Ownbackup データ処理補足条項

このDPAを実行する方法

1. この DPA は、DPA 本体とスケジュール 1、2、3、4、5 の XNUMX つの部分で構成されます。
2. このDPAはOwnBackupに代わって事前に署名されています。
3. このDPAを完了するには、お客様は以下のことを行う必要があります。
   1. 2 ページの「顧客名と顧客住所」セクションに記入します。
   2. 署名ボックスに情報を記入し、6 ページに署名します。
   3. スケジュール 3 (「処理の詳細」) の情報が、処理されるデータの対象とカテゴリを正確に反映していることを確認します。
   4. 記入して署名したDPAをOwnBackupまでお送りください。 プライバシー@ownbackup.com.

OwnBackup がこの電子メール アドレスで有効に記入された DPA を受信すると、この DPA は法的拘束力を持つようになります。
6 ページの本 DPA への署名は、参照により本契約に組み込まれる標準契約条項 (その付録を含む) および英国補足条項への署名および承諾を構成するものとみなされます。

この DPA の適用方法

• 本DPAに署名する顧客エンティティが契約の当事者である場合、本DPAは契約の補足事項であり、契約の一部を構成します。その場合、契約の当事者であるOwnBackupエンティティは、本DPAの当事者となります。
• 本DPAに署名する顧客エンティティが、本契約に従ってOwnBackupまたはその関連会社と注文書を締結しているが、それ自体が本契約の当事者ではない場合、本DPAはその注文書および該当する更新注文書の補足となり、当該注文書の当事者であるOwnBackupエンティティは本DPAの当事者となります。
• 本DPAに署名する顧客エンティティが注文書または契約の当事者でない場合は、本DPAは無効であり、法的拘束力を持ちません。そのようなエンティティは、契約の当事者である顧客エンティティに本DPAを締結するよう要求する必要があります。
• DPA に署名する顧客エンティティが OwnBackup との直接の注文書またはマスター サブスクリプション契約の当事者ではなく、OwnBackup サービスの認定再販業者を介して間接的に顧客である場合、この DPA は無効であり、法的拘束力はありません。そのようなエンティティは、認定再販業者に連絡して、その再販業者との契約の修正が必要かどうかを話し合う必要があります。
• 本DPAとお客様とOwnBackup間のその他の契約（本契約または本契約のデータ処理補足契約を含むがこれらに限定されない）との間に矛盾または不一致がある場合、本DPAの条件が優先するものとします。

このデータ処理補足契約書（そのスケジュールおよび付録を含む）（以下「DPA」）は、OwnBackup Inc.（以下「OwnBackup」）と上記の顧客エンティティとの間でOwnBackupからのオンラインサービスの購入に関して締結されるマスターサブスクリプション契約またはその他の書面または電子契約（以下「契約」）の一部を構成しており、個人データの処理に関する当事者の合意を文書化しています。当該顧客エンティティとOwnBackupが契約を締結していない場合、このDPAは無効であり、法的効力を持ちません。
上記の顧客エンティティは、自らのために、また、その関連会社が個人データの管理者として行動する場合は、それらの認定関連会社に代わって、本DPAを締結します。ここで定義されていない大文字の用語はすべて、契約書に定められた意味を持ちます。
本契約に基づき顧客に SaaS サービスを提供する過程で、OwnBackup は顧客に代わって個人データを処理することがあります。当事者は、かかる処理に関して以下の条件に同意するものとします。

定義

• 「CCPA」とは、カリフォルニア州消費者プライバシー法、カリフォルニア州民法典第1798.100条以降、2020年カリフォルニア州プライバシー権法および実施規則により改正されたものを意味します。「管理者」とは、個人データの処理の目的と手段を決定する主体を意味し、CCPAで定義される「事業者」を指すものとみなされます。
• 「顧客」とは、上記の法人およびその関連会社を意味します。
• 「データ保護法および規制」とは、個人データの処理に適用される、欧州連合およびその加盟国、欧州経済領域およびその加盟国、英国、スイス、米国、カナダ、ニュージーランド、オーストラリア、およびそれぞれの政治的区分のすべての法律および規制を意味します。これらには、適用可能な範囲で、GDPR、英国データ保護法、CCPA、バージニア州消費者データ保護法（「VCDPA」）、コロラド州プライバシー法および関連規制（「CPA」）、ユタ州消費者プライバシー法（「UCPA」）、および個人データプライバシーおよびオンライン監視に関するコネチカット州法（「CPDPA」）が含まれますが、これらに限定されません。「データ主体」とは、個人データが関連する識別された、または識別可能な人物を意味し、データ保護法および規制で定義される「消費者」を含みます。「ヨーロッパ」とは、欧州連合、欧州経済領域、スイス、および英国を意味します。
• 欧州からの個人データの転送に適用される追加規定は、付録 5 に記載されています。付録 5 が削除された場合、お客様は、欧州のデータ保護法および規制に従って個人データを処理しないことを保証します。
• 「GDPR」とは、個人データの処理およびそのデータの自由な移動に関する自然人の保護に関する2016年679月27日の欧州議会および理事会の規則（EU）2016/95、ならびに指令46/XNUMX/EC（一般データ保護規則）の廃止を意味します。
• 「OwnBackup グループ」とは、個人データの処理に従事する OwnBackup およびその関連会社を意味します。
• 「個人データ」とは、(i) 特定された、または特定可能な自然人、および (ii) 特定された、または特定可能な法人（該当するデータ保護法および規制の下で、個人データ、個人情報、または個人を特定できる情報と同様に保護される情報）に関連するあらゆる情報であり、(i) または (ii) のそれぞれについて、そのようなデータは顧客データです。
• 「個人データ処理サービス」とは、別表 2 にリストされている SaaS サービスを意味し、OwnBackup が個人データを処理する場合があります。
• 「処理」とは、自動的手段であるか否かを問わず、個人データに対して実行されるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保管、適応または変更、検索、参照、使用、送信による開示、配布またはその他の方法による提供、調整または組み合わせ、制限、消去または破棄などが含まれます。「プロセッサー」とは、コントローラーに代わって個人データを処理するエンティティを意味し、CCPA で定義されている「サービス プロバイダー」も含まれます。
• 「標準契約条項」とは、欧州議会および欧州連合理事会の規則 (EU) 2021/914 に従い、第三国に設立された処理者への個人データの移転に関する標準契約条項に関する 2021 年 914 月 4 日の欧州委員会の実施決定 (EU) 2021/2016 (https://eur-lex.europa.eu/eli/dec_impl/679/5/oj) の付属書を意味し、スイスについてはスケジュール XNUMX でさらに詳しく説明する必要な修正が適用されます。
• 「サブプロセッサー」とは、OwnBackup、OwnBackupグループのメンバー、または別のサブプロセッサーによって雇用されたプロセッサーを意味します。
• 「監督当局」とは、顧客に対して拘束力のある法的権限を持つ政府または政府認可の規制機関を意味します。
• 「英国補足条項」とは、EU委員会の標準契約条項に対する英国国際データ転送補足条項（21年2022月5日現在、https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/ で閲覧可能）を意味し、スケジュールXNUMXに記載されているとおりに完了します。
• 「英国データ保護法」とは、欧州議会および理事会の個人データの処理に関する自然人の保護およびそのようなデータの自由な移動に関する規則2016/679を意味し、3年欧州連合（離脱）法第2018条に基づいてイングランド、ウェールズ、スコットランド、北アイルランドの法律の一部を形成し、英国のデータ保護法および規則によって随時改正される場合があります。

個人データの処理

• 適用範囲。両当事者は、本DPAが個人データ処理サービス内の個人データの処理にのみ適用されることに同意します。
• 当事者の役割。当事者は、個人データの処理に関して、顧客が管理者であり、OwnBackup が処理者であることに同意します。
• OwnBackup による個人データの処理。OwnBackup は個人データを機密情報として扱い、次の目的で、お客様の文書化された指示に従ってのみ、お客様の代理で個人データを処理するものとします。(i) 本契約および該当する注文に従った処理、(ii) SaaS サービスの使用中にお客様の担当者が開始した処理、および (iii) お客様から提供されたその他の文書化された合理的な指示 (電子メール経由など) に従うための処理 (かかる指示が本契約の条件と一致する場合)。
• 処理の制限。OwnBackup は、(i) データ保護法および規制で定義されている用語に従って、個人データを「販売」または「共有」すること、(ii) SaaS サービスの実行以外の商業目的またはその他の目的で個人データを保持、使用、開示、または処理すること、(iii) 顧客と OwnBackup の直接のビジネス関係以外で個人データを保持、使用、開示することを行わないものとします。OwnBackup は、個人データと、OwnBackup が別の個人または複数の個人から、またはそれらの代理で受け取った個人データ、または OwnBackup が個人とのやり取りから収集した個人データを組み合わせることに関して、データ保護法および規制に基づく適用可能な制限に従うものとします。
• 違法な指示の通知、不正な処理。OwnBackup は、お客様からの指示がデータ保護法または規制に違反していると判断した場合、直ちにお客様に通知するものとします。お客様は、通知を受けた場合、本 DPA で許可されていない個人データの使用を含む、個人データの不正使用を停止および修正するための合理的かつ適切な措置を講じる権利を保持します。
• 処理の詳細。OwnBackup による個人データの処理の主題は、契約に従った SaaS サービスの実行です。処理の期間、処理の性質と目的、個人データの種類、およびこの DPA に基づいて処理されるデータ主体のカテゴリは、スケジュール 3 (処理の詳細) でさらに指定されます。
• データ保護影響評価。お客様の要請に応じて、OwnBackup は、お客様が関連情報にアクセスできず、OwnBackup が当該情報を入手できる範囲において、データ保護法および規制に基づくお客様の SaaS サービスの使用に関連するデータ保護影響評価を実施する義務を果たすために、お客様を合理的に支援するものとします。OwnBackup は、適用されるデータ保護法および規制で要求される範囲において、データ保護影響評価に関してお客様が監督当局と協力または事前に協議できるよう、お客様を合理的に支援するものとします。
• 個人データに関する顧客の義務。SaaS サービスの使用において、顧客は、OwnBackup による処理のためにデータ主体に通知し、データ主体から同意を得るための適用要件を含む、データ保護法および規制を遵守するものとします。顧客は、個人データの処理に関する指示がデータ保護法および規制に準拠していることを保証するものとします。
• お客様は、個人データの正確性、品質、合法性、および個人データを取得した手段について単独で責任を負うものとします。お客様は、SaaS サービスの使用が、該当する範囲で、個人データの販売、共有、またはその他の開示をオプトアウトしたデータ主体の権利を侵害しないことを保証するものとします。お客様は、顧客データに、フランス公衆衛生法典の L.1111-8 条に基づいて保護される個人健康データに該当するデータが含まれていないことを保証するものとします。

顧客データのリクエスト

• データ主体からの要求。OwnBackup は、データ主体からのアクセス権、訂正権、処理制限権、消去権（「忘れられる権利」）、データポータビリティ権、処理への異議申し立て権、または自動化された個別意思決定の対象とならない権利の行使要求（各要求は「データ主体要求」）を受け取った場合、法的に許可される範囲で、速やかに顧客に通知するものとします。処理の性質を考慮し、OwnBackup は、データ保護法および規制に基づくデータ主体要求に応じるという顧客の義務を果たすために、可能な限り適切な技術的および組織的措置により顧客を支援するものとします。さらに、お客様が SaaS サービスの使用においてデータ主体の要求に対応できない場合、OwnBackup は、お客様の要求に応じて、OwnBackup が法的に許可され、データ保護法および規制に基づいてデータ主体の要求への対応が義務付けられている範囲で、商業的に合理的な努力を払って、お客様がそのようなデータ主体の要求に対応できるよう支援するものとします。そのような支援が契約した SaaS サービスの範囲を超える場合、法的に許可されている範囲で、お客様は支援から生じる追加費用を負担するものとします。
• その他の第三者からのリクエスト。OwnBackup がデータ主体以外の第三者 (政府機関を含むがこれに限定されない) から顧客データのリクエストを受け取った場合、OwnBackup は法律で許可されている場合、リクエスト元を顧客に紹介し、リクエストについて顧客に速やかに通知するものとします。OwnBackup が顧客にリクエストを通知することが法律で許可されていない場合、OwnBackup は法律で義務付けられている場合にのみリクエスト元に応答し、リクエスト元と協力して顧客データ リクエストの範囲を絞り込むよう合理的な努力をします。

バックアップ要員

• 機密保持。OwnBackup は、個人データの処理に従事する従業員が個人データの機密性について知らされ、その責任について適切なトレーニングを受け、書面による機密保持契約を締結していることを保証するものとします。OwnBackup は、そのような機密保持義務が従業員の雇用終了後も存続することを保証するものとします。
• 信頼性。OwnBackup は、個人データの処理に携わる OwnBackup 担当者の信頼性を確保するために、商業的に合理的な措置を講じるものとします。
• アクセスの制限。OwnBackup は、OwnBackup による個人データへのアクセスが、本契約に従って SaaS サービスを実行するためにアクセスを必要とする担当者に限定されるようにします。
• データ保護責任者。OwnBackupグループのメンバーは、データ保護法および規制により任命が義務付けられている場合、データ保護責任者を任命します。任命された人物への連絡は、 プライバシー@ownbackup.com.

サブプロセッサ

• サブプロセッサーの任命。お客様は、SaaSサービスに関連して、以下の手順に従って、OwnBackupにサードパーティのサブプロセッサーを任命する一般的な権限を付与します。
  このDPAに定められている通り、OwnBackupまたはOwnBackup関連会社は、各サブプロセッサーと、このDPAに定められているものと同等以上のデータ保護義務を定めた書面による契約を締結しています。
  当該サブプロセッサーが提供するサービスに適用される範囲で、顧客データの保護。
• 現在のサブプロセッサーと新しいサブプロセッサーの通知。本DPAの締結日現在のSaaSサービスのサブプロセッサーのリストは、スケジュール1に添付されています。OwnBackupは、新しいサブプロセッサーに個人データの処理を許可する前に、顧客に書面で通知するものとします。
• 新しいサブプロセッサーに対する異議申し立て権。お客様は、前項で説明した通知を受領してから 30 日以内に OwnBackup に書面で通知することにより、OwnBackup による新しいサブプロセッサーの使用に異議を申し立てることができます。お客様が前文で許可されているように新しいサブプロセッサーに異議を申し立てる場合、OwnBackup は、お客様に不当な負担をかけることなく、異議を申し立てられた新しいサブプロセッサーによる個人データの処理を回避するために、SaaS サービスの変更をお客様に提供するか、SaaS サービスの設定または使用方法の変更をお客様に推奨するために、商業的に合理的な努力を払います。OwnBackup が合理的な期間内に (いかなる場合も 30 日を超えないものとします)、SaaS サービスの変更を提供できないか、お客様が満足できる SaaS サービスの設定または使用方法の変更をお客様に推奨できない場合、お客様は OwnBackup に書面で通知することにより、該当する注文書を解約できます。このような場合、OwnBackup は、解約の効力発生日以降の当該注文書の残存期間をカバーする前払い料金を、顧客に解約の違約金を課すことなく、顧客に返金します。
• サブプロセッサーに対する責任。OwnBackup は、本 DPA の条件に従って各サブプロセッサーのサービスを直接実行した場合に OwnBackup が責任を負うのと同程度に、サブプロセッサーの行為および不作為に対して責任を負うものとします。

安全

• 顧客データの保護のための管理。OwnBackup は、スケジュール 4 (OwnBackup セキュリティ管理) に従って、個人データを含む顧客データのセキュリティ (不正または違法な処理、偶発的または違法な破壊、紛失、改ざん、損傷、不正な開示、アクセスからの保護を含む)、機密性、整合性を保護するために、適切な物理的、技術的、組織的対策を維持するものとします。OwnBackup は、サブスクリプション期間中に SaaS サービスの全体的なセキュリティを大幅に低下させることはありません。
• 第三者監査レポートおよび証明書。お客様から合理的な間隔で書面による要求があった場合、および本契約の守秘義務に従い、OwnBackup は、お客様が OwnBackup の競合企業でない限り、OwnBackup の最新の第三者監査レポート SOC 2 監査レポート、および OwnBackup がお客様に提供するその他の監査レポートおよび証明書のコピーをお客様に提供するものとします。

顧客データインシデント管理と通知

OwnBackup は、セキュリティ インシデント管理ポリシーと手順を維持し、OwnBackup またはその下請け業者によって送信、保存、またはその他の方法で処理された個人データを含む顧客データの偶発的または違法な破壊、紛失、変更、不正開示、またはアクセスを認識した後、遅滞なく顧客に通知するものとします (「顧客データ インシデント」)。OwnBackup は、かかる顧客データ インシデントの原因を特定するために合理的な努力を払い、OwnBackup が合理的に管理できる範囲で、かかる顧客データ インシデントの原因を修復するために必要かつ合理的であると OwnBackup が判断する措置を講じるものとします。本契約の義務は、顧客またはその従業員によって引き起こされたインシデントには適用されません。

顧客データの返却と削除
OwnBackup は顧客データを顧客に返却し、適用法で許可される範囲で、本契約で指定された手順と期間に従って顧客データを削除するものとします。

監査

お客様の要求に応じて、本契約の守秘義務に従い、OwnBackup は、お客様（または OwnBackup が合理的に受け入れ可能な秘密保持契約に署名したお客様の第三者監査人）に対し、OwnBackup グループが本 DPA に定められた義務およびデータ保護法および規制に基づくプロセッサーとしての義務を遵守していることを証明するために必要な情報を、OwnBackup が完了済みの標準化されたセキュリティ アンケート、サードパーティの認証および監査レポート（例: 完了済みの Standardized Information Gathering (SIG) および Cloud Security Alliance Consensus Assessments Initiative (CSA CAIQ) アンケート、SOC 2 レポート、概要侵入テスト レポート）の形式で提供し、サブプロセッサーの場合は、サブプロセッサーが提供するサードパーティの認証および監査レポートも提供するものとします。 OwnBackup が顧客に対して個人データの不正開示が実際にあったか、または合理的に疑われることを通知した後、OwnBackup が本 DPA に基づく個人データ保護義務に違反していると顧客が合理的に確信した場合、または顧客の監督当局によってそのような監査が要求された場合、顧客は OwnBackup に連絡して個人データ保護に関連する手順の監査を要請することができます。そのような監査はリモートで実施されますが、データ保護法および規制によって要求された場合、顧客および/またはその監督当局は OwnBackup の施設でオンサイト監査を実施できます。そのような要求は、個人データへの不正アクセスが実際にあったか、または合理的に疑われる場合を除き、年に XNUMX 回以上発生しません。監査を開始する前に、顧客と OwnBackup は監査の範囲、タイミング、期間について相互に合意するものとします。再監査以外のサブプロセッサーの監査は、いかなる場合も行われません。view サブプロセッサーによって提供されるレポート、証明書、および文書の複製は、サブプロセッサーの同意なしに許可されません。

アフィリエイト

• 契約関係。本DPAに署名する顧客エンティティは、自らのために、また該当する場合はその関連会社の名義で、その代理として署名し、それによって、本契約、本第10条、および以下の第11条の規定に従い、OwnBackupと各関連会社の間に別個のDPAを確立します。各関連会社は、本DPAおよび該当する範囲で本契約に基づく義務に拘束されることに同意します。疑義を避けるために、かかる関連会社は本契約の当事者ではなく、また当事者になることはなく、本DPAの当事者に過ぎません。かかる関連会社によるSaaSサービスへのアクセスおよび使用はすべて本契約に準拠する必要があり、関連会社による本契約の違反は顧客による違反とみなされます。
• コミュニケーション。本DPAに署名する顧客エンティティは、本DPAに基づいてOwnBackupとのすべてのコミュニケーションを調整する責任を負い、その関連会社に代わって本DPAに関連するすべてのコミュニケーションを送受信する権利を有します。
• 顧客関連会社の権利。顧客関連会社が OwnBackup と本 DPA の当事者となる場合、適用されるデータ保護法および規制で要求される範囲で、以下の条件に従い、本 DPA に基づく権利を行使し、救済を求める権利を有するものとします。
• 適用されるデータ保護法および規制により、顧客関連会社が本DPAに基づく権利を行使したり、OwnBackupに対して直接救済を求めることが求められる場合を除き、両当事者は、
  • 本DPAに署名した顧客エンティティのみが、顧客関連会社に代わってかかる権利を行使し、またはかかる救済を求めるものとし、(ii)本DPAに署名した顧客エンティティは、本DPAに基づくかかる権利を、各関連会社に対して個別にではなく、自身とその関連会社全体に対して共同で行使するものとします（例：amp（下記10.3.2項参照）。
  • 本DPAに署名する顧客エンティティは、個人データの保護に関連する手順の許可された監査を実施する場合、合理的に可能な範囲で、自身とその関連会社すべてを代表して実施される複数の監査要求を1回の監査に組み合わせることにより、OwnBackupとそのサブプロセッサーへの影響を制限するためにあらゆる合理的な措置を講じるものとします。

責任の制限

• データ保護法および規制によって許可される範囲において、契約、不法行為、またはその他の責任理論に基づくかどうかにかかわらず、本DPAに起因または関連して総合的に判断される各当事者およびその関連会社の責任は、本契約の「責任制限」条項、および責任を除外または制限するその他の条項の対象となり、かかる条項における当事者の責任への言及は、当該当事者およびその関連会社すべての総合的な責任を意味します。

転送メカニズムの変更

• データ保護法および規制の意味における適切なレベルのデータ保護が保証されない 1 つ以上の国への個人データの転送を容易にするために当事者が依存している現在の転送メカニズムが無効にされ、修正され、または置き換えられた場合、当事者は誠意を持ってかかる代替転送メカニズムを制定し、本契約で想定される個人データの継続的な処理を可能にするものとします。かかる代替転送メカニズムの使用は、各当事者がかかる転送メカニズムの使用に関するすべての法的要件を満たすことを条件とします。

両当事者の権限ある署名者は、本契約書に組み込まれたすべての適用可能なスケジュール、付属書、付録を含む本契約書を正式に締結した。

お客様 

• 署名:
• 名前：
• タイトル：
• 日付：

スケジュール一覧

• スケジュール 1: 現在のサブプロセッサーのリスト
• スケジュール 2: 個人データ処理に適用される SaaS サービス
• スケジュール 3: 処理の詳細
• スケジュール 4: OwnBackup のセキュリティ管理
• スケジュール 5: 欧州規定

現在のサブプロセッサのリスト

お客様はAmazonのいずれかを選択できます Web サービスまたは Microsoft (Azure) と、お客様による SaaS サービスの初期セットアップ中の希望の処理場所。
Microsoft (Azure) クラウドに展開することを選択した OAwnBackup Archive の顧客にのみ適用されます。

個人データ処理に適用されるSaaSサービス

• Salesforce 向け OwnBackup Enterprise
• Salesforce 向けの OwnBackup Unlimited
• Salesforce 向け OwnBackup Governance Plus
• OwnBackup アーカイブ
• 独自のキー管理の導入
• サンドボックスシード

処理内容

データエクスポーター

• 氏名: 上記に指定した顧客名
• メインアドレス: 上記に指定された顧客住所
• 接触： 別途規定がない場合は、これが顧客アカウントの主な連絡先となります。
• 連絡先メールアドレス: 別途規定がない場合は、これが顧客アカウントの主な連絡先メールアドレスとなります。

データインポーター

• 氏名: OwnBackup株式会社
• メインアドレス: 940 Sylvan Ave、Englewood Cliffs、NJ 07632、米国
• 接触： プライバシー担当者
• 連絡先メールアドレス: プライバシー@ownbackup.com

処理の性質と目的

• OwnBackupは、Saaサービスを実行するために必要な個人データを処理します。
• 本契約および注文、および SaaS サービスの使用において顧客から指示された内容に従います。

処理時間

OwnBackup は、書面による別段の合意がない限り、契約期間中個人データを処理します。

保持
OwnBackup は、書面による別段の合意がない限り、ドキュメントに指定されている最大保持期間に従って、契約期間中 SaaS サービス内の個人データを保持します。

転送頻度
SaaS サービスの使用を通じてお客様が決定したとおり。

サブプロセッサーへの転送
契約および命令に従って SaaS サービスを実行するために必要な場合、およびスケジュール 1 に詳細に記載されているとおり。

データ主体のカテゴリー
お客様は個人データを SaaS サービスに送信することができます。その範囲はお客様が独自の裁量で決定および管理し、以下のカテゴリーのデータ主体に関連する個人データが含まれる場合がありますが、これに限定されません。

• 顧客の見込客、顧客、ビジネスパートナーおよびベンダー（自然人）
• お客様の見込み客、顧客、ビジネスパートナー、ベンダーの従業員または担当者
• 顧客の従業員、代理人、顧問、フリーランサー（自然人）
• 顧客がSaaSサービスの使用を許可した顧客のユーザー

個人データの種類
お客様は、SaaSサービスに個人データを提出することができます。その範囲はお客様の独自の裁量で決定および管理され、以下のカテゴリが含まれますが、これらに限定されません。

個人データ:

• 名と姓
• タイトル
• 位置
• 雇用主
• IDデータ
• 職業生活データ
• 連絡先情報 (会社、電子メール、電話、物理的な会社の住所)
• 個人の生活データ
• ローカリゼーションデータ

特別なカテゴリのデータ (該当する場合)
お客様は、SaaS サービスに特別なカテゴリの個人データを送信する場合があります。その範囲は、お客様の独自の裁量で決定および管理されます。明確に言えば、これには、遺伝子データ、自然人を一意に識別するための生体認証データ、または健康に関するデータの処理が含まれる場合があります。OwnBackup が特別なカテゴリのデータおよびその他の個人データを保護する方法については、スケジュール 4 の対策を参照してください。

導入

1. OwnBackup の Software-as-a-Service アプリケーション (SaaS サービス) は、最初からセキュリティを念頭に置いて設計されました。 SaaS サービスは、さまざまなセキュリティ リスクに対処するために、複数の層にわたるさまざまなセキュリティ制御を使用して設計されています。 これらのセキュリティ管理は変更される可能性があります。 ただし、いかなる変更も全体的なセキュリティ体制を維持または改善します。
2. 以下のコントロールの説明は、Amazon と Amazon の両方の SaaS サービス実装に適用されます。 Web サービス (AWS) および Microsoft Azure (Azure) プラットフォーム (総称して当社のクラウド サービス プロバイダー、または CSP と呼ばれます)。 ただし、以下の「暗号化」セクションで指定されている場合を除きます。 これらの制御の説明は、以下の「安全なソフトウェア開発」で規定されている場合を除き、RevCult ソフトウェアには適用されません。

Web アプリケーションのセキュリティ制御

• SaaS サービスへの顧客のアクセスは HTTPS (TLS1.2+) 経由でのみ行われ、エンドユーザーとアプリケーション間、および OwnBackup とサードパーティ データ ソース (Salesforce など) 間の転送中のデータの暗号化が確立されます。
• 顧客の SaaS サービス管理者は、必要に応じて、SaaS サービス ユーザーおよび関連するアクセスをプロビジョニングおよびプロビジョニング解除できます。
• SaaS サービスは、顧客が複数組織の権限を管理できるようにする役割ベースのアクセス制御を提供します。
• 顧客の SaaS サービス管理者は、ユーザー名、アクション、時刻などの監査証跡にアクセスできます。amp、および送信元 IP アドレス フィールド。 監査ログは次のとおりです。 viewSaaS サービスにログインしている顧客の SaaS サービス管理者によって、また SaaS サービス API を通じて編集およびエクスポートされます。
• SaaS サービスへのアクセスは、送信元 IP アドレスによって制限される場合があります。
• SaaS サービスでは、時間ベースのワンタイム パスワードを使用して、SaaS サービス アカウントにアクセスするための多要素認証を有効にすることができます。
• SaaS サービスを使用すると、顧客は SAML 2.0 ID プロバイダーを介してシングル サインオンを有効にすることができます。
• SaaS サービスを使用すると、顧客はカスタマイズ可能なパスワード ポリシーを有効にして、SaaS サービスのパスワードを企業ポリシーに合わせることができます。

暗号化

• OwnBackup は、保存データの暗号化のために次の SaaS サービス オプションを提供します。
  • 標準製品。
    • データは、FIPS 256-140 で検証されたキー管理システムを介した AES-2 サーバー側暗号化を使用して暗号化されます。
    • エンベロープ暗号化は、マスター キーがハードウェア セキュリティ モジュール (HSM) から外に出ないように利用されます。
    • 暗号化キーは少なくとも 2 年ごとにローテーションされます。
  • 高度なキー管理 (AKM) オプション。
    • データは、顧客が提供したマスター暗号化キー (CMK) を使用して、専用のオブジェクト ストレージ コンテナー内で暗号化されます。
    • AKM を使用すると、将来キーをアーカイブし、別のマスター暗号化キーを使用してローテーションすることができます。
    • 顧客はマスター暗号化キーを取り消すことができ、その結果、データに即座にアクセスできなくなります。
  • Bring Your Own Key Management System (KMS) オプション (AWS でのみ利用可能)。
    • 暗号化キーは、AWS KMS を利用して、顧客自身の別途購入したアカウントで作成されます。
    • お客様は、AWS 上のお客様の SaaS サービス アカウントがお客様自身の AWS KMS からキーにアクセスできるようにする暗号化キー ポリシーを定義します。
    • データは、OwnBackup によって管理される専用のオブジェクト ストレージ コンテナ内で暗号化され、顧客の暗号化キーを使用するように構成されます。
    • 顧客は、OwnBackup とやり取りすることなく、OwnBackup の暗号化キーへのアクセスを取り消すことで、暗号化されたデータへのアクセスを即座に取り消すことができます。
    • OwnBackup の従業員はいつでも暗号化キーにアクセスできず、KMS に直接アクセスすることもありません。
    • 専用のオブジェクト ストレージによるキーの取得を含め、すべてのキー使用アクティビティが顧客の KMS に記録されます。
• SaaS サービスとサードパーティ データ ソース (Salesforce など) の間の転送中の暗号化では、TLS 1.2+ および OAuth 2.0 を備えた HTTPS が利用されます。

ネットワーク

• SaaS サービスは、CSP ネットワーク制御を利用して、ネットワークの出入りを制限します。
• ステートフル セキュリティ グループは、承認されたエンドポイントへのネットワークの出入りを制限するために使用されます。
• SaaS サービスは、論理的に分離された複数の Amazon Virtual Private Cloud (VPC) または Azure Virtual Network (VNet) を含む多層ネットワーク アーキテクチャを使用し、CSP インフラストラクチャ内のプライベート ゾーン、DMZ、および信頼されていないゾーンを活用します。
• AWS では、各リージョンで VPC S3 エンドポイント制限が使用され、承認された VPC からのアクセスのみが許可されます。

監視と監査

• SaaS サービスのシステムとネットワークは、セキュリティ インシデント、システムの健全性、ネットワークの異常、可用性が監視されます。
• SaaS サービスは、侵入検知システム (IDS) を使用してネットワーク アクティビティを監視し、不審な動作を OwnBackup に警告します。
• SaaS サービスが使用するのは、 web すべてのパブリック向けアプリケーション ファイアウォール (WAF) web サービス。
• OwnBackup は、アプリケーション、ネットワーク、ユーザー、オペレーティング システムのイベントをローカルの syslog サーバーと地域固有の SIEM に記録します。 これらのログは自動的に分析され、view不審なアクティビティや脅威を監視します。 異常がある場合は、必要に応じてエスカレーションされます。
• OwnBackup は、セキュリティ情報およびイベント管理 (SIEM) システムを利用して、SaaS サービスのネットワークとセキュリティ環境の継続的なセキュリティ分析、ユーザーの異常警告、コマンド アンド コントロール (C&C) 攻撃の偵察、自動化された脅威の検出、および侵害の兆候 (IOC) のレポートを提供します。 ）。 これらの機能はすべて、OwnBackup のセキュリティおよび運用スタッフによって管理されます。
• OwnBackup のインシデント対応チームは security@ownbackup.com エイリアスを監視し、必要に応じて会社のインシデント対応計画 (IRP) に従って対応します。

アカウント間の分離

• SaaS サービスは、Linux サンドボックスを使用して、処理中に顧客アカウントのデータを分離します。 これは、あらゆる異常 (例:amp(セキュリティ上の問題またはソフトウェアのバグのため) は、単一の OwnBackup アカウントに制限されたままになります。
• テナントのデータ アクセスは、データを持つ固有の IAM ユーザーによって制御されます tag権限のないユーザーがテナント データにアクセスすることを禁止します。

災害復旧

• OwnBackup は、CSP オブジェクト ストレージを使用して、複数のアベイラビリティ ゾーンにわたって暗号化された顧客データを保存します。
• オブジェクト ストレージに保存されている顧客データについては、OwnBackup は自動エージング機能を備えたオブジェクトのバージョン管理を使用して、OwnBackup の災害復旧およびバックアップ ポリシーへの準拠をサポートします。 これらのオブジェクトについて、OwnBackup のシステムは、0 時間の目標復旧時点 (RPO) (つまり、過去 14 日間に存在していた任意のオブジェクトの任意のバージョンに復元できる機能) をサポートするように設計されています。
• コンピューティング インスタンスの必要なリカバリは、OwnBackup の構成管理の自動化に基づいてインスタンスを再構築することで実行されます。
• OwnBackup の災害復旧計画は、4 時間の目標復旧時間 (RTO) をサポートするように設計されています。

脆弱性管理

• OwnBackup は定期的に実行します web 継続的な監視プログラムの一環として、アプリケーションの脆弱性評価、静的コード分析、および外部の動的評価を実施し、アプリケーションのセキュリティ制御が適切に適用され、効果的に動作していることを確認します。
• OwnBackup は、半年ごとに独立したサードパーティのペネトレーション テスターを雇い、ネットワークとペネトレーション テスターの両方を実行します。 web 脆弱性評価。 これらの外部監査の範囲には、オープンな規制に対するコンプライアンスが含まれます。 Web アプリケーション セキュリティ プロジェクト (OWASP) トップ 10 Web 脆弱性 (www.owasp.org)
• 脆弱性評価の結果は、特定された脆弱性を修復するために OwnBackup ソフトウェア開発ライフサイクル (SDLC) に組み込まれます。 特定の脆弱性は優先順位付けされ、解決まで追跡するために OwnBackup 内部チケット システムに入力されます。

インシデント対応

潜在的なセキュリティ侵害が発生した場合、OwnBackup インシデント対応チームが状況を評価し、適切な緩和戦略を策定します。潜在的な侵害が確認された場合、OwnBackup は侵害を軽減し、法医学的証拠を保存するために直ちに行動し、影響を受けた顧客の主な連絡先に遅滞なく通​​知して状況を説明し、解決状況の更新を提供します。

安全なソフトウェア開発

OwnBackup は、ソフトウェア開発ライフ サイクル全体を通じて、OwnBackup および RevCult ソフトウェア アプリケーションの安全な開発手法を採用しています。 これらのプラクティスには、静的コード分析、Salesforce のセキュリティ管理などが含まれます。view RevCult アプリケーションおよび顧客の Salesforce インスタンスにインストールされている OwnBackup アプリケーションの場合、ピアリview 最小特権の原則に基づいてソース コード リポジトリ アクセスを制限し、ソース コード リポジトリ アクセスと変更をログに記録します。

専任のセキュリティチーム

OwnBackup には、100 年を超える多面的な情報セキュリティの総合経験を持つ専任のセキュリティ チームがいます。 さらに、チーム メンバーは、CISM、CISSP、ISO 27001 主任監査員など、業界で認められた多数の認定資格を保持していますが、これらに限定されません。

プライバシーとデータ保護
OwnBackup は、消去する権利 (忘れられる権利) や匿名化などのデータ主体のアクセス要求に対するネイティブ サポートを提供し、一般データ保護規則 (GDPR)、医療保険の相互運用性と説明責任法などのデータ プライバシー規制への準拠をサポートします。 (HIPAA)、およびカリフォルニア州消費者プライバシー法 (CCPA)。 OwnBackup は、国際データ転送の法的要件を含むプライバシーおよびデータ保護法に対処するためのデータ処理補遺も提供します。

身元調査

OwnBackup は、適用される法律に従い、過去 XNUMX 年間の従業員の居住地管轄区域に基づいて、顧客のデータにアクセスする可能性のある従業員の犯罪歴調査を含む一連の身元調査を実行します。

保険

OwnBackup は、少なくとも次の保険補償を維持します。 (a) 適用されるすべての法律に基づく労働者災害補償保険。 (b) 非所有車両およびレンタル車両を対象とした自動車賠償責任保険。単一限度額の合計は 1,000,000 ドルです。 (c) 商業一般賠償責任 (公的責任) 保険。発生ごとに 1,000,000 ドルの単一限度補償および一般合計補償が 2,000,000 ドルとなります。 (d) エラーおよび不作為 (専門的補償) 保険 (プライマリおよび超過レイヤーを含む、サイバー賠償責任、テクノロジーおよびプロフェッショナル サービス、テクノロジー製品、データおよびネットワーク セキュリティ、侵害対応、規制を含む) ごとに 20,000,000 件あたり 20,000,000 ドル、総額 5,000,000 ドルを上限とします。防御と罰則、サイバー恐喝とデータ回復の責任。 (e) XNUMX 万ドルを補償する従業員不正行為/犯罪保険。 OwnBackup は、要求に応じてかかる保険の証拠を顧客に提供します。

欧州規定

このスケジュールは、これらの規定が適用されない場合、顧客または OwnBackup が適用されるデータ保護法および規制に違反する可能性がある、ヨーロッパからの個人データの転送 (転送転送を含む) にのみ適用されます。

データ転送のための転送メカニズム。
標準契約条項は、本DPAに基づく個人データの、欧州から、当該地域のデータ保護法および規制の意味における適切なレベルのデータ保護が保証されていない国への移転に、当該移転が当該データ保護法および規制の対象となる範囲で適用されます。OwnBackupは、データ輸入者として標準契約条項を締結します。本スケジュールの追加条件も、当該データ移転に適用されます。

譲渡には標準契約条項が適用されます。

• 標準契約条項の対象となる顧客。標準契約条項および本スケジュールに規定される追加条件は、(i) 顧客（顧客が欧州のデータ保護法および規制の対象となる範囲で）、および (ii) 顧客の認定関連会社に適用されます。標準契約条項および本スケジュールの目的上、このような事業体は「データ輸出者」となります。
• モジュール。両当事者は、標準契約条項内でオプションのモジュールが適用される場合、「モジュール 2: 管理者から処理者への転送」と表示されているモジュールのみが適用されることに同意します。
• 指示。上記第 2 項に記載されている指示は、標準契約条項の第 8.1 項の目的上、個人データを処理するための顧客による指示とみなされます。
• 新しいサブプロセッサーの任命および現在のサブプロセッサーのリスト。標準契約条項の第 2 条 (a) のオプション 9 に従い、お客様は、OwnBackup が上記の第 5.1 条 5 項、第 5 条 b 項、および第 1 条 c 項に記載されているように新しいサブプロセッサーを雇用できること、OwnBackup の関連会社がサブプロセッサーとして保持されること、および OwnBackup と OwnBackup の関連会社がデータ処理サービスの提供に関連してサードパーティのサブプロセッサーを雇用できることに同意します。サブプロセッサーの現在のリストは、スケジュール XNUMX として添付されています。
• 副処理者契約。 両当事者は、副処理者へのデータ転送が標準契約条項以外の転送メカニズムに依存する場合があることに同意します（例:ampOwnBackup は、かかるサブプロセッサーとの契約に、標準契約条項の第 9 条 (b) に反する規定があっても、標準契約条項を組み込んだり反映させたりすることはできません。ただし、かかるサブプロセッサーとの契約には、かかるサブプロセッサーが提供するサービスに適用される範囲において、顧客データの保護に関する本 DPA の義務と同等以上の保護レベルを持つデータ保護義務が含まれるものとします。標準契約条項の第 9 条 (c) に従って OwnBackup が顧客に提供しなければならないサブプロセッサー契約のコピーは、顧客からの書面による要求があった場合にのみ OwnBackup から提供され、すべての商業情報、または標準契約条項に関連しない条項、またはそれと同等の条項は、OwnBackup によって事前に削除される場合があります。
• 監査および認証。両当事者は、標準契約条項の第 8.9 条および第 13(b) 条に記載されている監査が、上記第 9 条に従って実行されることに同意します。
• データの消去。両当事者は、標準契約条項の第 8.5 条または第 16 条 (d) 項で想定されるデータの消去または返却は、上記第 8 条に従って行われるものとし、削除の証明は顧客の要求があった場合にのみ OwnBackup によって提供されることに同意します。
• 第三者受益者。両当事者は、SaaS サービスの性質に基づき、顧客が OwnBackup が標準契約条項の第 3 条に基づくデータ主体に対する義務を履行するために必要なすべての支援を提供することに同意します。
• 影響評価。標準契約条項第14条に従い、当事者は、移転の特定の状況を考慮して、移転先国の法律と慣行、および適用される特定の補足的な契約、組織、および技術上の保護措置の分析を実施し、その時点で合理的に知られている情報に基づいて、移転先国の法律と慣行が、当事者が標準契約条項に基づく各当事者の義務を履行することを妨げないと判断しました。
• 準拠法および裁判所。当事者は、第 2 条のオプション 17 に関して、データ エクスポーターが設立されている EU 加盟国が第三者受益者の権利を認めていない場合、標準契約条項はアイルランドの法律に準拠することに同意します。第 18 条に従い、標準契約条項に関連する紛争は、当該裁判所が EU 加盟国に所在していない場合を除き、本契約で指定された裁判所によって解決されるものとし、その場合、当該紛争の裁判所はアイルランドの裁判所となります。
• 付属文書。標準契約条項の履行のために、付属文書3：処理の詳細は付属文書IAおよびIBとして組み込まれるものとし、付属文書4：OwnBackupセキュリティ管理（随時更新される可能性がある）は、 https://www.ownbackup.com/trust/) は付録 II として組み込まれるものとし、スケジュール 1: 現在のサブプロセッサーリスト (随時更新される可能性があります) https://www.ownbackup.com/legal/sub-p/）はANNEX IIIとして組み込まれるものとする。
• 解釈。本付属書の条項は、標準契約条項を明確にするためのものであり、変更するためのものではありません。本付属書の本文と標準契約条項の間に矛盾または不一致がある場合、標準契約条項が優先するものとします。

スイスからの送金に適用される規定

両当事者は、スイスからの個人データの移転を容易にするための標準契約条項の適用上、以下の追加規定が適用されることに同意します。(i) 規則 (EU) 2016/679 への言及は、スイス連邦データ保護法およびその他のスイスのデータ保護法 (「スイス データ保護法」) の対応する規定への言及と解釈されるものとし、(ii) 「加盟国」または「EU 加盟国」または「EU」への言及は、スイスへの言及と解釈されるものとし、(iii) 監督当局への言及は、スイス連邦データ保護および情報コミッショナーへの言及と解釈されるものとします。

英国からの移転に適用される規定

両当事者は、英国の追加条項が英国のデータ保護法に準拠する個人データの移転に適用され、次のように完了したものとみなされます (他で定義されていない大文字の用語は英国の追加条項に記載されている定義を持ちます) に同意します。

• 表 1: 当事者、その詳細、および連絡先は、スケジュール 3 に記載されています。
• 表2：「承認されたEU標準契約条項」とは、本付表5に定める標準契約条項をいいます。
• 表3：付録I(A)、I(B)、およびIIは、このスケジュール2のセクション5(k)に規定されているとおりに記入されています。
• 表 4: OwnBackup は、英国補足条項の第 19 条に記載されている任意の早期終了権を行使する場合があります。

ドキュメント / リソース

Ownbackup データ処理補足条項 [pdf] 説明書 データ処理補足条項、処理補足条項、補足条項

参考文献

• ユーザーマニュアル