Дадатак аб апрацоўцы даных Ownbackup

ЯК ВЫКАНАЦЬ ГЭТЫ DPA

1. Гэта DPA складаецца з дзвюх частак: асноўнай часткі DPA і Дадаткаў 1, 2, 3, 4 і 5.
2. Гэта DPA было папярэдне падпісана ад імя OwnBackup.
3. Каб запоўніць гэты DPA, Заказчык павінен:
   1. Запоўніце раздзел «Імя і адрас кліента» на старонцы 2.
   2. Запоўніце інфармацыю ў поле для подпісу і распішыцеся на старонцы 6.
   3. Пераканайцеся, што інфармацыя ў Дадатку 3 («Падрабязнасці апрацоўкі») дакладна адлюстроўвае прадметы і катэгорыі даных, якія падлягаюць апрацоўцы.
   4. Адпраўце запоўнены і падпісаны DPA ў OwnBackup па адрасе privacy@ownbackup.com.

Пасля атрымання OwnBackup правільна запоўненага DPA на гэты адрас электроннай пошты гэты DPA стане юрыдычна абавязковым.
Падпісанне гэтага DPA на старонцы 6 лічыцца подпісам і прыняццем Стандартных дагаворных палажэнняў (уключаючы Дадаткі да іх) і Дадатку Вялікабрытаніі, абодва ўключаныя сюды шляхам спасылкі.

ЯК ПРЫМЕНЯЕЦЦА ГЭТЫ DPA

• Калі арганізацыя-заказчык, якая падпісвае гэты DPA, з'яўляецца бокам Пагаднення, гэты DPA з'яўляецца дадаткам і часткай Пагаднення. У такім выпадку арганізацыя OwnBackup, якая з'яўляецца бокам Пагаднення, з'яўляецца бокам гэтага DPA.
• Калі арганізацыя Кліента, якая падпісвае гэты DPA, аформіла Форму замовы з OwnBackup або яе філіялам у адпаведнасці з Пагадненнем, але сама не з'яўляецца бокам Пагаднення, гэта DPA з'яўляецца дадаткам да гэтай Формы замовы і адпаведных формаў заказаў на падаўжэнне, а таксама да OwnBackup арганізацыя, якая з'яўляецца ўдзельнікам такой формы заказу, з'яўляецца ўдзельнікам гэтага DPA.
• Калі арганізацыя-заказчык, якая падпісвае гэты DPA, не з'яўляецца ні бокам Формы заказа, ні Пагаднення, гэты DPA не з'яўляецца сапраўдным і не з'яўляецца юрыдычна абавязковым. Такая арганізацыя павінна запытаць, каб арганізацыя-заказчык, якая з'яўляецца бокам Пагаднення, выканала гэты DPA.
• Калі арганізацыя Кліента, якая падпісвае DPA, не з'яўляецца ўдзельнікам Формы замовы або Генеральнага пагаднення аб падпісцы непасрэдна з OwnBackup, а замест гэтага з'яўляецца кліентам ускосна праз аўтарызаванага рэсэлера паслуг OwnBackup, гэта DPA несапраўднае і не з'яўляецца юрыдычна абавязковым. Такая арганізацыя павінна звязацца з упаўнаважаным пасярэднікам, каб абмеркаваць, ці патрабуецца ўнясенне змяненняў у пагадненне з гэтым пасярэднікам.
• У выпадку любога канфлікту або неадпаведнасці паміж гэтым DPA і любым іншым пагадненнем паміж Кліентам і OwnBackup (у тым ліку, паміж іншым, Пагадненнем або любым дадаткам да Пагаднення аб апрацоўцы даных), умовы гэтага DPA будуць мець перавагу і мець перавагу.

Гэта Дадатак аб апрацоўцы даных, уключаючы яго Дадаткі і Дадаткі («DPA»), з'яўляецца часткай Галоўнага пагаднення аб падпісцы або іншага пісьмовага або электроннага пагаднення паміж OwnBackup Inc. ад OwnBackup (“Пагадненне”), каб дакументаваць пагадненне бакоў адносна апрацоўкі персанальных даных. Калі такая арганізацыя-кліент і OwnBackup не заключылі Пагадненне, то гэты DPA з'яўляецца несапраўдным і не мае юрыдычнай сілы.
Суб'ект кліента, названы вышэй, заключае гэта DPA ад сябе і, калі хто-небудзь з яго філіялаў выступае ў якасці кантралёраў асабістых даных, ад імя гэтых аўтарызаваных філіялаў. Усе тэрміны з вялікай літары, не вызначаныя тут, маюць значэнне, выкладзенае ў Пагадненні.
У ходзе прадастаўлення Паслуг SaaS Кліенту ў адпаведнасці з Пагадненнем OwnBackup можа апрацоўваць персанальныя даныя ад імя Кліента. Бакі згаджаюцца з наступнымі ўмовамі адносна такой Апрацоўкі.

ВЫЗНАЧЭННІ

• «CCPA» азначае Каліфарнійскі закон аб канфедэнцыйнасці спажыўцоў, Каліфорнія. грамадзянскі Код § 1798.100 і інш. паслядоўна, з папраўкамі, унесенымі ў Каліфарнійскі закон аб правах на канфідэнцыяльнасць 2020 г. і разам з любымі нарматыўнымі актамі. «Кантролер» азначае суб'ект, які вызначае мэты і сродкі апрацоўкі персанальных даных і лічыцца таксама адносіцца да «бізнэсу», як гэта вызначана ў CCPA.
• «Кліент» азначае арганізацыю, названую вышэй, і яе Афіляваныя асобы.
• «Законы і правілы аб абароне даных» азначаюць усе законы і правілы Еўрапейскага саюза і яго дзяржаў-членаў, Еўрапейскай эканамічнай зоны і яе дзяржаў-членаў, Вялікабрытаніі, Швейцарыі, Злучаных Штатаў, Канады, Новай Зеландыі і Аўстраліі, а таксама іх адпаведныя палітычныя падраздзяленні, прыдатныя да апрацоўкі персанальных даных. Да іх адносяцца, але не абмяжоўваючыся імі, наступнае, у той ступені, у якой гэта дастасавальна: GDPR, Закон Вялікабрытаніі аб абароне даных, CCPA, Закон Вірджыніі аб абароне даных спажыўцоў («VCDPA»), Закон Каларада аб канфідэнцыяльнасці і адпаведныя нарматыўныя акты («CPA»). »), Закон штата Юта аб канфідэнцыяльнасці спажыўцоў («UCPA») і Закон штата Канэктыкут аб канфідэнцыяльнасці персанальных даных і маніторынгу ў Інтэрнэце («CPDPA»). «Суб'ект даных» азначае ідэнтыфікаваную або ідэнтыфікаваную асобу, да якой адносяцца персанальныя даныя, і ўключае «спажыўца», як гэта вызначана ў законах і правілах аб абароне даных. «Еўропа» азначае Еўрапейскі саюз, Еўрапейскую эканамічную зону, Швейцарыю і Злучанае Каралеўства.
• Дадатковыя палажэнні, якія прымяняюцца да перадачы персанальных даных з Еўропы, утрымліваюцца ў Дадатку 5. У выпадку выдалення Дадатку 5 Кліент гарантуе, што ён не будзе апрацоўваць персанальныя даныя ў адпаведнасці з законамі і правіламі Еўропы аб абароне даных.
• «GDPR» азначае Рэгламент (ЕС) 2016/679 Еўрапейскага парламента і Савета ад 27 красавіка 2016 г. аб абароне фізічных асоб у дачыненні да апрацоўкі персанальных даных і аб свабодным перамяшчэнні такіх даных, а таксама аб адмене Дырэктывы 95/46/EC (Агульны рэгламент аб абароне дадзеных).
• «Група OwnBackup» азначае OwnBackup і яе філіялы, якія ўдзельнічаюць у апрацоўцы персанальных даных.
• «Асабістыя даныя» азначаюць любую інфармацыю, якая адносіцца да (i) ідэнтыфікаванай або ідэнтыфікаванай фізічнай асобы і (ii) ідэнтыфікаванай або ідэнтыфікаванай юрыдычнай асобы (дзе такая інфармацыя абаронена гэтак жа, як персанальныя даныя, персанальная інфармацыя або асабістая інфармацыя ў адпаведнасці з адпаведнымі Данымі Законы і правілы аб абароне), дзе для кожнага (i) або (ii) такія даныя з'яўляюцца Данымі кліента.
• «Паслугі апрацоўкі персанальных даных» азначаюць паслугі SaaS, пералічаныя ў Дадатку 2, для якіх OwnBackup можа апрацоўваць персанальныя даныя.
• «Апрацоўка» азначае любую аперацыю або набор аперацый, якія выконваюцца з персанальнымі дадзенымі, аўтаматычнымі або не аўтаматычнымі сродкамі, такія як збор, запіс, арганізацыя, структураванне, захоўванне, адаптацыя або змяненне, пошук, кансультацыі, выкарыстанне, раскрыццё шляхам перадачы, распаўсюджванне або іншым спосабам забеспячэнне, выраўноўванне або аб'яднанне, абмежаванне, сціранне або знішчэнне. «Апрацоўшчык» азначае суб'ект, які апрацоўвае персанальныя даныя ад імя Кантралёра, у тым ліку, калі гэта дастасавальна, любога «пастаўшчыка паслуг», як гэты тэрмін вызначаецца ў CCPA.
• «Стандартныя дагаворныя пункты» азначаюць Дадатак да імплементацыйнага рашэння Еўрапейскай камісіі (ЕС) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ад 4 чэрвеня 2021 г. аб стандартных дагаворных пунктах. для перадачы персанальных даных апрацоўшчыкам, устаноўленым у трэціх краінах, у адпаведнасці з Рэгламентам (ЕС) 2016/679 Еўрапейскага парламента і Савета Еўрапейскага саюза і з улікам неабходных паправак для Швейцарыі, апісаных у Дадатку 5.
• «Суб-працэсар» азначае любы працэсар, задзейнічаны OwnBackup, членам групы OwnBackup або іншым суб-працэсарам.
• «Наглядны орган» азначае ўрадавы або ўпаўнаважаны ўрадам рэгулюючы орган, які мае абавязковыя юрыдычныя паўнамоцтвы ў дачыненні да Кліента.
• «Дадатак Вялікабрытаніі» азначае Дадатак Вялікабрытаніі аб міжнароднай перадачы даных да стандартных дагаворных палажэнняў Камісіі ЕС (даступны па стане на 21 сакавіка 2022 г. па адрасе https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), запоўнены, як апісана ў Дадатку 5.
• «Закон Вялікабрытаніі аб абароне даных» азначае Рэгламент 2016/679 Еўрапейскага парламента і Савета аб абароне фізічных асоб у дачыненні да апрацоўкі персанальных даных і аб свабодным перамяшчэнні такіх даных, паколькі ён з'яўляецца часткай заканадаўства Англіі. і Уэльс, Шатландыя і Паўночная Ірландыя ў адпаведнасці з раздзелам 3 Закона аб выхадзе з Еўрапейскага саюза 2018 года, у які час ад часу могуць уносіцца змены Законамі і правіламі Вялікабрытаніі аб абароне даных

АПРАЦОЎКА ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

• Вобласць прымянення. Бакі згаджаюцца, што дадзенае DPA прымяняецца выключна да апрацоўкі персанальных даных у рамках Паслуг апрацоўкі персанальных даных.
• Ролі бакоў. Бакі згаджаюцца з тым, што ў дачыненні да апрацоўкі персанальных даных Кліент з'яўляецца кантралёрам, а OwnBackup - працэсарам.
• Апрацоўка асабістых дадзеных OwnBackup. OwnBackup разглядае персанальныя даныя як канфідэнцыяльную інфармацыю і апрацоўвае персанальныя даныя ад імя і толькі ў адпаведнасці з дакументаванымі інструкцыямі Заказчыка для наступных мэт: (i) апрацоўка ў адпаведнасці з Пагадненнем і прыдатнымі Замовамі; (ii) Апрацоўка, ініцыяваная персаналам Заказчыка пры выкарыстанні імі Паслуг SaaS; і (iii) Апрацоўка ў адпаведнасці з іншымі дакументальна пацверджанымі разумнымі інструкцыямі, прадастаўленымі Кліентам (напрыклад, па электроннай пошце), калі такія інструкцыі адпавядаюць умовам Пагаднення.
• Абмежаванні апрацоўкі. OwnBackup не мае права: (i) «прадаваць» або «перадаваць» персанальныя даныя, як такія тэрміны вызначаны ў законах і правілах аб абароне даных; (ii) захоўваць, выкарыстоўваць, раскрываць або апрацоўваць персанальныя даныя для любых камерцыйных або іншых мэтаў, акрамя аказання Паслуг SaaS; або (iii) захоўваць, выкарыстоўваць або раскрываць Асабістыя даныя па-за прамымі дзелавымі адносінамі паміж Кліентам і OwnBackup. OwnBackup павінен выконваць дзеючыя абмежаванні ў адпаведнасці з законамі і правіламі аб абароне даных на аб'яднанне персанальных даных з персанальнымі данымі, якія OwnBackup атрымлівае ад іншай асобы або асоб або ад іх імя, або якія OwnBackup збірае ў выніку любога ўзаемадзеяння паміж ёй і любой асобай.
• Паведамленне аб незаконных інструкцыях; Несанкцыянаваная апрацоўка. OwnBackup павінен неадкладна інфармаваць Кліента, калі, на яго думку, інструкцыя Кліента парушае любы Закон або Палажэнне аб абароне даных. Кліент захоўвае за сабой права пасля паведамлення прыняць разумныя і адпаведныя меры, каб спыніць і выправіць несанкцыянаванае выкарыстанне персанальных даных, у тым ліку выкарыстанне персанальных даных, несанкцыянаванае гэтым DPA.
• Дэталі апрацоўкі. Прадметам апрацоўкі асабістых дадзеных OwnBackup з'яўляецца выкананне Паслуг SaaS у адпаведнасці з Пагадненнем. Працягласць апрацоўкі, характар ​​і мэта апрацоўкі, тыпы персанальных даных і катэгорыі суб'ектаў даных, якія апрацоўваюцца ў адпаведнасці з гэтым DPA, удакладняюцца ў Дадатку 3 (Падрабязнасці апрацоўкі).
• Ацэнка ўздзеяння на абарону даных. Па просьбе Кліента OwnBackup будзе разумна дапамагаць Кліенту ў выкананні абавязацельстваў Кліента ў адпаведнасці з Законамі і правіламі аб абароне даных па правядзенні ацэнкі ўздзеяння на абарону даных, звязанай з выкарыстаннем Кліентам Паслуг SaaS, у той ступені, у якой Кліент іншым чынам не мае доступу да адпаведнай інфармацыі і такая інфармацыя даступная OwnBackup. OwnBackup будзе разумна дапамагаць Кліенту ў яго супрацоўніцтве або папярэдніх кансультацыях з Кантралюючым органам адносна такой ацэнкі ўздзеяння на абарону даных у той ступені, у якой гэта патрабуецца ў адпаведнасці з дзеючымі законамі і правіламі аб абароне даных.
• Абавязацельствы кліента адносна персанальных даных. Пры выкарыстанні Сэрвісаў SaaS Заказчык будзе выконваць Законы і Правілы аб абароне даных, у тым ліку любыя прыдатныя патрабаванні да паведамлення Суб'ектам даных і/або атрымання іх згоды на апрацоўку OwnBackup. Кліент павінен пераканацца, што яго інструкцыі па апрацоўцы персанальных даных адпавядаюць законам і правілам аб абароне даных.
• Кліент нясе поўную адказнасць за дакладнасць, якасць і законнасць персанальных даных, а таксама спосабы атрымання персанальных даных. Кліент павінен гарантаваць, што выкарыстанне ім Паслуг SaaS не будзе парушаць правы любога Суб'екта даных, які адмовіўся ад продажу, сумеснага выкарыстання або іншага раскрыцця персанальных даных, у той ступені, у якой гэта дастасавальна. Кліент павінен пераканацца, што даныя кліента не ўтрымліваюць ніякіх даных, якія кваліфікуюцца як даныя асабістага здароўя, абароненыя артыкулам L.1111-8 Кодэкса грамадскага аховы здароўя Францыі

ЗАПЫТЫ НА ДАННЫЯ КЛІЕНТА

• Запыты ад суб'ектаў дадзеных. OwnBackup павінен, у межах, дазволеных законам, неадкладна паведаміць Кліенту, калі OwnBackup атрымае запыт ад Суб'екта даных на рэалізацыю права Суб'екта даных на доступ, права на выпраўленне, права на абмежаванне Апрацоўкі, права на выдаленне («права быць забытым») , права на партатыўнасць даных, права на пярэчанне супраць апрацоўкі або права не падпадаць пад аўтаматызаванае індывідуальнае прыняцце рашэнняў, кожны такі запыт з'яўляецца «Запытам суб'екта даных». Прымаючы пад увагу характар ​​Апрацоўкі, OwnBackup будзе дапамагаць Кліенту з дапамогай адпаведных тэхнічных і арганізацыйных мер, наколькі гэта магчыма, для выканання Кліентам абавязацельстваў адказаць на Запыт суб'екта даных у адпаведнасці з законамі і правіламі аб абароне даных. Акрамя таго, у той ступені, у якой Кліент пры выкарыстанні Паслуг SaaS не мае магчымасці задаволіць запыт суб'екта даных, OwnBackup па запыце Кліента прыме камерцыйна абгрунтаваныя намаганні, каб дапамагчы Кліенту ў адказе на такі запыт суб'екта даных, у якой OwnBackup юрыдычна дазволена рабіць гэта, і адказ на такі Запыт суб'екта даных патрабуецца ў адпаведнасці з законамі і правіламі аб абароне даных. Калі такая дапамога перавышае аб'ём дагаворных Паслуг SaaS і ў той ступені, якая дазволена законам, Кліент нясе адказнасць за любыя дадатковыя выдаткі, якія ўзнікаюць у выніку дапамогі.
• Запыты ад іншых трэціх асоб. Калі OwnBackup атрымлівае запыт ад трэцяга боку, акрамя Суб'екта даных (уключаючы, без абмежавання, дзяржаўную ўстанову) на Кліенцкія даныя, OwnBackup, дзе гэта дазволена законам, накіроўвае бок, які запытвае, да Кліента і неадкладна паведамляе Кліенту аб запыце. Калі законам OwnBackup не дазваляецца паведамляць Кліенту аб запыце, OwnBackup адказвае запытваючаму баку толькі ў тым выпадку, калі гэтага патрабуе закон, і прыкладзе разумныя намаганні, каб супрацоўнічаць з запытваючым бокам, каб звузіць аб'ём запыту даных Кліента. .

УЛАСНЫ РЭЗЕРВОВЫ ПЕРСАНАЛ

• Канфідэнцыяльнасць. Кампанія OwnBackup гарантуе, што яе персанал, які займаецца апрацоўкай персанальных даных, быў праінфармаваны аб канфідэнцыяльным характары персанальных даных, прайшоў адпаведную падрыхтоўку па іх адказнасці і заключыў пісьмовыя пагадненні аб канфідэнцыяльнасці. OwnBackup гарантуе, што такія абавязацельствы па захаванні канфідэнцыяльнасці захаваюцца і пасля спынення прыцягнення персаналу.
• Надзейнасць. OwnBackup прымае камерцыйна разумныя меры для забеспячэння надзейнасці любога персаналу OwnBackup, які займаецца апрацоўкай персанальных даных.
• Абмежаванне доступу. OwnBackup гарантуе, што доступ OwnBackup да персанальных даных абмежаваны тым персаналам, якому патрабуецца такі доступ для аказання Паслуг SaaS у адпаведнасці з Пагадненнем.
• Супрацоўнік па абароне даных. Члены групы OwnBackup прызначаць супрацоўніка па абароне даных, калі такое прызначэнне патрабуецца законамі і правіламі аб абароне даных. З прызначанай асобай можна звязацца па адрасе privacy@ownbackup.com.

СУБПРАЦЭСАРЫ

• Прызначэнне субпрацэсараў. Кліент дае OwnBackup агульны дазвол на прызначэнне старонніх субпрацэсараў у сувязі з Паслугамі SaaS у адпаведнасці з апісанымі працэдурамі
  у гэтым DPA. OwnBackup або афіляваная асоба OwnBackup заключылі пісьмовае пагадненне з кожным субпрацэсарам, якое змяшчае абавязацельствы па абароне даных, не менш абарончыя, чым тыя, што ў гэтым DPA, у дачыненні да
  абарона Даных кліента ў той ступені, якая прымяняецца да паслуг, якія прадстаўляюцца такім Суб-апрацоўшчыкам.
• Бягучыя субпрацэсары і апавяшчэнне аб новых субпрацэсарах. Спіс Суб-працэсараў для Сэрвісаў SaaS на дату выканання гэтага DPA прыкладзены ў Дадатку 1. OwnBackup павінен пісьмова паведаміць Кліенту аб любых новых Суб-працэсарах перад тым, як дазволіць такому новаму Суб-працэсару апрацоўваць персанальныя даныя.
• Права на пярэчанне для новых падпрацэсараў. Кліент можа пярэчыць супраць выкарыстання OwnBackup новага субпрацэсара, паведаміўшы OwnBackup у пісьмовай форме на працягу 30 дзён пасля атрымання паведамлення, апісанага ў папярэднім абзацы. Калі Кліент пярэчыць супраць новага субпрацэсара, як гэта дазволена ў папярэднім сказе, OwnBackup прыме камерцыйна разумныя намаганні, каб зрабіць даступнымі Кліенту змены ў Паслугах SaaS або парэкамендаваць змяніць канфігурацыю або выкарыстанне Паслуг SaaS кліентам, каб пазбегнуць Апрацоўкі персанальных даных новым Суб-апрацоўшчыкам, супраць якога былі пярэчанні, без неабгрунтаванага абцяжарвання Кліента. Калі OwnBackup не можа зрабіць даступным такое змяненне ў Сэрвісе SaaS або рэкамендаваць такое змяненне ў канфігурацыі або выкарыстанні Паслуг SaaS Кліента, якое задавальняе Кліента, на працягу разумнага перыяду часу (які ні ў якім разе не павінен перавышаць 30 дзён ), Кліент можа спыніць дзеянне адпаведнай формы(-й) замовы, адправіўшы пісьмовае паведамленне OwnBackup. У такім выпадку OwnBackup верне Кліенту любыя перадаплачаныя зборы, якія ахопліваюць астатак тэрміну дзеяння такой Формы(-й) замовы пасля даты ўступлення ў сілу спынення дзеяння, без накладання штрафу на Кліента за такое спыненне.
• Адказнасць субпрацэсараў. OwnBackup нясе адказнасць за дзеянні і бяздзейнасць сваіх субпрацэсараў у той жа ступені, у якой OwnBackup будзе несці адказнасць за выкананне паслуг кожнага субпрацэсара непасрэдна ў адпаведнасці з умовамі гэтага DPA.

БЯСПЕКА

• Элементы кіравання для абароны даных кліентаў. OwnBackup павінен падтрымліваць адпаведныя фізічныя, тэхнічныя і арганізацыйныя меры для абароны бяспекі (уключаючы абарону ад несанкцыянаванай або незаконнай апрацоўкі і ад выпадковага або незаконнага знішчэння, страты, змены або пашкоджання, несанкцыянаванага раскрыцця або доступу да даных кліента), канфідэнцыяльнасці і цэласнасць даных кліента, уключаючы асабістыя даныя, у адпаведнасці з Дадаткам 4 (Сродкі кантролю бяспекі OwnBackup). OwnBackup істотна не знізіць агульную бяспеку Паслуг SaaS на працягу тэрміну падпіскі.
• Аўдытарскія справаздачы і сертыфікаты трэціх асоб. Па пісьмовым запыце Заказчыка праз разумныя прамежкі часу і з улікам абавязацельстваў канфідэнцыяльнасці ў Пагадненні, OwnBackup будзе прадастаўляць Заказчыку копію апошняй на той момант старонняй аўдытарскай справаздачы OwnBackup SOC 2, а таксама любых іншых аўдытарскіх справаздач і сертыфікатаў, якія OwnBackup робіць даступным для кліентаў пры ўмове, што кліент не з'яўляецца канкурэнтам OwnBackup.

КІРАВАННЕ ІНЦЫДЕТАМІ ДАННЫХ КЛІЕНТА І ІНТАМІКАЦЫЯ

OwnBackup падтрымлівае палітыку і працэдуры кіравання інцыдэнтамі бяспекі і без неапраўданай затрымкі паведамляе Кліенту пасля таго, як яму стане вядома аб выпадковым або незаконным знішчэнні, страце, змене, несанкцыянаваным раскрыцці або доступе да Даных Кліента, у тым ліку Асабістых даных, якія перадаюцца, захоўваюцца або іншым чынам апрацоўваюцца OwnBackup або яго субпрацэсары, пра якія стала вядома OwnBackup («Інцыдэнт з дадзенымі кліента»). OwnBackup прыкладзе разумныя намаганні для выяўлення прычыны такога здарэння з дадзенымі кліента і прыме меры, якія OwnBackup палічыць неабходнымі і разумнымі, каб выправіць прычыну такога здарэння з дадзенымі кліента ў той ступені, у якой OwnBackup можа разумна кантраляваць гэта. Дадзеныя абавязацельствы не прымяняюцца да інцыдэнтаў, выкліканых Кліентам або яго персаналам.

ВЯРТАННЕ І ВЫДАЛЕННЕ ДАННЫХ КЛІЕНТА
OwnBackup вяртае Кліентскія даныя Кліенту і, у межах, дазволеных дзеючым заканадаўствам, выдаляе Кліенцкія даныя ў адпаведнасці з працэдурамі і тэрмінамі, указанымі ў Пагадненні.

АЎДЫТ

Па запыце Кліента і ў адпаведнасці з абавязацельствамі канфідэнцыяльнасці ў Пагадненні OwnBackup прадаставіць Кліенту (або старонняму аўдытару Кліента, які падпісаў пагадненне аб неразгалошванні, прымальнае для OwnBackup), інфармацыю, неабходную для дэманстрацыі адпаведнасці OwnBackup Group сваім абавязацельствам. выкладзены ў гэтым DPA і яго абавязацельствах як Апрацоўшчыка ў адпаведнасці з законамі і правіламі аб абароне даных у выглядзе запоўненых OwnBackup стандартызаваных анкет бяспекі, старонніх сертыфікатаў і аўдытарскіх справаздач (напрыклад, завершанага стандартызаванага збору інфармацыі (SIG) і кансенсусу Cloud Security Alliance Анкеты Assessments Initiative (CSA CAIQ), справаздача SOC 2 і зводныя справаздачы аб выпрабаваннях на пранікненне), а для субпрацэсараў - сертыфікаты трэціх асоб і аўдытарскія справаздачы, прадстаўленыя імі. Пасля любога паведамлення Кліенту ад OwnBackup аб фактычным або абгрунтаваным падазрэнні ў несанкцыянаваным раскрыцці Персанальных даных, пры абгрунтаваным перакананні Кліента ў тым, што OwnBackup парушае свае абавязацельствы па абароне персанальных даных у адпаведнасці з гэтым DPA, або калі такая праверка патрабуецца Кантралюючым органам Кліента, Кліент можа звязацца з OwnBackup, каб запытаць праверку працэдур, звязаных з абаронай персанальных даных. Любы такі аўдыт павінен праводзіцца дыстанцыйна, за выключэннем таго, што Кліент і/або яго Кантралюючы орган могуць праводзіць выязны аўдыт у памяшканнях OwnBackup, калі гэтага патрабуюць законы і правілы аб абароне даных. Любы такі запыт павінен адбывацца не часцей за адзін раз у год, за выключэннем выпадкаў фактычнага несанкцыянаванага доступу да персанальных даных або абгрунтаванага падазрэнні ў іх. Перад пачаткам любога аўдыту Заказчык і OwnBackup павінны ўзгадніць аб'ём, тэрміны і працягласць аўдыту. Ні ў якім разе не будзе праводзіцца аўдыт субпрацэсара, акрамя рэview справаздач, сертыфікатаў і дакументацыі, прадастаўленай субпрацэсарам, дазваляецца без згоды субпрацэсара.

ФІЛІЯЛЫ

• Дагаворныя адносіны. Суб'ект-заказчык, які падпісвае гэты DPA, робіць гэта ад сябе і, у адпаведных выпадках, ад імя і ад імя сваіх Афіляваных асоб, тым самым усталёўваючы асобны DPA паміж OwnBackup і кожнай такой Афіляванай асобай у адпаведнасці з палажэннямі Пагаднення, гэтага Пункта 10 і Пункта 11 ніжэй. Кожная такая афіляваная асоба згаджаецца выконваць абавязацельствы ў адпаведнасці з гэтым DPA і, у той ступені, у якой гэта дастасавальна, Пагадненнем. Каб пазбегнуць сумненняў, такія Афіляваныя асобы не з'яўляюцца і не становяцца ўдзельнікамі Пагаднення, а з'яўляюцца толькі ўдзельнікамі гэтага DPA. Любы доступ да Паслуг SaaS і выкарыстанне імі такімі Афіляванымі асобамі павінны адпавядаць Пагадненню, і любое парушэнне Пагаднення Афіляваным асобай будзе разглядацца як парушэнне Кліентам.
• Сувязь. Арганізацыя-заказчык, якая падпісвае гэты DPA, нясе адказнасць за каардынацыю ўсёй сувязі з OwnBackup у адпаведнасці з гэтым DPA і мае права адпраўляць і атрымліваць любыя паведамленні ў дачыненні да гэтага DPA ад імя сваіх Афіляваных асоб.
• Правы філіялаў кліентаў. Калі афіляваная асоба кліента становіцца ўдзельнікам гэтага DPA з OwnBackup, яна мае права карыстацца правамі і патрабаваць сродкаў прававой абароны ў адпаведнасці з гэтым DPA ў той ступені, у якой гэта патрабуецца ў адпаведнасці з дзеючымі законамі і правіламі аб абароне даных, пры ўмове наступнага:
• За выключэннем выпадкаў, калі дзеючыя законы і правілы аб абароне даных патрабуюць ад філіяла кліента рэалізаваць права або шукаць любыя сродкі прававой абароны ў адпаведнасці з гэтым DPA непасрэдна супраць OwnBackup, бакі згаджаюцца, што
  • толькі арганізацыя-заказчык, якая падпісала гэты DPA, будзе ажыццяўляць любыя такія правы або шукаць любыя такія сродкі прававой абароны ад імя Афіляванай асобы кліента, і (ii) арганізацыя-заказчык, якая падпісвае гэтае DPA, будзе ажыццяўляць любыя такія правы ў адпаведнасці з гэтым DPA не асобна для кожнай афіляванай асобы, а у сукупнасці для сябе і ўсіх сваіх афіляваных асоб разам (як выкладзена, напрыклад,ample, у пункце 10.3.2 ніжэй).
  • Арганізацыя-заказчык, якая падпісвае гэты DPA, пры правядзенні дазволенага аўдыту працэдур, звязаных з абаронай персанальных даных, прымае ўсе разумныя меры для абмежавання любога ўздзеяння на OwnBackup і субпрацэсараў шляхам аб'яднання, наколькі гэта разумна магчыма, некалькіх запыты на аўдыт, якія выконваюцца ад яе імя і ад імя ўсіх яе філіялаў у рамках аднаго аўдыту.

АБМЕЖАВАННЕ АДКАЗНАСЦІ

• У той ступені, у якой гэта дазволена законамі і правіламі аб абароне даных, адказнасць кожнага з бакоў і ўсіх яго афіляваных асоб, узятых разам у сукупнасці, якія вынікаюць з гэтага DPA або звязаныя з ім, па кантракце, дэлікту або любой іншай тэорыі адказнасці. у адпаведнасці з пунктамі «Абмежаванне адказнасці» і такімі іншымі пунктамі, якія выключаюць або абмяжоўваюць адказнасць Пагаднення, і любая спасылка ў такіх пунктах на адказнасць боку азначае сукупную адказнасць гэтага боку і ўсіх яго Афіляваных асоб.

ЗМЯНЕННІ Ў ТРАНСФЕРНЫХ МЕХАНІЗМАХ

• У выпадку, калі дзеючы механізм перадачы, на які бакі спадзяюцца для садзейнічання перадачы персанальных даных у адну або некалькі краін, якія не забяспечваюць належны ўзровень абароны даных у сэнсе Законаў і правілаў аб абароне даных, прызнаецца несапраўдным, уносяцца змены , або замененыя бакі будуць працаваць добрасумленна, каб увесці ў дзеянне такі альтэрнатыўны механізм перадачы, каб забяспечыць працяг апрацоўкі персанальных даных, прадугледжанай Пагадненнем. Выкарыстанне такога альтэрнатыўнага механізму перадачы будзе залежаць ад выканання кожным бокам усіх заканадаўчых патрабаванняў для выкарыстання такога механізму перадачы.

Упаўнаважаныя асобы, якія падпісалі бакі, належным чынам падпісалі гэтае Пагадненне, уключаючы ўсе адпаведныя Дадаткі, Дадаткі і Дадаткі, уключаныя ў яго

КЛІЕНТ 

• Подпіс:
• Імя:
• Назва:
• Дата:

Спіс раскладаў

• Даклад 1: бягучы спіс падпрацэсараў
• Дадатак 2: Паслугі SaaS, якія прымяняюцца да апрацоўкі персанальных даных
• Дадатак 3: Дэталі апрацоўкі
• Дадатак 4: Элементы кіравання бяспекай OwnBackup
• Дадатак 5: Еўрапейскія палажэнні

Бягучы спіс субпрацэсараў

Кліент можа выбраць або Amazon Web Сэрвісы або Microsoft (Azure) і жаданае месца апрацоўкі падчас першапачатковай наладкі Кліентам Сэрвісаў SaaS.
Прымяняецца толькі да кліентаў OAwnBackup Archive, якія выбіраюць разгортванне ў воблаку Microsoft (Azure).

Паслугі Saas, якія прымяняюцца да апрацоўкі персанальных даных

• OwnBackup Enterprise для Salesforce
• OwnBackup Unlimited для Salesforce
• OwnBackup Governance Plus для Salesforce
• Архіў OwnBackup
• Прынясіце сваё ўласнае кіраванне ключамі
• Пасеў пясочніцы

Дэталі апрацоўкі

Экспарцёр дадзеных

• Поўнае юрыдычнае імя: Імя кліента, як паказана вышэй
• Асноўны адрас: Адрас кліента, пазначаны вышэй
• Кантакты: Калі не прадугледжана іншае, гэта будзе асноўны кантакт ва ўліковым запісе Кліента.
• Кантактны адрас электроннай пошты: Калі не прадугледжана іншае, гэта павінен быць асноўны кантактны адрас электроннай пошты ва ўліковым запісе Кліента.

Імпарцёр дадзеных

• Поўнае юрыдычнае імя: OwnBackup Inc.
• Галоўны адрас: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, ЗША
• Кантакты: Супрацоўнік прыватнасці
• Кантактны адрас электроннай пошты: privacy@ownbackup.com

Характар ​​і прызначэнне апрацоўкі

• OwnBackup будзе апрацоўваць персанальныя даныя па меры неабходнасці для аказання паслуг Saa у адпаведнасці з
• Пагадненне і Заказы, а таксама ў адпаведнасці з далейшымі інструкцыямі Кліента пры выкарыстанні Паслуг SaaS.

Працягласць апрацоўкі

OwnBackup будзе апрацоўваць персанальныя даныя на працягу тэрміну дзеяння Пагаднення, калі іншае не ўзгоднена ў пісьмовай форме.

Утрыманне
OwnBackup будзе захоўваць персанальныя даныя ў Паслугах SaaS на працягу ўсяго тэрміну дзеяння Пагаднення, калі іншае не ўзгоднена ў пісьмовай форме, з улікам максімальнага перыяду захоўвання, указанага ў Дакументацыі.

Частата перадачы
Як вызначана Заказчыкам пры выкарыстанні Паслуг SaaS.

Перадае субпрацэсарам
Па меры неабходнасці для аказання паслуг SaaS у адпаведнасці з Пагадненнем і заказамі, а таксама ў адпаведнасці з дадатковым апісаннем у Дадатку 1.

Катэгорыі суб'ектаў дадзеных
Кліент можа адпраўляць Персанальныя даныя ў Паслугі SaaS, аб'ём якіх вызначаецца і кантралюецца Кліентам па яго ўласным меркаванні і якія могуць уключаць, але не абмяжоўваючыся імі, Персанальныя даныя, якія адносяцца да наступных катэгорый суб'ектаў даных:

• Патэнцыйныя кліенты, дзелавыя партнёры і прадаўцы Заказчыка (якія з'яўляюцца фізічнымі асобамі)
• Супрацоўнікі або кантактныя асобы патэнцыйных кліентаў, кліентаў, дзелавых партнёраў і прадаўцоў
• Супрацоўнікі, агенты, кансультанты, фрылансеры Заказчыка (якія з'яўляюцца фізічнымі асобамі)
• Карыстальнікі Кліента, упаўнаважаныя Кліентам на выкарыстанне Паслуг SaaS

Тып персанальных даных
Кліент можа адпраўляць персанальныя даныя ў Паслугі SaaS, аб'ём якіх вызначаецца і кантралюецца Кліентам па яго асабістым меркаванні і можа ўключаць, але не абмяжоўвацца імі, наступныя катэгорыі

Асабістыя дадзеныя:

• Імя і прозвішча
• Назва
• Пазіцыя
• Працадаўца
• Ідэнтыфікацыйныя дадзеныя
• Дадзеныя аб прафесійным жыцці
• Кантактная інфармацыя (кампанія, электронная пошта, тэлефон, фізічны адрас кампаніі)
• Дадзеныя асабістага жыцця
• Дадзеныя лакалізацыі

Спецыяльныя катэгорыі даных (пры неабходнасці)
Кліент можа адпраўляць спецыяльныя катэгорыі персанальных даных у Сэрвісы SaaS, аб'ём якіх вызначаецца і кантралюецца Кліентам па ўласным меркаванні, і якія для большай яснасці могуць уключаць у сябе апрацоўку генетычных даных, біяметрычных даных з адназначнай мэтай iдэнтыфiкацыя фiзiчнай асобы або даныя аб стане здароўя. Глядзіце меры ў Дадатку 4 аб тым, як OwnBackup абараняе спецыяльныя катэгорыі даных і іншыя асабістыя даныя.

Уводзіны

1. Праграмнае забеспячэнне як паслуга OwnBackup (SaaS Services) з самага пачатку распрацоўвалася з улікам бяспекі. Сэрвісы SaaS распрацаваны з мноствам элементаў кіравання бяспекай на некалькіх узроўнях для ліквідацыі шэрагу рызык бяспекі. Гэтыя меры бяспекі могуць быць зменены; аднак любыя змены захаваюць або палепшаць агульную пазіцыю бяспекі.
2. Прыведзеныя ніжэй апісанні элементаў кіравання прымяняюцца да рэалізацыі службы SaaS як на Amazon Web Паслугі (AWS) і платформы Microsoft Azure (Azure) (разам называюцца нашымі пастаўшчыкамі воблачных паслуг або CSP), за выключэннем выпадкаў, указаных у раздзеле "Шыфраванне" ніжэй. Гэтыя апісанні элементаў кіравання не прымяняюцца да праграмнага забеспячэння RevCult, за выключэннем выпадкаў, указаных у раздзеле «Бяспечная распрацоўка праграмнага забеспячэння» ніжэй.

Web Элементы кіравання бяспекай прыкладанняў

• Доступ кліента да сэрвісаў SaaS ажыццяўляецца толькі праз HTTPS (TLS1.2+), усталёўваючы шыфраванне даных, якія перадаюцца паміж канчатковым карыстальнікам і дадаткам, а таксама паміж OwnBackup і староннім крыніцай даных (напрыклад, Salesforce).
• Адміністратары Сэрвісу SaaS заказчыка могуць прадастаўляць і адключаць карыстальнікаў Сэрвісу SaaS і звязаны доступ па меры неабходнасці.
• Паслугі SaaS забяспечваюць кантроль доступу на аснове роляў, каб кліенты маглі кіраваць дазволамі некалькіх арганізацый.
• Адміністратары сэрвісу SaaS заказчыка могуць атрымаць доступ да запісаў аўдыту, уключаючы імя карыстальніка, дзеянне і часamp, і палі зыходнага IP-адраса. Часопісы аўдыту могуць быць viewрэдагавацца і экспартавацца адміністратарам службы SaaS кліента, які ўвайшоў у службу SaaS, а таксама праз API паслуг SaaS.
• Доступ да Паслуг SaaS можа быць абмежаваны зыходным IP-адрасам.
• Паслугі SaaS дазваляюць кліентам уключыць шматфактарную аўтэнтыфікацыю для доступу да ўліковых запісаў службы SaaS з выкарыстаннем аднаразовых пароляў на аснове часу.
• Паслугі SaaS дазваляюць кліентам уключыць адзіны ўваход праз пастаўшчыкоў ідэнтыфікацыйных дадзеных SAML 2.0.
• Паслугі SaaS дазваляюць кліентам уключаць наладжвальныя палітыкі пароляў, каб дапамагчы ўзгадніць паролі паслуг SaaS з карпаратыўнай палітыкай.

Шыфраванне

• OwnBackup прапануе наступныя варыянты службы SaaS для шыфравання даных у стане спакою:
  • Стандартная прапанова.
    • Дадзеныя шыфруюцца з выкарыстаннем сервернага шыфравання AES-256 з дапамогай сістэмы кіравання ключамі, праверанай у адпаведнасці з FIPS 140-2.
    • Шыфраванне канверта выкарыстоўваецца такім чынам, што галоўны ключ ніколі не пакідае апаратны модуль бяспекі (HSM).
    • Ключы ncryption абмяняюцца не радзей, чым кожныя два гады.
  • Опцыя Advanced Key Management (AKM).
    • Даныя шыфруюцца ў спецыяльным кантэйнеры для захоўвання аб'ектаў з дапамогай галоўнага ключа шыфравання (CMK), які прадастаўляецца кліентам.
    • AKM дазваляе ў будучыні архіваваць ключ і ратаваць яго з іншым галоўным ключом шыфравання.
    • Кліент можа адклікаць галоўныя ключы шыфравання, што прывядзе да неадкладнай недаступнасці даных.
  • Прынясіце ўласную сістэму кіравання ключамі (KMS) (даступна толькі на AWS).
    • Ключы шыфравання ствараюцца ва ўласным уліковым запісе кліента, набытым асобна, з дапамогай AWS KMS.
    • Кліент вызначае палітыку ключа шыфравання, якая дазваляе ўліковага запісу SaaS Service кліента на AWS атрымліваць доступ да ключа з уласнай AWS KMS кліента.
    • Даныя шыфруюцца ў спецыяльным кантэйнеры для захоўвання аб'ектаў, якім кіруе OwnBackup, і настроены на выкарыстанне ключа шыфравання кліента.
    • Кліент можа імгненна адклікаць доступ да зашыфраваных даных, адмяніўшы доступ OwnBackup да ключа шыфравання, не ўзаемадзейнічаючы з OwnBackup.
    • Супрацоўнікі OwnBackup не маюць доступу да ключоў шыфравання і не маюць непасрэднага доступу да KMS.
    • Усе дзеянні па выкарыстанні ключоў рэгіструюцца ў KMS кліента, уключаючы пошук ключоў у спецыяльным сховішчы аб'ектаў.
• Шыфраванне пры перадачы паміж службамі SaaS і староннім крыніцай даных (напрыклад, Salesforce) выкарыстоўвае HTTPS з TLS 1.2+ і OAuth 2.0.

Сетка

• Паслугі SaaS выкарыстоўваюць элементы кіравання сеткай CSP для абмежавання ўваходу і выхаду з сеткі.
• Групы бяспекі з захаваннем стану выкарыстоўваюцца для абмежавання ўваходу і выхаду з сеткі ў аўтарызаваных канечных кропках.
• Паслугі SaaS выкарыстоўваюць шматузроўневую сеткавую архітэктуру, уключаючы некалькі лагічна падзеленых віртуальных прыватных воблакаў Amazon (VPC) або віртуальных сетак Azure (VNets), якія выкарыстоўваюць прыватныя, DMZ і ненадзейныя зоны ў інфраструктуры CSP.
• У AWS абмежаванні канчатковай кропкі VPC S3 выкарыстоўваюцца ў кожным рэгіёне, каб дазволіць доступ толькі з аўтарызаваных VPC.

Маніторынг і аўдыт

• Сістэмы і сеткі SaaS Service кантралююцца на наяўнасць інцыдэнтаў бяспекі, стану сістэмы, парушэнняў у працы сеткі і даступнасці.
• Паслугі SaaS выкарыстоўваюць сістэму выяўлення ўварванняў (IDS) для маніторынгу сеткавай актыўнасці і папярэджання OwnBackup аб падазроных паводзінах.
• Паслугі SaaS выкарыстоўваюць web брандмаўэры прыкладанняў (WAF) для ўсіх публічных web паслугі.
• OwnBackup рэгіструе падзеі прыкладання, сеткі, карыстальніка і аперацыйнай сістэмы на лакальны сервер сістэмнага часопіса і SIEM для пэўнага рэгіёну. Гэтыя часопісы аўтаматычна аналізуюцца і паўторнаviewасуджаны за падазроныя дзеянні і пагрозы. Любыя анамаліі абвастраюцца па меры неабходнасці.
• OwnBackup выкарыстоўвае сістэмы кіравання інфармацыяй аб бяспецы і падзеямі (SIEM), забяспечваючы бесперапынны аналіз бяспекі сетак і асяроддзя бяспекі SaaS Services, папярэджанне карыстальнікаў аб анамаліях, разведку нападаў камандавання і кіравання (C&C), аўтаматызаванае выяўленне пагроз і справаздачнасць аб індыкатарах узлому (IOC). ). Усе гэтыя магчымасці кіруюцца супрацоўнікамі службы бяспекі і аперацый OwnBackup.
• Група рэагавання на інцыдэнты OwnBackup кантралюе псеўданім security@ownbackup.com і пры неабходнасці рэагуе ў адпаведнасці з Планам рэагавання на інцыдэнты (IRP) кампаніі.

Ізаляцыя паміж акаўнтамі

• Паслугі SaaS выкарыстоўваюць пясочніцу Linux для ізаляцыі даных уліковых запісаў кліентаў падчас апрацоўкі. Гэта дапамагае гарантаваць, што любая анамалія (напрыклад,ample, з-за праблемы бяспекі або памылкі праграмнага забеспячэння) застаецца абмежаваным адным уліковым запісам OwnBackup.
• Доступ да даных арандатара кантралюецца праз унікальных карыстальнікаў IAM з дадзенымі tagging, які забараняе неаўтарызаваным карыстальнікам доступ да даных арандатара.

Аварыйнае аднаўленне

• OwnBackup выкарыстоўвае сховішча аб'ектаў CSP для захоўвання зашыфраваных даных кліентаў у некалькіх зонах даступнасці.
• Для даных кліентаў, якія захоўваюцца ў аб'ектным сховішчы, OwnBackup выкарыстоўвае кіраванне версіямі аб'ектаў з аўтаматычным устарэннем, каб падтрымаць адпаведнасць палітыкам аварыйнага аднаўлення і рэзервовага капіравання OwnBackup. Для гэтых аб'ектаў сістэмы OwnBackup распрацаваны для падтрымкі кропкі аднаўлення (RPO) у 0 гадзін (гэта значыць магчымасці аднаўлення любой версіі любога аб'екта ў тым выглядзе, у якім ён існаваў у папярэдні 14-дзённы перыяд).
• Любое неабходнае аднаўленне вылічальнага асобніка выконваецца шляхам перабудовы асобніка на аснове аўтаматызацыі кіравання канфігурацыяй OwnBackup.
• План аварыйнага аднаўлення OwnBackup распрацаваны з улікам 4-гадзіннага мэтавага часу аднаўлення (RTO).

Кіраванне ўразлівасцямі

• OwnBackup выконвае перыядычна web ацэнкі ўразлівасці прыкладанняў, статычны аналіз кода і знешнія дынамічныя ацэнкі ў рамках праграмы бесперапыннага маніторынгу, каб гарантаваць належнае прымяненне і эфектыўную працу сродкаў кантролю бяспекі прыкладанняў.
• Раз у паўгода OwnBackup наймае незалежных старонніх тэсціроўшчыкаў пранікнення для правядзення сеткавых і web ацэнкі ўразлівасці. Аб'ём гэтых знешніх аўдытаў уключае адпаведнасць Open Web Праект бяспекі прыкладанняў (OWASP) 10 лепшых Web Уразлівасці (www.owasp.org).
• Вынікі ацэнкі ўразлівасцяў уключаюцца ў жыццёвы цыкл распрацоўкі праграмнага забеспячэння OwnBackup (SDLC) для ліквідацыі выяўленых уразлівасцяў. Канкрэтныя ўразлівасці расстаўляюцца па прыярытэтах і ўводзяцца ва ўнутраную сістэму білетаў OwnBackup для адсочвання праз дазвол.

Рэагаванне на інцыдэнты

У выпадку патэнцыйнага парушэння бяспекі каманда рэагавання на інцыдэнты OwnBackup правядзе ацэнку сітуацыі і распрацуе адпаведныя стратэгіі змякчэння наступстваў. Калі патэнцыйнае парушэнне будзе пацверджана, OwnBackup неадкладна прыме меры па змякчэнні парушэння і захаванні крыміналістычных доказаў, а таксама паведаміць асноўным кантактным пунктам закранутых кліентаў без неапраўданай затрымкі, каб праінфармаваць іх аб сітуацыі і прадастаўляць абнаўленні статусу рашэння

Бяспечная распрацоўка праграмнага забеспячэння

OwnBackup выкарыстоўвае бяспечныя метады распрацоўкі праграмных прыкладанняў OwnBackup і RevCult на працягу ўсяго жыццёвага цыкла распрацоўкі праграмнага забеспячэння. Гэтыя практыкі ўключаюць статычны аналіз кода, бяспеку Salesforceview для прыкладанняў RevCult і для прыкладанняў OwnBackup, усталяваных у асобніках Salesforce кліентаў, аднарангавы рэview змены кода, абмежаванне доступу да сховішча зыходнага кода на аснове прынцыпу найменшых прывілеяў, а таксама запіс доступу і змяненняў да сховішча зыходнага кода.

Спецыяльная каманда бяспекі

У OwnBackup ёсць спецыяльная каманда па бяспецы з больш чым 100-гадовым сумесным шматгранным вопытам інфармацыйнай бяспекі. Акрамя таго, члены каманды падтрымліваюць шэраг прызнаных у галіны сертыфікатаў, уключаючы, але не абмяжоўваючыся, CISM, CISSP і ISO 27001 вядучых аўдытараў.

Канфідэнцыяльнасць і абарона даных
OwnBackup забяспечвае ўнутраную падтрымку для запытаў доступу суб'ектаў даных, такіх як права на сціранне (права быць забытым) і ананімізацыю, каб падтрымаць захаванне правілаў прыватнасці даных, у тым ліку Агульнага рэгламенту аб абароне даных (GDPR), Закона аб пераноснасці і падсправаздачнасці медыцынскага страхавання (HIPAA) і Закон Каліфорніі аб абароне прыватнасці спажыўцоў (CCPA). OwnBackup таксама дае Дадатак аб апрацоўцы даных, які датычыць законаў аб канфідэнцыяльнасці і абароне даных, уключаючы заканадаўчыя патрабаванні да міжнароднай перадачы даных.

Праверкі даных

OwnBackup праводзіць шэраг праверак, у тым ліку крымінальных, свайго персаналу, які можа мець доступ да даных кліентаў, у залежнасці ад юрысдыкцыі пражывання супрацоўніка на працягу апошніх сямі гадоў у адпаведнасці з дзеючым заканадаўствам.

Страхоўка

OwnBackup падтрымлівае, як мінімум, наступнае страхавое пакрыццё: (a) кампенсацыйнае страхаванне работнікаў у адпаведнасці з усім дзеючым заканадаўствам; (b) страхаванне аўтамабільнай адказнасці для транспартных сродкаў, якія не належаць, і арандаваных транспартных сродкаў з агульным лімітам у 1,000,000 1,000,000 2,000,000 долараў ЗША; (c) страхаванне камерцыйнай агульнай адказнасці (грамадскай адказнасці) з адзіным лімітам страхавання ў памеры 20,000,000 20,000,000 5,000,000 долараў ЗША за выпадак і агульным сукупным пакрыццём у XNUMX XNUMX XNUMX долараў ЗША; (d) страхаванне ад памылак і ўпушчэнняў (прафесійная адказнасць) з лімітам XNUMX XNUMX XNUMX долараў ЗША за падзею і сукупна XNUMX XNUMX XNUMX долараў ЗША, уключаючы асноўныя і дадатковыя ўзроўні, уключаючы кіберадказнасць, тэхналогіі і прафесійныя паслугі, тэхналагічныя прадукты, бяспеку даных і сеткі, рэагаванне на парушэнні, нарматыўнае права абавязацельствы па абароне і штрафах, кібервымагальніцтве і аднаўленні даных; і (e) страхаванне супрацоўнікаў ад несумленнасці/злачынстваў з пакрыццём XNUMX XNUMX XNUMX долараў. OwnBackup прадаставіць Кліенту доказы такой страхоўкі па запыце.

Еўрапейскія палажэнні

Гэты расклад прымяняецца толькі да перадачы персанальных даных (у тым ліку далейшай перадачы) з Еўропы, якая пры адсутнасці прымянення гэтых палажэнняў прывядзе да парушэння або Кліентам, або OwnBackup дзеючых законаў і правілаў аб абароне даных.

Механізм перадачы даных.
Стандартныя дагаворныя пункты прымяняюцца да любой перадачы персанальных даных у адпаведнасці з гэтым DPA з Еўропы ў краіны, якія не забяспечваюць належны ўзровень абароны даных у сэнсе законаў і правілаў аб абароне даных такіх тэрыторый, у той ступені, у якой такая перадача падпарадкоўваецца такія законы і правілы аб абароне даных. OwnBackup уваходзіць у стандартныя дагаворныя пункты ў якасці імпарцёра даных. Дадатковыя ўмовы ў гэтым Дадатку таксама прымяняюцца да такой перадачы даных.

Трансферы ў адпаведнасці са стандартнымі дагаворнымі пунктамі.

• Кліенты, на якіх распаўсюджваюцца стандартныя дагаворныя пункты. Стандартныя дагаворныя пункты і дадатковыя ўмовы, указаныя ў гэтым Дадатку, прымяняюцца да (i) Кліента ў той ступені, у якой Кліент падпадае пад дзеянне Законаў і правілаў Еўропы аб абароне даных, і (ii) да яго ўпаўнаважаных філіялаў. Для мэт Стандартных дагаворных палажэнняў і гэтага Дадатку такія арганізацыі з'яўляюцца «экспарцёрамі даных».
• Модулі. Бакі згаджаюцца з тым, што там, дзе дадатковыя модулі могуць прымяняцца ў рамках Стандартных дагаворных пунктаў, будуць прымяняцца толькі тыя, якія пазначаны як «МОДУЛЬ ДРУГІ: перадача кантролера працэсару».
• Інструкцыя. Інструкцыі, апісаныя ў Пункце 2 вышэй, лічацца інструкцыямі Кліента па апрацоўцы персанальных даных для мэт Пункта 8.1 Стандартных палажэнняў дагавора.
• Прызначэнне новых суб-працэсараў і спіс цяперашніх суб-працэсараў. У адпаведнасці з ВАРЫЯНТАМ 2 Пункта 9(a) Стандартных дагаворных пунктаў, Заказчык згаджаецца з тым, што OwnBackup можа прыцягваць новых субпрацэсараў, як апісана ў пунктах 5.1, 5.b і 5.c вышэй, і што філіялы OwnBackup могуць быць захаваны ў якасці суб-працэсараў -працэсараў, і OwnBackup і афіляваныя асобы OwnBackup могуць прыцягваць старонніх субпрацэсараў у сувязі з прадастаўленнем Паслуг апрацоўкі даных. Бягучы спіс субпрацэсараў, які прыкладаецца ў Дадатку 1.
• Пагадненні субпрацэсара. Бакі згаджаюцца з тым, што перадача даных Суб-апрацоўшчыкам можа абапірацца на механізм перадачы, адрозны ад стандартных дагаворных палажэнняў (напр.ample, абавязковыя карпаратыўныя правілы), і таму пагадненні OwnBackup з такімі субпрацэсарамі могуць не ўключаць або адлюстроўваць Стандартныя дагаворныя пункты, нягледзячы на ​​любыя адваротныя пункты ў пункце 9(b) Стандартных дагаворных пунктаў. Тым не менш, любое такое пагадненне з Суб-апрацоўшчыкам павінна ўтрымліваць абавязацельствы па абароне даных, якія не менш ахоўныя, чым тыя, што ў гэтым DPA ў дачыненні да абароны даных кліента, у той ступені, у якой гэта прымяняецца да паслуг, якія прадстаўляюцца такім Суб-апрацоўшчыкам. Копіі пагадненняў аб субпрацэсары, якія OwnBackup павінен прадастаўляць Кліенту ў адпаведнасці з пунктам 9(c) Стандартных дагаворных палажэнняў, будуць прадастаўляцца OwnBackup толькі па пісьмовым запыце Кліента і могуць мець усю камерцыйную інфармацыю або пункты, не звязаныя з Стандартныя дагаворныя пункты або іх эквівалент, выдалены OwnBackup загадзя.
• Аўдыты і сертыфікацыі. Бакі згаджаюцца, што аўдыт, апісаны ў Пункце 8.9 і Пункце 13(b) Стандартных палажэнняў дагавора, павінен праводзіцца ў адпаведнасці з Пунктам 9 вышэй.
• Сціранне дадзеных. Бакі згаджаюцца з тым, што выдаленне або вяртанне даных, прадугледжаных пунктам 8.5 або пунктам 16(d) Стандартных пунктаў дагавора, павінна ажыццяўляцца ў адпаведнасці з пунктам 8 вышэй, і любая сертыфікацыя выдалення павінна прадастаўляцца OwnBackup толькі па запыце Заказчыка.
• Староннія бенефіцыяры. Бакі згаджаюцца з тым, што, зыходзячы з характару Паслуг SaaS, Заказчык павінен аказваць усю дапамогу, неабходную для таго, каб OwnBackup мог выканаць свае абавязацельствы перад суб'ектамі дадзеных у адпаведнасці з пунктам 3 Стандартных дагаворных пунктаў.
• Ацэнка ўздзеяння. У адпаведнасці з пунктам 14 Стандартных дагаворных палажэнняў бакі правялі аналіз у кантэксце канкрэтных абставін перадачы заканадаўства і практыкі краіны прызначэння, а таксама канкрэтных дадатковых дагаворных, арганізацыйных і тэхнічных ахоўныя меры, якія прымяняюцца, і, грунтуючыся на інфармацыі, вядомай ім у той час, вызначылі, што законы і практыка краіны прызначэння не перашкаджаюць бакам выконваць абавязацельствы кожнага з бакоў у адпаведнасці са Стандартнымі дагаворнымі пунктамі
• Дзеючае права і форум. Бакі пагаджаюцца ў дачыненні да ВАРЫЯНТА 2 пункта 17, што ў выпадку, калі дзяржава-член ЕС, у якой заснаваны экспарцёр даных, не дазваляе правы бенефіцыяра трэцяга боку, стандартныя дагаворныя пункты будуць рэгулявацца заканадаўствам Ірландыя. У адпаведнасці з Пунктам 18, спрэчкі, звязаныя са Стандартнымі дагаворнымі пунктамі, павінны вырашацца ў судах, указаных у Пагадненні, за выключэннем выпадкаў, калі такі суд знаходзіцца не ў дзяржаве-члене ЕС, і ў гэтым выпадку форумам для такіх спрэчак з'яўляюцца суды Ірландыі .
• Дадаткі. У мэтах выканання Стандартных дагаворных пунктаў Дадатак 3: Дэталі апрацоўкі павінны быць уключаны ў ДАДАТАК IA і IB, Дадатак 4: Сродкі кантролю бяспекі OwnBackup (які можа час ад часу абнаўляцца на https://www.ownbackup.com/trust/) павінны быць уключаны ў ДАДАТАК II і Дадатак 1: Бягучы спіс субпрацэсараў (які можа час ад часу абнаўляцца ў https://www.ownbackup.com/legal/sub-p/) уключаны ў ДАДАТАК III.
• Інтэрпрэтацыя. Умовы гэтага Дадатку прызначаны для ўдакладнення, а не для змянення Стандартных дагаворных пунктаў. У выпадку любога канфлікту або неадпаведнасці паміж асноўнай часткай гэтага Дадатку і Стандартнымі дагаворнымі пунктамі, стандартныя дагаворныя пункты маюць перавагу.

Палажэнні, якія прымяняюцца да пераводаў са Швейцарыі

Бакі згаджаюцца, што ў мэтах прымянення Стандартных дагаворных палажэнняў для палягчэння перадачы персанальных даных са Швейцарыі прымяняюцца наступныя дадатковыя палажэнні: (i) Любыя спасылкі на Рэгламент (ЕС) 2016/679 павінны тлумачыцца як спасылка на адпаведныя палажэнні. Федэральнага закона Швейцарыі аб абароне даных і іншых законаў Швейцарыі аб абароне даных («Законы Швейцарыі аб абароне даных»), (ii) Любыя спасылкі на «дзяржаву-член», «дзяржаву-члена ЕС» або «ЕС» будуць інтэрпрэтавацца як спасылка на Швейцарыю , і (iii) Любыя спасылкі на Кантралюючы орган павінны тлумачыцца як спасылкі на Федэральнага ўпаўнаважанага па абароне даных і інфармацыі Швейцарыі.

Палажэнні, якія прымяняюцца да пераводаў са Злучанага Каралеўства

Бакі згаджаюцца з тым, што Дадатак Вялікабрытаніі прымяняецца да перадачы персанальных даных, якія рэгулююцца Законам Вялікабрытаніі аб абароне даных, і будзе лічыцца запоўненым наступным чынам (тэрміны з вялікай літары, не вызначаныя ў іншым месцы, маюць азначэнне, прыведзенае ў Дадатку Вялікабрытаніі):

• Табліца 1: Бакі, іх звесткі і кантакты ўказаны ў Дадатку 3.
• Табліца 2: «Зацверджаныя стандартныя дагаворныя пункты ЕС» з'яўляюцца стандартнымі дагаворнымі пунктамі, выкладзенымі ў гэтым Дадатку 5.
• Табліца 3: Дадаткі I(A), I(B) і II запаўняюцца ў адпаведнасці з раздзелам 2(k) гэтага Дадатку 5.
• Табліца 4: OwnBackup можа выкарыстоўваць неабавязковае права на датэрміновае спыненне, апісанае ў Раздзеле 19 Дадатку да Вялікабрытаніі.

Дакументы / Рэсурсы

Дадатак аб апрацоўцы даных Ownbackup [pdfІнструкцыі Дадатак аб апрацоўцы даных, Дадатак аб апрацоўцы, Дадатак

Спасылкі

• Кіраўніцтва карыстальніка