Obsah skrýt
1 Ownbackup Dodatek pro zpracování doplňkových dat
2 Informace o produktu
3 Návod k použití produktu
4 POKYNY DODATKU ZPRACOVÁNÍ DOPLŇKOVÝCH DAT
5 Aktuální seznam sub-procesorů
6 Služby SaaS použitelné pro zpracování osobních údajů
7 Podrobnosti o zpracování
8 Ovládací prvky zabezpečení OwnBackup 3.3
9 Zavedení
10 Evropská ustanovení
11 Dokumenty / zdroje
11.1 Reference

Vlastní záloha-LOGO

Ownbackup Dodatek pro zpracování doplňkových dat

Vlastní záloha-doplňkové-zpracování-dat-dodatek-PRODUKT

Informace o produktu

Produkt je dodatek k dodatečnému zpracování dat (DPA), který poskytuje OwnBackup. Používá se ve spojení se službami SaaS poskytovanými OwnBackup ke zpracování osobních údajů jménem zákazníka.

Klíčové definice

  • Ovladač: Subjekt, který určuje účely a prostředky zpracování Osobních údajů.
  • Zákazník: Výše uvedený subjekt a jeho přidružené společnosti.
  • Subjekt údajů: Identifikovaná nebo identifikovatelná osoba, ke které se osobní údaje vztahují.
  • Evropa: Odkazuje na Evropskou unii, Evropský hospodářský prostor, Švýcarsko a Spojené království.
  • GDPR: General Data Protection Regulation, což je nařízení o ochraně dat a soukromí pro všechny fyzické osoby v rámci Evropské unie a Evropského hospodářského prostoru.

Návod k použití produktu

  1. Tento dodatečný DPA se skládá ze dvou částí: hlavní část doplňkového DPA a plány 1, 2, 3, 4 a 5.
  2. Dodatečná DPA již byla předem podepsána jménem OwnBackup.
  3. Chcete-li dokončit dodatečný DPA, postupujte takto:
    • Vyplňte část Jméno a adresa zákazníka na straně 2.
    • Vyplňte informace v poli podpisu a přihlaste se na straně 3.
    • Ověřte, že informace v Příloze 3 (Podrobnosti o zpracování) přesně odrážejí subjekty a kategorie údajů, které mají být zpracovány.
    • Odešlete vyplněný a podepsaný dodatečný DPA společnosti OwnBackup na adresu privacy@ownbackup.com.
  4. Jakmile OwnBackup obdrží platně vyplněný dodatečný DPA na zadanou e-mailovou adresu, stane se Dodatečný DPA právně závazným.
  5. Podpisem Dodatkového DPA na straně 3 vyjadřujete souhlas se Standardními smluvními ustanoveními a Dodatkem pro Spojené království, které jsou oba začleněny formou odkazu.
  6. V případě jakéhokoli rozporu nebo nesouladu mezi tímto dodatkovým DPA a jakoukoli jinou dohodou mezi zákazníkem a OwnBackup mají přednost podmínky tohoto doplňkového DPA.

POKYNY DODATKU ZPRACOVÁNÍ DOPLŇKOVÝCH DAT

JAK PROVÁDĚT TENTO DPA:

  1. Tento dodatečný DPA se skládá ze dvou částí: hlavní část Doplňkového DPA a plány 1, 2, 3, 4 a 5.
  2. Tento dodatečný DPA byl předem podepsán jménem společnosti OwnBackup.
  3. K vyplnění tohoto doplňkového DPA musí zákazník:
    • a.Vyplňte část Jméno a adresa zákazníka na straně 2.
    • b. Vyplňte informace v poli podpisu a přihlaste se na straně 3.
    • C. Ověřte, že informace v Příloze 3 (MDdetails Of the Processing“) přesně odrážejí předměty a kategorie údajů, které mají být zpracovány
    • d. Vyplněnou a podepsanou doplňkovou DPA zašlete společnosti OwnBackup na adresu privacy@ownbackup.com.

Jakmile OwnBackup obdrží platně vyplněný dodatečný DPA na tuto e-mailovou adresu, stane se tento Dodatečný DPA právně závazný. Podpis tohoto Doplňkového DPA na straně 3 bude považován za podpis a přijetí Standardních smluvních doložek (včetně jejich Dodatků) a Dodatku pro Spojené království, které jsou zde oba zahrnuty formou odkazu.

JAK PLATÍ TENTO DPA

  • Pokud je smluvní stranou této smlouvy zákaznický subjekt podepisující tuto doplňkovou DPA, je tato doplňková DPA dodatkem a tvoří součást smlouvy nebo existující DPA. V takovém případě je subjekt OwnBackup, který je stranou Dohody nebo Stávající DPA, stranou této DPA.
  • Pokud zákaznický subjekt podepisující tento dodatečný DPA vyhotovil formulář objednávky s OwnBackup nebo jeho přidruženou společností v souladu se smlouvou nebo stávajícím DPA, ale sám není stranou smlouvy nebo stávajícího DPA, je tento dodatečný DPA dodatkem k tomuto formuláři objednávky a příslušné formuláře objednávky pro obnovení a subjekt OwnBackup, který je stranou takového formuláře objednávky, je stranou tohoto doplňkového DPA.
  • Pokud subjekt zákazníka podepisující tuto doplňkovou DPA není ani stranou formuláře objednávky ani smlouvy nebo existující DPA, tato doplňková DPA není platná a není právně závazná. Takový subjekt by měl požádat subjekt zákazníka, který je stranou smlouvy nebo stávajícího DPA, aby provedl tento dodatečný DPA.
  • Pokud zákaznický subjekt podepisující doplňkovou DPA není stranou objednávkového formuláře ani rámcové smlouvy o předplatném nebo existující DPA přímo s OwnBackup, ale je zákazníkem nepřímo prostřednictvím autorizovaného prodejce služeb OwnBackup, tato doplňková DPA není platná a je není právně závazný. Takový subjekt by měl kontaktovat autorizovaného prodejce a projednat, zda je potřeba dodatek k jeho smlouvě s tímto prodejcem.
  • V případě jakéhokoli konfliktu nebo nesouladu mezi tímto Dodatečným DPA a jakoukoli jinou dohodou mezi Zákazníkem a OwnBackup (včetně, bez omezení, Smlouvy nebo Stávající DPA), budou mít přednost a přednost podmínky tohoto Doplňkového DPA.

DODATEK ZPRACOVÁNÍ DAT

Jméno zákazníka:
Adresa zákazníka:
Stávající datum DPA:

Tento dodatek o zpracování dodatečných dat, včetně jeho plánů a dodatků (dále jen „dodatečný dodatek o zpracování dat“), tvoří součást stávajícího dodatku o zpracování dat uvedeného výše (dále jen „stávající dodatek o zpracování dat“) mezi společností OwnBackup Inc. (dále jen „vlastní záloha“) a zákazníkem. Kombinace tohoto Doplňkového DPA a Stávající DPA tvoří úplnou smlouvu o zpracování údajů (dále jen „DPA“), která dokumentuje dohodu stran ohledně zpracování osobních údajů. Pokud takový zákaznický subjekt a OwnBackup neuzavřeli smlouvu, pak je tato DPA neplatná a bez právního účinku. Výše uvedený zákaznický subjekt uzavře tento dodatečný DPA sám za sebe, a pokud některá z jeho přidružených společností jedná jako správce osobních údajů, jménem těchto oprávněných přidružených subjektů. Všechny pojmy, které zde nejsou definovány, mají význam uvedený ve smlouvě. V průběhu poskytování služeb SaaS zákazníkovi na základě smlouvy může OwnBackup zpracovávat osobní údaje jménem zákazníka. Strany souhlasí s následujícími doplňujícími podmínkami týkajícími se takového Zpracování.

DEFINICE

  • „CCPA“ znamená kalifornský zákon na ochranu soukromí spotřebitelů, Cal. Civ. Kód S 1798.100 et. násl., ve znění kalifornského zákona o ochraně osobních údajů z roku 2020 a spolu se všemi prováděcími předpisy.
  • „Správce“ znamená subjekt, který určuje účely a prostředky zpracování Osobních údajů a je považován za „podnikání“, jak je definováno v CCPA.
  • „Zákazník“ znamená výše uvedený subjekt a jeho přidružené společnosti.
  • „Zákony a předpisy o ochraně údajů“ znamenají všechny zákony a předpisy Evropské unie a jejích členských států, Evropského hospodářského prostoru a jeho členských států, Spojeného království, Švýcarska, Spojených států, Kanady, Nového Zélandu a Austrálie a jejich příslušné politické podskupiny, které se vztahují na Zpracování osobních údajů. Mezi ně patří, ale nejsou omezeny na následující, v příslušném rozsahu: GDPR, britský zákon o ochraně osobních údajů, CCPA, Virginský zákon o ochraně spotřebitelských dat („VCDPA“), Colorado Privacy Act a související předpisy („CPA“) “), zákon Utah Consumer Privacy Act („UCPA“) a Connecticutský zákon o ochraně osobních údajů a online monitorování („CPDPA“)
  • „Subjekt údajů“ znamená identifikovanou nebo identifikovatelnou osobu, ke které se osobní údaje vztahují, a zahrnuje „spotřebitele“, jak je definováno v zákonech a nařízeních o ochraně osobních údajů.
  • „Evropa“ znamená Evropskou unii, Evropský hospodářský prostor, Švýcarsko a Spojené království. Další ustanovení platná pro přenosy Osobních údajů z Evropy jsou obsažena v Příloze 5. V případě, že Příloha 5 bude odstraněna, Zákazník zaručuje, že nebude zpracovávat Osobní údaje v souladu s evropskými zákony a nařízeními o ochraně údajů.
  • „GDPR“ znamená nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
  • „Skupina OwnBackup“ znamená společnost OwnBackup a její přidružené společnosti zabývající se zpracováním osobních údajů.
  • „Osobní údaje“ jsou jakékoli informace týkající se (i) identifikované nebo identifikovatelné fyzické osoby a (ii) identifikované nebo identifikovatelné právnické osoby (pokud jsou takové informace chráněny podobně jako osobní údaje, osobní údaje nebo osobně identifikovatelné informace podle příslušných údajů Ochranné zákony a předpisy), kde pro každý bod (i) nebo (ii) jsou tato data zákaznická data.
  • „Služby zpracování osobních údajů“ znamenají služby SaaS uvedené v Příloze 2, pro které může OwnBackup zpracovávat osobní údaje.
  • „Zpracování“ znamená jakoukoli operaci nebo soubor operací, které jsou prováděny s Osobními údaji, ať už automatickými prostředky či nikoli, jako je shromažďování, zaznamenávání, organizace, strukturování, ukládání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, zpřístupnění přenosem, šíření nebo jiné zpřístupňování, sladění, kombinaci, omezení, vymazání nebo zničení.
  • „Zpracovatel“ znamená subjekt, který zpracovává osobní údaje jménem správce, včetně případného „poskytovatele služeb“, jak je tento termín definován v CCPA.
  • „Standardní smluvní doložky“ znamená přílohu prováděcího rozhodnutí Evropské komise (EU) 2021/914 https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle nařízení Evropského parlamentu a Rady (EU) 2016/679 a s výhradou požadovaných změn pro Spojené státy Království a Švýcarsko dále popsáno v Dodatku 5.
  • „Dílčí zpracovatel“ znamená jakýkoli procesor zaměstnaný společností OwnBackup, členem skupiny OwnBackup Group nebo jiným dílčím zpracovatelem.
  • „Dozorčí orgán“ znamená vládní nebo vládou pověřený regulační orgán, který má závaznou právní pravomoc nad Zákazníkem.
  • „Dodatek pro Spojené království“ znamená Dodatek Spojeného království pro mezinárodní přenos dat ke standardním smluvním doložkám Komise EU (k dispozici od 21. března 2022 na https://ico.org.uk/for-organisations/guide-to-data-protection/guide -to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), vyplněné podle popisu v Příloze 5.
  • „Zákon Spojeného království o ochraně osobních údajů“ znamená nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které tvoří součást anglického práva. a Wales, Skotsko a Severní Irsko na základě oddílu 3 zákona o Evropské unii (odstoupení) z roku 2018, který může být čas od času pozměněn zákony a předpisy Spojeného království o ochraně údajů.

OBJEDNÁVKA PŘEDCHOZÍ

  • A. S výjimkou zde začleněných Standardních smluvních doložek, které mají přednost, v případě jakéhokoli rozporu mezi tímto dodatečným DPA a Stávajícím DPA mají přednost podmínky Stávající DPA.

OMEZENÍ ODPOVĚDNOSTI

  • A. V rozsahu povoleném zákony a nařízeními o ochraně údajů, odpovědnost každé strany a všech jejích přidružených společností, společně v souhrnu, vyplývající z nebo související s touto doplňkovou DPA, ať už ve smlouvě, deliktu nebo na základě jakékoli jiné teorie odpovědnosti, podléhá ustanovením „Limit odpovědnosti“ a dalším ustanovením Smlouvy, která vylučují nebo omezují odpovědnost, a jakýkoli odkaz v takových ustanoveních na odpovědnost strany znamená souhrnnou odpovědnost této strany a všech jejích přidružených společností.

ZMĚNY PŘENOSOVÝCH MECHANISMŮ

  • A. V případě, že stávající mechanismus předávání, na který se strany spoléhají při usnadnění předávání osobních údajů do jedné nebo více zemí, které nezajišťují přiměřenou úroveň ochrany údajů ve smyslu zákonů a nařízení o ochraně údajů, je pozměněn, , nebo nahradí strany, budou v dobré víře pracovat na zavedení takového alternativního mechanismu přenosu, aby bylo umožněno pokračování ve Zpracování osobních údajů, které předpokládá Smlouva. Použití takového alternativního převodního mechanismu bude podmíněno splněním všech zákonných požadavků pro použití takového převodního mechanismu každou ze stran.

Oprávnění signatáři smluvních stran řádně podepsali tuto smlouvu, včetně všech příslušných příloh, příloh a dodatků, které jsou zde začleněny.

Vlastní záloha-doplňkové-zpracování-dat-Dodatek-FIG-1

Seznam jízdních řádů

  • Plán 1: Aktuální seznam sub-procesorů
  • Plán 2: Služby SaaS použitelné pro zpracování osobních údajů
  • Příloha 3: Podrobnosti o zpracování
  • Plán 4: OwnBackup Security Controls
  • Příloha 5: Evropská ustanovení

ROZVRH 1

Aktuální seznam sub-procesorů

Sub-procesor Jméno Adresa podprocesoru Povaha zpracování Doba zpracování Místo zpracování
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Izrael Zákaznická podpora a údržba Po dobu trvání Smlouvy. Izrael
Amazonka Web Services, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, USA Hosting aplikací a ukládání dat Po dobu trvání Smlouvy. Spojené státy, Kanada, Německo, Velká Británie nebo Austrálie
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, USA Hosting aplikací a ukládání dat Po dobu trvání Smlouvy. Nizozemsko nebo Spojené státy americké
Elasticsearch, Inc.**  

800 West El Camino Real, Suite 350, Mountain View, Kalifornie 94040, USA

 Indexování a vyhledávání Po dobu trvání Smlouvy. Nizozemsko nebo Spojené státy americké
  • Zákazník si může vybrat buď Amazon Web Services nebo Microsoft (Azure) a její požadované umístění zpracování během počátečního nastavení služeb SaaS Zákazníkem.
  • Platí pouze pro zákazníky OwnBackup Archive, kteří se rozhodnou pro nasazení v cloudu Microsoft (Azure).

ROZVRH 2

Služby SaaS použitelné pro zpracování osobních údajů

  • OwnBackup Enterprise pro Salesforce
  • OwnBackup Unlimited pro Salesforce
  • OwnBackup Governance Plus pro Salesforce
  • OwnBackup Archive
  • Přineste si vlastní správu klíčů
  • Osivo v pískovišti

ROZVRH 3

Podrobnosti o zpracování

Exportér dat

  • Celé jméno: Jméno zákazníka, jak je uvedeno výše
  • Hlavní adresa: Adresa zákazníka, jak je uvedeno výše
  • Kontakt: Pokud není uvedeno jinak, jedná se o primární kontakt na zákaznickém účtu.
  • Kontaktní e-mail: Pokud není uvedeno jinak, jedná se o primární kontaktní e-mailovou adresu v zákaznickém účtu.

Importér dat

  • Celé jméno: OwnBackup Inc.
  • Hlavní adresa: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
  • Kontakt: Pověřenec pro ochranu osobních údajů
  • Kontaktní email: privacy@ownbackup.com

Povaha a účel zpracování

  • OwnBackup bude zpracovávat osobní údaje podle potřeby k provádění služeb SaaS v souladu se smlouvou a objednávkami a podle dalších pokynů zákazníka ohledně používání služeb SaaS.

Doba zpracování

  • OwnBackup bude Osobní údaje zpracovávat po dobu trvání Smlouvy, nebude-li písemně dohodnuto jinak.

Udržení

  • OwnBackup bude uchovávat osobní údaje ve službách SaaS po dobu trvání smlouvy, pokud nebude písemně dohodnuto jinak, s výhradou maximální doby uchovávání uvedené v dokumentaci.

Frekvence přenosu

  • Jak určí zákazník při používání služeb SaaS.

Převody na dílčího zpracovatele

  • Podle potřeby k provádění Služeb SaaS podle Smlouvy a Objednávek a jak je dále popsáno v Příloze 1.

Kategorie subjektů údajů
Zákazník může poskytnout osobní údaje službám SaaS, jejichž rozsah určuje a řídí zákazník podle vlastního uvážení a které mohou mimo jiné zahrnovat osobní údaje týkající se následujících kategorií subjektů údajů:

  • Zájemci, zákazníci, obchodní partneři a prodejci zákazníka (což jsou fyzické osoby)
  • Zaměstnanci nebo kontaktní osoby potenciálních zákazníků, zákazníků, obchodních partnerů a prodejců
  • Zaměstnanci, agenti, poradci, nezávislí pracovníci Zákazníka (kteří jsou fyzickými osobami) Uživatelé Zákazníka oprávnění Zákazníka používat Služby SaaS

Typ osobních údajů
Zákazník může do Služeb SaaS odeslat Osobní údaje, jejichž rozsah určuje a řídí Zákazník podle vlastního uvážení a které mohou mimo jiné zahrnovat následující kategorie Osobních údajů:

  • Jméno a příjmení
  • Titul
  • Pozice
  • Zaměstnavatel
  • Kontaktní údaje (firma, email, telefon, fyzická adresa firmy)
  • identifikační údaje
  • Údaje o profesním životě
  • Údaje o osobním životě
  • Lokalizační údaje

Zvláštní kategorie údajů (pokud jsou vhodné)
Zákazník může Službám SaaS předkládat zvláštní kategorie Osobních údajů, jejichž rozsah určuje a kontroluje Zákazník podle vlastního uvážení a které by v zájmu jasnosti mohly zahrnovat zpracování genetických údajů, biometrických údajů za účelem jedinečného identifikaci fyzické osoby nebo údaje týkající se zdraví. Jak OwnBackup chrání zvláštní kategorie dat a další osobní údaje, viz opatření v Příloze 4

ROZVRH 4

Ovládací prvky zabezpečení OwnBackup 3.3

Zavedení

  • Aplikace OwnBackup software-as-a-service (SaaS Services) byly od začátku navrženy s ohledem na bezpečnost. Služby SaaS jsou navrženy s řadou bezpečnostních ovládacích prvků na více úrovních, aby se zabývaly řadou bezpečnostních rizik. Tyto bezpečnostní kontroly se mohou změnit; jakékoli změny však zachovají nebo zlepší celkový stav zabezpečení.
  • Níže uvedené popisy ovládacích prvků se vztahují na implementace služby SaaS na obou serverech Amazon Web Platformy služeb (AWS) a Microsoft Azure (Azure) (společně označované jako naši poskytovatelé cloudových služeb nebo CSP), s výjimkou případů uvedených v části Šifrování níže. Tyto popisy ovládacích prvků se nevztahují na software RevCult s výjimkou případů uvedených v části „Vývoj bezpečného softwaru“ níže.

Audity a certifikace

  • Služby SaaS jsou certifikovány podle ISO/IEC 27001:2013 (systém řízení bezpečnosti informací) a ISO/IEC 27701:2019 (systém řízení informací o soukromí).
  • OwnBackup prochází každoročním auditem SOC2 typu II podle SSAE-18, aby nezávisle ověřil účinnost svých praktik, zásad, postupů a operací v oblasti bezpečnosti informací pro následující kritéria důvěryhodných služeb: bezpečnost, dostupnost, důvěrnost a integrita zpracování.
  • OwnBackup využívá globální regiony CSP pro své výpočty a úložiště pro služby SaaS. AWS a Azure jsou špičková zařízení s několika akreditacemi, včetně SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 a HIPAA.

Web Ovládací prvky zabezpečení aplikací

  • Zákaznický přístup ke Službám SaaS je pouze přes HTTPS (TLS1.2+), který zajišťuje šifrování dat při přenosu mezi koncovým uživatelem a aplikací a mezi OwnBackup a zdrojem dat třetí strany (např. Salesforce).
  • Správci služby SaaS zákazníka mohou podle potřeby zřizovat a zrušit poskytování uživatelů služby SaaS a souvisejícího přístupu.
  • Služby SaaS poskytují řízení přístupu na základě rolí, která zákazníkům umožňují spravovat oprávnění pro více organizací.
  • Správci služby SaaS zákazníka mají přístup k auditním záznamům včetně uživatelského jména, akce a časuampa pole zdrojové IP adresy. Auditní protokoly mohou být viewed a exportovány administrátorem služby SaaS zákazníka přihlášeným do služeb SaaS a také prostřednictvím rozhraní API služeb SaaS.
  • Přístup ke službám SaaS může být omezen zdrojovou IP adresou.
  • Služby SaaS umožňují zákazníkům povolit vícefaktorovou autentizaci pro přístup k účtům služby SaaS pomocí časově založených jednorázových hesel.
  • Služby SaaS umožňují zákazníkům povolit jednotné přihlašování prostřednictvím poskytovatelů identity SAML 2.0.
  • Služby SaaS umožňují zákazníkům povolit přizpůsobitelné zásady hesel, které pomohou sladit hesla služby SaaS s firemními zásadami.

Šifrování
OwnBackup nabízí následující možnosti služby SaaS pro šifrování dat v klidu:
Standardní nabídka.

  • Data jsou šifrována pomocí šifrování AES-256 na straně serveru prostřednictvím systému správy klíčů ověřeného podle FIPS 140-2.
  • Šifrování obálky se používá tak, že hlavní klíč nikdy neopustí hardwarový bezpečnostní modul (HSM).
  • Šifrovací klíče se obměňují minimálně každé dva roky.

Možnost pokročilé správy klíčů (AKM).

  • Data jsou šifrována ve vyhrazeném kontejneru pro ukládání objektů pomocí zákazníkem poskytnutého hlavního šifrovacího klíče (CMK).
  • AKM umožňuje budoucí archivaci klíče a jeho rotaci s jiným hlavním šifrovacím klíčem.
  • Zákazník může zrušit hlavní šifrovací klíče, což má za následek okamžitou nepřístupnost dat.

Možnost Bring Your Own Key Management System (KMS) (k dispozici pouze na AWS).

  • Šifrovací klíče jsou vytvářeny ve vlastním, samostatně zakoupeném účtu zákazníka pomocí AWS KMS.
  • Zákazník definuje zásady šifrovacího klíče, které povolují zákaznickému účtu služby SaaS na AWS přístup ke klíči z vlastního AWS KMS zákazníka.
  • Data jsou šifrována ve vyhrazeném kontejneru úložiště objektů spravovaném OwnBackup a nakonfigurováno pro použití šifrovacího klíče zákazníka.
  • Zákazník může okamžitě zrušit přístup k zašifrovaným datům zrušením přístupu OwnBackup k šifrovacímu klíči, aniž by s OwnBackup interagoval.
  • Zaměstnanci OwnBackup nemají přístup k šifrovacím klíčům kdykoli a nemají přístup přímo do KMS.
  • Všechny klíčové aktivity související s používáním jsou protokolovány v KMS zákazníka, včetně načítání klíčů ve vyhrazeném úložišti objektů.

Šifrování při přenosu mezi službami SaaS a zdrojem dat třetí strany (např. Salesforce) využívá HTTPS s TLS 1.2+ a OAuth 2.0.

Síť

  • Služby SaaS využívají síťové kontroly CSP k omezení vstupu a výstupu ze sítě.
  • Stavové bezpečnostní skupiny se používají k omezení vstupu a výstupu sítě do autorizovaných koncových bodů.
  • Služby SaaS využívají vícevrstvou síťovou architekturu, včetně více, logicky oddělených virtuálních privátních cloudů Amazon (VPC) nebo Azure Virtual Networks (VNets), které využívají privátní, DMZ a nedůvěryhodné zóny v rámci infrastruktury CSP.
  •  V AWS se v každé oblasti používají omezení VPC S3 Endpoint k povolení přístupu pouze z autorizovaných VPC.

Monitorování a auditování

  • Systémy a sítě SaaS Service jsou monitorovány z hlediska bezpečnostních incidentů, stavu systému, abnormalit sítě a dostupnosti.
  • Služby SaaS používají systém detekce narušení (IDS) k monitorování síťové aktivity a upozornění OwnBackup na podezřelé chování.
  • Používání služeb SaaS web aplikační firewally (WAF) pro celou veřejnost web služby.
  • OwnBackup zaznamenává události aplikace, sítě, uživatele a operačního systému na místní server syslog a SIEM pro konkrétní oblast. Tyto protokoly jsou automaticky analyzovány a znovuviewza podezřelou činnost a hrozby. Jakékoli anomálie jsou podle potřeby eskalovány.
  • OwnBackup využívá systémy správy bezpečnostních informací a událostí (SIEM), které poskytují nepřetržitou bezpečnostní analýzu sítí a bezpečnostního prostředí SaaS Services, upozornění na anomálie uživatelů, průzkum útoků velení a řízení (C&C), automatickou detekci hrozeb a hlášení indikátorů kompromitace (IOC). ). Všechny tyto schopnosti jsou spravovány bezpečnostním a provozním personálem OwnBackup.
  • Tým OwnBackup pro reakci na incidenty monitoruje alias security@ownbackup.com a v případě potřeby reaguje podle plánu reakce na incidenty (IRP) společnosti.

Izolace mezi účty

  • Služby SaaS využívají linuxový sandboxing k izolaci dat zákaznických účtů během zpracování. To pomáhá zajistit, že jakákoliv anomálie (napřample, kvůli bezpečnostnímu problému nebo softwarové chybě) zůstává omezena na jediný účet OwnBackup.
  • Přístup k datům nájemců je řízen prostřednictvím jedinečných uživatelů IAM s daty tagging, který znemožňuje neoprávněným uživatelům přístup k datům tenanta.

Obnova po havárii

  • OwnBackup využívá úložiště objektů CSP k ukládání zašifrovaných zákaznických dat v několika zónách dostupnosti.
  • Pro zákaznická data uložená na objektovém úložišti používá OwnBackup verzování objektů s automatickým stárnutím, aby podpořila soulad se zásadami obnovy a zálohování po havárii OwnBackup. Pro tyto objekty jsou systémy OwnBackup navrženy tak, aby podporovaly cíl bodu obnovy (RPO) v délce 0 hodin (tj. schopnost obnovit na libovolnou verzi libovolného objektu tak, jak existoval v předchozích 14 dnech).
  • Jakékoli požadované obnovení výpočetní instance je dosaženo přebudováním instance na základě automatizace správy konfigurace OwnBackup.
  • Plán obnovy po havárii společnosti OwnBackup je navržen tak, aby podporoval 4hodinový cíl doby zotavení (RTO).

Správa zranitelnosti

  • OwnBackup provádí periodicky web hodnocení zranitelnosti aplikací, analýza statického kódu a externí dynamická hodnocení jako součást jeho programu nepřetržitého monitorování, které pomáhají zajistit, aby byly ovládací prvky zabezpečení aplikací správně aplikovány a efektivně fungovaly.
  • Na půlroční bázi si OwnBackup najímá nezávislé penetrační testery třetích stran, aby provedli jak síť, tak web hodnocení zranitelnosti. Rozsah těchto externích auditů zahrnuje shodu s Open Web Projekt zabezpečení aplikací (OWASP) Top 10 Web Chyby zabezpečení (www.owasp.org).
  • Výsledky posouzení zranitelnosti jsou začleněny do životního cyklu vývoje softwaru OwnBackup (SDLC) za účelem nápravy zjištěných zranitelností. Konkrétní zranitelnosti jsou upřednostňovány a zadávány do interního systému lístků OwnBackup pro sledování prostřednictvím řešení.

Odezva na incident

  • V případě potenciálního narušení bezpečnosti tým OwnBackup Incident Response Team vyhodnotí situaci a vypracuje vhodné strategie zmírnění. Pokud se potenciální narušení potvrdí, OwnBackup okamžitě zasáhne, aby narušení zmírnil a zachoval forenzní důkazy, a bez zbytečného prodlení uvědomí primární kontaktní místa dotčených zákazníků, aby je informoval o situaci a poskytl aktualizace stavu řešení.

Zabezpečený vývoj softwaru

  • OwnBackup využívá bezpečné postupy vývoje softwarových aplikací OwnBackup a RevCult po celou dobu životního cyklu vývoje softwaru. Tyto postupy zahrnují analýzu statického kódu, zabezpečení Salesforceview pro aplikace RevCult a pro aplikace OwnBackup nainstalované v zákaznických instancích Salesforce, peer review změn kódu, omezení přístupu k úložišti zdrojového kódu na základě principu nejmenších oprávnění a protokolování přístupu a změn do úložiště zdrojového kódu.

Vyhrazený bezpečnostní tým

  • OwnBackup má specializovaný bezpečnostní tým s více než 100 lety kombinovaných mnohostranných zkušeností s informační bezpečností. Členové týmu navíc udržují řadu uznávaných certifikací, včetně, ale nejen, CISM, CISSP a ISO 27001 vedoucích auditorů.

Ochrana soukromí a dat

  • OwnBackup poskytuje nativní podporu pro žádosti o přístup subjektu údajů, jako je právo na vymazání (právo být zapomenut) a anonymizaci, na podporu dodržování předpisů o ochraně osobních údajů, včetně obecného nařízení o ochraně osobních údajů (GDPR), zákona o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a kalifornského zákona o ochraně soukromí spotřebitelů (CCPA). OwnBackup také poskytuje dodatek o zpracování dat, který řeší zákony na ochranu soukromí a dat, včetně právních požadavků na mezinárodní přenosy dat.

Prověrky pozadí

  •  OwnBackup provádí panel prověrek, včetně prověrek v trestních věcech, u svých zaměstnanců, kteří mohou mít přístup k údajům zákazníků, na základě jurisdikce bydliště zaměstnance během předchozích sedmi let, v souladu s platnými zákony.

Pojištění
OwnBackup udržuje minimálně následující pojistné krytí: (a) pojištění odškodnění pracovníků v souladu se všemi platnými zákony; (b) pojištění odpovědnosti za motorová vozidla pro nevlastněná a pronajatá vozidla s kombinovaným jediným limitem 1,000,000 1,000,000 2,000,000 USD; (c) pojištění obecné odpovědnosti za škodu (veřejnou odpovědnost) s jediným limitním krytím ve výši 20,000,000 20,000,000 5,000,000 USD za událost a obecným souhrnným krytím XNUMX XNUMX XNUMX USD; (d) pojištění chyb a opomenutí (odškodnění při výkonu povolání) s limitem XNUMX XNUMX XNUMX USD na událost a úhrnem XNUMX XNUMX XNUMX USD, včetně primárních a nadbytečných vrstev, včetně kybernetické odpovědnosti, technologických a profesionálních služeb, technologických produktů, zabezpečení dat a sítí, reakce na porušení, regulační odpovědnost za obranu a sankce, kybernetické vydírání a obnovu dat; a (e) pojištění pro nepoctivost/zločin zaměstnance s krytím XNUMX XNUMX XNUMX USD. OwnBackup na požádání poskytne Zákazníkovi důkaz o takovém pojištění.

ROZVRH 5

Evropská ustanovení

Tento harmonogram se vztahuje pouze na přenosy osobních údajů (včetně dalších přenosů) z Evropy, které by v případě nepoužití těchto ustanovení způsobily, že zákazník nebo společnost OwnBackup poruší platné zákony a nařízení o ochraně údajů.

Přenosový mechanismus pro přenosy dat.

  • a) Standardní smluvní klauzule se vztahují na jakékoli přenosy osobních údajů podle této doplňkové DPA z Evropy do zemí, které nezajišťují odpovídající úroveň ochrany údajů ve smyslu zákonů a nařízení o ochraně údajů těchto území, a to v rozsahu, v jakém tyto přenosy podléhají těmto zákonům a nařízením o ochraně osobních údajů. OwnBackup vstupuje do Standardních smluvních doložek jako importér dat. Na takovéto datové přenosy se rovněž vztahují dodatečné podmínky v této Příloze.

Převody V souladu se standardními smluvními ustanoveními.

  • a) Zákazníci, na které se vztahují Standardní smluvní doložky. Standardní smluvní doložky a dodatečné podmínky uvedené v této Příloze se vztahují na (i) Zákazníka v rozsahu, v jakém Zákazník podléhá zákonům a nařízením o ochraně údajů v Evropě, a (ii) jeho Autorizované přidružené společnosti. Pro účely Standardních smluvních doložek a této přílohy jsou takové subjekty „vývozci údajů“.
  • b) Moduly. Strany se dohodly, že tam, kde lze v rámci Standardních smluvních doložek použít volitelné moduly, se použijí pouze ty, které jsou označeny „MODUL DRUHÝ: Přenést správce na zpracovatele“.
  • c) Pokyny. Strany souhlasí s tím, že používání služeb zpracování osobních údajů zákazníkem v souladu se smlouvou a stávajícím DPA se považuje za pokyny zákazníka ke zpracování osobních údajů pro účely článku 8.1 standardních smluvních doložek.
  • d) Jmenování nových dílčích zpracovatelů a seznam stávajících dílčích zpracovatelů. Podle MOŽNOSTI 2 k článku 9(a) Standardních smluvních doložek zákazník souhlasí s tím, že OwnBackup může zapojit nové dílčí zpracovatele, jak je popsáno ve Stávající DPA, a že přidružené společnosti OwnBackup mohou být ponechány jako dílčí zpracovatelé, a že OwnBackup a OwnBackup mohou zapojit třetí přidružené společnosti. Sub-zpracovatelé v souvislosti s poskytováním Služeb zpracování dat. Aktuální seznam dílčích zpracovatelů, který je připojen jako příloha 1.
  • Subdodavatelské smlouvy. Strany se dohodly, že předávání údajů dílčím zpracovatelům se může opírat o jiný mechanismus přenosu, než jsou standardní smluvní doložky (např.ample, závazná podniková pravidla) a že dohody OwnBackup s takovými dílčími zpracovateli proto nemohou zahrnovat nebo odrážet Standardní smluvní doložky, bez ohledu na cokoli opačného v odstavci 9(b) Standardních smluvních doložek. Jakákoli taková smlouva s dílčím zpracovatelem však bude obsahovat povinnosti týkající se ochrany údajů, které nebudou méně chránit než povinnosti uvedené v tomto doplňkovém DPA týkající se ochrany zákaznických údajů, a to v rozsahu použitelném pro služby poskytované tímto dílčím zpracovatelem. Kopie sub-zpracovatelských smluv, které musí OwnBackup poskytnout zákazníkovi podle článku 9(c) standardních smluvních doložek, poskytne OwnBackup pouze na základě písemné žádosti zákazníka a mohou obsahovat veškeré obchodní informace nebo ustanovení nesouvisející s Standardní smluvní doložky nebo jejich ekvivalent, které OwnBackup předem odstraní.
  • f) Audity a certifikace. Strany souhlasí s tím, že audity popsané v článku 8.9 a článku 13(b) standardních smluvních ustanovení budou prováděny v souladu s podmínkami stávajícího DPA.
  • g) Výmaz dat. Strany se dohodly, že vymazání nebo vrácení dat podle článku 8.5 nebo článku 16(d) standardních smluvních doložek bude provedeno v souladu s podmínkami stávajícího DPA a jakékoli potvrzení o vymazání poskytne společnost OwnBackup pouze na základě souhlasu zákazníka. žádost.
  • h) Oprávněné třetí strany. Strany se dohodly, že na základě povahy Služeb SaaS Zákazník poskytne veškerou potřebnou pomoc, aby umožnil společnosti OwnBackup splnit své závazky vůči subjektům údajů podle článku 3 Standardních smluvních doložek.
  • Posouzení dopadů. V souladu s článkem 14 standardních smluvních doložek strany provedly analýzu v kontextu konkrétních okolností převodu, zákonů a zvyklostí cílové země, jakož i konkrétní doplňkové smluvní, organizační a technické ochranná opatření, která se uplatňují, a na základě informací, které jim v té době přiměřeně byly známy, určily, že zákony a praxe země určení nebrání stranám v plnění závazků každé strany podle Standardních smluvních doložek.
  • j) Rozhodné právo a fórum. Strany se s ohledem na MOŽNOST 2 k článku 17 dohodly, že v případě, že členský stát EU, ve kterém je vývozce údajů usazen, nepřipouští práva oprávněných třetích stran, budou se Standardní smluvní doložky řídit právem Irsko. V souladu s článkem 18 budou spory spojené se Standardními smluvními doložkami řešeny soudy uvedenými ve Smlouvě, pokud se takový soud nenachází v členském státě EU, v takovém případě budou fórem pro takové spory soudy v Irsku. .
  • k) Přílohy. Pro účely plnění Standardních smluvních doložek bude příloha 3: Podrobnosti o zpracování začleněna jako PŘÍLOHA IA a IB, příloha 4: Kontroly zabezpečení vlastní zálohy (která může být čas od času aktualizována na https://www.ownbackup.com/trust/) bude začleněna jako PŘÍLOHA II a Plán 1: Aktuální seznam subprocesorů (může být čas od času aktualizován na https://www.ownbackup.com/legal/sub-p/) se začlení jako PŘÍLOHA III.
  • l) Výklad. Účelem podmínek této přílohy je objasnit a nikoli upravit Standardní smluvní doložky. V případě jakéhokoli rozporu nebo nesouladu mezi obsahem této přílohy a Standardními smluvními doložkami mají přednost Standardní smluvní doložky.

Ustanovení platná pro transfery ze Švýcarska
Strany se dohodly, že pro účely použitelnosti Standardních smluvních doložek pro usnadnění předávání Osobních údajů ze Švýcarska se použijí následující dodatečná ustanovení: (i) Veškeré odkazy na nařízení (EU) 2016/679 se vykládají tak, že odkazují na odpovídající ustanovení švýcarský federální zákon o ochraně údajů a další zákony Švýcarska na ochranu údajů („švýcarské zákony na ochranu údajů“), (ii) Veškeré odkazy na „členský stát“ nebo „členský stát EU“ nebo „EU“ se vykládají tak, že odkazují na Švýcarsko, a (iii) Veškeré odkazy na dozorčí úřad se vykládají tak, že odkazují na švýcarského federálního komisaře pro ochranu údajů a informací.

Ustanovení platná pro převody ze Spojeného království.
Strany souhlasí s tím, že Dodatek Spojeného království se vztahuje na přenosy Osobních údajů, které se řídí zákonem Spojeného království o ochraně osobních údajů, a bude považován za dokončený následovně (s termíny s velkým začátečním písmenem, které nejsou jinde definovány a mají definici uvedenou v Dodatku Spojeného království):

  • a) Tabulka 1: Strany, jejich podrobnosti a kontakty jsou uvedeny v příloze 3.
  • b) Tabulka 2: „Schválené standardní smluvní doložky EU“ jsou standardní smluvní doložky uvedené v této příloze 5.
  • c) Tabulka 3: Přílohy I(A), I(B) a II jsou vyplněny tak, jak je uvedeno v části 2(k) této přílohy 5.
  • d) Tabulka 4: OwnBackup může uplatnit volitelné právo na předčasné ukončení popsané v části 19 Dodatku pro Spojené království.

Dokumenty / zdroje

Ownbackup Dodatek pro zpracování doplňkových dat [pdfPokyny
Dodatek o zpracování dodatečných dat, dodatek o zpracování dat, dodatek

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *