Adendum Pangolahan Data Tambahan DocuSign

Adendum Pangolahan Data Tambahan DocuSign

Isine ndhelikake
1 CARA NGLAKOKE DPA IKI
2 CARA DPA Iki ditrapake
3 SCHEDULE 1 Dhaptar Sub-Processor Saiki
4 JADWAL 2 Layanan SaaS Ditrapake kanggo Pangolahan Data Pribadi
5 SCHEDULE 3 Details saka Processing
6 JADWAL 4 Kontrol Keamanan Dhewe 3.3
7 SCHEDULE 5 Pranata Eropah
8 Dokumen / Sumber Daya
8.1 Referensi
9 Kiriman sing gegandhengan

CARA NGLAKOKE DPA IKI

  1. DPA Tambahan iki dumadi saka rong bagéan: awak utama DPA Tambahan, lan Jadwal 1, 2, 3, 4 lan 5.
  2. DPA Tambahan iki wis ditandatangani kanggo jenenge Own.
  3. Kanggo ngrampungake DPA Tambahan iki, Pelanggan kudu:
    a. Rampungake bagean Jeneng Pelanggan lan Alamat Pelanggan.
    b. Rampungake informasi ing kothak teken lan tandhani.
    c. Verifikasi manawa informasi ing Jadwal 3 ("Rincian Pangolahan") kanthi akurat nggambarake subjek lan kategori data sing bakal diproses.
    d. Kirim DPA Tambahan sing wis rampung lan ditandatangani kanggo Milik ing privacy@owndata.com.

Sawise nampa DPA Tambahan sing wis rampung kanthi bener ing alamat email iki, DPA Tambahan iki bakal dadi sah.

Tandha saka DPA Tambahan iki ing kaca 3 bakal dianggep minangka tandha lan nrima Klausa Kontrak Standar (kalebu Lampiran) lan Adendum Inggris, loro-lorone digabung ing kene kanthi referensi.

CARA DPA Iki ditrapake

Yen entitas Pelanggan sing nandatangani DPA Tambahan iki minangka pihak saka Perjanjian, DPA Tambahan iki minangka tambahan lan dadi bagean saka Perjanjian utawa DPA sing wis ana. Ing kasus kasebut, entitas dhewe sing dadi pihak ing Persetujuan utawa DPA sing wis ana dadi pihak ing DPA iki.

Yen entitas Pelanggan sing nandatangani DPA Tambahan iki wis nglakokake Formulir Pesenan karo Milik utawa Afiliasine miturut Perjanjian utawa DPA sing ana, nanging ora dadi pihak ing Persetujuan utawa DPA sing wis ana, DPA Tambahan iki minangka tambahan kanggo Formulir Pesenan kasebut lan Formulir Pesenan nganyari maneh sing ditrapake, lan entitas dhewe sing dadi pihak ing Formulir Pesenan kasebut minangka pihak ing DPA Tambahan iki.

Yen entitas Pelanggan sing nandatangani DPA Tambahan iki dudu pihak ing Formulir Pesenan utawa Perjanjian utawa DPA sing Ana, DPA Tambahan iki ora sah lan ora sah. Entitas kasebut kudu njaluk entitas Pelanggan sing dadi pihak ing Persetujuan utawa DPA sing wis ana nglakokake DPA Tambahan iki.

Yen entitas Pelanggan sing nandatangani DPA Tambahan ora dadi pihak ing Formulir Pesenan utawa Perjanjian Langganan Master utawa DPA sing wis ana langsung karo Own, nanging dadi pelanggan kanthi ora langsung liwat pengecer resmi layanan Own, DPA Tambahan iki ora sah lan ora sah ngiket. Entitas kasebut kudu ngubungi pengecer sing sah kanggo ngrembug manawa ana amandemen persetujuan karo pengecer kasebut dibutuhake.

Yen ana konflik utawa inkonsistensi ing antarane DPA Tambahan iki lan persetujuan liyane antarane Pelanggan lan Milik (kalebu, tanpa watesan, Persetujuan utawa DPA sing Ana), syarat-syarat DPA Tambahan iki bakal dikontrol lan ditrapake.

Adendum Pangolahan Data Tambahan iki, kalebu Jadwal lan Lampirane, ("DPA Tambahan") dadi bagean saka Adendum Pangolahan Data sing wis ana ing ndhuwur ("DPA sing ana") antarane OwnBackup Inc. ("Dhewe") lan Pelanggan. Gabungan DPA Tambahan iki lan DPA sing ana bakal mbentuk persetujuan pangolahan data lengkap ("DPA") kanggo nyathet persetujuan para pihak babagan Pangolahan Data Pribadi. Yen entitas Pelanggan lan Milik kasebut durung mlebu Perjanjian, mula DPA iki ora sah lan ora ana pengaruh hukum.

Entitas Pelanggan sing kasebut ing ndhuwur mlebu menyang DPA Tambahan iki kanggo awake dhewe lan, yen ana Afiliasi sing tumindak minangka Pengontrol Data Pribadi, atas jenenge Afiliasi Sah kasebut. Kabeh istilah nganggo huruf kapital sing ora ditetepake ing kene bakal nduweni teges sing ditetepake ing Persetujuan.

Nalika nyedhiyakake Layanan SaaS menyang Pelanggan miturut Persetujuan, Own bisa Proses Data Pribadi atas jenenge Pelanggan. Para pihak setuju karo syarat tambahan ing ngisor iki babagan Pengolahan kasebut.

  1. DEFINISI
    "CCPA" tegese Undhang-undhang Privasi Konsumen California, Cal. Civ. Kode § 1798.100 et. seq., minangka dibenakake dening California Privacy Rights Act of 2020 lan bebarengan karo peraturan implementasine.
    "Pengontrol" tegese entitas sing nemtokake tujuan lan sarana Pangolahan Data Pribadi lan dianggep uga ngrujuk menyang "bisnis" kaya sing ditegesake ing CCPA.
    “Pelanggan” tegese entitas kasebut ing ndhuwur lan Afiliasi.
    "Undang-undang lan Peraturan Pangreksan Data" tegese kabeh hukum lan peraturan Uni Eropa lan sawijining
    negara anggota, Wilayah Ekonomi Eropa lan negara anggota, Inggris, Swiss, Amerika Serikat, Kanada, Selandia Baru, lan Australia, lan bagean politik masing-masing, sing ditrapake kanggo Pangolahan Data Pribadi. Iki kalebu, nanging ora diwatesi, ing ngisor iki, nganti bisa ditrapake: GDPR, Undang-undang Perlindungan Data Inggris, CCPA, Undang-Undang Perlindungan Data Konsumen Virginia ("VCDPA"), Undhang-undhang Privasi Colorado lan peraturan sing gegandhengan ("CPA". "), Undhang-undhang Privasi Konsumen Utah ("UCPA"), lan Undhang-undhang Connecticut babagan Privasi Data Pribadi lan Pemantauan Online ("CPPDA").
    "Subjek Data" tegese wong sing diidentifikasi utawa bisa dingerteni sing ana hubungane lan kalebu Data Pribadi "konsumen" kaya sing ditegesake ing Hukum lan Peraturan Pangreksan Data. "Eropa" tegese Uni Eropa, Wilayah Ekonomi Eropa, Swiss, lan Inggris. Pranata tambahan sing ditrapake kanggo transfer Data Pribadi saka Eropah ana ing Jadwal 5. Yen Jadwal 5 dibusak, Pelanggan njamin yen ora bakal ngolah Data Pribadi miturut Undang-undang lan Peraturan Pangreksan Data Eropa.
    "GDPR" tegese Peraturan (EU) 2016/679 Parlemen Eropa lan Dewan 27 April 2016 babagan proteksi wong alami babagan pangolahan data pribadhi lan gerakan bebas data kasebut, lan mbatalake Directive 95/46 /EC (Peraturan Perlindungan Data Umum).
    "Grup dhewe" tegese Milik lan Afiliasi sing melu Ngolah Data Pribadi.
    "Data Pribadi" tegese informasi apa wae sing ana hubungane karo (i) wong sing diidentifikasi utawa sing bisa dingerteni lan, (ii) entitas hukum sing diidentifikasi utawa sing bisa dingerteni (yen informasi kasebut dilindhungi kanthi padha karo data pribadhi, informasi pribadhi, utawa informasi sing bisa dingerteni pribadi miturut Undang-undang lan Peraturan Perlindhungan Data sing ditrapake. ), ing ngendi kanggo saben (i) utawa (ii), data kasebut yaiku Data Pelanggan.
    "Layanan Pangolahan Data Pribadi" tegese Layanan SaaS sing kadhaptar ing Jadwal 2, sing Own bisa ngolah Data Pribadi.
    "Ngolah" tegese operasi utawa operasi apa wae sing ditindakake ing Data Pribadi, kanthi otomatis utawa ora, kayata koleksi, rekaman, organisasi, struktur, panyimpenan, adaptasi utawa owah-owahan, njupuk, konsultasi, panggunaan, pambocoran kanthi transmisi, panyebaran utawa liya-liyane. nggawe kasedhiya, alignment utawa kombinasi, watesan, erasure utawa karusakan.
    "Prosesor" tegese entitas sing Ngolah Data Pribadi atas jenenge Pengontrol, kalebu "panyedhiya layanan" apa wae sing ditrapake minangka istilah kasebut ditetepake dening CCPA.
    "Syarat Kontrak Standar" tegese Annex kanggo kaputusan implementasine Komisi Eropa
    (UE) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) tanggal 4 Juni 2021 babagan Klausul Kontrak Standar kanggo transfer data pribadhi menyang prosesor sing diadegake ing negara katelu miturut Peraturan (EU) 2016/679 Parlemen Eropa lan Dewan Uni Eropa lan tundhuk amandemen sing dibutuhake kanggo United Kraton lan Swiss luwih diterangake ing Jadwal 5.
    "Sub-prosesor" tegese Prosesor apa wae sing ditindakake dening Own, dening anggota Grup Sendiri utawa dening Sub-prosesor liyane.
    "Otoritas Pengawas" tegese badan regulasi pemerintah utawa sing disewa dening pemerintah sing nduweni wewenang legal kanggo Pelanggan.
    "Adendum Inggris" tegese Adendum Transfer Data Internasional Inggris menyang Klausul Kontrak Standar Komisi EU (kasedhiya tanggal 21 Maret 2022 ing https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), rampung kaya sing diterangake ing Jadwal 5.
    "Undang-undang Perlindungan Data Inggris" tegese Peraturan 2016/679 Parlemen Eropa lan Dewan babagan pangayoman wong alami babagan pangolahan data pribadhi lan gerakan bebas data kasebut minangka bagean saka hukum Inggris lan Wales, Skotlandia lan Lor. Irlandia miturut bagean 3 Undhang-undhang Uni Eropa (Penarikan) 2018, sing bisa diowahi saka wektu-wektu dening Undang-undang lan Peraturan Perlindungan Data ing Inggris.
  2. PESANAN PRESEDENSI
    a. Kajaba Klausa Kontrak Standar sing digabungake ing kene, sing kudu diutamakake, yen ana inkonsistensi ing antarane DPA Tambahan iki lan DPA sing Ana, syarat-syarat DPA sing Ana bakal ditrapake.
  3. Watesan tanggung jawab
    a. Nganti sing diidinake dening Undang-undang lan Peraturan Perlindhungan Data, tanggung jawab saben pihak lan kabeh Afiliasi, sing dijupuk bebarengan ing agregat, sing muncul saka utawa ana hubungane karo DPA Tambahan iki, apa ing kontrak, tort utawa miturut teori tanggung jawab liyane, tundhuk ing klausa "Batesan Tanggung Jawab", lan klausa liyane sing ngilangi utawa mbatesi tanggung jawab, Persetujuan, lan referensi apa wae ing klausa kasebut kanggo tanggung jawab partai tegese tanggung jawab agregat partai kasebut lan kabeh Afiliasi.
  4. Owah-owahan menyang MEKANISME TRANSFER
    a. Yen mekanisme transfer saiki sing diandelake dening para pihak kanggo fasilitasi transfer Data Pribadi menyang siji utawa luwih negara sing ora njamin tingkat proteksi data sing nyukupi ing makna Undang-undang lan Peraturan Perlindhungan Data ora sah, diowahi. , utawa diganti pihak bakal makarya ing apik-iman kanggo nindakake mekanisme transfer alternatif kuwi kanggo ngaktifake Processing terus Data Pribadi contemplates dening Agreement. Panganggone mekanisme transfer alternatif kasebut kudu tundhuk karo kasenengan saben pihak saka kabeh syarat legal kanggo nggunakake mekanisme transfer kasebut.

Para penandatangan sah pihak kasebut wis ngetrapake Persetujuan iki, kalebu kabeh Jadwal, Lampiran, lan Lampiran sing ditrapake ing kene.

teken

Dhaftar Jadwal

Jadwal 1: Daftar Sub-Prosesor Saiki
Jadwal 2: Layanan SaaS Ditrapake kanggo Pangolahan Data Pribadi
Jadwal 3: Rincian Pengolahan
Jadwal 4: Kontrol Keamanan dhewe
Jadwal 5: Pranata Eropah

SCHEDULE 1 Dhaptar Sub-Processor Saiki

Jeneng Sub-Prosesor Alamat Sub-Prosesor Sifat Pangolahan Durasi Pangolahan Lokasi Pengolahan
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israel Dhukungan lan pangopènan pelanggan Kanggo istilah saka Agreement. Israel
Amazon Web Layanan, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, USA Aplikasi hosting lan panyimpenan data Kanggo istilah saka Agreement. Amerika Serikat, Kanada, Jerman, Inggris, utawa Australia
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, USA Aplikasi hosting lan panyimpenan data Kanggo istilah saka Agreement. Walanda utawa Amerika Serikat
Elasticsearch, Inc.** 800 West El Camino Real, Suite 350, Gunung View, California 94040, AS Indexing lan panelusuran Kanggo istilah saka Agreement. Walanda utawa Amerika Serikat

* Pelanggan bisa milih salah siji Amazon Web Layanan utawa Microsoft (Azure) lan Lokasi Pangolahan sing dikarepake sajrone persiyapan awal Layanan SaaS Pelanggan.
** Ditrapake mung kanggo pelanggan Arsip sing milih kanggo nyebarke ing Microsoft (Azure) Cloud.

JADWAL 2 Layanan SaaS Ditrapake kanggo Pangolahan Data Pribadi

  • Waras kanggo ServiceNow
  • Waras kanggo Dinamika
  • Waras kanggo Salesforce
  • Governance Plus kanggo Salesforce
  • Arsip
  • Nggawa Manajemen Key dhewe
  • nyepetake

SCHEDULE 3 Details saka Processing

Eksportir Data

Jeneng Legal Lengkap: Jeneng Pelanggan kaya sing kasebut ing ndhuwur
Alamat utama: Alamat Pelanggan kaya sing kasebut ing ndhuwur
Kontak: Yen ora diwenehake, iki bakal dadi kontak utama ing akun Pelanggan.
Kontak Email: Yen ora diwenehake, iki bakal dadi alamat email kontak utama ing akun Pelanggan.

Pengimpor Data 

Jeneng Legal Lengkap: OwnBackup Inc.
Alamat utama: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Kontak: Petugas Privasi
Kontak Email: privacy@owndata.com

Sifat lan Tujuan Pangolahan

Own will Processing Personal Data minangka perlu kanggo nindakake Layanan SaaS miturut Agreement lan Pesenan, lan minangka prentah luwih dening Pelanggan ing nggunakake Layanan SaaS.

Durasi Pangolahan

Own will Processing Personal Data for the duration of the Agreement, kajaba disepakati kanthi nulis.

Penylametan

Own bakal nahan Data Pribadi ing Layanan SaaS sajrone Perjanjian kasebut, kajaba disepakati kanthi nulis, tundhuk periode retensi maksimum sing ditemtokake ing Dokumentasi.

Frekuensi Transfer

Minangka ditemtokake dening Pelanggan liwat nggunakake Layanan SaaS.

Transfer menyang Sub-prosesor 

Yen perlu kanggo nindakake Layanan SaaS miturut Persetujuan lan Pesenan, lan kaya sing diterangake ing Jadwal 1.

Kategori Subjek Data

Pelanggan bisa ngirim Data Pribadi menyang Layanan SaaS, sing ukurane ditemtokake lan dikontrol dening Pelanggan kanthi kawicaksanan tunggal, lan bisa uga kalebu nanging ora diwatesi karo Data Pribadi sing ana gandhengane karo kategori subyek data ing ngisor iki:

  • Prospek, pelanggan, mitra bisnis lan vendor Pelanggan (sing dadi pribadi)
  • Karyawan utawa kontak wong prospek Pelanggan, pelanggan, mitra bisnis lan vendor
  • Karyawan, agen, penasehat, freelancer saka Pelanggan (sing dadi wong alami) pangguna Pelanggan sing diidini Pelanggan nggunakake Layanan SaaS

Jinis Data Pribadi

Pelanggan bisa ngirim Data Pribadi menyang Layanan SaaS, sing ukurane ditemtokake lan dikontrol dening Pelanggan kanthi kawicaksanan tunggal, lan bisa uga kalebu nanging ora diwatesi ing kategori Data Pribadi ing ngisor iki:

  • Jeneng ngarep lan mburi
  • judhul
  • posisi
  • juragan
  • Informasi kontak (perusahaan, email, telpon, alamat bisnis fisik)
  • data ID
  • Data urip profesional
  • Data urip pribadi
  • Data lokalisasi

Kategori data khusus (yen cocog)

Pelanggan bisa ngirim kategori Data Pribadi khusus menyang Layanan SaaS, sing ukurane ditemtokake lan dikontrol dening Pelanggan kanthi kawicaksanan tunggal, lan kanggo kajelasan bisa kalebu pangolahan data genetik, data biometrik kanggo tujuan unik. ngenali wong alami utawa data babagan kesehatan. Deleng langkah-langkah ing Jadwal 4 kanggo carane Own nglindhungi kategori khusus data lan data pribadhi liyane.

JADWAL 4 Kontrol Keamanan Dhewe 3.3

  1. Pambuka
    1. Aplikasi piranti lunak-minangka-layanan dhewe (Layanan SaaS) dirancang wiwit wiwitan kanthi nganggep keamanan. Layanan SaaS dirancang kanthi macem-macem kontrol keamanan ing pirang-pirang tingkatan kanggo ngatasi sawetara risiko keamanan. Kontrol keamanan iki bisa diganti; Nanging, owah-owahan apa wae bakal njaga utawa nambah postur keamanan sakabèhé.
    2. Katrangan kontrol ing ngisor iki ditrapake kanggo implementasi Layanan SaaS ing loro Amazon Web Platform Layanan (AWS) lan Microsoft Azure (Azure) (bareng diarani Panyedhiya Layanan Cloud, utawa CSP), kajaba sing kasebut ing bagean Enkripsi ing ngisor iki. Katrangan babagan kontrol iki ora ditrapake kanggo piranti lunak RevCult kajaba diwenehake ing "Pengembangan Perangkat Lunak Aman" ing ngisor iki.
  2. Audit lan Sertifikasi
    1. Layanan SaaS disertifikasi miturut ISO/IEC 27001:2013 (Sistem Manajemen Keamanan Informasi) lan ISO/IEC 27701:2019 (Sistem Manajemen Informasi Privasi).
    2. Own ngalami audit SOC2 Type II taunan ing SSAE-18 kanggo verifikasi kanthi mandiri efektifitas praktik keamanan informasi, kabijakan, prosedur, lan operasi kanggo Kriteria Layanan Trust ing ngisor iki: Keamanan, Kasedhiyan, Rahasia, lan Integritas Pangolahan.
    3. Own nggunakake wilayah CSP global kanggo komputasi lan panyimpenan kanggo Layanan SaaS. AWS lan Azure minangka fasilitas tingkat paling dhuwur kanthi sawetara akreditasi, kalebu SOC1 - SSAE-18, SOC2, SOC3, ISO 27001, lan HIPAA.
  3. Web Kontrol Keamanan Aplikasi
    1. Akses pelanggan menyang Layanan SaaS mung liwat HTTPS (TLS1.2+), nggawe enkripsi data ing transit antarane pangguna pungkasan lan aplikasi lan antarane Own lan sumber data pihak katelu (contone, Salesforce).
    2. Administrator Layanan SaaS pelanggan bisa nyedhiyakake lan mbusak pangguna Layanan SaaS lan akses sing gegandhengan yen perlu.
    3. Layanan SaaS nyedhiyakake kontrol akses adhedhasar peran supaya pelanggan bisa ngatur ijin multi-org.
    4. Administrator Layanan SaaS pelanggan bisa ngakses jejak audit kalebu jeneng pangguna, tumindak, wektuamp, lan kolom alamat IP sumber. Log audit bisa uga viewed lan diekspor dening administrator Layanan SaaS pelanggan sing mlebu ing Layanan SaaS uga liwat API Layanan SaaS.
    5. Akses menyang Layanan SaaS bisa diwatesi dening alamat IP sumber.
    6. Layanan SaaS ngidini pelanggan ngaktifake otentikasi multi-faktor kanggo ngakses akun Layanan SaaS nggunakake tembung sandhi siji-wektu adhedhasar wektu.
    7. Layanan SaaS ngidini pelanggan ngaktifake mlebu siji liwat panyedhiya identitas SAML 2.0.
    8. Layanan SaaS ngidini pelanggan ngaktifake kabijakan sandhi sing bisa disesuaikan kanggo mbantu nyelarasake sandhi Layanan SaaS menyang kabijakan perusahaan.
  4. Enkripsi
    1. Own nawakake opsi Layanan SaaS ing ngisor iki kanggo enkripsi data sing isih ana:
      1. Penawaran standar.
        • Data dienkripsi nggunakake enkripsi sisih server AES-256 liwat sistem manajemen kunci sing divalidasi ing FIPS 140-2.
        • Enkripsi amplop digunakake supaya kunci master ora ninggalake Modul Keamanan Perangkat Keras (HSM).
        • Tombol enkripsi diputer ora kurang saka saben rong taun.
      2. Pilihan Manajemen Kunci Lanjut (AKM).
        • Data dienkripsi ing wadhah panyimpenan obyek khusus kanthi kunci enkripsi master (CMK) sing disedhiyakake pelanggan.
        • AKM ngidini pengarsipan kunci ing mangsa ngarep lan muter karo kunci enkripsi master liyane.
        • Pelanggan bisa mbatalake kunci enkripsi master, nyebabake data ora bisa diakses langsung.
      3. Gawe pilihan Sistem Manajemen Kunci (KMS) (mung kasedhiya ing AWS).
        • Kunci enkripsi digawe ing akun pelanggan dhewe, sing dituku kanthi kapisah nggunakake AWS KMS.
        • Pelanggan nemtokake kabijakan kunci enkripsi sing ngidini akun Layanan SaaS pelanggan ing AWS ngakses kunci saka AWS KMS pelanggan dhewe.
        • Data dienkripsi ing wadhah panyimpenan obyek darmabakti sing dikelola dening Own, lan dikonfigurasi kanggo nggunakake kunci enkripsi pelanggan.
        • Pelanggan bisa langsung mbatalake akses menyang data sing dienkripsi kanthi mbatalake akses Own menyang kunci enkripsi, tanpa sesambungan karo Own.
        • Karyawan dhewe ora duwe akses menyang kunci enkripsi kapan wae lan ora ngakses KMS langsung.
        • Kabeh aktivitas panggunaan tombol dilebokake ing KMS pelanggan, kalebu njupuk kunci dening panyimpenan obyek khusus.
      4. Enkripsi ing transit antarane Layanan SaaS lan sumber data pihak katelu (contone, Salesforce) nggunakake HTTPS karo TLS 1.2+ lan OAuth 2.0.
  5. Jaringan
    1. Layanan SaaS nggunakake kontrol jaringan CSP kanggo mbatesi mlebu lan metu jaringan.
    2. Klompok keamanan stateful digunakake kanggo mbatesi mlebu jaringan lan egress menyang titik pungkasan sing sah.
    3. Layanan SaaS nggunakake arsitektur jaringan multi-tier, kalebu macem-macem, Amazon Virtual Private Clouds (VPCs) utawa Azure Virtual Networks (VNets) sing dipisahake kanthi logis, nggunakake pribadi, DMZ, lan zona sing ora dipercaya ing infrastruktur CSP.
    4. Ing AWS, watesan VPC S3 Endpoint digunakake ing saben wilayah kanggo ngidini akses mung saka VPC sing sah.
  6. Monitoring lan Auditing
    1. Sistem lan jaringan Layanan SaaS dipantau kanggo kedadeyan keamanan, kesehatan sistem, kelainan jaringan, lan kasedhiyan.
    2. Layanan SaaS nggunakake sistem deteksi gangguan (IDS) kanggo ngawasi aktivitas jaringan lan menehi tandha marang prilaku sing curiga.
    3. Layanan SaaS nggunakake web firewall aplikasi (WAFs) kanggo kabeh umum web layanan.
    4. Aplikasi log dhewe, jaringan, pangguna, lan acara sistem operasi menyang server syslog lokal lan SIEM khusus wilayah. Log iki kanthi otomatis analisa lan reviewed kanggo kegiatan curiga lan ancaman. Sembarang anomali ditambahake yen cocog.
    5. Own nggunakake informasi keamanan lan sistem manajemen acara (SIEM) sing nyedhiyakake analisis keamanan terus-terusan ing jaringan lan lingkungan keamanan Layanan SaaS, peringatan anomali pangguna, pengintaian serangan lan kontrol (C&C), deteksi ancaman otomatis, lan nglaporake indikator kompromi (IOC). ). Kabeh kapabilitas kasebut dikelola dening staf keamanan lan operasi Own.
    6. Tim respon kedadean dhewe ngawasi ing security@owndata.com alias lan nanggapi miturut Rencana Tanggap Kedadean (IRP) perusahaan yen cocog.
  7. Isolasi Antarane Akun
    1. Layanan SaaS nggunakake sandboxing Linux kanggo ngisolasi data akun pelanggan sajrone proses. Iki mbantu kanggo mesthekake yen ana anomali (kanggo exampNanging, amarga masalah keamanan utawa bug piranti lunak) tetep mung ing akun dhewe.
    2. Akses data panyewan dikontrol liwat pangguna IAM unik kanthi data tagging sing ora ngidini pangguna sing ora sah ngakses data penyewa.
  8. Pamulihan Bencana
    1. Own nggunakake panyimpenan obyek CSP kanggo nyimpen data pelanggan ndhelik ing sawetara kasedhiyan-zona.
    2. Kanggo data pelanggan sing disimpen ing panyimpenan obyek, Own nggunakake versi obyek karo tuwa otomatis kanggo ndhukung selaras karo Recovery bilai lan kabijakan serep Own. Kanggo obyek kasebut, sistem Own dirancang kanggo ndhukung target titik pemulihan (RPO) 0 jam (yaiku, kemampuan kanggo mulihake menyang versi obyek apa wae kaya sing ana ing periode 14 dina sadurunge).
    3. Sembarang pemulihan sing dibutuhake saka conto komputasi ditindakake kanthi mbangun maneh conto kasebut adhedhasar otomatisasi manajemen konfigurasi Sendiri.
    4. Rencana Pemulihan Bencana Sendiri dirancang kanggo ndhukung tujuan wektu pemulihan (RTO) 4 jam.
  9. Manajemen Kerentanan
    1. Own performs periodik web penilaian kerentanan aplikasi, analisis kode statis, lan penilaian dinamis eksternal minangka bagian saka program pemantauan terus-terusan kanggo mbantu mesthekake kontrol keamanan aplikasi ditrapake kanthi bener lan bisa digunakake kanthi efektif.
    2. Kanthi basis semi-taunan, Own nyewa penguji penetrasi pihak katelu independen kanggo nindakake jaringan lan web penilaian kerentanan. Ruang lingkup audit eksternal iki kalebu selaras karo Open Web Proyek Keamanan Aplikasi (OWASP) Top 10 Web Kerentanan (www.owasp.org).
    3. Asil penilaian kerentanan digabung menyang siklus urip pangembangan piranti lunak dhewe (SDLC) kanggo ndandani kerentanan sing diidentifikasi. Kerentanan khusus diprioritasake lan dilebokake ing sistem tiket internal dhewe kanggo dilacak liwat resolusi.
  10. Tanggap Kedadeyan
    1. Yen ana kemungkinan pelanggaran keamanan, Tim Tanggap Insiden Sendiri bakal nindakake penilaian kahanan kasebut lan ngembangake strategi mitigasi sing cocog. Yen ana pelanggaran potensial dikonfirmasi, Own bakal langsung tumindak kanggo nyuda pelanggaran kasebut lan ngreksa bukti forensik, lan bakal ngabari titik kontak utama pelanggan sing kena pengaruh tanpa wektu tundha kanggo menehi katrangan babagan kahanan kasebut lan menehi nganyari status resolusi.
  11. Pangembangan Piranti Lunak Aman
    1. Own nggunakake praktik pangembangan sing aman kanggo aplikasi piranti lunak Own lan RevCult sajrone siklus urip pangembangan piranti lunak. laku iki kalebu analisis kode statis, Salesforce keamanan review kanggo aplikasi RevCult lan kanggo aplikasi Dhewe diinstal ing kedadean Salesforce pelanggan, peer review saka owah-owahan kode, matesi akses repositori kode sumber adhedhasar prinsip hak istimewa paling, lan logging akses lan owah-owahan repositori kode sumber.
  12. Tim Keamanan khusus
    1. Own duwe tim keamanan khusus kanthi pengalaman keamanan informasi multi-faceted gabungan luwih saka 100 taun. Kajaba iku, anggota tim njaga sawetara sertifikasi sing diakoni industri, kalebu nanging ora winates ing CISM, CISSP, lan Auditor Utama ISO 27001.
  13. Privasi lan Pangreksan Data
    1. Own nyedhiyakake dhukungan asli kanggo panjalukan akses subyek data, kayata hak mbusak (hak dilalekake) lan anonimisasi, kanggo ndhukung kepatuhan karo peraturan privasi data, kalebu Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Portabilitas Asuransi Kesehatan lan Akuntabilitas. (HIPAA), lan California Consumer Privacy Act (CCPA). Own uga nyedhiyakake Adendum Pangolahan Data kanggo ngatasi undang-undang privasi lan perlindungan data, kalebu syarat hukum kanggo transfer data internasional.
  14. Priksa latar mburi
    1. Own nindakake panel mriksa latar mburi, kalebu mriksa latar mburi pidana, saka personel sing bisa duwe akses menyang data pelanggan, adhedhasar yuridiksi pegawe saka panggonan sak pitung taun sadurunge, miturut hukum sing ditrapake.
  15. Asuransi
    Own njaga, minimal, jangkoan asuransi ing ngisor iki: (a) asuransi kompensasi buruh miturut kabeh hukum sing ditrapake; (b) asuransi tanggung jawab mobil kanggo kendaraan sing ora diduweni lan disewakake, kanthi watesan siji gabungan $1,000,000; (c) asuransi tanggung jawab umum komersial (tanggung jawab umum) kanthi jangkoan watesan tunggal $1,000,000 saben kedadeyan lan jangkoan agregat umum $2,000,000; (d) asuransi kesalahan lan ngilangi (indemnity profesional) kanthi watesan $20,000,000 saben acara lan agregat $20,000,000, kalebu lapisan utami lan keluwihan, lan kalebu tanggung jawab cyber, teknologi lan layanan profesional, produk teknologi, keamanan data lan jaringan, respon pelanggaran, peraturan pertahanan lan paukuman, extortion cyber lan ayahan Recovery data; lan (e) asuransi kecurangan/kejahatan karyawan kanthi jangkoan $5,000,000. Dhewe bakal menehi bukti asuransi kasebut marang Pelanggan yen dijaluk.

SCHEDULE 5 Pranata Eropah

Jadwal iki mung ditrapake kanggo transfer Data Pribadi (kalebu transfer terus) saka Eropa sing, yen ora ana aplikasi pranata kasebut, bakal nyebabake Pelanggan utawa Own nglanggar Undang-undang lan Peraturan Perlindungan Data sing ditrapake.

  1. Mekanisme Transfer kanggo Transfer Data.
    a) Klausul Kontrak Standar ditrapake kanggo transfer Data Pribadi miturut DPA Tambahan iki saka Eropa menyang negara sing ora njamin tingkat proteksi data sing nyukupi ing makna Undang-undang lan Peraturan Pangreksan Data ing wilayah kasebut, nganti transfer kasebut tundhuk. marang Hukum lan Peraturan Pangreksan Data kasebut. Own mlebu ing Klausul Kontrak Standar minangka importir data. Ketentuan tambahan ing Jadwal iki uga ditrapake kanggo transfer data kasebut.
  2. Transfer miturut Klausul Kontrak Standar.
    a) Pelanggan sing dilindhungi dening Klausul Kontrak Standar. Klausa Kontrak Standar lan syarat tambahan sing ditemtokake ing Jadwal iki ditrapake kanggo (i) Pelanggan, nganti Pelanggan tundhuk karo Undang-Undang lan Peraturan Pangreksan Data Eropa lan, (ii) Afiliasi Sah. Kanggo tujuan Klausa Kontrak Standar lan Jadwal iki, entitas kasebut minangka "eksportir data."
    b) Modul. Para Pihak setuju yen modul opsional bisa diterapake ing Klausul Kontrak Standar, mung sing diwenehi label "MODUL TWO: Transfer pengontrol menyang prosesor" sing bakal ditrapake.
    c) instruksi. Para Pihak setuju yen Pelanggan nggunakake Layanan Pangolahan Data Pribadi miturut Persetujuan lan DPA sing wis ana dianggep minangka instruksi dening Pelanggan kanggo ngolah Data Pribadi kanggo tujuan Klausa 8.1 saka Klausa Kontrak Standar.
    d) Penunjukan Sub-prosesor Anyar lan Daftar Sub-prosesor Saiki. Miturut OPSI 2 kanggo Klausa 9(a) saka Klausa Kontrak Standar, Pelanggan setuju yen Own bisa melu Subprosesor anyar kaya sing diterangake ing DPA sing Ana lan Afiliasi Own bisa ditahan minangka Sub-prosesor, lan Own and Own's Affiliates bisa melu. Sub-prosesor pihak katelu sing ana hubungane karo panyedhiya Layanan Pangolahan Data. Dhaptar Sub-prosessor saiki sing dilampirake minangka Jadwal 1.
    e) Perjanjian Sub-prosesor. Para pihak setuju yen transfer data menyang Sub-prosesor bisa ngandelake mekanisme transfer liyane saka Klausul Kontrak Standar (kanggo ex.ample, aturan perusahaan naleni), lan sing persetujuan Own karo Sub-prosesor kuwi bisa mulane ora nggabungake utawa mirror Klausa Kontrak Standar, sanajan ana sing nalisir ing klausa 9(b) Klausa Kontrak Standar. Nanging, perjanjian apa wae karo Sub-prosesor kudu ngemot kewajiban proteksi data sing ora kurang protektif tinimbang sing ana ing DPA Tambahan iki babagan proteksi Data Pelanggan, nganti bisa ditrapake kanggo layanan sing diwenehake dening Sub-prosesor kasebut. Salinan perjanjian Sub-prosesor sing kudu diwenehake dening Own to Customer miturut Klausa 9(c) saka Klausa Kontrak Standar bakal diwenehake dening Own mung sawise panjaluk tertulis saka Pelanggan lan bisa uga duwe kabeh informasi komersial, utawa klausa sing ora ana hubungane karo Klausa Kontrak Standar utawa sing padha karo, dibusak dening Own sadurunge.
    f) Audit lan Sertifikasi. Para pihak setuju yen audit sing diterangake ing Klausa 8.9 lan Klausul 13(b) Klausul Kontrak Standar bakal ditindakake miturut syarat-syarat DPA sing Ana.
    g) Mbusak Data. Para pihak setuju manawa mbusak utawa mbalekake data sing direncanakake dening Klausa 8.5 utawa Klausa 16(d) saka Klausa Kontrak Standar bakal ditindakake miturut syarat-syarat DPA sing ana lan sertifikasi pambusakan apa wae bakal diwenehake dening Own mung marang Pelanggan. panyuwunan.
    h) Penerima Pihak Katelu. Pihak kasebut setuju yen adhedhasar sifat Layanan SaaS, Pelanggan bakal menehi kabeh pitulung sing dibutuhake kanggo ngidini Own netepi kewajibane marang subyek data miturut Klausa 3 Klausa Kontrak Standar.
    i) Assessment Dampak. Sesuai karo Klausa 14 saka Klausa Kontrak Standar, para pihak wis nganakake analisis, ing konteks kahanan tartamtu saka transfer, hukum lan praktik negara tujuan, uga kontrak tambahan khusus, organisasi, lan teknis. pangayoman sing ditrapake, lan, adhedhasar informasi cukup dikenal kanggo wong-wong mau ing wektu, wis nemtokake yen hukum lan laku saka negara tujuan ora nyegah pihak saka nepaki kewajiban saben pihak miturut Klausa Kontrak Standar.
    j) Hukum Governing lan Forum. Pihak kasebut setuju, babagan PILIHAN 2 kanggo Klausa 17, yen Negara Anggota Uni Eropa ing ngendi eksportir data ditetepake ora ngidini hak ahli waris pihak katelu, Klausul Kontrak Standar bakal diatur dening hukum Irlandia. Sesuai karo Klausa 18, perselisihan sing digandhengake karo Klausa Kontrak Standar bakal dirampungake dening pengadilan sing ditemtokake ing Persetujuan kasebut, kajaba pengadilan kasebut ora ana ing Negara Anggota EU, ing kasus iki, forum kanggo perselisihan kasebut yaiku pengadilan Irlandia. .
    k) Lampiran. Kanggo tujuan eksekusi Klausa Kontrak Standar, Jadwal 3: Rincian Proses bakal digabung minangka LAMPIRAN IA lan IB, Jadwal 4: Kontrol Keamanan Sendiri (sing bisa dianyari saka wektu kanggo wektu ing https://www.owndata.com/trust/) bakal digabung minangka LAMPIRAN II, lan Jadwal 1: Daftar Sub Prosesor Saiki (kaya sing bisa dianyari saka wektu-wektu ing  https://www.owndata.com/legal/sub-p/) kudu digabung minangka LAMPIRAN III.
    l) Interpretasi. Ketentuan Jadwal iki dimaksudake kanggo njlentrehake lan ora ngowahi Klausul Kontrak Standar. Yen ana konflik utawa inkonsistensi antarane awak Jadwal iki lan Klausul Kontrak Standar, Klausul Kontrak Standar bakal ditrapake.
  3. Ketentuan sing ditrapake kanggo Transfer saka Swiss Para pihak setuju yen kanggo tujuan ditrapake Klausa Kontrak Standar kanggo nggampangake transfer Data Pribadi saka Swiss, pranata tambahan ing ngisor iki bakal ditrapake: (i) Sembarang referensi kanggo Regulasi (EU) 2016/679 bakal diinterpretasikake kanggo referensi pranata sing cocog. Undhang-undhang Federal Swiss babagan Perlindhungan Data lan undang-undang perlindungan data liyane ing Swiss ("Undang-undang Perlindungan Data Swiss"), (ii) Sembarang referensi kanggo "Negara Anggota" utawa "Negara Anggota EU" utawa "EU" bakal diinterpretasikake kanggo referensi Swiss. , lan (iii) Sembarang referensi kanggo Otoritas Pengawas, bakal diinterpretasikake kanggo ngrujuk menyang Komisioner Perlindungan Data lan Informasi Federal Swiss.
  4. a) Tabel 1: Para pihak, rincian, lan kontak sing kasebut ing Jadwal 3.
    b) Tabel 2: "Klausul Kontrak Standar EU sing Disetujui" bakal dadi Klausa Kontrak Standar kaya sing kasebut ing Jadwal 5 iki.
    c) Tabel 3: Lampiran I(A), I(B), lan II dirampungake kaya sing kasebut ing bagean 2(k) saka Jadwal 5 iki.
    d) Tabel 4: Own bisa nggunakake hak mandap awal opsional diterangake ing Bagean 19 saka Addendum Inggris.

Adendum Pangolahan Data Tambahan DocuSign

Dokumen / Sumber Daya

Adendum Pangolahan Data Tambahan DocuSign [pdf] Pandhuan
Adendum Pangolahan Data Tambahan, Adendum Pangolahan Data, Adendum Pangolahan, Adendum

Referensi

Kiriman sing gegandhengan

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *