Addendum Supplementale di Trattamentu di Dati DocuSign

Addendum Supplementale di Trattamentu di Dati DocuSign

Cuntenuti ammuccià
1 COME ESEGUIRE QUESTA DPA
2 COME QUESTA DPA s'applica
3 SCHEDULE 1 Lista currente di i subprocessori
4 SCHEDULE 2 SaaS Services Applicable à Trattamentu di Dati Personali
5 SCHEDULE 3 Dettagli di u Trattamentu
6 SCHEDULE 4 Cuntrolli di sicurezza propiu 3.3
7 SCHEDULE 5 Disposizioni aurupee
8 Documenti / Risorse
8.1 Referenze
9 Posti cunnessi

COME ESEGUIRE QUESTA DPA

  1. Stu DPA Supplementale hè custituitu di duie parti: u corpu principale di u DPA Supplementale, è Schedules 1, 2, 3, 4 è 5.
  2. Stu DPA Supplementale hè statu prefirmatu in nome di Propiu.
  3. Per compie stu DPA Supplementale, u Cliente deve:
    a. Cumplete a Sezione Nome di u Cliente è Indirizzu di u Cliente.
    b. Cumplete l'infurmazioni in a casella di firma è firmate.
    c. Verificate chì l'infurmazioni nantu à Schedule 3 ("Dettagli di u Trattamentu") riflette accuratamente i sughjetti è e categurie di dati da esse trattatu.
    d. Mandate u DPA Supplementale cumpletu è firmatu à Propiu à privacy@owndata.com.

Dopu avè ricevutu u DPA Supplementale validamente cumpletu à questu indirizzu email, stu DPA Supplementale diventerà legalmente vincolante.

A firma di stu DPA Supplementale in a pagina 3 serà cunsiderata cum'è a firma è l'accettazione di e Clausole Contractuali Standard (cumprese i so Appendici) è l'Addendum di u Regnu Unitu, tutti dui incorporati quì per riferimentu.

COME QUESTA DPA s'applica

Se l'entità Cliente chì firma stu DPA Supplementale hè una parte di l'Acordu, stu DPA Supplementale hè un addendum è face parte di l'Accordu o DPA Esistente. In questu casu, l'entità propria chì hè parte di l'Accordu o DPA esistente hè parte di questa DPA.

Se l'entità Cliente chì firma stu DPA Supplementale hà eseguitu un Modulu d'Ordine cù Propiu o u so Affiliatu in cunfurmità cù l'Accordu o DPA Esistente, ma ùn hè micca ellu stessu una parte di l'Accordu o DPA Esistente, stu DPA Supplementale hè un addendum à quellu Forme d'Ordine è Forme d'Ordine di rinnuvamentu applicabili, è a Propria entità chì hè parte di tali Formule d'Ordine hè parte di stu DPA Supplementale.

Se l'entità Cliente chì firma stu DPA Supplementale ùn hè nè una parte di un Modulu d'Ordine nè l'Accordu o DPA Esistente, stu DPA Supplementale ùn hè micca validu è ùn hè micca legalmente vincolante. Questa entità deve dumandà à l'entità Cliente chì hè una parte di l'Accordu o DPA Esistente eseguisce stu DPA Supplementale.

Se l'entità Cliente chì firma u DPA Supplementale ùn hè micca parte di un Modulu d'Ordine nè un Acordu di Abbonamentu Maestru o DPA Esistente direttamente cù Own, ma hè invece un cliente indirettamente per via di un rivenditore autorizatu di servizii Propiu, stu DPA Supplementale ùn hè micca validu è hè micca legalmente vincolante. Questa entità deve cuntattà u rivenditore autorizatu per discutiri se una mudificazione à u so accordu cù quellu rivenditore hè necessaria.

In casu di qualsiasi cunflittu o incongruenza trà stu DPA Supplementale è qualsiasi altru accordu trà Cliente è Propiu (cumpresu, senza limitazione, l'Accordu o DPA Esistente), i termini di stu DPA Supplementale cuntrolanu è prevaleranu.

Stu Addendum Supplementale di Trattamentu di Dati, cumprese i so Schedule è Appendici, ("DPA Supplementale") face parte di l'Addendum di Trattamentu di Dati esistenti identificati sopra ("DPA esistente") trà OwnBackup Inc. ("Propriu") è u Cliente. Cumminatu stu DPA Supplementale è u DPA Esistente formanu l'accordu cumpletu di trattamentu di dati (u "DPA") per documentà l'accordu di e parti in quantu à u Trattamentu di Dati Personali. Se tale entità Cliente è Propiu ùn anu micca firmatu un Acordu, allora stu DPA hè nudu è senza effettu legale.

L'entità Cliente chjamata sopra entra in questa DPA Supplementale per sè stessu è, se qualcunu di i so Affiliati agisce cum'è Controllers di Dati Personali, in nome di quelli Affiliati Autorizzati. Tutti i termini capitalizzati micca definiti quì avè u significatu stabilitu in l'Acordu.

In u cursu di furnisce i servizii SaaS à u Cliente in virtù di l'Accordu, Own pò Trattà Dati Personali in nome di u Cliente. I partiti accettanu i seguenti termini supplementari in quantu à tali Trattamentu.

  1. DEFINIZIONI
    "CCPA" significa l'Attu di Privacy di u Consumatore di California, Cal. Civ. Codice § 1798.100 et. seq., cum'è mudificatu da a California Privacy Rights Act di 2020 è inseme cù qualsiasi regulazione di implementazione.
    "Controller" significa l'entità chì determina i scopi è i mezi di u Trattamentu di Dati Personali è hè cunsideratu ancu riferite à un "affari" cum'è definitu in u CCPA.
    "Client" significa l'entità chjamata sopra è i so Affiliati.
    "Lei è regolamenti di prutezzione di dati" significa tutte e lege è regulamenti di l'Unione Europea è i so
    i Stati membri, u Spaziu Ecunomicu Europeu è i so stati membri, u Regnu Unitu, a Svizzera, i Stati Uniti, u Canada, a Nova Zelanda è l'Australia, è e so suddivisioni pulitiche rispettive, applicabili à u Trattamentu di Dati Personali. Questi includenu, ma ùn sò micca limitati à, i seguenti, in quantu applicabile: u GDPR, a Legge di Proteczione di Dati di u Regnu Unitu, u CCPA, l'Attu di Proteczione di Dati di u Consumatore di Virginia ("VCDPA"), l'Attu di Privacy di Colorado è i regulamenti cunnessi ("CPA"). "), l'Utah Consumer Privacy Act ("UCPA"), è u Connecticut Act Concerning Personal Data Privacy and Online Monitoring (u "CPDPA").
    "Suggettu di dati" significa a persona identificata o identificabile à quale i Dati Personali si riferite è includenu "cunsumatore" cum'è definitu in Leggi è Regolamenti di Prutezzione di Dati. "Europa" significa l'Unione Europea, u Spaziu Economicu Europeu, a Svizzera è u Regnu Unitu. Disposizioni supplementari applicabili à i trasferimenti di Dati Personali da l'Europa sò cuntenuti in Schedule 5. In l'eventu chì Schedule 5 hè sguassatu, u Cliente guarantisce chì ùn hà micca trattatu Dati Personali sottumessu à e Leghji è Regolamenti di Proteczione di Dati di l'Europa.
    "GDPR" significa u Regolamentu (UE) 2016/679 di u Parlamentu Europeu è di u Cunsigliu di u 27 d'aprile di u 2016 nantu à a prutezzione di e persone fisiche in quantu à u trattamentu di e dati persunali è à a libera circulazione di tali dati, è chì abroga a Directiva 95/46 /EC (Regolamentu Generale di Prutezzione di Dati).
    "Gruppu propiu" significa Propiu è i so Affiliati impegnati in u Trattamentu di Dati Personali.
    "Dati persunali" significa qualsiasi informazione riguardante (i) una persona fisica identificata o identificabile è, (ii) una entità giuridica identificata o identificabile (induve tali informazioni sò prutette in modu simile à e dati persunali, infurmazioni persunali, o infurmazioni persunali identificabili in virtù di e Leggi è Regolamenti di Proteczione di Dati applicabili). ), induve per ogni (i) o (ii), tali dati sò Dati di u Cliente.
    "Servizi di Trattamentu di Dati Personali" significa i servizii SaaS elencati in Schedule 2, per quale Own pò trattà Dati Personali.
    "Trattamentu" significa ogni operazione o inseme di operazioni chì sò realizati nantu à Dati Personali, sia o micca per mezu automaticu, cum'è a cullizzioni, a registrazione, l'urganizazione, a strutturazione, l'almacenamiento, l'adattazione o l'alterazione, a ricuperazione, a cunsultazione, l'usu, a divulgazione per trasmissione, diffusione o altrimenti. rende disponibile, allineamentu o cumminazione, restrizzioni, cancellazione o distruzzione.
    "Processeur" significa l'entità chì Tratta i Dati Personali in nome di u Controller, cumpresu cum'è applicabile qualsiasi "furnitore di serviziu" cum'è quellu termine hè definitu da a CCPA.
    "Clausole contrattuali standard" désigne l'annexe à la décision d'exécution de la Commission européenne
    (UE) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) di u 4 di ghjugnu 2021 nantu à Clausole Contractuali Standard per u trasferimentu di dati persunali à i processatori stabiliti in paesi terzi in virtù di u Regolamentu (UE) 2016/679 di u Parlamentu Europeu è di u Cunsigliu di l'Unione Europea è sottumessu à e modifiche necessarie per i Stati Uniti. Regnu è Svizzera descritti in più in Schedule 5.
    "Sub-processore" significa qualsiasi Processatore impegnatu da Propiu, da un membru di u Propiu Gruppu o da un altru Sub-processore.
    "L'autorità di vigilanza" significa un corpu di regulazione governativu o di guvernu chì hà una autorità legale vincolante nantu à u Cliente.
    "Addendum UK" significa l'Addendum di Trasferimentu Internaziunale di Dati di u Regnu Unitu à e Clausole Contractuali Standard di a Cummissione di l'UE (disponibile da u 21 di marzu 2022 à https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), cumpletu cum'è descrittu in Schedule 5.
    "Legge di Proteczione di Dati di u Regnu Unitu" significa u Regolamentu 2016/679 di u Parlamentu Europeu è di u Cunsigliu nantu à a prutezzione di e persone fisiche in quantu à u trattamentu di e dati persunali è à a libera circulazione di tali dati in quantu face parte di a lege di l'Inghilterra è u Galles, a Scozia è u Nordu. L'Irlanda in virtù di a sezione 3 di l'Attu 2018 di l'Unione Europea (Retirata), cum'è pò esse mudificatu da u tempu à u tempu da e Leghji è Regolamenti di Proteczione di Dati di u Regnu Unitu.
  2. ORDINE DI PRECEDENZA
    a. À l'eccezzioni di e Clausole Contractuali Standard incorporate quì, chì averebbenu precedenza, in casu di qualsiasi incongruenza trà stu DPA Supplementale è u DPA Esistente, i termini di u DPA Esistente prevaleranu.
  3. LIMITAZIONE DI RESPONSABILITÀ
    a. In a misura permessa da e Leggi è i Regolamenti di Proteczione di Dati, a responsabilità di ogni parte è di tutti i so Affiliati, inseme in aggregatu, derivanti da o in relazione cù stu DPA Supplementale, sia in cuntrattu, tortu o sottu qualsiasi altra teoria di responsabilità, hè sottumessu à e clausole "Limite di Responsabilità", è tali altre clausole chì escludenu o limitanu a responsabilità, di l'Acordu, è qualsiasi riferimentu in tali clausole à a responsabilità di una parte significa a responsabilità aggregata di quella parte è di tutti i so Affiliati.
  4. CAMBIAMENTI À I MECANISMI DI TRASFERIMENTU
    a. In l'eventuali chì un meccanismo di trasferimentu attuale invocatu da e parti per a facilità di trasferimentu di Dati Personali à unu o più paesi chì ùn assicuranu micca un livellu adattatu di prutezzione di dati in u sensu di e Leggi è Regolamenti di Proteczione di Dati hè invalidatu, mudificatu , o rimpiazzatu i partiti hà da travaglià in bona fede per promulgà tali miccanisimu di trasferimentu alternativu per attivà u Trattamentu cuntinuatu di Dati Personali contemplati da l'Accordu. L'usu di tali meccanismi di trasferimentu alternativu serà sottumessu à u cumpletu di ogni parte di tutti i requisiti legali per l'usu di tali meccanismi di trasferimentu.

I firmatarii autorizati di i partiti anu debitamente eseguitu stu Acordu, cumpresi tutti i Scheduli, l'Annessi è l'Appendici applicabili incorporati quì.

Firma

Lista di Schedule

Schedule 1: Lista di Sub-Processori attuale
Schedule 2: Servizi SaaS Applicabile à Trattamentu di Dati Personali
Schedule 3: Dettagli di u Trattamentu
Schedule 4: Cuntrolli di sicurezza propiu
Schedule 5: Disposizioni europee

SCHEDULE 1 Lista currente di i subprocessori

Nome di u subprocessore Indirizzu di u sottuprocessore Natura di Trattamentu Durata di Trattamentu Locu di Trattamentu
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israele Assistenza à i clienti è mantenimentu Per u termini di l'accordu. Israele
Amazon Web Services, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, Stati Uniti Hosting d'applicazioni è almacenamiento di dati Per u termini di l'accordu. Stati Uniti, Canada, Germania, Regnu Unitu, o Australia
Microsoft Corporation (Azure) * One Microsoft Way, Redmond, Washington 98052, USA Hosting d'applicazioni è almacenamiento di dati Per u termini di l'accordu. Paesi Bassi o Stati Uniti
Elasticsearch, Inc.** 800 West El Camino Real, Suite 350, Mountain View, California 94040, USA Indexazione è ricerca Per u termini di l'accordu. Paesi Bassi o Stati Uniti

* U Cliente pò sceglie sia Amazon Web Services o Microsoft (Azure) è a so Locazione di Trattamentu desiderata durante a configurazione iniziale di u Cliente di i Servizi SaaS.
** Applica solu à i clienti Archive chì sceglienu di implementà in u Microsoft (Azure) Cloud.

SCHEDULE 2 SaaS Services Applicable à Trattamentu di Dati Personali

  • Recupera per ServiceNow
  • Recupera per a Dinamica
  • Recupera per Salesforce
  • Governance Plus per Salesforce
  • Archive
  • Portate a vostra propria gestione di chjave
  • Accelerate

SCHEDULE 3 Dettagli di u Trattamentu

Esportatore di dati

Nome legale cumpletu: Nome di u Cliente cum'è specificatu sopra
Indirizzu principale: Indirizzu di u Cliente cum'è specificatu sopra
Cuntattu: Se micca altrimenti furnitu, questu serà u cuntattu primariu nantu à u contu Cliente.
Email di cuntattu: Se ùn hè micca furnitu altrimenti, questu serà l'indirizzu email di cuntattu primariu nantu à u contu Cliente.

Importatore di dati 

Nome Legale Completo: OwnBackup Inc.
Indirizzu principale: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Cuntattu: Ufficiale di privacy
Email di cuntattu: privacy@owndata.com

Natura è Scopu di Trattamentu

Own tratterà i Dati Personali in quantu necessariu per eseguisce i servizii SaaS in cunfurmità cù l'Accordu è l'Ordini, è cum'è più struitu da u Cliente in u so usu di i Servizi SaaS.

Durata di Trattamentu

Own tratterà i Dati Personali per a durata di l'Accordu, salvu s'ellu ùn hè micca accunsentutu altrimenti in scrittura.

Ritenimentu

Own conserverà i Dati Personali in i Servizi SaaS per a durata di l'Acordu, salvu s'ellu ùn hè micca accordatu altrimenti per iscritto, sottumessu à u periodu massimu di conservazione specificatu in a Documentazione.

Frequenza di trasferimentu

Cumu determinatu da u Cliente attraversu u so usu di i servizii SaaS.

Trasferimenti à i subprocessori 

Cum'è necessariu per eseguisce i servizii SaaS in cunfurmità cù l'Accordu è l'Ordini, è cum'è descritto in più in Schedule 1.

Categorii di sughjetti di dati

U Cliente pò invià Dati Personali à i Servizi SaaS, a misura di quale hè determinata è cuntrullata da u Cliente à a so sola discrezione, è chì pò include, ma ùn hè micca limitata à Dati Personali riguardanti e seguenti categurie di sughjetti di dati:

  • Prospettivi, clienti, partenarii cummerciale è venditori di Clienti (chì sò persone fisiche)
  • Impiegati o persone di cuntattu di e prospettive di u Cliente, i clienti, i partenarii cummerciale è i venditori
  • Impiegati, agenti, cunsiglieri, freelance di u Cliente (chì sò persone fisiche) L'utilizatori di u Cliente autorizati da u Cliente à utilizà i servizii SaaS

Tipu di Dati Personali

U Cliente pò mandà Dati Personali à i Servizi SaaS, a misura di quale hè determinata è cuntrullata da u Cliente à a so sola discrezione, è chì pò include, ma ùn hè micca limitata à e seguenti categurie di Dati Personali:

  • Nome è cognome
  • Titulu
  • pusizioni
  • patronu
  • L'infurmazione di cuntattu (cumpagnia, email, telefunu, indirizzu fisicu cummerciale)
  • dati ID
  • Dati di vita prufessiunale
  • Dati di vita persunale
  • Dati di localizazione

Categorii speciali di dati (se apprupriati)

U Cliente pò invià categurie speciale di Dati Personali à i Servizi SaaS, a misura di quale hè determinata è cuntrullata da u Cliente à a so sola discrezione, è chì per motivi di chiarezza puderia include u trattamentu di dati genetichi, dati biometrici per u scopu di unicu. identificazione di una persona fisica o dati riguardanti a salute. Vede e misure in Schedule 4 per cumu Own prutege categurie speciale di dati è altri dati persunali.

SCHEDULE 4 Cuntrolli di sicurezza propiu 3.3

  1. Introduzione
    1. L'applicazioni software-as-a-service propiu (Servizi SaaS) sò stati pensati da u principiu cù a sicurità in mente. I servizii SaaS sò architetti cù una varietà di cuntrolli di sicurezza in più livelli per affruntà una serie di risichi di sicurezza. Questi cuntrolli di sicurità sò sottumessi à cambià; in ogni modu, ogni cambiamentu mantene o migliurà a postura di sicurezza generale.
    2. E descrizzioni di i cuntrolli sottu si applicanu à l'implementazioni di u Serviziu SaaS sia in Amazon Web Piattaforme di servizii (AWS) è Microsoft Azure (Azure) (insieme chjamati i nostri Fornitori di servizii di nuvola, o CSP), eccettu ciò chì hè specificatu in a sezione di criptografia sottu. Queste descrizzioni di cuntrolli ùn sò micca applicate à u software RevCult eccettu cum'è furnitu in "Sviluppu di Software Secure" quì sottu.
  2. Audite è Certificazioni
    1. I servizii SaaS sò certificati ISO / IEC 27001: 2013 (Sistema di Gestione di a Sicurezza di l'Informazione) è ISO / IEC 27701: 2019 (Sistema di Gestione di l'Informazione di a Privacy).
    2. Own hè sottumessu à un auditu annuale SOC2 Type II sottu SSAE-18 per verificà in modu indipendenti l'efficacità di e so pratiche di sicurezza di l'infurmazioni, pulitiche, prucedure è operazioni per i seguenti Criteri di servizii di fiducia: Sicurezza, Disponibilità, Confidenziale è Integrità di Trattamentu.
    3. Own utilizza e regioni CSP globale per a so computazione è u almacenamentu per i servizii SaaS. AWS è Azure sò strutture di primu livellu cù parechje accreditazioni, cumprese SOC1 - SSAE-18, SOC2, SOC3, ISO 27001, è HIPAA.
  3. Web Cuntrolli di sicurezza di l'applicazioni
    1. L'accessu di i Clienti à i servizii SaaS hè solu via HTTPS (TLS1.2+), chì stabilisce a criptografia di e dati in transitu trà l'utilizatori finali è l'applicazione è trà Propiu è a fonte di dati di terzu (per esempiu, Salesforce).
    2. L'amministratori di u Serviziu SaaS di u cliente ponu furnisce è annullà l'utilizatori di u Serviziu SaaS è l'accessu assuciatu cumu necessariu.
    3. I servizii SaaS furniscenu cuntrolli d'accessu basatu nantu à u rolu per permette à i clienti di gestisce i permessi multi-org.
    4. L'amministratori di u serviziu SaaS di u cliente ponu accede à i percorsi di audit cumpresi u nome d'utilizatore, l'azzione, u tempuamp, è i campi di l'indirizzu IP fonte. I logs di auditu ponu esse viewed è esportatu da l'amministratore di u serviziu SaaS di u cliente hà logatu in i servizii SaaS è ancu attraversu l'API di i servizii SaaS.
    5. L'accessu à i servizii SaaS pò esse ristrettu da l'indirizzu IP fonte.
    6. I servizii SaaS permettenu à i clienti di attivà l'autentificazione multifattore per accede à i cunti di u serviziu SaaS utilizendu password una volta basate in u tempu.
    7. I servizii SaaS permettenu à i clienti di attivà un sign-on unicu via i fornitori di identità SAML 2.0.
    8. I servizii SaaS permettenu à i clienti di attivà e pulitiche di password persunalizabili per aiutà à allineà e password di u serviziu SaaS à e pulitiche corporative.
  4. Encryption
    1. Own offre e seguenti opzioni di serviziu SaaS per a criptografia di dati in riposu:
      1. Offerta standard.
        • I dati sò criptati cù a criptografia di u latu di u servitore AES-256 via un sistema di gestione di chjave validatu sottu FIPS 140-2.
        • A criptografia di l'envelope hè aduprata in modu chì a chjave maestra ùn lascia mai u Modulu di Sicurezza Hardware (HSM).
        • I chjavi di criptografia sò rotati micca menu di ogni dui anni.
      2. Opzione Advanced Key Management (AKM).
        • I dati sò criptati in un containeru di almacenamiento d'ughjettu dedicatu cù una chjave di criptografia maestra (CMK) furnita da u cliente.
        • AKM permette l'archiviazione futura di a chjave è a rotazione cù una altra chjave di criptografia maestra.
        • U cliente pò revocà i chjavi di criptografia maestra, risultatu in l'inaccessibilità immediata di e dati.
      3. Portate u vostru propiu sistema di gestione di chiavi (KMS) opzione (disponibile solu in AWS).
        • I chjavi di criptografia sò creati in u cuntu propiu di u cliente, acquistatu separatamente utilizendu AWS KMS.
        • U cliente definisce a pulitica di chjave di criptografia chì permette à u contu SaaS Service di u cliente nantu à AWS per accede à a chjave da u KMS AWS di u cliente.
        • I dati sò criptati in un containeru di almacenamiento d'ughjettu dedicatu gestitu da Own, è cunfigurati per utilizà a chjave di criptografia di u cliente.
        • U cliente pò revocà istantaneamente l'accessu à i dati criptati revochendu l'accessu di Own à a chjave di criptografia, senza interagisce cù Own.
        • I propri impiegati ùn anu micca accessu à e chjave di criptografia in ogni mumentu è ùn accede micca direttamente à u KMS.
        • Tutte l'attività d'utilizazione chjave sò registrate in u KMS di u cliente, cumprese a ricuperazione di chjave da u almacenamentu d'ughjettu dedicatu.
      4. A criptografia in transitu trà i servizii SaaS è a fonte di dati di terzu (per esempiu, Salesforce) utilizza HTTPS cù TLS 1.2+ è OAuth 2.0.
  5. Rete
    1. I servizii SaaS utilizanu cuntrolli di rete CSP per limità l'ingressu è l'uscita di a rete.
    2. I gruppi di sicurezza statali sò impiegati per limità l'ingressu è l'uscita di a rete à i punti finali autorizati.
    3. I servizii SaaS utilizanu una architettura di rete multi-livellu, cumprese Amazon Virtual Private Clouds (VPCs) o Azure Virtual Networks (VNets) logicamente separati, sfruttendu zoni privati, DMZ è micca affidabili in l'infrastruttura CSP.
    4. In AWS, e restrizioni VPC S3 Endpoint sò aduprate in ogni regione per permette l'accessu solu da i VPC autorizati.
  6. Monitoraghju è Auditing
    1. I sistemi è e rete di u serviziu SaaS sò monitorati per incidenti di sicurezza, salute di u sistema, anomalie di rete è dispunibilità.
    2. I servizii SaaS utilizanu un sistema di rilevazione di intrusioni (IDS) per monitorà l'attività di a rete è avvisà u Propriu di cumpurtamentu sospettu.
    3. I servizii SaaS utilizanu web firewall d'applicazioni (WAF) per tutti i publichi web servizii.
    4. I logs propiu di l'applicazione, a rete, l'utilizatori è l'avvenimenti di u sistema operatore à un servitore syslog locale è un SIEM specificu di a regione. Questi logs sò automaticamente analizati è riviewed per attività sospette è minacce. Ogni anomalia hè scalata cum'è degne.
    5. Own utilizza l'infurmazioni di sicurezza è i sistemi di gestione di l'avvenimenti (SIEM) chì furniscenu un analisi di sicurezza cuntinuu di e rete di i servizii SaaS è l'ambienti di sicurezza, avvisi di anomalie di l'utilizatori, ricunniscenza di l'attaccu di cummandu è cuntrollu (C&C), rilevazione automatizata di minacce, è rapportu di indicatori di cumprumissu (IOC). ). Tutte queste capacità sò amministrate da u persunale di sicurezza è operazioni di Own.
    6. A squadra di risposta à l'incidentu di Own monitoreghja u security@owndata.com alias è risponde secondu u Pianu di Risposta à l'Incident (IRP) di a cumpagnia quandu hè necessariu.
  7. Isolamentu trà i cunti
    1. I servizii SaaS utilizanu Linux sandboxing per isolà e dati di i cunti di i clienti durante u processu. Questu aiuta à assicurà chì ogni anomalia (per esample, per via di un prublema di sicurezza o un bug di u software) ferma cunfinatu à un unicu contu Propiu.
    2. L'accessu à i dati di l'inquilini hè cuntrullatu da utilizatori IAM unichi cù dati tagging chì impedisce à l'utilizatori micca autorizati di accede à i dati di l'inquilanti.
  8. Recuperazione di disastru
    1. Own usa l'almacenamiento d'oggetti CSP per almacenà dati di i clienti criptati in parechje zone di dispunibilità.
    2. Per i dati di i clienti almacenati in u almacenamentu di l'ughjettu, Own usa a versione di l'ughjettu cù l'anzianu automaticu per sustene u rispettu di e pulitiche di ricuperazione di disastru è di salvezza di Own. Per questi ogetti, i sistemi di Own sò pensati per sustene un ughjettu di puntu di ricuperazione (RPO) di 0 ore (vale à dì, a capacità di restaurà à qualsiasi versione di qualsiasi ughjettu cumu esisteva in u periodu di 14 ghjorni prima).
    3. Ogni ricuperazione necessaria di una istanza di compute hè realizata ricustruendu l'istanza basatu annantu à l'automatizazione di a gestione di a cunfigurazione di Own.
    4. U Pianu di Recuperazione di Disastru di Own hè pensatu per sustene un scopu di tempu di ricuperazione di 4 ore (RTO).
  9. Gestione di a vulnerabilità
    1. Pruprietà propria esegue periodicamente web valutazioni di vulnerabilità di l'applicazioni, analisi di codice staticu è valutazioni dinamiche esterne cum'è parte di u so prugramma di monitoraghju cuntinuu per aiutà à assicurà chì i cuntrolli di sicurezza di l'applicazioni sò applicati bè è operanu in modu efficace.
    2. À una basa semi-annuale, Own assume testers di penetrazione di terze parti indipendenti per eseguisce a rete è web valutazioni di vulnerabilità. U scopu di sti auditi esterni include u cumplimentu contru l'Open Web Prughjettu di sicurezza di l'applicazioni (OWASP) Top 10 Web Vulnerabilità (www.owasp.org).
    3. I risultati di a valutazione di a vulnerabilità sò incorporati in u Ciclu di vita di u sviluppu di u software propiu (SDLC) per rimediare e vulnerabilità identificate. Vulnerabilità specifiche sò priurità è inserite in u sistema di bigliettu internu propiu per u seguimentu attraversu a risoluzione.
  10. Risposta à l'incidente
    1. In casu di una potenziale violazione di sicurezza, u Propiu Squadra di Risposta à l'Incident realicerà una valutazione di a situazione è svilupperà strategie di mitigazione adatte. Se una violazione potenziale hè cunfirmata, Own agirà immediatamente per mitigà a violazione è preservà l'evidenza forensica, è notificà i punti di cuntattu primari di i clienti affettati senza ritardu indebitu per informàli di a situazione è furnisce l'aghjurnamenti di u statutu di risoluzione.
  11. Sviluppu di software sicuru
    1. Own impiega pratiche di sviluppu sicure per l'applicazioni software Own è RevCult in tuttu u ciclu di vita di u sviluppu di u software. Queste pratiche includenu l'analisi di codice staticu, Salesforce security review per l'applicazioni RevCult è per l'applicazioni Proprie installate in l'istanze Salesforce di i clienti, peer review di i cambiamenti di codice, restringenu l'accessu à u repositoriu di u codice fonte basatu annantu à u principiu di u minimu privilegiu, è l'accessu à u repositoriu di u codice fonte è i cambiamenti.
  12. Squadra di Sicurezza Dedicata
    1. Own hà una squadra di sicurezza dedicata cù più di 100 anni di sperienza cumminata di sicurezza di l'informazioni multifacce. Inoltre, i membri di a squadra mantenenu una quantità di certificazioni ricunnisciute da l'industria, cumpresi, ma micca limitati à CISM, CISSP, è ISO 27001 Lead Auditors.
  13. Privacy è Prutezzione di Dati
    1. Own furnisce un supportu nativu per e dumande d'accessu à i sughjetti di dati, cum'è u dirittu di sguassà (dirittu à esse scurdatu) è l'anonimizazione, per sustene u rispettu di i reguli di privacy di dati, cumpresu u Regolamentu Generale di Proteczione di Dati (GDPR), l'Attu di Portabilità è Responsabilità di l'Assicuranza Sanitaria. (HIPAA), è l'Attu di Privacy di u Consumatore di California (CCPA). Own furnisce ancu un Addendum di Trattamentu di Dati per trattà a privacy è e lege di prutezzione di dati, cumprese i requisiti legali per i trasferimenti internaziunali di dati.
  14. Cuntrolli di fondu
    1. Own esegue un pannellu di cuntrolli di background, cumprese cuntrolli di background criminali, di u so persunale chì pò avè accessu à i dati di i clienti, basatu annantu à e ghjuridizione di residenza di l'impiigatu durante i sette anni precedenti, sottumessu à a lege applicabile.
  15. Assicuranza
    Own mantene, almenu, e seguenti assicurazioni assicurative: (a) assicurazione di compensazione di i travagliadori in cunfurmità cù tutte e lege applicabile; (b) l'assicuranza di responsabilità di l'automobile per i veiculi non posseduti è affittati, cù un limitu unicu cumminatu di $ 1,000,000; (c) Assicuranza di responsabilità generale cummerciale (responsabilità publica) cù una cobertura di limitu unicu di $ 1,000,000 per avvenimentu è $ 2,000,000 di copertura generale generale; (d) Assicuranza per errori è omissioni (indennità prufessiunale) cù un limitu di $ 20,000,000 per avvenimentu è $ 20,000,000 aggregate, cumprese i strati primari è eccessivi, è cumprendi a responsabilità cibernetica, tecnulugia è servizii prufessiunali, prudutti tecnologichi, dati è sicurezza di rete, risposta di violazione, regulatori. difesa è penalità, estorsione cibernetica è passività di ricuperazione di dati; è (e) l'assicuranza di disonestà / crimine di l'impiegati cù una cobertura di $ 5,000,000. Propriu furnisce à u Cliente una prova di tale assicurazione nantu à a dumanda.

SCHEDULE 5 Disposizioni aurupee

Stu calendariu s'applicà solu à i trasferimenti di Dati Personali (cumpresi i trasferimenti successivi) da l'Europa chì, in l'absenza di l'applicazione di queste disposizioni, pruvucarà à u Cliente o à u Propriu a violazione di e Leggi è Regolamenti di Proteczione di Dati applicabili.

  1. Meccanismu di trasferimentu per u trasferimentu di dati.
    a) E Clausole Contractuali Standard si applicanu à qualsiasi trasferimentu di Dati Personali in virtù di sta DPA Supplementale da l'Europa à i paesi chì ùn assicuranu micca un livellu adattatu di prutezzione di dati in u sensu di e Leghji è Regolamenti di Proteczione di Dati di tali territorii, in quantu tali trasferimenti sò sottumessi. à tali Leggi è Regolamenti di Prutezzione di Dati. Own entra in e Clausole Contractuali Standard cum'è importatore di dati. I termini supplementari in questa Schedule si applicanu ancu à tali trasferimenti di dati.
  2. Trasferimenti Sughjetti à e Clausole Contractuali Standard.
    a) Clienti coperti da e Clausole Contractuali Standard. Les Clauses Contractuelles Standards et les Conditions additionnelles spécifiées dans cette Schedule s'appliquent à (i) Client, dans la mesure où le Client est assujetti aux Lois et Règlements d'Europe sur la Protection des Données et, (ii) à ses Affiliés Autorisés. Per u scopu di e Clausole Contractuali Standard è di sta Schedule, tali entità sò "esportatori di dati".
    b) Moduli. E Parti accunsenu chì induve i moduli opzionali ponu esse applicati in e Clausole Contractuali Standard, solu quelli marcati "MODULE TWO: Trasferite u controller à u processatore" seranu applicati.
    c) Istruzzioni. I Partiti accunsenu chì l'usu di u Cliente di i Servizii di Trattamentu di Dati Personali in cunfurmità cù l'Accordu è l'APD Esistente sò cunsiderate istruzzioni da u Cliente per trattà Dati Personali per i scopi di Clause 8.1 di e Clausole Contractuali Standard.
    d) Nominazione di novi subprocessori è Lista di subprocessori currenti. In cunfurmità cù l'OPZIONE 2 à a Clausola 9 (a) di e Clausole Contractuali Standard, u Cliente accetta chì Own pò impegnà novi Subprocessori cum'è deskrittu in u DPA Esistente è chì l'Afiliati di Own ponu esse ritenuti cum'è Sub-processers, è Own and Own's Affiliates ponu impegnà. Sub-processori di terzu in cunnessione cù a prestazione di i servizii di Trattamentu di Dati. A lista attuale di Sottoprocessori cum'è allegata cum'è Schedule 1.
    e) Accordi di subprocessori. I partiti accunsenu chì i trasferimenti di dati à i Sottoprocessori ponu s'appoghjanu à un mecanismu di trasferimentu altru da e Clausole Contractuali Standard (per ex.ample, regule corporative vincolanti), è chì l'accordi di Own cù tali Sottoprocessori ùn ponu micca incorpore o riflette e Clausole Contractuali Standard, senza preghjudiziu tuttu u cuntrariu in a clause 9 (b) di e Clausole Contractuali Standard. Tuttavia, un tali accordu cù un Sub-processatore cuntene obblighi di prutezzione di dati micca menu protettivi di quelli in stu DPA Supplementale in quantu à a prutezzione di Dati di u Cliente, in quantu applicabile à i servizii furniti da stu Sottoprocessore. Copie di l'accordi di u Sub-processatore chì devenu esse furnite da Own à u Cliente in cunfurmità cù a Clause 9 (c) di e Clausole Contractuali Standard seranu furnite da Own solu nantu à a dumanda scritta di u Cliente è ponu avè tutte l'infurmazioni cummerciale, o clausole chì ùn sò micca in relazione cù e Clausole Contractuali Standard o u so equivalente, eliminate da Own in anticipu.
    f) Audite è Certificazioni. I partiti accunsenu chì l'auditi descritti in Clause 8.9 è Clause 13 (b) di e Clausole Contractuali Standard seranu realizati in cunfurmità cù i termini di a DPA Esistente.
    g) Cancellazione di dati. I partiti accunsenu chì l'eliminazione o u rinviu di e dati contemplati da a Clause 8.5 o a Clause 16 (d) di e Clausole Contractuali Standard deve esse fattu in cunfurmità cù i termini di a DPA Esistente è ogni certificazione di eliminazione serà furnita da Own solu à u Cliente. dumanda.
    h) Beneficiarii di terzu. I partiti accunsenu chì basatu nantu à a natura di i servizii SaaS, u Cliente furnisce tutta l'assistenza necessaria per permette à Own di risponde à e so obbligazioni à i sughjetti di dati in a Clause 3 di e Clausole Contractuali Standard.
    i) Valutazione di impattu. In cunfurmità cù a Clause 14 di e Clausole Contractuali Standard, i partiti anu realizatu un'analisi, in u cuntestu di e circustanze specifiche di u trasferimentu, di e lege è di e pratiche di u paese di destinazione, è ancu di u supplementu specificu cuntrattuale, organizativu è tecnicu. salvaguardie chì s'applicanu, è, basatu annantu à l'infurmazioni cunnisciute ragiunamente da elli à u mumentu, anu determinatu chì e lege è e pratiche di u paese di destinazione ùn impediscenu micca e parti di cumpiendu l'obbligazioni di ogni parte sottu à e Clausole Contractuali Standard.
    j) Legislature è Forum. I partiti accunsenu, in quantu à l'OPZIONE 2 à a Clause 17, chì in l'eventu chì u Statu Membru di l'UE in u quale l'esportatore di dati hè stabilitu ùn permette micca i diritti di beneficiari di terzu, e Clausole Contractuali Standard seranu guvernate da a lege di Irlanda. In cunfurmità cù a Clausola 18, i disputi assuciati cù e Clausole Contractuali Standard seranu risolti da i tribunali specificati in l'Accordu, salvu chì tali tribunale ùn si trova micca in un Statu Membru di l'UE, in quale casu u foru per tali disputi seranu i tribunali di l'Irlanda. .
    k) Annexes. Per u scopu di l'esekzione di e Clausole Contractuali Standard, Schedule 3: I dettagli di u Trattamentu seranu incorporati cum'è ANNEX IA è IB, Schedule 4: Propi cuntrolli di sicurezza (chì pò esse aghjurnatu di volta in volta à https://www.owndata.com/trust/) deve esse incorporatu cum'è ANNEX II, è Schedule 1: Lista attuale di i subprocessori (cum'è pò esse aghjurnatu di volta in volta à  https://www.owndata.com/legal/sub-p/) deve esse incorporatu cum'è ANNEXE III.
    l) Interpretazione. I termini di stu Schedule sò destinati à chjarificà è micca à mudificà e Clausole Contractuali Standard. In casu di qualsiasi cunflittu o incoerenza trà u corpu di sta Schedule è e Clausole Contractuali Standard, e Clausole Contractuali Standard prevaleranu.
  3. Disposizioni Applicabili à i Trasferimenti da a Svizzera E parti accunsenu chì, per l'applicabilità di e Clausole Contractuali Standard per facilità i trasferimenti di Dati Personali da a Svizzera, s'applicanu e seguenti disposizioni supplementari: (i) Ogni riferimentu à u Regolamentu (UE) 2016/679 deve esse interpretatu per rifarenza à e disposizioni currispondenti. di a Legge federale svizzera nantu à a prutezzione di dati è altre lege svizzere di prutezzione di dati ("Legislazione svizzera di prutezzione di dati"), (ii) Ogni riferimentu à "Statu membru" o "Statu membru di l'UE" o "UE" deve esse interpretatu cum'è riferenza à a Svizzera , è (iii) Ogni riferimentu à l'Autorità di Surveglianza, deve esse interpretatu per riferite à u Cummissariu Federale Svizzeru à a Proteczione di Dati è à l'Informazione.
  4. a) Tabella 1: I partiti, i so dati, è i so cuntatti sò quelli stabiliti in Schedule 3.
    b) Tabella 2: e "Clausule Contractuali Standard di l'UE Appruvate" seranu e Clausole Contractuali Standard cum'è stabilite in questa Schedule 5.
    c) Tableau 3 : Les annexes I(A), I(B) et II sont remplies comme indiqué à la section 2(k) de cette annexe 5.
    d) Tabella 4: Own pò esercite u dirittu di terminazione anticipata facultativa descritta in a Sezione 19 di l'Addendum UK.

Addendum Supplementale di Trattamentu di Dati DocuSign

Documenti / Risorse

Addendum Supplementale di Trattamentu di Dati DocuSign [pdf] Istruzzioni
Addendum Supplementale di Trattamentu di Dati, Addendum di Trattamentu di Dati, Addendum di Trattamentu, Addendum

Referenze

Posti cunnessi

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *