Innihald fela sig
1 Ownbackup viðbótargagnavinnsluviðbót
2 Upplýsingar um vöru
3 Notkunarleiðbeiningar fyrir vöru
4 LEIÐBEININGAR Í VIÐBÆTTI í gagnavinnslu
5 Núverandi undirvinnslulisti
6 SaaS þjónusta sem á við um vinnslu persónuupplýsinga
7 Upplýsingar um vinnsluna
8 OwnBackup öryggisstýringar 3.3
9 Inngangur
10 Evrópuákvæði
11 Skjöl / auðlindir
11.1 Heimildir

Ownbackup-LOGO

Ownbackup viðbótargagnavinnsluviðbót

Eigin öryggisafrit-Viðbótar-gagnavinnsla-Viðbót-VARA

Upplýsingar um vöru

Varan er viðbótargagnavinnsluviðbót (DPA) frá OwnBackup. Það er notað í tengslum við SaaS þjónustu sem OwnBackup veitir til að vinna úr persónuupplýsingum fyrir hönd viðskiptavinarins.

Lykilskilgreiningar

  • Stjórnandi: Aðilinn sem ákvarðar tilgang og leiðir til vinnslu persónuupplýsinga.
  • viðskiptavinur: Einingin sem nefnd er hér að ofan og hlutdeildarfélög hans.
  • Gagnaefni: Auðkenndur eða auðkenndur einstaklingur sem persónuupplýsingar tengjast.
  • Evrópa: Vísar til Evrópusambandsins, Evrópska efnahagssvæðisins, Sviss og Bretlands.
  • GDPR: Almennu persónuverndarreglugerðin, sem er reglugerð um persónuvernd og friðhelgi einkalífs allra einstaklinga innan Evrópusambandsins og Evrópska efnahagssvæðisins.

Notkunarleiðbeiningar fyrir vöru

  1. Þessi viðbótarupplýsingaskýrsla samanstendur af tveimur hlutum: meginmáli viðbótargagnaupplýsingarinnar og áætlun 1, 2, 3, 4 og 5.
  2. Viðbótar DPA hefur þegar verið fyrirfram undirritað fyrir hönd OwnBackup.
  3. Til að ljúka viðauka DPA skaltu fylgja þessum skrefum:
    • Ljúktu við hlutann Nafn viðskiptavinar og heimilisfang viðskiptavinar á síðu 2.
    • Fylltu út upplýsingarnar í undirskriftareitnum og skrifaðu undir á síðu 3.
    • Gakktu úr skugga um að upplýsingarnar á viðauka 3 (Upplýsingar um vinnsluna) endurspegli nákvæmlega efni og flokka gagna sem vinna á.
    • Sendu útfyllta og undirritaða viðbótarupplýsingarnar til OwnBackup á privacy@ownbackup.com.
  4. Við móttöku OwnBackup á gildu útfylltu viðbótargagnaupplýsingarnar á uppgefnu netfangi verður viðbótarupplýsingaupplýsingarnar lagalega bindandi.
  5. Undirskrift viðauka DPA á síðu 3 felur í sér samþykki á stöðluðu samningsákvæðunum og viðauka Bretlands, sem báðir eru felldir inn með tilvísun.
  6. Ef einhver ágreiningur eða ósamræmi er á milli þessarar viðbótargagnaupplýsingar og hvers kyns annars samnings milli viðskiptavinar og OwnBackup, skulu skilmálar þessarar viðbótarupplýsingar gilda.

LEIÐBEININGAR Í VIÐBÆTTI í gagnavinnslu

HVERNIG Á AÐ FRAMKVÆMA ÞESSA DPA:

  1. Þessi viðbótarupplýsingaskýrsla samanstendur af tveimur hlutum: meginhluti viðbótargagnaupplýsingarinnar og áætlun 1, 2, 3, 4 og 5.
  2. Þessi viðbótarupplýsingaupplýsingar hafa verið fyrirfram undirrituð fyrir hönd OwnBackup.
  3. TIL að ljúka við þessa viðbótarupplýsingaupplýsingar verður viðskiptavinur:
    • a. Ljúktu við hlutann Nafn viðskiptavinar og heimilisfang viðskiptavinar á síðu 2.
    • b. Fylltu út upplýsingarnar í undirskriftareitnum og skrifaðu undir á síðu 3.
    • c. Gakktu úr skugga um að upplýsingarnar á áætlun 3 (MDetails of the processing”) endurspegli nákvæmlega viðfangsefni og flokka gagna sem á að vinna úr
    • d. Sendu útfyllta og undirritaða viðbótarupplýsingarnar til OwnBackup á privacy@ownbackup.com.

Við móttöku OwnBackup á gildu útfylltu viðbótarupplýsingaábyrgðinni á þessu netfangi verður þessi viðbótarupplýsingaupplýsingaskylda lagalega bindandi. Undirskrift þessarar viðbótargagnaverndarsamnings á blaðsíðu 3 telst fela í sér undirskrift og samþykki á stöðluðum samningsákvæðum (þar á meðal viðaukum þeirra) og viðauka Bretlands, sem báðir eru felldir inn hér með tilvísun.

HVERNIG ÞESSI DPA VIÐ

  • Ef aðili viðskiptavinarins sem undirritar þessa viðbótarupplýsingaupplýsingar er aðili að samningnum er þessi viðbótarupplýsingaupplýsingar viðauki við og er hluti af samningnum eða núverandi DPA. Í slíku tilviki er OwnBackup einingin sem er aðili að samningnum eða núverandi DPA aðili að þessari DPA.
  • Ef viðskiptavinurinn sem undirritar þessa viðbótarupplýsingaupplýsingar hefur framkvæmt pöntunareyðublað með OwnBackup eða hlutdeildarfélagi þess í samræmi við samninginn eða núverandi DPA, en er ekki sjálfur aðili að samningnum eða núverandi DPA, er þessi viðbótarupplýsingaskjöl viðbót við það pöntunareyðublað og viðeigandi endurnýjunarpöntunareyðublöð, og OwnBackup einingin sem er aðili að slíku pöntunareyðublaði er aðili að þessari viðbótarupplýsingar um DPA.
  • Ef viðskiptavinurinn sem undirritar þessa viðbótarupplýsingaupplýsingar er hvorki aðili að pöntunareyðublaði né samningnum eða núverandi DPA, er þessi viðbótarupplýsingaupplýsing ekki gild og er ekki lagalega bindandi. Slík aðili ætti að fara fram á að viðskiptavinurinn sem er aðili að samningnum eða núverandi DPA framkvæmi þessa viðbótargagnaverndarsamning.
  • Ef viðskiptavinurinn sem skrifar undir viðbótarupplýsingarnar er ekki aðili að pöntunareyðublaði né aðaláskriftarsamningi eða núverandi DPA beint við OwnBackup, en er þess í stað viðskiptavinur óbeint í gegnum viðurkenndan endursöluaðila OwnBackup þjónustu, er þessi viðbótarupplýsingaupplýsing ekki gild og er ekki lagalega bindandi. Slíkur aðili ætti að hafa samband við viðurkenndan endursöluaðila til að ræða hvort breytinga sé þörf á samningi hans við þann endursöluaðila.
  • Komi upp ágreiningur eða ósamræmi á milli þessarar viðbótargagnaupplýsingar og hvers kyns annars samnings milli viðskiptavinarins og OwnBackup (þar á meðal, án takmarkana, samningsins eða núverandi DPA), skulu skilmálar þessarar viðbótargagnaverndaryfirvalda stjórna og ráða.

VIÐBAUKI gagnavinnslu

Nafn viðskiptavinar:
Heimilisfang viðskiptavinar:
Núverandi DPA dagsetning:

Þessi viðbótargagnavinnsluviðauki, þar á meðal áætlun og viðaukar, ("viðbótarupplýsingar") er hluti af núverandi viðauka við gagnavinnslu sem tilgreind er hér að ofan ("Núverandi gagnavinnsluskjöl") milli OwnBackup Inc. ("OwnBackup") og viðskiptavinarins. Sameinað þessi Viðbótaröryggisstofnun og núverandi DPA myndar heildargagnavinnslusamninginn („DPA“) til að skjalfesta samkomulag aðila um vinnslu persónuupplýsinga. Ef slíkur viðskiptavinur og OwnBackup hafa ekki gert samning, þá er þessi persónuverndarsamningur ógildur og hefur engin lagaleg áhrif. Viðskiptaaðili, sem nefndur er hér að ofan, gengur inn í þessa viðbótarupplýsingaverndarsamning fyrir sig og, ef einhver hlutdeildarfélaga hans starfar sem ábyrgðaraðili persónuupplýsinga, fyrir hönd þessara viðurkenndu hlutdeildarfélaga. Öll hugtök með hástöfum sem ekki eru skilgreind hér skulu hafa þá merkingu sem sett er fram í samningnum. Í tengslum við að veita viðskiptavinum SaaS þjónustuna samkvæmt samningnum getur OwnBackup unnið úr persónuupplýsingum fyrir hönd viðskiptavinarins. Aðilar samþykkja eftirfarandi viðbótarskilmála að því er varðar slíka vinnslu.

SKILGREININGAR

  • „CCPA“ þýðir lög um neytendavernd í Kaliforníu, Cal. Civ. Kóði S 1798.100 et. í kjölfarið, eins og henni var breytt með lögum um friðhelgi einkalífs í Kaliforníu frá 2020 og ásamt útfærslureglugerðum.
  • „Stjórnandi“ merkir aðilinn sem ákvarðar tilgang og aðferðir vinnslu persónuupplýsinga og telst einnig vísa til „fyrirtækis“ eins og það er skilgreint í CCPA.
  • „Viðskiptavinur“ þýðir aðilinn sem nefndur er hér að ofan og hlutdeildarfélög hans.
  • „Lög og reglugerðir um gagnavernd“ merkir öll lög og reglugerðir Evrópusambandsins og aðildarríkja þess, Evrópska efnahagssvæðisins og aðildarríkja þess, Bretlands, Sviss, Bandaríkjanna, Kanada, Nýja Sjálands og Ástralíu, og þeirra viðkomandi stjórnmálaflokka, sem eiga við um vinnslu persónuupplýsinga. Þetta felur í sér, en takmarkast ekki við, eftirfarandi, að því marki sem við á: GDPR, bresk gagnaverndarlög, CCPA, Virginia Consumer Data Protection Act ("VCDPA"), Colorado Privacy Act og tengdar reglugerðir ("CPA") “), Utah Consumer Privacy Act („UCPA“) og Connecticut lögin um persónuvernd og netvöktun („CPDPA“)
  • „Gagnaður“ merkir auðkennda eða auðkennanlega einstaklinginn sem persónuupplýsingar tengjast og nær til „neytanda“ eins og hann er skilgreindur í lögum og reglugerðum um gagnavernd.
  • „Evrópa“ þýðir Evrópusambandið, Evrópska efnahagssvæðið, Sviss og Bretland. Viðbótarákvæði sem gilda um flutning á persónuupplýsingum frá Evrópu eru að finna í viðauka 5. Ef viðauka 5 er fjarlægð, ábyrgist viðskiptavinur að hann muni ekki vinna með persónuupplýsingar sem falla undir gagnaverndarlög og -reglur Evrópu.
  • „GDPR“ merkir reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga að því er varðar vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga og um niðurfellingu tilskipunar. 95/46/EB (almenn gagnaverndarreglugerð).
  • „OwnBackup Group“ þýðir OwnBackup og hlutdeildarfélög þess sem taka þátt í vinnslu persónuupplýsinga.
  • „Persónugögn“ merkir allar upplýsingar sem varða (i) auðkenndan eða auðkennanlegan einstakling og (ii) auðkenndan eða auðkennanlegan lögaðila (þar sem slíkar upplýsingar eru verndaðar á svipaðan hátt og persónuupplýsingar, persónuupplýsingar eða persónugreinanlegar upplýsingar samkvæmt viðeigandi gögnum Verndunarlög og reglugerðir), þar sem fyrir hvert (i) eða (ii), slík gögn eru viðskiptavinagögn.
  • „Persónugagnavinnsla“ þýðir SaaS þjónustan sem skráð er í viðauka 2, sem OwnBackup kann að vinna persónuupplýsingar um.
  • „Vinnsla“ merkir sérhverja aðgerð eða mengi aðgerða sem framkvæmt er á persónuupplýsingum, hvort sem er með sjálfvirkum hætti eða ekki, svo sem söfnun, skráningu, skipulagningu, uppbyggingu, geymsla, aðlögun eða breyting, endurheimt, ráðgjöf, notkun, birting með sendingu, miðlun eða á annan hátt aðgengileg, samræma samsetningu, takmörkun, eyðingu eða eyðileggingu.
  • „Öllvinnsla“ merkir aðilinn sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila, þar með talið, eftir því sem við á, sérhver „þjónustuveitandi“ eins og það hugtak er skilgreint af CCPA.
  • „Staðlað samningsákvæði“ merkir viðauka við framkvæmdarákvörðun framkvæmdastjórnar Evrópusambandsins (ESB) 2021/914 https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) Frá 4. júní 2021 um staðlaða samningsákvæði um flutning persónuupplýsinga til vinnsluaðila með staðfestu í þriðju löndum samkvæmt reglugerð Evrópuþingsins og ráðsins Evrópusambandsins (ESB) 2016/679 og með fyrirvara um nauðsynlegar breytingar fyrir Sameinuðu þjóðirnar. Konungsríkinu og Sviss er lýst nánar í áætlun 5.
  • „Unvinnsluaðili“ þýðir hvaða vinnsluaðili sem er ráðinn af OwnBackup, af meðlimi OwnBackup hópsins eða af öðrum undirvinnsluaðila.
  • „Eftirlitsstofnun“ þýðir eftirlitsstofnun sem hefur bindandi lagaheimild yfir viðskiptavininum.
  • „Bretland viðauki“ þýðir alþjóðlegur viðauki við gagnaflutning í Bretlandi við staðlaða samningsákvæði framkvæmdastjórnar ESB (fáanleg frá 21. mars 2022 á https://ico.org.uk/for-organisations/guide-to-data-protection/ guide -to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), lokið eins og lýst er í viðauka 5.
  • „Bretland gagnaverndarlög“ merkir reglugerð Evrópuþingsins og ráðsins 2016/679 um vernd einstaklinga með tilliti til vinnslu persónuupplýsinga og um frjálst flæði slíkra gagna þar sem þær eru hluti af Englandslögum. og Wales, Skotlandi og Norður-Írlandi í krafti 3. kafla laga Evrópusambandsins (útköllun) 2018, eins og kunna að verða breytt frá einum tíma til annars með gagnaverndarlögum og reglugerðum Bretlands.

FORSKIPAN

  • a. Að undanskildum stöðluðum samningsákvæðum sem teknar eru upp hér, sem skulu hafa forgang, ef ósamræmi er á milli þessarar viðbótargagnaverndar og núverandi persónuverndarverndar, skulu skilmálar núverandi persónuverndaryfirvalda gilda.

TAKMARKANIR Á ÁBYRGÐ

  • a. AÐ því marki sem lög og reglugerðir um gagnavernd leyfa, ábyrgð hvers aðila og allra hlutdeildarfélaga hans, samanlagt, sem stafar af eða tengist þessari viðbótargagnaverndarsamningi, hvort sem er í samningi, skaðabótaskyldu eða samkvæmt annarri kenningu um ábyrgð, er háð „ábyrgðartakmörkunum“, og slíkum öðrum ákvæðum sem útiloka eða takmarka ábyrgð, samningsins, og hvers kyns tilvísun í slíkum ákvæðum til ábyrgðar aðila þýðir heildarábyrgð þess aðila og allra hlutdeildarfélaga hans.

BREYTINGAR Á FLUTNINGARVÉLUM

  • a. Í því tilviki að núverandi flutningskerfi sem aðilar treysta á til að auðvelda flutning á persónuupplýsingum til eins eða fleiri landa sem tryggja ekki fullnægjandi gagnaverndarstig í skilningi laga og reglugerða um gagnavernd er ógilt, breyt. , eða skipt út munu aðilar vinna í góðri trú að því að koma á slíkum öðrum flutningsaðferðum til að gera áframhaldandi vinnslu persónuupplýsinga sem samningurinn gerir ráð fyrir. Notkun slíks annars konar flutningskerfis skal háð því að hvor aðili uppfylli allar lagalegar kröfur um notkun slíks flutningskerfis.

Viðurkenndir undirritunaraðilar aðila hafa framfylgt þessum samningi á réttan hátt, þar með talið allar viðeigandi áætlunarskrár, viðaukar og viðaukar sem eru teknar upp hér.

Eigin öryggisafrit-viðbótar-gagnavinnsla-viðbót-MYND-1

Listi yfir tímasetningar

  • Dagskrá 1: Núverandi undirvinnslulisti
  • Dagskrá 2: SaaS þjónusta sem á við um vinnslu persónuupplýsinga
  • Dagskrá 3: Upplýsingar um vinnsluna
  • Dagskrá 4: OwnBackup öryggisstýringar
  • Dagskrá 5: Evrópsk ákvæði

Áætlun 1

Núverandi undirvinnslulisti

Undirvinnsluaðili Nafn Heimilisfang undirvinnsluaðila Eðli vinnslu Lengd vinnslu Staðsetning vinnslu
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Ísrael Þjónustudeild og viðhald Fyrir gildistíma samningsins. Ísrael
Amazon Web Services, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, Bandaríkjunum Forritshýsing og gagnageymsla Fyrir gildistíma samningsins. Bandaríkin, Kanada, Þýskaland, Bretland eða Ástralía
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, Bandaríkjunum Forritshýsing og gagnageymsla Fyrir gildistíma samningsins. Hollandi eða Bandaríkjunum
Elasticsearch, Inc.**  

800 West El Camino Real, Suite 350, Mountain View, Kaliforníu 94040, Bandaríkjunum

 Flokkun og leit Fyrir gildistíma samningsins. Hollandi eða Bandaríkjunum
  • Viðskiptavinur getur valið annað hvort Amazon Web Þjónusta eða Microsoft (Azure) og æskileg staðsetning vinnslu þess við upphaflega uppsetningu viðskiptavinar á SaaS þjónustunni.
  • Gildir aðeins fyrir viðskiptavini OwnBackup Archive sem velja að dreifa í Microsoft (Azure) skýinu.

Áætlun 2

SaaS þjónusta sem á við um vinnslu persónuupplýsinga

  • OwnBackup Enterprise fyrir Salesforce
  • OwnBackup Ótakmarkað fyrir Salesforce
  • OwnBackup Governance Plus fyrir Salesforce
  • OwnBackup Archive
  • Komdu með þína eigin lykilstjórnun
  • Sandkassa sáning

Áætlun 3

Upplýsingar um vinnsluna

Gagnaútflytjandi

  • Fullt löglegt nafn: Nafn viðskiptavinar eins og tilgreint er hér að ofan
  • Aðalheimilisfang: Heimilisfang viðskiptavinar eins og tilgreint er hér að ofan
  • Tengiliður: Ef ekki er gefið upp annað skal þetta vera aðaltengiliður á reikningi viðskiptavinarins.
  • Samskiptanetfang: Ef annað er ekki gefið upp skal þetta vera aðalnetfangið á reikningi viðskiptavinarins.

Gagnainnflytjandi

  • Fullt löglegt nafn: OwnBackup Inc.
  • Aðal heimilisfang: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, Bandaríkin
  • Tengiliður: Persónuverndarfulltrúi
  • Tengiliður netfang: privacy@ownbackup.com

Eðli og tilgangur vinnslu

  • OwnBackup mun vinna úr persónuupplýsingum eins og nauðsynlegt er til að framkvæma SaaS þjónustuna í samræmi við samninginn og pantanir, og eins og viðskiptavinur gefur frekari fyrirmæli um notkun sína á SaaS þjónustunni.

Lengd vinnslu

  • OwnBackup mun vinna úr persónuupplýsingum á meðan samningurinn gildir, nema um annað sé samið skriflega.

Varðveisla

  • OwnBackup mun geyma persónuupplýsingar í SaaS þjónustunni á meðan samningurinn gildir, nema um annað sé samið skriflega, með fyrirvara um hámarks varðveislutíma sem tilgreindur er í skjölunum.

Tíðni flutnings

  • Eins og viðskiptavinur hefur ákveðið með notkun þeirra á SaaS þjónustunni.

Flutningur til undirvinnsluaðila

  • Eftir því sem nauðsynlegt er til að framkvæma SaaS þjónustuna í samræmi við samninginn og pantanir, og eins og nánar er lýst í áætlun 1.

Flokkar skráðra einstaklinga
Viðskiptavinur getur sent persónuupplýsingar til SaaS þjónustunnar, en umfang þeirra er ákvarðað og stjórnað af viðskiptavinum að eigin geðþótta og sem getur falið í sér en takmarkast ekki við persónuupplýsingar sem tengjast eftirfarandi flokkum skráðra einstaklinga:

  • Viðskiptavinir, viðskiptavinir, viðskiptafélagar og seljendur viðskiptavinar (sem eru einstaklingar)
  • Starfsmenn eða tengiliðir tilvonandi viðskiptavina, viðskiptavina, viðskiptafélaga og söluaðila
  • Starfsmenn, umboðsmenn, ráðgjafar, lausamenn viðskiptavina (sem eru einstaklingar) notendur viðskiptavinar sem hafa heimild viðskiptavinar til að nota SaaS þjónustuna

Tegund persónuupplýsinga
Viðskiptavinur getur sent persónuupplýsingar til SaaS þjónustunnar, en umfang þeirra er ákvarðað og stjórnað af viðskiptavinum að eigin geðþótta og sem getur falið í sér en takmarkast ekki við eftirfarandi flokka persónuupplýsinga:

  • Fornafn og eftirnafn
  • Titill
  • Staða
  • Vinnuveitandi
  • Samskiptaupplýsingar (fyrirtæki, tölvupóstur, sími, heimilisfang fyrirtækis)
  • ID gögn
  • Gögn um atvinnulíf
  • Persónuleg lífsgögn
  • Staðsetningargögn

Sérstakir gagnaflokkar (ef við á)
Viðskiptavinur getur sent sérstaka flokka af persónuupplýsingum til SaaS þjónustunnar, umfang þeirra er ákvarðað og stjórnað af viðskiptavinum að eigin geðþótta, og sem til glöggvunar gæti falið í sér vinnslu erfðafræðilegra gagna, líffræðilegra gagna í þeim tilgangi að að auðkenna einstakling eða gögn er varða heilsu. Sjá ráðstafanir í viðauka 4 fyrir hvernig OwnBackup verndar sérstaka gagnaflokka og aðrar persónuupplýsingar

Áætlun 4

OwnBackup öryggisstýringar 3.3

Inngangur

  • OwnBackup hugbúnaðar-sem-þjónustuforrit (SaaS Services) voru hönnuð frá upphafi með öryggi í huga. SaaS þjónustan er smíðuð með margvíslegum öryggisstýringum á mörgum stigum til að takast á við ýmsar öryggisáhættur. Þessar öryggisstýringar geta breyst; Hins vegar munu allar breytingar viðhalda eða bæta heildaröryggisstöðuna.
  • Lýsingarnar á stjórntækjum hér að neðan eiga við um SaaS þjónustu útfærslur á bæði Amazon Web Þjónusta (AWS) og Microsoft Azure (Azure) pallar (saman nefnt skýjaþjónustuveitendur okkar, eða CSPs), nema eins og tilgreint er í dulkóðunarhlutanum hér að neðan. Þessar lýsingar á stjórntækjum eiga ekki við um RevCult hugbúnað nema eins og er að finna undir „Öryggi hugbúnaðarþróun“ hér að neðan.

Úttektir og vottanir

  • SaaS þjónustan er vottuð samkvæmt ISO/IEC 27001:2013 (Information Security Management System) og ISO/IEC 27701:2019 (Privacy Information Management System).
  • OwnBackup gengst undir árlega SOC2 Type II endurskoðun samkvæmt SSAE-18 til að sannreyna sjálfstætt skilvirkni upplýsingaöryggisvenja, stefnu, verklagsreglur og aðgerða fyrir eftirfarandi traustþjónustuviðmið: Öryggi, aðgengi, trúnað og vinnsluheilleika.
  • OwnBackup notar alþjóðleg CSP svæði fyrir tölvur og geymslu fyrir SaaS þjónustuna. AWS og Azure eru efstu aðstaða með nokkrar faggildingar, þar á meðal SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 og HIPAA.

Web Öryggisstýringar forrita

  • Aðgangur viðskiptavina að SaaS þjónustunni er aðeins í gegnum HTTPS (TLS1.2+), sem kemur á dulkóðun gagna í flutningi milli notanda og forrits og milli OwnBackup og þriðja aðila gagnagjafa (td Salesforce).
  • Stjórnendur SaaS þjónustu viðskiptavinarins geta útvegað og afveitt SaaS þjónustu notendur og tengdan aðgang eftir þörfum.
  • SaaS þjónustan veitir hlutverkatengda aðgangsstýringu til að gera viðskiptavinum kleift að stjórna heimildum fyrir margar stofnanir.
  • Stjórnendur SaaS þjónustu viðskiptavinarins geta fengið aðgang að endurskoðunarslóðum, þar á meðal notandanafni, aðgerð, tímasetninguamp, og uppruna IP tölu reitir. Endurskoðunarskrár geta verið viewed og flutt út af SaaS Service stjórnanda viðskiptavinarins innskráður í SaaS Services sem og í gegnum SaaS Services API.
  • Hægt er að takmarka aðgang að SaaS þjónustunni með IP tölu upprunans.
  • SaaS þjónustan gerir viðskiptavinum kleift að virkja fjölþátta auðkenningu til að fá aðgang að SaaS þjónustureikningum með því að nota tímabundin einskiptis lykilorð.
  • SaaS þjónustan gerir viðskiptavinum kleift að virkja staka innskráningu í gegnum SAML 2.0 auðkennisveitur.
  • SaaS þjónustan gerir viðskiptavinum kleift að virkja sérhannaðar lykilorðastefnur til að hjálpa til við að samræma SaaS þjónustulykilorð við stefnu fyrirtækja.

Dulkóðun
OwnBackup býður upp á eftirfarandi SaaS þjónustuvalkosti fyrir dulkóðun gagna í hvíld:
Staðlað tilboð.

  • Gögnin eru dulkóðuð með AES-256 dulkóðun á netþjóni í gegnum lykilstjórnunarkerfi sem er staðfest samkvæmt FIPS 140-2.
  • Dulkóðun umslags er notuð þannig að aðallykillinn fer aldrei úr vélbúnaðaröryggiseiningunni (HSM).
  • Dulkóðunarlyklum er snúið ekki sjaldnar en á tveggja ára fresti.

Ítarleg lykilstjórnun (AKM) valkostur.

  • Gögnin eru dulkóðuð í sérstöku geymsluíláti fyrir hluti með dulkóðunarlykli (CMK) sem viðskiptavinur útvegar.
  • AKM gerir kleift að geyma lykilinn í geymslu í framtíðinni og snúa honum með öðrum dulkóðunarlykli.
  • Viðskiptavinurinn getur afturkallað aðaldulkóðunarlykla, sem leiðir til þess að gögnin verða strax óaðgengileg.

Komdu með þitt eigið lykilstjórnunarkerfi (KMS) valmöguleika (aðeins í boði á AWS).

  • Dulkóðunarlyklar eru búnir til á eigin, sérkeyptum reikningi viðskiptavinarins með því að nota AWS KMS.
  • Viðskiptavinurinn skilgreinir dulkóðunarlykilstefnuna sem gerir SaaS þjónustureikningi viðskiptavinarins á AWS kleift að fá aðgang að lykilnum frá eigin AWS KMS viðskiptavinarins.
  • Gögn eru dulkóðuð í sérstöku geymsluíláti fyrir hluti sem stjórnað er af OwnBackup og stillt til að nota dulkóðunarlykil viðskiptavinarins.
  • Viðskiptavinurinn getur þegar í stað afturkallað aðgang að dulkóðuðu gögnunum með því að afturkalla aðgang OwnBackup að dulkóðunarlyklinum, án þess að hafa samskipti við OwnBackup.
  • Starfsmenn OwnBackup hafa engan aðgang að dulkóðunarlyklum hvenær sem er og hafa ekki aðgang að KMS beint.
  • Allar lykilnotkunaraðgerðir eru skráðar í KMS viðskiptavinarins, þar með talið lyklaafhending með sérstöku geymslurýminu.

Dulkóðun í flutningi milli SaaS þjónustunnar og gagnagjafa þriðja aðila (td Salesforce) notar HTTPS með TLS 1.2+ og OAuth 2.0.

Net

  • SaaS þjónustan notar CSP netstýringar til að takmarka inn- og útgöngu nets.
  • Stöðugir öryggishópar eru notaðir til að takmarka inn- og útgöngu nets við viðurkennda endapunkta.
  • SaaS þjónustan notar fjölþættan netarkitektúr, þar á meðal mörg, rökrétt aðskilin Amazon sýndar einkaský (VPC) eða Azure sýndarnet (VNets), sem nýta sér einkasvæði, DMZ og ótraust svæði innan CSP innviða.
  •  Í AWS eru VPC S3 endapunktatakmarkanir notaðar á hverju svæði til að leyfa aðeins aðgang frá viðurkenndum VPC.

Eftirlit og endurskoðun

  • Fylgst er með SaaS þjónustukerfum og netkerfum með tilliti til öryggisatvika, kerfisheilsu, óeðlilegra netkerfis og aðgengis.
  • SaaS þjónustan notar innbrotsskynjunarkerfi (IDS) til að fylgjast með netvirkni og gera OwnBackup viðvart um grunsamlega hegðun.
  • SaaS þjónusturnar nota web umsóknareldveggir (WAF) fyrir alla almenning web þjónustu.
  • OwnBackup skráir forrita-, net-, notenda- og stýrikerfisatburði á staðbundinn syslog-þjón og svæðisbundið SIEM. Þessar logs eru sjálfkrafa greindar og endurteknarviewed fyrir grunsamlegt athæfi og hótanir. Öll frávik eru stækkuð eftir því sem við á.
  • OwnBackup notar öryggisupplýsinga- og viðburðastjórnunarkerfi (SIEM) sem veitir stöðuga öryggisgreiningu á netkerfum og öryggisumhverfi SaaS þjónustunnar, viðvörun um frávik notenda, könnun stjórna og eftirlits (C&C) árása, sjálfvirka ógngreiningu og skýrslu um vísbendingar um málamiðlun (IOC). ). Öllum þessum möguleikum er stjórnað af öryggis- og rekstrarstarfsmönnum OwnBackup.
  • Atviksviðbragðsteymi OwnBackup fylgist með samnefninu security@ownbackup.com og bregst við í samræmi við atviksviðbragðsáætlun fyrirtækisins (IRP) þegar við á.

Einangrun milli reikninga

  • SaaS þjónustan notar Linux sandkassa til að einangra gögn viðskiptavinareikninga meðan á vinnslu stendur. Þetta hjálpar til við að tryggja að hvers kyns frávik (tdample, vegna öryggisvandamála eða hugbúnaðarvillu) er enn bundin við einn OwnBackup reikning.
  • Aðgangi leigjandagagna er stjórnað í gegnum einstaka IAM notendur með gögnum tagsem gerir óviðkomandi notendum kleift að fá aðgang að leigjandagögnunum.

Hamfarabati

  • OwnBackup notar CSP-hlutageymslu til að geyma dulkóðuð viðskiptavinagögn yfir mörg framboðssvæði.
  • Fyrir gögn viðskiptavina sem eru geymd á geymsluplássi notar OwnBackup hlutútgáfu með sjálfvirkri öldrun til að styðja við samræmi við hörmungabata og öryggisafritunarstefnu OwnBackup. Fyrir þessa hluti eru kerfi OwnBackup hönnuð til að styðja við endurheimtarpunktamarkmið (RPO) upp á 0 klukkustundir (þ.e. getu til að endurheimta hvaða útgáfu sem er af hvaða hlut sem er eins og hann var til á fyrri 14 daga tímabilinu).
  • Öll nauðsynleg endurheimt á tölvutilviki er náð með því að endurbyggja tilvikið byggt á sjálfvirkni stillingarstjórnunar OwnBackup.
  • Disaster Recovery Plan OwnBackup er hönnuð til að styðja við 4 klukkustunda batatímamarkmið (RTO).

Varnarleysisstjórnun

  • OwnBackup framkvæmir reglulega web varnarleysismat á forritum, kyrrstöðugreiningu og ytra kraftmiklu mati sem hluti af stöðugu eftirlitsáætlun sinni til að tryggja að öryggisstýringum forrita sé rétt beitt og virka á skilvirkan hátt.
  • Á hálfs ársgrundvelli ræður OwnBackup óháða skarpskyggniprófara þriðja aðila til að framkvæma bæði netkerfi og web varnarleysismat. Umfang þessara ytri úttekta felur í sér fylgni við Open Web Umsóknaröryggisverkefni (OWASP) Topp 10 Web Veikleikar (www.owasp.org).
  • Niðurstöður mats á varnarleysi eru felldar inn í OwnBackup hugbúnaðarþróunarlífsferilinn (SDLC) til að bæta úr auðkenndum veikleikum. Sérstakir veikleikar eru settir í forgang og færðir inn í OwnBackup innra miðakerfið til að rekja í gegnum upplausn.

Viðbrögð við atvikum

  • Ef um hugsanlegt öryggisbrot er að ræða mun OwnBackup atviksviðbragðsteymi framkvæma mat á aðstæðum og þróa viðeigandi mótvægisaðgerðir. Ef hugsanlegt brot er staðfest mun OwnBackup þegar í stað bregðast við til að draga úr brotinu og varðveita réttarfræðilegar sönnunargögn, og mun tilkynna helstu tengiliðum viðskiptavina sem hafa áhrif á það án ástæðulausrar tafar til að upplýsa þá um ástandið og veita uppfærslur um stöðu úrlausnar.

Örugg hugbúnaðarþróun

  • OwnBackup notar örugga þróunaraðferðir fyrir OwnBackup og RevCult hugbúnaðarforrit allan lífsferil hugbúnaðarþróunar. Þessar aðferðir fela í sér kyrrstæða kóðagreiningu, Salesforce öryggi með tilliti tilview fyrir RevCult forrit og fyrir OwnBackup forrit uppsett í Salesforce tilvikum viðskiptavina, jafningjaview af kóðabreytingum, takmörkun á aðgangi að frumkóðageymslu byggt á meginreglunni um minnstu forréttindi, og skráningu á aðgangi að frumkóðageymslu og breytingum.

Sérstakt öryggisteymi

  • OwnBackup er með sérstakt öryggisteymi með yfir 100 ára samsetta margþætta reynslu af upplýsingaöryggi. Að auki halda liðsmenn fjölda viðurkenndra vottorða, þar á meðal en ekki takmarkað við CISM, CISSP og ISO 27001 aðalendurskoðendur.

Persónuvernd og gagnavernd

  • OwnBackup veitir innbyggðan stuðning við beiðnir um aðgang skráðra einstaklinga, svo sem réttinn til eyðingar (réttur til að gleymast) og nafnleyndar, til að styðja við samræmi við reglur um persónuvernd, þar á meðal almennu gagnaverndarreglugerðina (GDPR), lögum um færanleika sjúkratrygginga og ábyrgðarskyldu. (HIPAA) og lögum um friðhelgi einkalífs í Kaliforníu (CCPA). OwnBackup veitir einnig gagnavinnsluviðbót til að fjalla um persónuverndar- og gagnaverndarlög, þar á meðal lagalegar kröfur um alþjóðlegan gagnaflutning.

Bakgrunnsskoðun

  •  OwnBackup framkvæmir hóp bakgrunnsathugana, þar á meðal sakamálarannsókna, á starfsfólki sínu sem kann að hafa aðgang að gögnum viðskiptavina, byggt á lögsögu starfsmanns þar sem hann hafði búsetu á síðustu sjö árum, með fyrirvara um gildandi lög.

Tryggingar
OwnBackup heldur, að lágmarki, eftirfarandi tryggingarvernd: (a) bótatryggingu starfsmanna í samræmi við öll gildandi lög; (b) bifreiðaábyrgðartrygging fyrir ökutæki sem ekki eru í eigu og leigubíla, með samanlögðu hámarki $1,000,000; (c) almenna ábyrgðartryggingu (almannaábyrgð) með 1,000,000 dollara vernd fyrir hvert atvik og 2,000,000 $ almenna heildarvernd; (d) villur og vanræksla (faglega skaðabætur) tryggingar með hámarki $20,000,000 fyrir hvern atburð og $20,000,000 samanlagt, þar með talið aðal- og umframlög, og þar með talið netábyrgð, tækni og faglega þjónustu, tæknivörur, gagna- og netöryggi, viðbrögð við brotum, reglugerðum varnir og viðurlög, netkúgun og gagnabataskuldbindingar; og (e) óheiðarleika/glæpatrygging starfsmanna með vernd upp á $5,000,000. OwnBackup mun veita viðskiptavinum sönnun fyrir slíkri tryggingu sé þess óskað.

Áætlun 5

Evrópuákvæði

Þessi áætlun á aðeins við um flutning á persónuupplýsingum (þar með talið áframhaldandi flutning) frá Evrópu sem, ef ekki er beitt þessum ákvæðum, myndi valda því að annað hvort viðskiptavinur eða OwnBackup brjóti gildandi gagnaverndarlög og -reglur.

Flutningskerfi fyrir gagnaflutninga.

  • a) Staðlaða samningsákvæðin gilda um hvers kyns flutning á persónuupplýsingum samkvæmt þessari viðbótargagnaverndarsamningi frá Evrópu til landa sem tryggja ekki fullnægjandi gagnavernd í skilningi laga og reglugerða um gagnavernd á slíkum svæðum, að því marki sem slíkir flutningar falla undir slík lög og reglugerðir um gagnavernd. OwnBackup fer inn í staðlaða samningsákvæðin sem gagnainnflytjandi. Viðbótarskilmálar í þessari áætlun eiga einnig við um slíka gagnaflutninga.

Millifærslur eru háðar stöðluðum samningsákvæðum.

  • a) Viðskiptavinir sem falla undir staðlaða samningsákvæði. Stöðluðu samningsákvæðin og viðbótarskilmálar sem tilgreindir eru í þessari áætlun eiga við um (i) viðskiptavin, að því marki sem viðskiptavinurinn er háður gagnaverndarlögum og reglugerðum Evrópu og, (ii) viðurkenndum hlutdeildarfélögum hans. Að því er varðar staðlaða samningsákvæði og þessa áætlun eru slíkir aðilar „gagnaútflytjendur“.
  • b) Einingar. Samningsaðilarnir eru sammála um að þar sem hægt er að beita valkvæðum einingum innan stöðluðu samningsákvæðanna, skuli einungis beitt þeim sem merktar eru „MODULE TWO: Flytja ábyrgðaraðila til vinnsluaðila“.
  • c) Leiðbeiningar. Aðilar eru sammála um að notkun viðskiptavinar á vinnslu persónuupplýsinga í samræmi við samninginn og núverandi DPA teljist vera fyrirmæli viðskiptavinar um að vinna persónuupplýsingar í þeim tilgangi sem ákvæði 8.1 í stöðluðu samningsákvæðunum.
  • d) Skipun nýrra undirvinnsluaðila og lista yfir núverandi undirvinnsluaðila. Í samræmi við VALKOST 2 við ákvæði 9(a) staðlaðra samningsákvæða, samþykkir viðskiptavinur að OwnBackup megi ráða nýja undirvinnsluaðila eins og lýst er í núverandi DPA og að hlutdeildarfélög OwnBackup megi halda sem undirvinnsluaðilum og OwnBackup og þriðju hlutdeildarfélög OwnBackup geta tekið þátt í -aðila undirvinnsluaðila í tengslum við veitingu gagnavinnsluþjónustunnar. Núverandi listi yfir undirvinnsluaðila sem fylgir áætlun 1.
  • Samningar undirvinnsluaðila. Aðilar eru sammála um að gagnaflutningur til undirvinnsluaðila geti reitt sig á aðra flutningsaðferð en staðlaða samningsákvæðin (td.ample, bindandi fyrirtækjareglur), og að samningar OwnBackup við slíka undirvinnsluaðila mega því ekki innlima eða endurspegla staðlaða samningsákvæðin, þrátt fyrir annað sem segir í b-lið 9. mgr. Hins vegar skal slíkur samningur við undirvinnsluaðila innihalda gagnaverndarskyldur sem eru ekki síður verndandi en þær sem eru í þessari viðbótargagnaverndarsamningi varðandi vernd viðskiptavinagagna, að því marki sem við á um þá þjónustu sem slíkur undirvinnsluaðili veitir. Afrit af samningum undirvinnsluaðila sem OwnBackup þarf að veita viðskiptavinum samkvæmt ákvæði 9(c) í stöðluðu samningsákvæðunum verða aðeins afhent af OwnBackup að skriflegri beiðni viðskiptavinar og kunna að hafa allar viðskiptaupplýsingar, eða ákvæði sem ekki tengjast staðlaða samningsákvæðin eða jafngildi þeirra, fjarlægð af OwnBackup fyrirfram.
  • f) Úttektir og vottanir. Aðilar eru sammála um að úttektirnar sem lýst er í ákvæði 8.9 og ákvæði 13(b) staðlaðra samningsákvæða skuli fara fram í samræmi við skilmála núverandi DPA.
  • g) Eyðing gagna. Aðilar eru sammála um að eyðing eða skil á gögnum sem kveðið er á um í ákvæði 8.5 eða ákvæði 16(d) í stöðluðu samningsákvæðunum skuli fara fram í samræmi við skilmála núverandi DPA og hvers kyns vottun um eyðingu skal einungis veitt af OwnBackup að fengnu beiðni.
  • h) Styrkþegar þriðju aðila. Aðilar eru sammála um að miðað við eðli SaaS þjónustunnar skuli viðskiptavinur veita alla aðstoð sem þarf til að leyfa OwnBackup að standa við skuldbindingar sínar gagnvart skráðum einstaklingum samkvæmt ákvæði 3 í stöðluðu samningsákvæðunum.
  • Mat á áhrifum. Í samræmi við ákvæði 14 í stöðluðu samningsákvæðunum hafa aðilar framkvæmt greiningu, í samhengi við sérstakar aðstæður flutningsins, á lögum og venjum ákvörðunarlandsins, sem og sérstökum viðbótarsamningsbundnum, skipulagslegum og tæknilegum viðbótarákvæðum. verndarráðstafanir sem gilda og hafa, á grundvelli upplýsinga sem þeir vitað er með sanngjörnum hætti, ákveðið að lög og venjur í ákvörðunarlandinu komi ekki í veg fyrir að aðilar uppfylli skyldur hvers aðila samkvæmt stöðluðu samningsákvæðunum.
  • j) Stjórnarlög og vettvangur. Aðilar eru sammála um, að því er varðar VALGOÐ 2 við ákvæði 17, að komi til þess að ESB-aðildarríkið þar sem gagnaútflytjandinn hefur staðfestu leyfir ekki réttindi þriðju aðila, skulu stöðluðu samningsákvæðin falla undir lög skv. Írland. Í samræmi við ákvæði 18, skulu ágreiningsmál sem tengjast stöðluðu samningsákvæðunum leyst af dómstólum sem tilgreindir eru í samningnum, nema slíkur dómstóll sé ekki staðsettur í ESB-aðildarríki, en þá skal vettvangur slíkra deilna vera dómstólar á Írlandi. .
  • k) Viðaukar. Í þeim tilgangi að framfylgja stöðluðu samningsákvæðunum, viðauka 3: Upplýsingar um vinnsluna skulu felldar inn sem VIÐAUKI IA og IB, viðauka 4: OwnBackup öryggisstýringar (sem kunna að vera uppfærðar frá einum tíma til annars kl. https://www.ownbackup.com/trust/) skal felld inn sem VIÐAUKI II, og viðauka 1: Núverandi undirvinnslulisti (eins og kann að vera uppfærður öðru hverju kl. https://www.ownbackup.com/legal/sub-p/) skal felld inn sem III. VIÐAUKI.
  • l) Túlkun. Skilmálum þessarar áætlunar er ætlað að skýra og ekki breyta stöðluðu samningsákvæðunum. Komi upp ágreiningur eða ósamræmi á milli meginmáls þessarar áætlunar og staðlaðra samningsákvæða, skulu staðlaða samningsákvæði gilda.

Ákvæði sem gilda um millifærslur frá Sviss
Aðilar eru sammála um að í því skyni að nota staðlaða samningsákvæði til að auðvelda flutning á persónuupplýsingum frá Sviss skuli eftirfarandi viðbótarákvæði gilda: (i) Allar tilvísanir í reglugerð (ESB) 2016/679 skulu túlkaðar þannig að þær vísa til samsvarandi ákvæða í svissnesku sambandslögunum um gagnavernd og önnur gagnaverndarlög Sviss („svissnesk gagnaverndarlög“), (ii) Allar tilvísanir í „aðildarríki“ eða „aðildarríki ESB“ eða „ESB“ skulu túlkaðar sem tilvísun í Sviss, og (iii) Allar tilvísanir í eftirlitsstofnun skulu túlkaðar þannig að þær vísa til svissneska alríkisgagnaverndar- og upplýsingafulltrúans.

Ákvæði gilda um millifærslur frá Bretlandi.
Aðilar eru sammála um að viðauki Bretlands eigi við um flutning á persónuupplýsingum sem falla undir breska gagnaverndarlöggjöfina og teljist lokið sem hér segir (með stórum hugtökum sem ekki eru skilgreind annars staðar með skilgreininguna sem sett er fram í viðauka Bretlands):

  • a) Tafla 1: Aðilar, upplýsingar þeirra og tengiliðir þeirra eru þeir sem settir eru fram í viðauka 3.
  • b) Tafla 2: „Samþykkt ESB staðalsamningsákvæði“ skulu vera staðlaða samningsákvæði eins og sett er fram í þessari viðauka 5.
  • c) Tafla 3: Viðaukar I(A), I(B) og II eru útfylltir eins og fram kemur í k-lið 2. þessa 5. viðauka.
  • d) Tafla 4: OwnBackup getur nýtt sér valfrjálsan uppsagnarrétt sem lýst er í kafla 19 í viðauka Bretlands.

Skjöl / auðlindir

Ownbackup viðbótargagnavinnsluviðbót [pdfLeiðbeiningar
Viðauki viðauka við gagnavinnslu, viðauka við gagnavinnslu, viðauka

Heimildir

Skildu eftir athugasemd

Netfangið þitt verður ekki birt. Nauðsynlegir reitir eru merktir *