныя са Стандартнымі дагаворнымі пунктамі, павінны вырашацца ў судах, указаных у Пагадненні, за выключэннем выпадкаў, калі такі суд знаходзіцца не ў дзяржаве-члене ЕС, і ў гэтым выпадку форумам для такіх спрэчак з'яўляюцца суды Ірландыі .
   k) Дадаткі. У мэтах выканання Стандартных дагаворных пунктаў Дадатак 3: Дэталі апрацоўкі павінны быць уключаны ў ДАДАТАК IA і IB, Дадатак 4: Уласныя сродкі кантролю бяспекі (які можа час ад часу абнаўляцца на https://www.owndata.com/trust/) павінны быць уключаны ў ДАДАТАК II і Даклад 1: Бягучы спіс субпрацэсараў (які можа час ад часу абнаўляцца на  https://www.owndata.com/legal/sub-p/) уключаны ў ДАДАТАК III.
   l) Інтэрпрэтацыя. Умовы гэтага Дадатку прызначаны для ўдакладнення, а не для змянення Стандартных дагаворных пунктаў. У выпадку любога канфлікту або неадпаведнасці паміж асноўнай часткай гэтага Дадатку і Стандартнымі дагаворнымі пунктамі, стандартныя дагаворныя пункты маюць перавагу.
3. Палажэнні, якія прымяняюцца да пераводаў са Швейцарыі Бакі згаджаюцца, што ў мэтах прымянення Стандартных дагаворных палажэнняў для палягчэння перадачы персанальных даных са Швейцарыі прымяняюцца наступныя дадатковыя палажэнні: (i) Любыя спасылкі на Рэгламент (ЕС) 2016/679 павінны тлумачыцца як спасылка на адпаведныя палажэнні. Федэральнага закона Швейцарыі аб абароне даных і іншых законаў Швейцарыі аб абароне даных («Законы Швейцарыі аб абароне даных»), (ii) Любыя спасылкі на «дзяржаву-член», «дзяржаву-члена ЕС» або «ЕС» будуць інтэрпрэтавацца як спасылка на Швейцарыю , і (iii) Любыя спасылкі на Кантралюючы орган павінны тлумачыцца як спасылкі на Федэральнага ўпаўнаважанага па абароне даных і інфармацыі Швейцарыі.
4. a) Табліца 1: Бакі, іх звесткі і кантакты ўказаны ў Дадатку 3.
   b) Табліца 2: «Зацверджаныя стандартныя дагаворныя пункты ЕС» з'яўляюцца стандартнымі дагаворнымі пунктамі, выкладзенымі ў гэтым Дадатку 5.
   c) Табліца 3: Дадаткі I(A), I(B) і II запаўняюцца ў адпаведнасці з раздзелам 2(k) гэтага Дадатку 5.
   d) Табліца 4: Уласнік можа скарыстацца неабавязковым правам на датэрміновае скасаванне, апісаным у раздзеле 19 Дадатку да Вялікабрытаніі.

Дакументы / Рэсурсы

Дадатак аб апрацоўцы дадатковых даных DocuSign [pdfІнструкцыі Дадатковы Дадатак па апрацоўцы даных, Дадатак па апрацоўцы даных, Дадатак па апрацоўцы, Дадатак

Спасылкі

• Кіраўніцтва карыстальніка