Adendwm Prosesu Data Ownbackup

SUT I WEITHREDU'R DPA HWN

1. Mae’r DPA hwn yn cynnwys dwy ran: prif gorff y DPA, ac Atodlenni 1, 2, 3, 4, a 5.
2. Mae'r DPA hwn wedi'i lofnodi ymlaen llaw ar ran OwnBackup.
3. I gwblhau'r DPA hwn, rhaid i'r Cwsmer:
   1. Cwblhewch yr Adran Enw a Chyfeiriad Cwsmer ar dudalen 2.
   2. Cwblhewch y wybodaeth yn y blwch llofnod a llofnodwch ar dudalen 6.
   3. Gwirio bod y wybodaeth yn Atodlen 3 (“Manylion y Prosesu”) yn adlewyrchu’n gywir y pynciau a’r categorïau data sydd i’w prosesu.
   4. Anfonwch y DPA wedi'i gwblhau a'i lofnodi i OwnBackup yn privacy@ownbackup.com.

Ar ôl i OwnBackup dderbyn y DPA wedi'i chwblhau'n ddilys yn y cyfeiriad e-bost hwn, bydd y DPA hwn yn gyfreithiol-rwym.
Ystyrir bod llofnod y DPA hwn ar dudalen 6 yn gyfystyr â llofnodi a derbyn y Cymalau Cytundebol Safonol (gan gynnwys eu hatodiadau) ac Adendwm y DU, y ddau wedi'u hymgorffori yma trwy gyfeirio.

SUT MAE'R DPA HWN YN BERTHNASOL

• Os yw’r endid Cwsmer sy’n llofnodi’r DPA hwn yn barti i’r Cytundeb, mae’r DPA hwn yn atodiad i’r Cytundeb ac yn ffurfio rhan ohono. Mewn achos o’r fath, mae’r endid OwnBackup sy’n barti i’r Cytundeb yn barti i’r DPA hwn.
• Os yw'r endid Cwsmer sy'n llofnodi'r DPA hwn wedi gweithredu Ffurflen Archebu gydag OwnBackup neu ei Gysylltiedig yn unol â'r Cytundeb, ond nad yw ynddo'i hun yn barti i'r Cytundeb, mae'r DPA hwn yn atodiad i'r Ffurflen Archebu honno a'r Ffurflenni Archebu adnewyddu cymwys, a'r OwnBackup endid sy'n barti i Ffurflen Archebu o'r fath yn barti i'r DPA hwn.
• Os nad yw’r endid Cwsmer sy’n llofnodi’r DPA hwn yn barti i Ffurflen Archebu na’r Cytundeb, nid yw’r DPA hwn yn ddilys ac nid yw’n gyfreithiol rwymol. Dylai endid o'r fath ofyn i'r endid Cwsmer sy'n barti i'r Cytundeb weithredu'r DPA hwn.
• Os nad yw’r endid Cwsmer sy’n llofnodi’r DPA yn barti i Ffurflen Archebu nac i Brif Gytundeb Tanysgrifio yn uniongyrchol ag OwnBackup ond yn hytrach yn gwsmer yn anuniongyrchol trwy ailwerthwr awdurdodedig gwasanaethau OwnBackup, nid yw’r DPA hwn yn ddilys ac nid yw’n gyfreithiol rwymol. Dylai endid o'r fath gysylltu â'r ailwerthwr awdurdodedig i drafod a oes angen diwygio ei gytundeb â'r ailwerthwr hwnnw.
• Os bydd unrhyw wrthdaro neu anghysondeb rhwng y DPA hwn ac unrhyw gytundeb arall rhwng Cwsmeriaid ac OwnBackup (gan gynnwys, heb gyfyngiad, y Cytundeb neu unrhyw atodiad prosesu data i'r Cytundeb), bydd telerau'r DPA hwn yn rheoli ac yn drechaf.

Mae'r Adendwm Prosesu Data hwn, gan gynnwys ei Atodlenni a'i Atodiadau, (“DPA”) yn rhan o'r Prif Gytundeb Tanysgrifio neu gytundeb ysgrifenedig neu electronig arall rhwng OwnBackup Inc. (“OwnBackup”) a'r endid Cwsmer a enwir uchod ar gyfer prynu gwasanaethau ar-lein. gan OwnBackup (y “Cytundeb”) i ddogfennu cytundeb y partïon ynghylch Prosesu Data Personol. Os nad yw endid Cwsmer o'r fath ac OwnBackup wedi ymrwymo i Gytundeb, yna mae'r DPA hwn yn ddi-rym ac nid oes iddo unrhyw effaith gyfreithiol.
Mae'r endid Cwsmer a enwir uchod yn ymrwymo i'r DPA hwn drosto'i hun ac, os bydd unrhyw un o'i Gysylltiadau yn gweithredu fel Rheolwyr Data Personol, ar ran y Cysylltiedigion Awdurdodedig hynny. Bydd gan bob term wedi'i gyfalafu nas diffinnir yma yr ystyr a nodir yn y Cytundeb.
Wrth ddarparu Gwasanaethau SaaS i Gwsmer o dan y Cytundeb, gall OwnBackup Brosesu Data Personol ar ran Cwsmer. Mae'r partïon yn cytuno i'r telerau canlynol mewn perthynas â Phrosesu o'r fath.

DIFFINIADAU

• Mae “CCPA” yn golygu Deddf Preifatrwydd Defnyddwyr California, Cal. Civ. Cod § 1798.100 et. seq., fel y'i diwygiwyd gan Ddeddf Hawliau Preifatrwydd California 2020 ac ynghyd ag unrhyw reoliadau gweithredu. Mae “Rheolwr” yn golygu'r endid sy'n pennu pwrpasau a dulliau Prosesu Data Personol ac yr ystyrir ei fod hefyd yn cyfeirio at “fusnes” fel y'i diffinnir yn y CCPA.
• Mae “Cwsmer” yn golygu'r endid a enwir uchod a'i Gysylltiadau.
• Mae “Cyfreithiau a Rheoliadau Diogelu Data” yn golygu holl gyfreithiau a rheoliadau’r Undeb Ewropeaidd a’i aelod-wladwriaethau, yr Ardal Economaidd Ewropeaidd a’i aelod-wladwriaethau, y Deyrnas Unedig, y Swistir, yr Unol Daleithiau, Canada, Seland Newydd ac Awstralia, a’u isadrannau gwleidyddol priodol, sy'n berthnasol i Brosesu Data Personol. Mae’r rhain yn cynnwys, ond heb fod yn gyfyngedig i’r canlynol, i’r graddau sy’n berthnasol: y GDPR, Cyfraith Diogelu Data’r DU, y CCPA, Deddf Diogelu Data Defnyddwyr Virginia (“VCDPA”), Deddf Preifatrwydd Colorado a rheoliadau cysylltiedig (“CPA”). ”), Deddf Preifatrwydd Defnyddwyr Utah (“UCPA”), a Deddf Connecticut ynghylch Preifatrwydd Data Personol a Monitro Ar-lein (“CPDPA”). Mae “Gwrthrych Data” yn golygu’r person adnabyddedig neu adnabyddadwy y mae Data Personol yn ymwneud ag ef ac mae’n cynnwys “defnyddiwr” fel y’i diffinnir mewn Deddfau a Rheoliadau Diogelu Data. ystyr “Ewrop” yw’r Undeb Ewropeaidd, yr Ardal Economaidd Ewropeaidd, y Swistir, a’r Deyrnas Unedig.
• Mae darpariaethau ychwanegol sy'n berthnasol i drosglwyddo Data Personol o Ewrop wedi'u cynnwys yn Atodlen 5. Os bydd Atodlen 5 yn cael ei dileu, mae Cwsmer yn gwarantu na fydd yn prosesu Data Personol sy'n ddarostyngedig i Gyfreithiau a Rheoliadau Diogelu Data Ewrop.
• ystyr “GDPR” yw Rheoliad (UE) 2016/679 Senedd Ewrop a’r Cyngor dyddiedig 27 Ebrill 2016 ar amddiffyn personau naturiol o ran prosesu data personol ac ar symud data o’r fath yn rhydd, ac sy’n diddymu’r Gyfarwyddeb 95/46/EC (Rheoliad Diogelu Data Cyffredinol).
• Mae “OwnBackup Group” yn golygu OwnBackup a'i Gymdeithion sy'n ymwneud â Phrosesu Data Personol.
• Mae “Data Personol” yn golygu unrhyw wybodaeth sy’n ymwneud ag (i) person naturiol adnabyddadwy neu adnabyddadwy a, (ii) endid cyfreithiol a nodwyd neu adnabyddadwy (lle mae gwybodaeth o’r fath wedi’i diogelu yn yr un modd â data personol, gwybodaeth bersonol, neu wybodaeth bersonol adnabyddadwy o dan Ddata cymwys Deddfau a Rheoliadau Diogelu), lle mae data o'r fath yn Ddata Cwsmeriaid ar gyfer pob (i) neu (ii).
• Mae “Gwasanaethau Prosesu Data Personol” yn golygu’r Gwasanaethau SaaS a restrir yn Atodlen 2, y gall OwnBackup brosesu Data Personol ar eu cyfer.
• Mae “prosesu” yn golygu unrhyw weithrediad neu set o weithrediadau a gyflawnir ar Ddata Personol, boed hynny trwy ddulliau awtomatig ai peidio, megis casglu, cofnodi, trefnu, strwythuro, storio, addasu neu newid, adalw, ymgynghori, defnyddio, datgelu trwy drosglwyddo, lledaenu neu wneud ar gael fel arall, aliniad neu gyfuniad, cyfyngu, dileu neu ddinistrio. Mae “Prosesydd” yn golygu'r endid sy'n Prosesu Data Personol ar ran y Rheolydd, gan gynnwys fel y bo'n berthnasol unrhyw “ddarparwr gwasanaeth” fel y diffinnir y term hwnnw gan y CCPA.
• Mae “Cymalau Contractiol Safonol” yn golygu’r Atodiad i benderfyniad gweithredu’r Comisiwn Ewropeaidd (UE) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) dyddiedig 4 Mehefin 2021 ar Gymalau Contractiol Safonol ar gyfer trosglwyddo data personol i broseswyr a sefydlwyd mewn trydydd gwledydd yn unol â Rheoliad (UE) 2016/679 Senedd Ewrop a Chyngor yr Undeb Ewropeaidd ac yn ddarostyngedig i ddiwygiadau gofynnol ar gyfer y Swistir a ddisgrifir ymhellach yn Atodlen 5.
• Mae “is-brosesydd” yn golygu unrhyw Broseswr a ddefnyddir gan OwnBackup, gan aelod o'r Grŵp OwnBackup neu gan Is-brosesydd arall.
• Mae “Awdurdod Goruchwylio” yn golygu corff rheoleiddiol y llywodraeth neu'r llywodraeth sydd ag awdurdod cyfreithiol cyfrwymol dros Gwsmer.
• Mae “Adendwm y DU” yn golygu Adendwm Trosglwyddo Data Rhyngwladol y Deyrnas Unedig i Gymalau Cytundebol Safonol Comisiwn yr UE (ar gael o 21 Mawrth 2022 yn https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -y-cyffredinol-diogelu-data-rheoliad-gdpr/rhyngwladol-trosglwyddo-data-cytundeb-a-arweiniad/), wedi'i gwblhau fel y disgrifir yn Atodlen 5.
• ystyr “Cyfraith Diogelu Data’r DU” yw Rheoliad 2016/679 Senedd Ewrop a’r Cyngor ar ddiogelu personau naturiol o ran prosesu data personol ac ar symud data o’r fath yn rhydd fel y mae’n rhan o gyfraith Lloegr. a Chymru, yr Alban a Gogledd Iwerddon yn rhinwedd adran 3 o Ddeddf yr Undeb Ewropeaidd (Ymadael) 2018, fel y’i diwygir o bryd i’w gilydd gan Ddeddfau a Rheoliadau Diogelu Data’r Deyrnas Unedig

PROSESU DATA PERSONOL

• Cwmpas. Mae'r partïon yn cytuno y bydd y DPA hwn yn berthnasol i Brosesu Data Personol o fewn y Gwasanaethau Prosesu Data Personol yn unig.
• Swyddogaethau'r Pleidiau. Mae'r partïon yn cytuno, o ran Prosesu Data Personol, mai Cwsmer yw'r Rheolydd ac OwnBackup yw'r Prosesydd.
• Prosesu Data Personol gan OwnBackup. Bydd OwnBackup yn trin Data Personol fel Gwybodaeth Gyfrinachol a bydd yn Prosesu Data Personol ar ran ac yn unol â chyfarwyddiadau dogfenedig y Cwsmer yn unig at y dibenion canlynol: (i) Prosesu yn unol â'r Cytundeb a Gorchmynion perthnasol; (ii) Prosesu a gychwynnir gan bersonél Cwsmeriaid yn eu defnydd o'r Gwasanaethau SaaS; a (iii) Prosesu i gydymffurfio â chyfarwyddiadau rhesymol eraill dogfenedig a ddarperir gan y Cwsmer (ee, trwy e-bost) lle mae cyfarwyddiadau o'r fath yn gyson â thelerau'r Cytundeb.
• Cyfyngiadau Prosesu. Ni fydd OwnBackup yn: (i) “gwerthu” na “rhannu” Data Personol, gan fod termau o'r fath wedi'u diffinio mewn Deddfau a Rheoliadau Diogelu Data; (ii) cadw, defnyddio, datgelu neu Brosesu Data Personol at unrhyw ddiben masnachol neu ddiben arall heblaw cyflawni Gwasanaethau SaaS; neu (iii) gadw, defnyddio, neu ddatgelu Data Personol y tu allan i'r berthynas fusnes uniongyrchol rhwng Cwsmeriaid a OwnBackup. Bydd OwnBackup yn cydymffurfio â chyfyngiadau cymwys o dan Gyfreithiau a Rheoliadau Diogelu Data ar gyfuno Data Personol â data personol y mae OwnBackup yn ei dderbyn gan, neu ar ran, person neu bersonau eraill, neu y mae OwnBackup yn ei gasglu o unrhyw ryngweithio rhyngddo ac unrhyw unigolyn.
• Hysbysiad o Gyfarwyddiadau Anghyfreithlon; Prosesu Anawdurdodedig. Bydd OwnBackup yn hysbysu'r Cwsmer ar unwaith os, yn ei farn ef, mae cyfarwyddyd gan Gwsmer yn torri unrhyw Ddeddf neu Reoliad Diogelu Data. Mae’r cwsmer yn cadw’r hawl, ar rybudd, i gymryd camau rhesymol a phriodol i atal ac adfer defnydd anawdurdodedig o Ddata Personol, gan gynnwys defnydd o Ddata Personol nad yw wedi’i awdurdodi yn y DPA hwn.
• Manylion y Prosesu. Testun Prosesu Data Personol gan OwnBackup yw perfformiad y Gwasanaethau SaaS yn unol â'r Cytundeb. Mae hyd y Prosesu, natur a diben y Prosesu, y mathau o Ddata Personol a chategorïau Gwrthrychau Data a Brosesir o dan y DPA hwn wedi'u nodi ymhellach yn Atodlen 3 (Manylion y Prosesu).
• Asesiad Effaith Diogelu Data. Ar gais y Cwsmer, bydd OwnBackup yn cynorthwyo Cwsmer yn rhesymol i gyflawni rhwymedigaeth y Cwsmer o dan Gyfreithiau a Rheoliadau Diogelu Data i gynnal asesiad effaith diogelu data sy'n ymwneud â defnydd y Cwsmer o'r Gwasanaethau SaaS, i'r graddau nad oes gan y Cwsmer fel arall fynediad i'r wybodaeth berthnasol a mae gwybodaeth o'r fath ar gael i OwnBackup. Bydd OwnBackup o gymorth rhesymol i'r Cwsmer yn ei gydweithrediad neu cyn ymgynghori ag Awdurdod Goruchwylio ynghylch unrhyw asesiad effaith diogelu data o'r fath i'r graddau sy'n ofynnol dan Ddeddfau a Rheoliadau Diogelu Data perthnasol.
• Rhwymedigaethau Cwsmeriaid Ynghylch Data Personol. Wrth ddefnyddio'r Gwasanaethau SaaS, bydd Cwsmer yn cydymffurfio â'r Deddfau a'r Rheoliadau Diogelu Data, gan gynnwys unrhyw ofynion perthnasol i roi hysbysiad i a/neu gael caniatâd Gwrthrychau Data ar gyfer Prosesu trwy OwnBackup. Bydd y cwsmer yn sicrhau bod ei gyfarwyddiadau ar gyfer Prosesu Data Personol yn cydymffurfio â Chyfreithiau a Rheoliadau Diogelu Data.
• Y cwsmer yn unig fydd yn gyfrifol am gywirdeb, ansawdd a chyfreithlondeb Data Personol a'r modd y mae'r Cwsmer yn caffael Data Personol. Bydd y cwsmer yn sicrhau na fydd ei ddefnydd o’r Gwasanaethau SaaS yn torri hawliau unrhyw Wrthrych Data sydd wedi optio allan o werthu, rhannu, neu ddatgeliadau eraill o Ddata Personol, i’r graddau sy’n berthnasol. Bydd y cwsmer yn sicrhau nad yw Data Cwsmer yn cynnwys unrhyw ddata sy'n gymwys fel data iechyd personol a ddiogelir o dan Erthygl L.1111-8 o God Iechyd Cyhoeddus Ffrainc

CEISIADAU AM DDATA CWSMER

• Ceisiadau gan Wrthrychau Data. Bydd OwnBackup, i'r graddau a ganiateir yn gyfreithiol, yn hysbysu'r Cwsmer yn brydlon os bydd OwnBackup yn derbyn cais gan Wrthrych y Data i arfer hawl mynediad Gwrthrych y Data, hawl cywiro, hawl i gyfyngu ar Brosesu, hawl i ddileu (“hawl i gael eich anghofio”) , hawl hygludedd data, hawl i wrthwynebu’r Prosesu, neu hawl i beidio â bod yn destun penderfyniad unigol awtomataidd, gyda phob cais o’r fath yn “Gais Gwrthrych Data.” Gan ystyried natur y Prosesu, bydd OwnBackup yn cynorthwyo'r Cwsmer trwy fesurau technegol a threfniadol priodol, cyn belled ag y bo hynny'n bosibl, i gyflawni rhwymedigaeth y Cwsmer i ymateb i Gais Gwrthrych Data o dan Gyfreithiau a Rheoliadau Diogelu Data. Yn ogystal, i'r graddau nad oes gan Gwsmer, yn ei ddefnydd o'r Gwasanaethau SaaS, y gallu i fynd i'r afael â Chais Gwrthrych Data, bydd OwnBackup ar gais y Cwsmer yn defnyddio ymdrechion masnachol-rhesymol i gynorthwyo Cwsmer i ymateb i Gais Gwrthrych Data o'r fath, i'r graddau y mae OwnBackup yn cael ei ganiatáu yn gyfreithiol i wneud hynny ac mae'r ymateb i Gais Gwrthrych Data o'r fath yn ofynnol o dan Gyfreithiau a Rheoliadau Diogelu Data. Lle mae cymorth o'r fath yn fwy na chwmpas y Gwasanaethau SaaS a gontractiwyd, ac i'r graddau a ganiateir yn gyfreithiol, bydd y Cwsmer yn gyfrifol am unrhyw gostau ychwanegol sy'n deillio o'r cymorth.
• Ceisiadau gan Drydydd Partïon Eraill. Os bydd OwnBackup yn derbyn cais gan drydydd parti heblaw Gwrthrych Data (gan gynnwys, heb gyfyngiad, asiantaeth y llywodraeth) am Ddata Cwsmer, bydd OwnBackup lle y caniateir yn ôl y gyfraith yn cyfeirio'r parti sy'n gwneud y cais at y Cwsmer ac yn hysbysu'r Cwsmer yn brydlon am y cais. Lle na chaniateir i OwnBackup yn ôl y gyfraith hysbysu'r Cwsmer am y cais, ni fydd OwnBackup ond yn ymateb i'r parti sy'n gwneud cais os yw'n ofynnol yn ôl y gyfraith i wneud hynny a bydd yn gwneud ymdrechion rhesymol i weithio gyda'r parti sy'n gwneud y cais i gyfyngu ar gwmpas y cais Data Cwsmer. .

PERSONÉL OWNBACKUP

• Cyfrinachedd. Bydd OwnBackup yn sicrhau bod ei bersonél sy'n ymwneud â Phrosesu Data Personol yn cael gwybod am natur gyfrinachol y Data Personol, wedi derbyn hyfforddiant priodol ar eu cyfrifoldebau ac wedi gweithredu cytundebau cyfrinachedd ysgrifenedig. Bydd OwnBackup yn sicrhau bod rhwymedigaethau cyfrinachedd o'r fath yn goroesi terfyniad ymgysylltiad personél.
• Dibynadwyedd. Bydd OwnBackup yn cymryd camau masnachol resymol i sicrhau dibynadwyedd unrhyw bersonél OwnBackup sy'n ymwneud â Phrosesu Data Personol.
• Cyfyngu ar Fynediad. Bydd OwnBackup yn sicrhau bod mynediad OwnBackup at Ddata Personol wedi'i gyfyngu i'r personél hynny sydd angen mynediad o'r fath i gyflawni'r Gwasanaethau SaaS yn unol â'r Cytundeb.
• Swyddog Diogelu Data. Bydd aelodau'r Grŵp OwnBackup yn penodi swyddog diogelu data lle mae angen penodiad o'r fath yn ôl Deddfau a Rheoliadau Diogelu Data. Gellir cyrraedd y person penodedig yn privacy@ownbackup.com.

IS-BROSESWYR

• Penodi Is-broseswyr. Cwsmer yn rhoi caniatâd cyffredinol i OwnBackup benodi Is-broseswyr trydydd parti mewn cysylltiad â’r Gwasanaethau SaaS, yn unol â’r gweithdrefnau a amlinellwyd
  yn y DPA hwn. Mae OwnBackup neu OwnBackup Affiliate wedi ymrwymo i gytundeb ysgrifenedig gyda phob Is-brosesydd sy'n cynnwys rhwymedigaethau diogelu data nad ydynt yn llai amddiffynnol na'r rhai yn y DPA hwn mewn perthynas â
  diogelu Data Cwsmeriaid, i'r graddau sy'n berthnasol i'r gwasanaethau a ddarperir gan Is-brosesydd o'r fath.
• Is-broseswyr Presennol a Hysbysiad o Is-broseswyr Newydd. Mae rhestr o Is-broseswyr ar gyfer Gwasanaethau SaaS, o'r dyddiad y gweithredir y DPA hwn, wedi'i hatodi yn Atodlen 1. Bydd OwnBackup yn hysbysu'r Cwsmer yn ysgrifenedig o unrhyw Is-brosesydd newydd cyn awdurdodi Is-brosesydd newydd o'r fath i Brosesu Data Personol.
• Hawl Gwrthwynebiad ar gyfer Is-broseswyr Newydd. Gall y cwsmer wrthwynebu defnydd OwnBackup o Is-brosesydd newydd trwy hysbysu OwnBackup yn ysgrifenedig o fewn 30 diwrnod ar ôl derbyn hysbysiad a ddisgrifir yn y paragraff blaenorol. Os bydd Cwsmer yn gwrthwynebu Is-brosesydd newydd fel y caniateir yn y frawddeg flaenorol, bydd OwnBackup yn defnyddio ymdrechion masnachol-rhesymol i sicrhau bod newid yn y Gwasanaethau SaaS ar gael i'r Cwsmer neu'n argymell newid i ffurfweddiad y Cwsmer neu'r defnydd o'r Gwasanaethau SaaS, er mwyn osgoi Prosesu Data Personol gan yr Is-brosesydd newydd a wrthwynebir heb roi baich afresymol ar y Cwsmer. Os na all OwnBackup sicrhau bod newid o'r fath ar gael yn y Gwasanaeth SaaS, neu argymell newid o'r fath i ffurfwedd y Cwsmer neu'r defnydd o'r Gwasanaethau SaaS sy'n foddhaol i'r Cwsmer, o fewn cyfnod rhesymol o amser (na fydd yn fwy na 30 diwrnod mewn unrhyw achos ), Gall y cwsmer derfynu'r Ffurflen(ni) Archebu cymwys trwy ddarparu hysbysiad ysgrifenedig i OwnBackup. Mewn digwyddiad o'r fath, bydd OwnBackup yn ad-dalu i'r Cwsmer unrhyw ffioedd rhagdaledig sy'n cwmpasu gweddill tymor Ffurflen(ni) Archebu o'r fath ar ôl y dyddiad terfynu effeithiol, heb osod cosb ar gyfer terfyniad o'r fath ar y Cwsmer.
• Atebolrwydd ar gyfer Is-Broseswyr. Bydd OwnBackup yn atebol am weithredoedd ac anweithiau ei Is-broseswyr i'r un graddau ag y byddai OwnBackup yn atebol pe bai'n perfformio gwasanaethau pob Is-brosesydd yn uniongyrchol o dan delerau'r Ddeddf Diogelu Data hwn.

DIOGELWCH

• Rheolaethau ar gyfer Diogelu Data Cwsmeriaid. Bydd OwnBackup yn cynnal mesurau corfforol, technegol a threfniadol priodol ar gyfer diogelu diogelwch (gan gynnwys amddiffyn rhag Prosesu anawdurdodedig neu anghyfreithlon ac yn erbyn dinistr damweiniol neu anghyfreithlon, colled neu newid neu ddifrod, datgeliad anawdurdodedig o, neu fynediad at Ddata Cwsmer), cyfrinachedd a cywirdeb Data Cwsmeriaid, gan gynnwys Data Personol, yn unol ag Atodlen 4 (Rheolaethau Diogelwch OwnBackup). Ni fydd OwnBackup yn lleihau diogelwch cyffredinol Gwasanaethau SaaS yn sylweddol yn ystod tymor tanysgrifio.
• Adroddiadau Archwilio ac Ardystiadau Trydydd Parti. Ar gais ysgrifenedig y Cwsmer ar gyfnodau rhesymol, ac yn amodol ar y rhwymedigaethau cyfrinachedd yn y Cytundeb, bydd OwnBackup yn sicrhau bod copi o adroddiad archwilio trydydd parti diweddaraf SOC 2 OwnBackup ar gael i'r Cwsmer, ac o unrhyw adroddiadau archwilio ac ardystiadau eraill. Mae OwnBackup ar gael i gwsmeriaid, ar yr amod nad yw Cwsmer yn gystadleuydd i OwnBackup.

DATA CWSMERIAID RHEOLI A HYSBYSIAD DIGWYDDIAD

Mae OwnBackup yn cynnal polisïau a gweithdrefnau rheoli digwyddiadau diogelwch a bydd yn hysbysu'r Cwsmer heb oedi gormodol ar ôl dod yn ymwybodol o ddinistrio damweiniol neu anghyfreithlon, colled, newid, datgeliad anawdurdodedig neu fynediad i Ddata Cwsmer, gan gynnwys Data Personol, a drosglwyddir, a storiwyd neu a Broseswyd fel arall gan OwnBackup neu ei Is-broseswyr y daw OwnBackup yn ymwybodol ohonynt ("Digwyddiad Data Cwsmer"). Bydd OwnBackup yn gwneud ymdrechion rhesymol i nodi achos Digwyddiad Data Cwsmer o'r fath a chymryd camau y mae OwnBackup yn eu hystyried yn angenrheidiol ac yn rhesymol i adfer achos Digwyddiad Data Cwsmer o'r fath i'r graddau y mae'r gwaith adfer o fewn rheolaeth resymol OwnBackup. Ni fydd y rhwymedigaethau yma yn berthnasol i ddigwyddiadau a achosir gan Gwsmer neu ei bersonél.

DYCHWELYD A DILEU DATA CWSMERIAID
Bydd OwnBackup yn dychwelyd Data Cwsmer i'r Cwsmer ac, i'r graddau a ganiateir gan gyfraith berthnasol, yn dileu Data Cwsmer yn unol â'r gweithdrefnau a'r amserlenni a nodir yn y Cytundeb.

ARCHWILIAD

Ar gais y Cwsmer, ac yn amodol ar y rhwymedigaethau cyfrinachedd yn y Cytundeb, bydd OwnBackup yn sicrhau bod gwybodaeth sy'n angenrheidiol i ddangos bod y Grŵp OwnBackup yn cydymffurfio â'r rhwymedigaethau ar gael i'r Cwsmer (neu archwilydd trydydd parti'r Cwsmer ac sydd wedi llofnodi cytundeb peidio â datgelu) sy'n rhesymol dderbyniol i OwnBackup. a nodir yn y DPA hwn a’i rwymedigaethau fel Prosesydd o dan Gyfreithiau a Rheoliadau Diogelu Data ar ffurf holiaduron diogelwch safonol wedi’u cwblhau gan OwnBackup, ardystiadau trydydd parti ac adroddiadau archwilio (e.e., ei Gasglu Gwybodaeth Safonol (SIG) wedi’i gwblhau a Chonsensws Cynghrair Diogelwch Cwmwl holiaduron y Fenter Asesiadau (CSA CAIQ), adroddiad SOC 2 ac adroddiadau cryno ar brofion treiddiad) ac, ar gyfer ei Is-broseswyr, yr ardystiadau trydydd parti a'r adroddiadau archwilio a ddarparwyd ganddynt. Yn dilyn unrhyw hysbysiad gan OwnBackup i'r Cwsmer o ddatgeliad anawdurdodedig gwirioneddol neu yr amheuir yn rhesymol ei fod wedi datgelu Data Personol, yn dilyn cred resymol y Cwsmer fod OwnBackup yn torri ei rwymedigaethau diogelu Data Personol o dan y DPA hwn, neu os oes angen archwiliad o'r fath gan Awdurdod Goruchwylio Cwsmer, Cwsmer. Gall gysylltu ag OwnBackup i ofyn am archwiliad o'r gweithdrefnau sy'n berthnasol i ddiogelu Data Personol. Bydd unrhyw archwiliad o'r fath yn cael ei gynnal o bell, ac eithrio y gall y Cwsmer a/neu ei Awdurdod Goruchwylio gynnal archwiliad ar y safle yn eiddo OwnBackup os yw'n ofynnol gan y Deddfau a Rheoliadau Diogelu Data. Ni fydd unrhyw gais o’r fath yn digwydd fwy nag unwaith y flwyddyn, ac eithrio mewn achos o fynediad anawdurdodedig gwirioneddol neu yr amheuir yn rhesymol ei fod wedi cael mynediad at Ddata Personol. Cyn dechrau unrhyw archwiliad, bydd Cwsmeriaid ac OwnBackup yn cytuno ar gwmpas, amseriad a hyd yr archwiliad. Ni fydd unrhyw archwiliad o Is-brosesydd, y tu hwnt i ailview o adroddiadau, ardystiadau a dogfennaeth sydd ar gael gan yr Is-brosesydd, yn cael eu caniatáu heb ganiatâd yr Is-brosesydd.

CYMORTHAU

• Perthynas Gytundebol. Mae'r endid Cwsmer sy'n llofnodi'r DPA hwn yn gwneud hynny drosto'i hun ac, fel y bo'n berthnasol, yn enw ac ar ran ei Gysylltiadau, a thrwy hynny sefydlu DPA ar wahân rhwng OwnBackup a phob Cysylltiedig o'r fath yn amodol ar ddarpariaethau'r Cytundeb, y Cymal 10 hwn, a Chymal 11 isod. Mae pob Cysylltiedig o'r fath yn cytuno i gael ei rwymo gan y rhwymedigaethau o dan y DPA hwn ac, i'r graddau y bo'n berthnasol, y Cytundeb. Er mwyn osgoi amheuaeth, nid yw ac nid ydynt yn Gysylltiadau o’r fath yn bartïon i’r Cytundeb, a dim ond partïon i’r DPA hwn ydynt. Rhaid i bob mynediad i'r Gwasanaethau SaaS a'r defnydd ohonynt gan Gysylltiadau o'r fath gydymffurfio â'r Cytundeb, a bydd unrhyw doriad o'r Cytundeb gan Gydymaith yn cael ei ystyried yn doriad gan Gwsmer.
• Cyfathrebu. Bydd yr endid Cwsmer sy'n llofnodi'r DPA hwn yn parhau i fod yn gyfrifol am gydgysylltu'r holl gyfathrebu ag OwnBackup o dan y DPA hwn a bydd ganddo'r hawl i wneud a derbyn unrhyw gyfathrebiad mewn perthynas â'r DPA hwn ar ran ei Gysylltiadau.
• Hawliau Cysylltiedig Cwsmer. Pan fo Cydymaith Cwsmer yn dod yn barti i’r DPA hwn gydag OwnBackup, i’r graddau sy’n ofynnol o dan y Cyfreithiau a’r Rheoliadau Diogelu Data perthnasol, bydd ganddo’r hawl i arfer yr hawliau a cheisio rhwymedïau o dan y DPA hwn, yn amodol ar y canlynol:
• Ac eithrio lle bo'n berthnasol Mae Deddfau a Rheoliadau Diogelu Data yn ei gwneud yn ofynnol i'r Cydymaith Cwsmer arfer hawl neu geisio unrhyw rwymedi o dan y DPA hwn yn erbyn OwnBackup yn uniongyrchol, mae'r partïon yn cytuno bod
  • dim ond yr endid Cwsmer a lofnododd y DPA hwn fydd yn arfer unrhyw hawl o'r fath neu'n ceisio unrhyw rwymedi o'r fath ar ran y Cysylltiedig Cwsmer, a (ii) bydd yr endid Cwsmer sy'n llofnodi'r DPA hwn yn arfer unrhyw hawliau o'r fath o dan y DPA hwn nid ar wahân ar gyfer pob Cysylltiedig yn unigol ond mewn modd cyfunol iddo ei hun a'i holl Gysylltiadau â'u gilydd (fel y gosodwyd allan, am example, yng Nghymal 10.3.2 isod).
  • Bydd yr endid Cwsmer sy’n llofnodi’r DPA hwn, wrth gynnal archwiliad a ganiateir o’r gweithdrefnau sy’n berthnasol i ddiogelu Data Personol, yn cymryd pob cam rhesymol i gyfyngu ar unrhyw effaith ar OwnBackup a’i Is-Broseswyr trwy gyfuno, i’r graddau sy’n rhesymol bosibl, nifer o ceisiadau archwilio a wneir ar ei ran ei hun a'i holl Gysylltiadau mewn un archwiliad unigol.

CYFYNGIAD AR ATEBOLRWYDD

• I’r graddau a ganiateir gan Ddeddfau a Rheoliadau Diogelu Data, mae atebolrwydd pob parti a’i holl Gysylltiadau, gyda’i gilydd, yn deillio o’r DPA hwn neu’n gysylltiedig ag ef, boed mewn contract, camwedd neu o dan unrhyw ddamcaniaeth atebolrwydd arall, yn yn amodol ar y cymalau “Terfyn Atebolrwydd”, a chymalau eraill o'r fath sy'n eithrio neu'n cyfyngu atebolrwydd, yn y Cytundeb, ac mae unrhyw gyfeiriad yn y cyfryw gymalau at atebolrwydd parti yn golygu atebolrwydd cyfanredol y parti hwnnw a'i holl Gysylltiadau.

NEWIDIADAU I DREFNIADAU TROSGLWYDDO

• Os bydd mecanwaith trosglwyddo cyfredol y mae’r partïon yn dibynnu arno ar gyfer hwyluso trosglwyddiadau Data Personol i un neu fwy o wledydd nad ydynt yn sicrhau lefel ddigonol o ddiogelu data o fewn ystyr y Deddfau a Rheoliadau Diogelu Data yn cael ei annilysu, caiff ei ddiwygio. , neu eu disodli bydd y partïon yn gweithio'n ddidwyll i weithredu mecanwaith trosglwyddo amgen o'r fath i alluogi'r broses barhaus o Brosesu Data Personol a ystyrir yn y Cytundeb. Bydd defnyddio mecanwaith trosglwyddo amgen o'r fath yn amodol ar gyflawniad pob parti o'r holl ofynion cyfreithiol ar gyfer defnyddio mecanwaith trosglwyddo o'r fath.

Mae llofnodwyr awdurdodedig y partïon wedi gweithredu'r Cytundeb hwn yn briodol, gan gynnwys yr holl Atodlenni, Atodiadau ac Atodiadau cymwys a ymgorfforir yma

CWSMER 

• Arwyddwyd:
• Enw:
• Teitl:
• Dyddiad:

Rhestr o Atodlenni

• Atodlen 1: Rhestr Is-Broseswyr Cyfredol
• Atodlen 2: Gwasanaethau SaaS sy'n Berthnasol i Brosesu Data Personol
• Atodlen 3: Manylion y Prosesu
• Atodlen 4: Rheolyddion Diogelwch OwnBackup
• Atodlen 5: Darpariaethau Ewropeaidd

Rhestr Is-Broseswyr Cyfredol

Gall y cwsmer ddewis naill ai Amazon Web Gwasanaethau neu Microsoft (Azure) a'i Leoliad Prosesu dymunol yn ystod gosodiad cychwynnol y Cwsmer o'r Gwasanaethau SaaS.
Yn berthnasol i gwsmeriaid Archif OAwnBackup yn unig sy'n dewis defnyddio yn y Cwmwl Microsoft (Azure).

Gwasanaethau Saas sy'n Berthnasol i Brosesu Data Personol

• Menter OwnBackup ar gyfer Salesforce
• OwnBackup Unlimited ar gyfer Salesforce
• OwnBackup Governance Plus ar gyfer Salesforce
• Archif OwnBackup
• Dewch â'ch Rheolaeth Allwedd Eich Hun
• Hadu Blwch Tywod

Manylion y Prosesu

Allforiwr Data

• Enw Cyfreithiol Llawn: Enw Cwsmer fel y nodir uchod
• Prif gyfeiriad: Cyfeiriad Cwsmer fel y nodir uchod
• Cyswllt: Os na ddarperir fel arall hwn fydd y prif gyswllt ar y cyfrif Cwsmer.
• E-bost Cyswllt: Os na ddarperir fel arall dyma'r prif gyfeiriad e-bost cyswllt ar y cyfrif Cwsmer.

Mewnforiwr Data

• Enw Cyfreithiol Llawn: OwnBackup Inc.
• Prif Gyfeiriad: 940 Sylvan Ave, Clogwyni Englewood, NJ 07632, UDA
• Cyswllt: Swyddog Preifatrwydd
• E-bost Cyswllt: privacy@ownbackup.com

Natur a Phwrpas Prosesu

• Bydd OwnBackup yn Prosesu Data Personol yn ôl yr angen i gyflawni'r Gwasanaethau Saa yn unol â'r
• Cytundeb a Gorchmynion, ac yn unol â chyfarwyddiadau pellach gan y Cwsmer yn ei ddefnydd o'r Gwasanaethau SaaS.

Hyd y Prosesu

Bydd OwnBackup yn Prosesu Data Personol am gyfnod y Cytundeb, oni bai y cytunir yn wahanol yn ysgrifenedig.

Cadw
Bydd OwnBackup yn cadw Data Personol yn y Gwasanaethau SaaS am gyfnod y Cytundeb, oni bai y cytunir yn wahanol yn ysgrifenedig, yn amodol ar uchafswm y cyfnod cadw a nodir yn y Dogfennau.

Amlder Trosglwyddo
Fel y penderfynir gan y Cwsmer trwy eu defnydd o'r Gwasanaethau SaaS.

Trosglwyddiadau i Is-broseswyr
Yn ôl yr angen i gyflawni’r Gwasanaethau SaaS yn unol â’r Cytundeb a’r Gorchmynion, ac fel y disgrifir ymhellach yn Atodlen 1.

Categorïau Testunau Data
Gall Cwsmer gyflwyno Data Personol i’r Gwasanaethau SaaS, y mae’r graddau’n cael ei bennu a’i reoli gan y Cwsmer yn ôl ei ddisgresiwn llwyr, ac a all gynnwys ond heb fod yn gyfyngedig i Ddata Personol sy’n ymwneud â’r categorïau canlynol o wrthrychau data:

• Rhagolygon, cwsmeriaid, partneriaid busnes a gwerthwyr Cwsmer (sy'n bersonau naturiol)
• Gweithwyr neu bersonau cyswllt o ragolygon Cwsmer, cwsmeriaid, partneriaid busnes a gwerthwyr
• Gweithwyr, asiantau, cynghorwyr, gweithwyr llawrydd Cwsmeriaid (sy'n bobl naturiol)
• Defnyddwyr cwsmeriaid sydd wedi'u hawdurdodi gan y Cwsmer i ddefnyddio Gwasanaethau SaaS

Math o Ddata Personol
Gall y Cwsmer gyflwyno Data Personol i’r Gwasanaethau SaaS, y mae’r graddau’n cael ei bennu a’i reoli gan y Cwsmer yn ôl ei ddisgresiwn llwyr, ac a all gynnwys ond heb fod yn gyfyngedig i’r categorïau canlynol o

Data Personol:

• Enw cyntaf ac olaf
• Teitl
• Swydd
• Cyflogwr
• Data ID
• Data bywyd proffesiynol
• Gwybodaeth gyswllt (cwmni, e-bost, ffôn, cyfeiriad busnes corfforol)
• Data bywyd personol
• Data lleoleiddio

Categorïau arbennig o ddata (os yw'n briodol)
Gall cwsmer gyflwyno categorïau arbennig o Ddata Personol i’r Gwasanaethau SaaS, y mae’r graddau’n cael eu pennu a’u rheoli gan y Cwsmer yn ôl ei ddisgresiwn llwyr, ac a allai, er mwyn eglurder gynnwys prosesu data genetig, data biometrig at ddiben unigryw. adnabod person naturiol neu ddata yn ymwneud ag iechyd. Gweler y mesurau yn Atodlen 4 ar sut mae OwnBackup yn diogelu categorïau arbennig o ddata a data personol arall.

Rhagymadrodd

1. Cynlluniwyd cymwysiadau meddalwedd-fel-a-gwasanaeth OwnBackup (Gwasanaethau SaaS) o'r dechrau gyda diogelwch mewn golwg. Mae Gwasanaethau SaaS wedi'u pensaernïo ag amrywiaeth o reolaethau diogelwch ar draws haenau lluosog i fynd i'r afael ag ystod o risgiau diogelwch. Gall y rheolaethau diogelwch hyn newid; fodd bynnag, bydd unrhyw newidiadau yn cynnal neu'n gwella'r ystum diogelwch cyffredinol.
2. Mae'r disgrifiadau o reolaethau isod yn berthnasol i weithrediadau Gwasanaeth SaaS ar yr Amazon Web Llwyfannau Gwasanaethau (AWS) a Microsoft Azure (Azure) (y cyfeirir atynt gyda'i gilydd fel ein Darparwyr Gwasanaeth Cwmwl, neu CSPs), ac eithrio fel y nodir yn yr adran Amgryptio isod. Nid yw'r disgrifiadau hyn o reolaethau yn berthnasol i feddalwedd RevCult ac eithrio fel y darperir o dan “Secure Software Development” isod.

Web Rheolaethau Diogelwch Cymwysiadau

• Dim ond trwy HTTPS (TLS1.2+) y ceir mynediad cwsmeriaid i'r Gwasanaethau SaaS, gan sefydlu amgryptio'r data sy'n cael ei gludo rhwng y defnyddiwr terfynol a'r rhaglen a rhwng OwnBackup a'r ffynhonnell ddata trydydd parti (ee Salesforce).
• Gall gweinyddwyr Gwasanaeth SaaS y cwsmer ddarparu a dad-ddarparu defnyddwyr Gwasanaeth SaaS a mynediad cysylltiedig yn ôl yr angen.
• Mae Gwasanaethau SaaS yn darparu ar gyfer rheolaethau mynediad seiliedig ar rôl i alluogi cwsmeriaid i reoli caniatâd aml-org.
• Gall gweinyddwyr Gwasanaeth SaaS y cwsmer gael mynediad at lwybrau archwilio gan gynnwys enw defnyddiwr, gweithred, amserlenamp, a meysydd cyfeiriad IP ffynhonnell. Gall logiau archwilio fod viewed ac allforio gan weinyddwr Gwasanaeth SaaS y cwsmer wedi mewngofnodi i'r Gwasanaethau SaaS yn ogystal â thrwy'r SaaS Gwasanaethau API.
• Gall mynediad i Wasanaethau SaaS gael ei gyfyngu gan gyfeiriad IP ffynhonnell.
• Mae Gwasanaethau SaaS yn galluogi cwsmeriaid i alluogi dilysu aml-ffactor ar gyfer cyrchu cyfrifon Gwasanaeth SaaS gan ddefnyddio cyfrineiriau un-amser seiliedig ar amser.
• Mae Gwasanaethau SaaS yn caniatáu i gwsmeriaid alluogi mewngofnodi sengl trwy ddarparwyr hunaniaeth SAML 2.0.
• Mae Gwasanaethau SaaS yn galluogi cwsmeriaid i alluogi polisïau cyfrinair y gellir eu haddasu i helpu i alinio cyfrineiriau Gwasanaeth SaaS â pholisïau corfforaethol.

Amgryptio

• Mae OwnBackup yn cynnig yr opsiynau Gwasanaeth SaaS canlynol ar gyfer amgryptio data wrth orffwys:
  • Cynnig safonol.
    • Caiff data ei amgryptio gan ddefnyddio amgryptio ochr y gweinydd AES-256 trwy system reoli allweddol a ddilyswyd o dan FIPS 140-2.
    • Defnyddir amgryptio amlen fel na fydd y prif allwedd byth yn gadael y Modiwl Diogelwch Caledwedd (HSM).
    • mae allweddi ncryption yn cael eu cylchdroi dim llai na phob dwy flynedd.
  • Opsiwn Rheoli Allwedd Uwch (AKM).
    • Mae data wedi'i amgryptio mewn cynhwysydd storio gwrthrychau pwrpasol gyda phrif allwedd amgryptio a ddarperir gan y cwsmer (CMK).
    • Mae AKM yn caniatáu ar gyfer archifo'r allwedd yn y dyfodol a'i gylchdroi â phrif allwedd amgryptio arall.
    • Gall y cwsmer ddiddymu prif allweddi amgryptio, gan arwain at anhygyrchedd y data ar unwaith.
  • Dewch â'ch opsiwn System Rheoli Allwedd eich Hun (KMS) (ar gael ar AWS yn unig).
    • Crëir allweddi amgryptio yng nghyfrif y cwsmer ei hun, a brynir ar wahân gan ddefnyddio AWS KMS.
    • Mae'r cwsmer yn diffinio'r polisi allwedd amgryptio sy'n caniatáu i gyfrif Gwasanaeth SaaS y cwsmer ar AWS gael mynediad at yr allwedd o AWS KMS y cwsmer ei hun.
    • Mae data wedi'i amgryptio mewn cynhwysydd storio gwrthrychau pwrpasol a reolir gan OwnBackup, a'i ffurfweddu i ddefnyddio allwedd amgryptio'r cwsmer.
    • Gall y cwsmer ddiddymu mynediad i'r data wedi'i amgryptio yn syth trwy ddirymu mynediad OwnBackup i'r allwedd amgryptio, heb ryngweithio ag OwnBackup.
    • Nid oes gan weithwyr OwnBackup fynediad at yr allweddi amgryptio ar unrhyw adeg ac nid ydynt yn cyrchu'r KMS yn uniongyrchol.
    • Mae'r holl weithgareddau defnydd allweddol yn cael eu cofnodi yn KMS y cwsmer, gan gynnwys adalw allwedd gan y storfa gwrthrychau bwrpasol.
• Mae amgryptio wrth gludo rhwng y Gwasanaethau SaaS a'r ffynhonnell ddata trydydd parti (ee, Salesforce) yn defnyddio HTTPS gyda TLS 1.2+ ac OAuth 2.0.

Rhwydwaith

• Mae Gwasanaethau SaaS yn defnyddio rheolaethau rhwydwaith PDC i gyfyngu ar fynediad ac allanfa rhwydwaith.
• Mae grwpiau diogelwch nodedig yn cael eu cyflogi i gyfyngu ar fynediad ac allanfa rhwydwaith i fannau terfyn awdurdodedig.
• Mae'r Gwasanaethau SaaS yn defnyddio pensaernïaeth rhwydwaith aml-haen, gan gynnwys Cymylau Preifat Rhithwir Amazon (VPCs) lluosog, wedi'u gwahanu'n rhesymegol neu Azure Virtual Networks (VNets), gan drosoli parthau preifat, DMZ, a di-ymddiried o fewn seilwaith PDC.
• Yn AWS, defnyddir cyfyngiadau Terfynbwynt VPC S3 ym mhob rhanbarth i ganiatáu mynediad gan y VPCs awdurdodedig yn unig.

Monitro ac Archwilio

• Mae systemau a rhwydweithiau Gwasanaeth SaaS yn cael eu monitro ar gyfer digwyddiadau diogelwch, iechyd system, annormaleddau rhwydwaith, ac argaeledd.
• Mae Gwasanaethau SaaS yn defnyddio system canfod ymyrraeth (IDS) i fonitro gweithgaredd rhwydwaith a rhybuddio OwnBackup o ymddygiad amheus.
• Mae Gwasanaethau SaaS yn defnyddio web waliau tân cymwysiadau (WAFs) i'r cyhoedd i gyd web gwasanaethau.
• Mae OwnBackup yn cofnodi digwyddiadau cymhwysiad, rhwydwaith, defnyddiwr a system weithredu i weinydd syslog lleol a SIEM rhanbarth-benodol. Mae'r logiau hyn yn cael eu dadansoddi'n awtomatig a'u hailviewgol am weithgarwch a bygythiadau amheus. Caiff unrhyw anghysondebau eu huwchgyfeirio fel y bo'n briodol.
• Mae OwnBackup yn defnyddio systemau gwybodaeth diogelwch a rheoli digwyddiadau (SIEM) sy'n darparu dadansoddiad diogelwch parhaus o rwydweithiau ac amgylchedd diogelwch Gwasanaethau SaaS, rhybuddio am anghysondebau defnyddwyr, rhagchwilio ymosodiadau gorchymyn a rheoli (C&C), canfod bygythiadau awtomataidd, ac adrodd am ddangosyddion cyfaddawd (IOC). ). Mae'r holl alluoedd hyn yn cael eu gweinyddu gan staff diogelwch a gweithrediadau OwnBackup.
• Mae tîm ymateb digwyddiad OwnBackup yn monitro alias security@ownbackup.com ac yn ymateb yn unol â Chynllun Ymateb i Ddigwyddiad (IRP) y cwmni pan fo'n briodol.

Ynysu Rhwng Cyfrifon

• Mae Gwasanaethau SaaS yn defnyddio bocsio tywod Linux i ynysu data cyfrifon cwsmeriaid wrth brosesu. Mae hyn yn helpu i sicrhau bod unrhyw anghysondeb (ar gyfer cynample, oherwydd mater diogelwch neu nam meddalwedd) yn parhau i fod yn gyfyngedig i un cyfrif OwnBackup.
• Mae mynediad data tenantiaid yn cael ei reoli gan ddefnyddwyr IAM unigryw gyda data tagging sy'n atal defnyddwyr anawdurdodedig rhag cyrchu'r data tenantiaid.

Adfer Trychineb

• Mae OwnBackup yn defnyddio storfa gwrthrychau CSP i storio data cwsmeriaid wedi'i amgryptio ar draws parthau argaeledd lluosog.
• Ar gyfer data cwsmeriaid sy'n cael ei storio ar storio gwrthrychau, mae OwnBackup yn defnyddio fersiwn gwrthrychau gyda heneiddio'n awtomatig i gefnogi cydymffurfiaeth â pholisïau adfer ar ôl trychineb a gwneud copi wrth gefn OwnBackup. Ar gyfer y gwrthrychau hyn, mae systemau OwnBackup wedi'u cynllunio i gefnogi amcan pwynt adfer (RPO) o 0 awr (hynny yw, y gallu i adfer i unrhyw fersiwn o unrhyw wrthrych fel yr oedd yn y cyfnod 14 diwrnod blaenorol).
• Cyflawnir unrhyw adferiad gofynnol o enghraifft cyfrifiad trwy ailadeiladu'r enghraifft yn seiliedig ar awtomeiddio rheoli cyfluniad OwnBackup.
• Mae Cynllun Adfer ar ôl Trychineb OwnBackup wedi'i gynllunio i gefnogi amcan amser adfer 4 awr (RTO).

Rheoli Agored i Niwed

• Mae OwnBackup yn perfformio'n gyfnodol web asesiadau bregusrwydd cymwysiadau, dadansoddiad cod statig, ac asesiadau deinamig allanol fel rhan o'i raglen fonitro barhaus i helpu i sicrhau bod rheolaethau diogelwch cymwysiadau yn cael eu cymhwyso'n gywir ac yn gweithredu'n effeithiol.
• Bob hanner blwyddyn, mae OwnBackup yn llogi profwyr treiddiad trydydd parti annibynnol i berfformio rhwydwaith a web asesiadau bregusrwydd. Mae cwmpas yr archwiliadau allanol hyn yn cynnwys cydymffurfiad yn erbyn yr Open Web Prosiect Diogelwch Cymwysiadau (OWASP) 10 Uchaf Web Gwendidau (www.owasp.org).
• Mae canlyniadau asesu bregusrwydd yn cael eu hymgorffori yng nghylch oes datblygu meddalwedd OwnBackup (SDLC) i unioni gwendidau a nodwyd. Mae gwendidau penodol yn cael eu blaenoriaethu a'u cynnwys yn system docynnau fewnol OwnBackup ar gyfer olrhain trwy ddatrysiad.

Ymateb Digwyddiad

Mewn achos posibl o dorri diogelwch, bydd Tîm Ymateb i Ddigwyddiad OwnBackup yn cynnal asesiad o'r sefyllfa ac yn datblygu strategaethau lliniaru priodol. Os caiff toriad posibl ei gadarnhau, bydd OwnBackup yn gweithredu ar unwaith i liniaru'r toriad a chadw tystiolaeth fforensig, a bydd yn hysbysu prif bwyntiau cyswllt cwsmeriaid yr effeithir arnynt heb oedi gormodol i'w briffio ar y sefyllfa a darparu diweddariadau statws datrysiad.

Datblygu Meddalwedd Diogel

Mae OwnBackup yn defnyddio arferion datblygu diogel ar gyfer cymwysiadau meddalwedd OwnBackup a RevCult trwy gydol y cylch oes datblygu meddalwedd. Mae'r arferion hyn yn cynnwys dadansoddi cod statig, diogelwch Salesforce review ar gyfer cymwysiadau RevCult ac ar gyfer cymwysiadau OwnBackup a osodwyd mewn achosion Salesforce cwsmeriaid, par cymheiriaidview o newidiadau cod, cyfyngu mynediad i ystorfa cod ffynhonnell yn seiliedig ar yr egwyddor o fraint leiaf, a logio mynediad a newidiadau i ystorfa cod ffynhonnell.

Tîm Diogelwch ymroddedig

Mae gan OwnBackup dîm diogelwch ymroddedig gyda dros 100 mlynedd o brofiad diogelwch gwybodaeth amlochrog cyfun. Yn ogystal, mae aelodau'r tîm yn cynnal nifer o ardystiadau a gydnabyddir gan y diwydiant, gan gynnwys ond heb fod yn gyfyngedig i Archwilwyr Arweiniol CISM, CISSP ac ISO 27001.

Preifatrwydd a Diogelu Data
Mae OwnBackup yn darparu cefnogaeth frodorol ar gyfer ceisiadau mynediad gwrthrych data, megis yr hawl i ddileu (hawl i gael eich anghofio) a bod yn ddienw, i gefnogi cydymffurfiaeth â rheoliadau preifatrwydd data, gan gynnwys y Rheoliad Diogelu Data Cyffredinol (GDPR), y Ddeddf Hygludedd ac Atebolrwydd Yswiriant Iechyd (HIPAA), a Deddf Preifatrwydd Defnyddwyr California (CCPA). Mae OwnBackup hefyd yn darparu Adendwm Prosesu Data i fynd i'r afael â chyfreithiau preifatrwydd a diogelu data, gan gynnwys gofynion cyfreithiol ar gyfer trosglwyddo data rhyngwladol.

Gwiriadau Cefndir

Mae OwnBackup yn cynnal panel o wiriadau cefndir, gan gynnwys gwiriadau cefndir troseddol, o'i bersonél a allai fod â mynediad at ddata cwsmeriaid, yn seiliedig ar awdurdodaethau preswylio'r gweithiwr yn ystod y saith mlynedd flaenorol, yn amodol ar gyfraith berthnasol.

Yswiriant

Mae OwnBackup yn cynnal, o leiaf, yr yswiriant canlynol: (a) yswiriant iawndal gweithwyr yn unol â'r holl gyfraith berthnasol; (b) yswiriant atebolrwydd ceir ar gyfer cerbydau nad ydynt yn berchen arnynt ac wedi'u llogi, gyda therfyn sengl cyfunol o $1,000,000; (c) yswiriant atebolrwydd cyffredinol masnachol (atebolrwydd cyhoeddus) gyda chwrs un terfyn o $1,000,000 y digwyddiad a $2,000,000 o sylw cyfanredol cyffredinol; (d) yswiriant gwallau a hepgoriadau (indemniad proffesiynol) gyda therfyn o $20,000,000 fesul digwyddiad a $20,000,000 cyfanredol, gan gynnwys haenau sylfaenol a gormodol, ac yn cynnwys atebolrwydd seiber, technoleg a gwasanaethau proffesiynol, cynhyrchion technoleg, data a diogelwch rhwydwaith, ymateb i doriadau, rheoleiddio amddiffyn a chosbau, seiber-cribddeiliaeth ac atebolrwydd adfer data; ac (e) yswiriant anonestrwydd/trosedd gweithwyr cyflogedig gydag yswiriant o $5,000,000. Bydd OwnBackup yn rhoi tystiolaeth o yswiriant o'r fath i'r Cwsmer ar gais.

Darpariaethau Ewropeaidd

Bydd yr atodlen hon ond yn berthnasol i drosglwyddiadau Data Personol (gan gynnwys trosglwyddiadau ymlaen) o Ewrop a fyddai, yn absenoldeb cymhwyso’r darpariaethau hyn, yn achosi i Cwsmer neu OwnBackup dorri Deddfau a Rheoliadau Diogelu Data perthnasol.

Mecanwaith Trosglwyddo ar gyfer Trosglwyddo Data.
Mae’r Cymalau Cytundebol Safonol yn berthnasol i unrhyw drosglwyddiadau o Ddata Personol o dan y DPA hwn o Ewrop i wledydd nad ydynt yn sicrhau lefel ddigonol o ddiogelwch data o fewn ystyr Deddfau a Rheoliadau Diogelu Data tiriogaethau o’r fath, i’r graddau y mae trosglwyddiadau o’r fath yn ddarostyngedig i Deddfau a Rheoliadau Diogelu Data o'r fath. Mae OwnBackup yn ymrwymo i'r Cymalau Cytundebol Safonol fel mewnforiwr data. Mae’r telerau ychwanegol yn yr Atodlen hon hefyd yn gymwys i drosglwyddiadau data o’r fath.

Trosglwyddiadau yn amodol ar y Cymalau Cytundebol Safonol.

• Cwsmeriaid a gwmpesir gan y Cymalau Cytundebol Safonol. Mae'r Cymalau Cytundebol Safonol a'r telerau ychwanegol a nodir yn yr Atodlen hon yn berthnasol i (i) Cwsmer, i'r graddau y mae Cwsmer yn ddarostyngedig i Gyfreithiau a Rheoliadau Diogelu Data Ewrop a, (ii) ei Gysylltiadau Awdurdodedig. At ddibenion y Cymalau Contractiol Safonol a’r Atodlen hon, mae endidau o’r fath yn “allforwyr data”.
• Modiwlau. Mae'r Partïon yn cytuno, lle gellir cymhwyso modiwlau dewisol o fewn y Cymalau Cytundebol Safonol, mai dim ond y rhai sydd wedi'u labelu "MODULE DAU: Trosglwyddo rheolydd i brosesydd" a ddefnyddir.
• Cyfarwyddiadau. Ystyrir bod y cyfarwyddiadau a ddisgrifir yng Nghymal 2 uchod yn gyfarwyddiadau gan Gwsmer i brosesu Data Personol at ddibenion Cymal 8.1 y Cymalau Cytundebol Safonol.
• Penodi Is-broseswyr Newydd a Rhestr o Is-broseswyr Cyfredol. Yn unol ag OPSIWN 2 i Gymal 9(a) o'r Cymalau Cytundebol Safonol, mae Cwsmer yn cytuno y gall OwnBackup gyflogi Is-broseswyr newydd fel y disgrifir yng Nghymalau 5.1, 5.b, a 5.c uchod ac y gellir cadw Cysylltiedig OwnBackup fel Is-broseswyr -processors, a gall Cysylltiedig OwnBackup ac OwnBackup ymgysylltu Is-broseswyr trydydd parti mewn cysylltiad â darparu Gwasanaethau Prosesu Data. Y rhestr gyfredol o Is-broseswyr fel y'i hatodir fel Atodlen 1.
• Cytundebau Is-broseswyr. Mae'r partïon yn cytuno y gall trosglwyddiadau data i Is-broseswyr ddibynnu ar fecanwaith trosglwyddo heblaw'r Cymalau Cytundebol Safonol (ar gyfer cyn-broseswyr).ample, rheolau corfforaethol rhwymol), ac na all cytundebau OwnBackup ag Is-broseswyr o'r fath ymgorffori nac adlewyrchu'r Cymalau Cytundebol Safonol, er gwaethaf unrhyw beth i'r gwrthwyneb yng nghymal 9(b) o'r Cymalau Cytundebol Safonol. Fodd bynnag, bydd unrhyw gytundeb o'r fath ag Is-brosesydd yn cynnwys rhwymedigaethau diogelu data nad ydynt yn llai amddiffynnol na'r rhai yn y DPA hwn ynghylch diogelu Data Cwsmeriaid, i'r graddau sy'n berthnasol i'r gwasanaethau a ddarperir gan Is-brosesydd o'r fath. Bydd copïau o'r cytundebau Is-brosesydd y mae'n rhaid eu darparu gan OwnBackup to Customer yn unol â Chymal 9(c) o'r Cymalau Cytundebol Safonol yn cael eu darparu gan OwnBackup dim ond ar gais ysgrifenedig y Cwsmer a gall fod â'r holl wybodaeth fasnachol, neu gymalau nad ydynt yn gysylltiedig â y Cymalau Cytundebol Safonol neu'r hyn sy'n cyfateb iddynt, wedi'u dileu gan OwnBackup ymlaen llaw.
• Archwiliadau ac Ardystiadau. Mae'r partïon yn cytuno y bydd yr archwiliadau a ddisgrifir yng Nghymal 8.9 a Chymal 13(b) o'r Cymalau Cytundebol Safonol yn cael eu cynnal yn unol â Chymal 9 uchod.
• Dileu Data. Mae'r partïon yn cytuno y bydd y gwaith o ddileu neu ddychwelyd data a ystyrir gan Gymal 8.5 neu Gymal 16(d) o'r Cymalau Cytundebol Safonol yn cael ei wneud yn unol â Chymal 8 uchod a bydd unrhyw ardystiad o ddileu yn cael ei ddarparu gan OwnBackup ar gais y Cwsmer yn unig.
• Buddiolwyr Trydydd Parti. Mae'r partïon yn cytuno, yn seiliedig ar natur y Gwasanaethau SaaS, y bydd Cwsmer yn darparu'r holl gymorth sydd ei angen i ganiatáu i OwnBackup gwrdd â'i rwymedigaethau i wrthrychau data o dan Gymal 3 o'r Cymalau Cytundebol Safonol.
• Asesiad Effaith. Yn unol â Chymal 14 o’r Cymalau Cytundebol Safonol mae’r partïon wedi cynnal dadansoddiad, yng nghyd-destun amgylchiadau penodol y trosglwyddiad, o gyfreithiau ac arferion y wlad sy’n cyrchu, yn ogystal â’r cytundebol atodol penodol, sefydliadol a thechnegol. mesurau diogelu sy'n berthnasol, ac, yn seiliedig ar wybodaeth sy'n rhesymol hysbys iddynt ar y pryd, wedi penderfynu nad yw cyfreithiau ac arferion y wlad sy'n gyrchfan yn atal y partïon rhag cyflawni rhwymedigaethau pob parti o dan y Cymalau Contractiol Safonol
• Llywodraethu'r Gyfraith a Fforwm. Mae’r partïon yn cytuno, mewn perthynas ag OPSIWN 2 i Gymal 17, pe na bai Aelod-wladwriaeth yr UE y mae’r allforiwr data wedi’i sefydlu ynddi yn caniatáu hawliau buddiolwyr trydydd parti, bydd y Cymalau Contractiol Safonol yn cael eu llywodraethu gan gyfraith Iwerddon. Yn unol â Chymal 18, bydd anghydfodau sy’n gysylltiedig â’r Cymalau Cytundebol Safonol yn cael eu datrys gan y llysoedd a nodir yn y Cytundeb, oni bai nad yw llys o’r fath wedi’i leoli mewn Aelod-wladwriaeth o’r UE, ac os felly y fforwm ar gyfer anghydfodau o’r fath fydd llysoedd Iwerddon. .
• Atodiadau. At ddibenion gweithredu'r Cymalau Cytundebol Safonol, bydd Atodlen 3: Manylion y Prosesu yn cael eu hymgorffori fel ATODIAD IA ac IB, Atodlen 4: Rheolaethau Diogelwch OwnBackup (y gellir eu diweddaru o bryd i'w gilydd yn https://www.ownbackup.com/trust/) i’w hymgorffori fel ATODIAD II, ac Atodlen 1: Rhestr Gyfredol Is-Broseswyr (fel y gellir ei diweddaru o bryd i’w gilydd yn https://www.ownbackup.com/legal/sub-p/) i'w hymgorffori fel ATODIAD III.
• Dehongliad. Bwriad telerau’r Atodlen hon yw egluro ac nid addasu’r Cymalau Contractiol Safonol. Os bydd unrhyw wrthdaro neu anghysondeb rhwng corff yr Atodlen hon a'r Cymalau Cytundebol Safonol, y Cymalau Contractiol Safonol fydd drechaf.

Darpariaethau Perthnasol i Drosglwyddiadau o'r Swistir

Mae’r partïon yn cytuno, at ddibenion cymhwysedd y Cymalau Contractiol Safonol i hwyluso trosglwyddiadau Data Personol o’r Swistir, y bydd y darpariaethau ychwanegol canlynol yn berthnasol: (i) Dehonglir unrhyw gyfeiriadau at Reoliad (UE) 2016/679 i gyfeirio at y darpariaethau cyfatebol o Ddeddf Ffederal y Swistir ar Ddiogelu Data a chyfreithiau diogelu data eraill y Swistir (“Cyfreithiau Diogelu Data’r Swistir”), (ii) Dehonglir unrhyw gyfeiriadau at “Aelod-wladwriaeth” neu “Aelod-wladwriaeth yr UE” neu “UE” i gyfeirio at y Swistir , a (iii) Dehonglir unrhyw gyfeiriadau at Awdurdod Goruchwylio i gyfeirio at Gomisiynydd Diogelu Data a Gwybodaeth Ffederal y Swistir.

Darpariaethau Perthnasol i Drosglwyddiadau o'r Deyrnas Unedig

Mae’r partïon yn cytuno bod Adendwm y DU yn berthnasol i drosglwyddiadau o Ddata Personol a lywodraethir gan Gyfraith Diogelu Data’r DU ac fe’i hystyrir wedi’i chwblhau fel a ganlyn (gyda thermau wedi’u cyfalafu nad ydynt wedi’u diffinio mewn man arall â’r diffiniad a nodir yn Adendwm y DU):

• Tabl 1: Y partïon, eu manylion, a’u cysylltiadau yw’r rhai a nodir yn Atodlen 3.
• Tabl 2: “Cymalau Cytundebol Safonol yr UE a Gymeradwywyd” fydd y Cymalau Contractiol Safonol fel y nodir yn yr Atodlen 5 hon.
• Tabl 3: Mae Atodiadau I(A), I(B), a II wedi’u cwblhau fel y nodir yn adran 2(k) o’r Atodlen 5 hon.
• Tabl 4: Gall OwnBackup arfer yr hawl terfynu cynnar dewisol a ddisgrifir yn Adran 19 o Adendwm y DU.

Dogfennau / Adnoddau

Adendwm Prosesu Data Ownbackup [pdfCyfarwyddiadau Adendwm Prosesu Data, Adendwm Prosesu, Adendwm

Cyfeiriadau

• Llawlyfr Defnyddiwr