ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນ DocuSign

ວິທີການປະຕິບັດ DPA ນີ້

1. DPA ເສີມນີ້ປະກອບດ້ວຍສອງພາກສ່ວນ: ພາກສ່ວນຕົ້ນຕໍຂອງ DPA ເສີມ, ແລະຕາຕະລາງ 1, 2, 3, 4 ແລະ 5.
2. DPA ເສີມນີ້ໄດ້ຮັບການລົງນາມລ່ວງໜ້າໃນນາມຂອງຕົນເອງ.
3. ເພື່ອເຮັດສໍາເລັດ DPA ເສີມນີ້, ລູກຄ້າຕ້ອງ:
   a. ຕື່ມຂໍ້ມູນໃສ່ພາກສ່ວນຊື່ລູກຄ້າ ແລະທີ່ຢູ່ລູກຄ້າ.
   b. ຕື່ມຂໍ້ມູນໃສ່ໃນກ່ອງລາຍເຊັນ ແລະເຊັນຊື່.
   c. ກວດ​ສອບ​ວ່າ​ຂໍ້​ມູນ​ໃນ​ຕາ​ຕະ​ລາງ​ການ 3 ("ລາຍ​ລະ​ອຽດ​ຂອງ​ການ​ປຸງ​ແຕ່ງ​") ໄດ້​ຢ່າງ​ຖືກ​ຕ້ອງ​ສະ​ທ້ອນ​ໃຫ້​ເຫັນ​ຫົວ​ຂໍ້​ແລະ​ປະ​ເພດ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ຈະ​ໄດ້​ຮັບ​ການ​ປະ​ຕິ​ບັດ.
   d. ສົ່ງ DPA ເພີ່ມເຕີມທີ່ສໍາເລັດແລະລົງນາມໃຫ້ເປັນເຈົ້າຂອງຢູ່ privacy@owndata.com.

ເມື່ອໄດ້ຮັບ DPA ເພີ່ມເຕີມຂອງເຈົ້າຂອງທີ່ເຮັດສຳເລັດຢ່າງຖືກຕ້ອງຢູ່ໃນທີ່ຢູ່ອີເມວນີ້, DPA ເສີມນີ້ຈະກາຍເປັນຜົນບັງຄັບໃຊ້ທາງກົດໝາຍ.

ລາຍເຊັນຂອງ DPA ເພີ່ມເຕີມນີ້ຢູ່ໃນຫນ້າທີ 3 ຈະຖືກຖືວ່າເປັນລາຍເຊັນແລະການຍອມຮັບຂອງສັນຍາມາດຕະຖານ (ລວມທັງເອກະສານຊ້ອນທ້າຍຂອງພວກເຂົາ) ແລະເອກະສານຊ້ອນທ້າຍຂອງອັງກິດ, ທັງສອງລວມຢູ່ໃນນີ້ໂດຍການອ້າງອີງ.

DPA ນີ້ນຳໃຊ້ແນວໃດ

ຖ້າຫົວໜ່ວຍລູກຄ້າທີ່ລົງນາມໃນ DPA ເສີມນີ້ແມ່ນເປັນພາຄີຂອງສັນຍາ, DPA ເພີ່ມເຕີມນີ້ແມ່ນເອກະສານເພີ່ມເຕີມ ແລະປະກອບເປັນສ່ວນໜຶ່ງຂອງສັນຍາ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວ. ໃນກໍລະນີດັ່ງກ່າວ, ໜ່ວຍງານຂອງຕົນເອງທີ່ເປັນພາຄີຂອງສັນຍາ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວແມ່ນເປັນພາຄີຂອງ DPA ນີ້.

ຖ້າຫົວໜ່ວຍລູກຄ້າທີ່ລົງນາມໃນ DPA ເສີມນີ້ໄດ້ປະຕິບັດແບບຟອມຄໍາສັ່ງກັບຂອງຕົນເອງ ຫຼືສາຂາຂອງຕົນຕາມຂໍ້ຕົກລົງ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວ, ແຕ່ບໍ່ແມ່ນຕົວມັນເອງຂອງສັນຍາ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວ, DPA ເພີ່ມເຕີມນີ້ແມ່ນສ່ວນເພີ່ມເຕີມຂອງແບບຟອມຄໍາສັ່ງນັ້ນ ແລະ ແບບ​ຟອມ​ຄໍາ​ສັ່ງ​ຕໍ່​ອາ​ຍຸ​ທີ່​ນໍາ​ໃຊ້​ໄດ້, ແລະ​ຫົວ​ຫນ່ວຍ​ຂອງ​ຕົນ​ເອງ​ທີ່​ເປັນ​ພາ​ຄີ​ຂອງ​ແບບ​ຟອມ​ຄໍາ​ສັ່ງ​ດັ່ງ​ກ່າວ​ເປັນ​ພາ​ຄີ​ຂອງ​ການ​ເສີມ​ນີ້ DPA.

ຖ້າໜ່ວຍງານລູກຄ້າທີ່ລົງນາມ DPA ເສີມນີ້ແມ່ນບໍ່ເປັນພາຄີຂອງແບບຟອມການສັ່ງຊື້ ຫຼື ຂໍ້ຕົກລົງ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວ, DPA ເສີມນີ້ແມ່ນບໍ່ຖືກຕ້ອງ ແລະບໍ່ມີຜົນຜູກມັດທາງກົດໝາຍ. ໜ່ວຍງານດັ່ງກ່າວຄວນຮ້ອງຂໍໃຫ້ໜ່ວຍງານລູກຄ້າທີ່ເປັນພາຄີຂອງສັນຍາ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວປະຕິບັດ DPA ເສີມນີ້.

ຖ້າຫົວໜ່ວຍລູກຄ້າທີ່ລົງນາມໃນ DPA ເສີມບໍ່ແມ່ນພາກສ່ວນຂອງແບບຟອມການສັ່ງຊື້ ຫຼື ຂໍ້ຕົກລົງການສະມັກສະມາຊິກຕົ້ນສະບັບ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວໂດຍກົງກັບຂອງຕົນເອງ, ແຕ່ແທນທີ່ຈະເປັນລູກຄ້າທາງອ້ອມໂດຍຜ່ານຕົວແທນຈໍາໜ່າຍທີ່ໄດ້ຮັບອະນຸຍາດຈາກການບໍລິການຂອງຕົນເອງ, DPA ເສີມນີ້ບໍ່ຖືກຕ້ອງ ແລະເປັນ ບໍ່ຜູກມັດທາງກົດໝາຍ. ນິຕິບຸກຄົນດັ່ງກ່າວຄວນຕິດຕໍ່ກັບຕົວແທນຈໍາໜ່າຍທີ່ໄດ້ຮັບອະນຸຍາດເພື່ອປຶກສາຫາລືວ່າມີການດັດແກ້ຂໍ້ຕົກລົງຂອງຕົນກັບຕົວແທນຈໍາໜ່າຍນັ້ນຫຼືບໍ່.

ໃນກໍລະນີທີ່ມີຂໍ້ຂັດແຍ່ງ ຫຼືຄວາມບໍ່ສອດຄ່ອງລະຫວ່າງ DPA ເສີມນີ້ ແລະຂໍ້ຕົກລົງອື່ນໆລະຫວ່າງລູກຄ້າ ແລະເຈົ້າຂອງ (ລວມທັງ, ໂດຍບໍ່ຈຳກັດ, ຂໍ້ຕົກລົງ ຫຼື DPA ທີ່ມີຢູ່ແລ້ວ), ເງື່ອນໄຂຂອງ DPA ເສີມນີ້ຈະຄວບຄຸມ ແລະ ຊະນະ.

ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນນີ້, ລວມທັງຕາຕະລາງ ແລະເອກະສານຊ້ອນທ້າຍຂອງມັນ, (“DPA ເສີມ”) ປະກອບເປັນສ່ວນໜຶ່ງຂອງເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນທີ່ລະບຸໄວ້ຂ້າງເທິງ (“DPA ທີ່ມີຢູ່ແລ້ວ”) ລະຫວ່າງ OwnBackup Inc. (“ຂອງຕົນເອງ”) ແລະລູກຄ້າ. ການລວມ DPA ເສີມນີ້ ແລະ DPA ທີ່ມີຢູ່ແລ້ວຈະປະກອບເປັນຂໍ້ຕົກລົງການປະມວນຜົນຂໍ້ມູນຄົບຖ້ວນສົມບູນ (“DPA”) ເພື່ອບັນທຶກຂໍ້ຕົກລົງຂອງຝ່າຍຕ່າງໆກ່ຽວກັບການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ. ຖ້າໜ່ວຍງານລູກຄ້າດັ່ງກ່າວ ແລະເຈົ້າຂອງບໍ່ໄດ້ລົງນາມໃນຂໍ້ຕົກລົງ, DPA ນີ້ຈະເປັນໂມຄະ ແລະບໍ່ມີຜົນທາງກົດໝາຍ.

ນິຕິບຸກຄົນຂອງລູກຄ້າທີ່ມີຊື່ຂ້າງເທິງນີ້ເຂົ້າໄປໃນ DPA ເສີມນີ້ສໍາລັບຕົວມັນເອງແລະ, ຖ້າທຸກສາຂາຂອງມັນເຮັດຫນ້າທີ່ເປັນຜູ້ຄວບຄຸມຂໍ້ມູນສ່ວນບຸກຄົນ, ໃນນາມຂອງສາຂາທີ່ໄດ້ຮັບອະນຸຍາດເຫຼົ່ານັ້ນ. ຄໍາສັບທີ່ຂຽນເປັນຕົວພິມໃຫຍ່ທັງໝົດທີ່ບໍ່ໄດ້ກຳນົດໄວ້ໃນນີ້ຈະຕ້ອງມີຄວາມໝາຍທີ່ກຳນົດໄວ້ໃນສັນຍາ.

ໃນລະຫວ່າງການສະຫນອງການບໍລິການ SaaS ໃຫ້ແກ່ລູກຄ້າພາຍໃຕ້ສັນຍາ, ເຈົ້າຂອງອາດຈະດໍາເນີນການຂໍ້ມູນສ່ວນຕົວໃນນາມຂອງລູກຄ້າ. ພາກສ່ວນທີ່ຕົກລົງເຫັນດີກັບຂໍ້ກໍານົດເພີ່ມເຕີມດັ່ງຕໍ່ໄປນີ້ກ່ຽວກັບການປຸງແຕ່ງດັ່ງກ່າວ.

1. ຄໍານິຍາມ
   “CCPA” ໝາຍເຖິງກົດໝາຍວ່າດ້ວຍຄວາມເປັນສ່ວນຕົວຂອງຜູ້ບໍລິໂພກຂອງລັດຄາລິຟໍເນຍ, Cal. ພົນລະເມືອງ ລະຫັດ § 1798.100 et. seq., ສະບັບປັບປຸງໂດຍກົດໝາຍວ່າດ້ວຍສິດທິຄວາມເປັນສ່ວນຕົວຂອງລັດຄາລິຟໍເນຍຂອງປີ 2020 ແລະພ້ອມກັບລະບຽບການປະຕິບັດໃດໆ.
   "ຜູ້ຄວບຄຸມ" ໝາຍເຖິງຫົວໜ່ວຍທີ່ກຳນົດຈຸດປະສົງ ແລະວິທີການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ ແລະຖືວ່າຍັງໝາຍເຖິງ “ທຸລະກິດ” ຕາມທີ່ກຳນົດໄວ້ໃນ CCPA.
   "ລູກຄ້າ" ໝາຍເຖິງຫົວໜ່ວຍທີ່ມີຊື່ຂ້າງເທິງ ແລະສາຂາຂອງມັນ.
   "ກົດໝາຍ ແລະ ກົດລະບຽບການປົກປ້ອງຂໍ້ມູນ" ໝາຍເຖິງກົດໝາຍ ແລະກົດລະບຽບທັງໝົດຂອງສະຫະພາບຢູໂຣບ ແລະຂອງຕົນ
   ປະເທດສະມາຊິກ, ເຂດເສດຖະກິດເອີຣົບ ແລະປະເທດສະມາຊິກ, ສະຫະລາດຊະອານາຈັກ, ສະວິດເຊີແລນ, ສະຫະລັດ, ການາດາ, ນິວຊີແລນ, ແລະອົດສະຕາລີ, ແລະພາກສ່ວນຍ່ອຍທາງດ້ານການເມືອງຂອງເຂົາເຈົ້າ, ນໍາໃຊ້ກັບການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນ. ສິ່ງເຫຼົ່ານີ້ລວມມີ, ແຕ່ບໍ່ຈຳກັດຕໍ່ຂອບເຂດທີ່ນຳໃຊ້ໄດ້: GDPR, ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນຂອງອັງກິດ, CCPA, ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນຜູ້ບໍລິໂພກຂອງລັດ Virginia (“VCDPA”), ກົດໝາຍວ່າດ້ວຍຄວາມເປັນສ່ວນຕົວຂອງ Colorado ແລະລະບຽບການທີ່ກ່ຽວຂ້ອງ (“CPA ”), ກົດໝາຍວ່າດ້ວຍຄວາມເປັນສ່ວນຕົວຂອງຜູ້ບໍລິໂພກຂອງລັດຢູທາ (“UCPA”), ແລະກົດໝາຍວ່າດ້ວຍລັດ Connecticut ກ່ຽວກັບຄວາມເປັນສ່ວນຕົວຂອງຂໍ້ມູນສ່ວນຕົວ ແລະການຕິດຕາມທາງອອນລາຍ (“CPDPA”).
   "ວິຊາຂໍ້ມູນ" ໝາຍເຖິງບຸກຄົນທີ່ລະບຸຕົວຕົນ ຫຼືສາມາດລະບຸຕົວຕົນໄດ້ ເຊິ່ງຂໍ້ມູນສ່ວນຕົວກ່ຽວຂ້ອງ ແລະປະກອບມີ "ຜູ້ບໍລິໂພກ" ຕາມທີ່ໄດ້ກຳນົດໄວ້ໃນກົດໝາຍ ແລະກົດລະບຽບການປົກປ້ອງຂໍ້ມູນ. "ເອີຣົບ" ໝາຍເຖິງສະຫະພາບເອີຣົບ, ເຂດເສດຖະກິດເອີຣົບ, ສະວິດເຊີແລນ, ແລະອັງກິດ. ຂໍ້ກໍານົດເພີ່ມເຕີມທີ່ໃຊ້ໄດ້ກັບການໂອນຂໍ້ມູນສ່ວນບຸກຄົນຈາກເອີຣົບແມ່ນບັນຈຸຢູ່ໃນຕາຕະລາງ 5. ໃນກໍລະນີທີ່ຕາຕະລາງ 5 ຖືກໂຍກຍ້າຍ, ລູກຄ້າຮັບປະກັນວ່າມັນຈະບໍ່ດໍາເນີນການຂໍ້ມູນສ່ວນບຸກຄົນພາຍໃຕ້ກົດຫມາຍການປົກປ້ອງຂໍ້ມູນແລະກົດລະບຽບຂອງເອີຣົບ.
   "GDPR" ຫມາຍຄວາມວ່າກົດລະບຽບ (EU) 2016/679 ຂອງສະພາເອີຣົບແລະສະພາຂອງ 27 ເມສາ 2016 ກ່ຽວກັບການປົກປ້ອງບຸກຄົນທໍາມະຊາດກ່ຽວກັບການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນແລະການເຄື່ອນໄຫວຂອງຂໍ້ມູນດັ່ງກ່າວໂດຍບໍ່ເສຍຄ່າ, ແລະຍົກເລີກຄໍາສັ່ງ 95/46. /EC (ກົດລະບຽບການປົກປ້ອງຂໍ້ມູນທົ່ວໄປ).
   "ກຸ່ມຂອງຕົນເອງ" ຫມາຍຄວາມວ່າເປັນເຈົ້າຂອງແລະສາຂາຂອງຕົນມີສ່ວນຮ່ວມໃນການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ.
   "ຂໍ້ມູນສ່ວນຕົວ" ຫມາຍເຖິງຂໍ້ມູນໃດໆທີ່ກ່ຽວຂ້ອງກັບ (i) ບຸກຄົນທໍາມະຊາດທີ່ຖືກລະບຸຕົວຕົນຫຼືສາມາດລະບຸຕົວຕົນໄດ້ແລະ (ii) ນິຕິບຸກຄົນທີ່ຖືກລະບຸຕົວຕົນຫຼືສາມາດລະບຸຕົວຕົນໄດ້ (ບ່ອນທີ່ຂໍ້ມູນດັ່ງກ່າວຖືກປົກປ້ອງຄ້າຍຄືກັນກັບຂໍ້ມູນສ່ວນຕົວ, ຂໍ້ມູນສ່ວນຕົວ, ຫຼືຂໍ້ມູນສ່ວນບຸກຄົນທີ່ລະບຸຕົວຕົນໄດ້ພາຍໃຕ້ກົດຫມາຍແລະກົດລະບຽບການປົກປ້ອງຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ ), ບ່ອນທີ່ສໍາລັບແຕ່ລະ (i) ຫຼື (ii), ຂໍ້ມູນດັ່ງກ່າວແມ່ນຂໍ້ມູນລູກຄ້າ.
   "ບໍລິການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນ" ໝາຍເຖິງການບໍລິການ SaaS ທີ່ລະບຸໄວ້ໃນຕາຕະລາງ 2, ເຊິ່ງເຈົ້າຂອງອາດຈະປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ.
   "ການປຸງແຕ່ງ" ໝາຍເຖິງການດຳເນີນງານ ຫຼືຊຸດການດຳເນີນງານໃດໜຶ່ງທີ່ປະຕິບັດໂດຍຂໍ້ມູນສ່ວນຕົວ, ບໍ່ວ່າຈະໂດຍວິທີການອັດຕະໂນມັດ, ເຊັ່ນ: ການເກັບກຳ, ການບັນທຶກ, ການຈັດຕັ້ງ, ໂຄງສ້າງ, ການເກັບຮັກສາ, ການປັບຕົວ ຫຼືການປ່ຽນແປງ, ການດຶງຂໍ້ມູນ, ການປຶກສາຫາລື, ການນໍາໃຊ້, ການເປີດເຜີຍໂດຍການສົ່ງ, ການເຜີຍແຜ່ ຫຼືອື່ນໆ. ເຮັດໃຫ້ມີ, ສອດຄ່ອງຫຼືປະສົມປະສານ, ຈໍາກັດ, ລົບຫຼືທໍາລາຍ.
   “ໂປເຊດເຊີ” ໝາຍເຖິງຫົວໜ່ວຍທີ່ປະມວນຜົນຂໍ້ມູນສ່ວນຕົວໃນນາມຂອງຕົວຄວບຄຸມ, ລວມທັງ “ຜູ້ໃຫ້ບໍລິການ” ທີ່ໃຊ້ໄດ້ຕາມທີ່ກຳນົດໄວ້ໂດຍ CCPA.
   "ຂໍ້ສັນຍາມາດຕະຖານ" ໝາຍເຖິງເອກະສານຄັດຕິດກັບການຕັດສິນໃຈຈັດຕັ້ງປະຕິບັດຂອງຄະນະກຳມາທິການເອີຣົບ
   (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ຂອງວັນທີ 4 ມິຖຸນາ 2021 ກ່ຽວກັບຂໍ້ສັນຍາມາດຕະຖານສໍາລັບການໂອນຂໍ້ມູນສ່ວນບຸກຄົນໃຫ້ກັບໂປເຊດເຊີທີ່ຕັ້ງຢູ່ໃນປະເທດທີສາມຕາມກົດລະບຽບ (EU) 2016/679 ຂອງລັດຖະສະພາເອີຣົບແລະສະພາຂອງສະຫະພາບເອີຣົບແລະຂຶ້ນກັບການດັດແກ້ທີ່ຈໍາເປັນສໍາລັບສະຫະລັດ. ລາຊະອານາຈັກ ແລະ ສະວິດເຊີແລນ ອະທິບາຍຕື່ມອີກໃນຕາຕະລາງ 5.
   “ໂປເຊດເຊີຍ່ອຍ” ໝາຍເຖິງໂປຣເຊສເຊີໃດນຶ່ງທີ່ມີສ່ວນຮ່ວມໂດຍເຈົ້າຂອງເອງ, ໂດຍສະມາຊິກຂອງກຸ່ມຂອງຕົນເອງ ຫຼືໂດຍຜູ້ປະມວນຜົນຍ່ອຍອື່ນ.
   "ອົງການກວດກາ" ໝາຍ​ເຖິງ​ອົງການ​ຄຸ້ມ​ຄອງ​ລັດ ຫຼື​ລັດຖະບານ​ທີ່​ມີ​ສິດ​ອຳນາດ​ທາງ​ກົດໝາຍ​ທີ່​ຜູກ​ມັດ​ຕໍ່​ລູກ​ຄ້າ.
   "ເອກະສານຊ້ອນທ້າຍຂອງອັງກິດ" ໝາຍ​ເຖິງ​ຂໍ້​ເພີ່ມ​ເຕີມ​ການ​ໂອນ​ຂໍ້​ມູນ​ສາກົນ​ຂອງ​ສະຫະ​ລາດ​ຊະ​ອາ​ນາ​ຈັກ​ໃຫ້​ກັບ​ຂໍ້​ກຳນົດ​ສັນຍາ​ມາດຕະຖານ​ຂອງ​ຄະນະ​ກຳມະການ​ສະຫະພາບ​ເອີ​ລົບ (ມີ​ໃຫ້​ໃຊ້​ໃນ​ວັນ​ທີ 21 ມີນາ 2022 ທີ່ https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), ສໍາເລັດຕາມທີ່ໄດ້ອະທິບາຍໄວ້ໃນຕາຕະລາງ 5.
   "ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນຂອງອັງກິດ" ຫມາຍຄວາມວ່າກົດລະບຽບ 2016/679 ຂອງສະພາເອີຣົບແລະຂອງສະພາການປົກປັກຮັກສາບຸກຄົນທໍາມະຊາດກ່ຽວກັບການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນແລະກ່ຽວກັບການເຄື່ອນໄຫວຟຣີຂອງຂໍ້ມູນດັ່ງກ່າວເປັນເປັນສ່ວນຫນຶ່ງຂອງກົດຫມາຍວ່າດ້ວຍອັງກິດແລະ Wales, Scotland ແລະພາກເຫນືອ. ໄອແລນໂດຍອາໄສມາດຕາ 3 ຂອງສະຫະພາບເອີຣົບ (ການຖອນຕົວ) ກົດຫມາຍວ່າດ້ວຍ 2018, ດັ່ງທີ່ອາດຈະຖືກປັບປຸງເປັນບາງເວລາໂດຍກົດໝາຍ ແລະກົດລະບຽບການປົກປ້ອງຂໍ້ມູນ. ຂອງສະຫະລາຊະອານາຈັກ.
2. ຄໍາສັ່ງຂອງ PRECEDENCE
   a. ມີຂໍ້ຍົກເວັ້ນຂອງຂໍ້ສັນຍາມາດຕະຖານທີ່ລວມເຂົ້າກັນຢູ່ໃນນີ້, ເຊິ່ງຈະຕ້ອງເປັນອັນດັບໜຶ່ງ, ໃນກໍລະນີທີ່ມີຄວາມບໍ່ສອດຄ່ອງກັນລະຫວ່າງ DPA ເສີມນີ້ ແລະ DPA ທີ່ມີຢູ່ແລ້ວ, ເງື່ອນໄຂຂອງ DPA ທີ່ມີຢູ່ແລ້ວຈະຊະນະ.
3. ການຈໍາກັດຄວາມຮັບຜິດຊອບ
   a. ໃນຂອບເຂດທີ່ອະນຸຍາດໂດຍກົດຫມາຍແລະກົດລະບຽບການປົກປ້ອງຂໍ້ມູນ, ຄວາມຮັບຜິດຊອບຂອງແຕ່ລະຝ່າຍແລະທຸກສາຂາຂອງຕົນ, ໄດ້ລວມກັນ, ເກີດຂື້ນຈາກຫຼືກ່ຽວຂ້ອງກັບ DPA ເສີມນີ້, ບໍ່ວ່າຈະຢູ່ໃນສັນຍາ, ການທໍລະຍົດຫຼືພາຍໃຕ້ທິດສະດີຄວາມຮັບຜິດຊອບອື່ນໆ, ແມ່ນຂຶ້ນກັບ "ຂອບເຂດຈໍາກັດຄວາມຮັບຜິດຊອບ", ແລະຂໍ້ອື່ນໆທີ່ຍົກເວັ້ນຫຼືຈໍາກັດຄວາມຮັບຜິດຊອບ, ຂອງສັນຍາ, ແລະການອ້າງອີງໃດໆໃນຂໍ້ດັ່ງກ່າວ. ຄວາມຮັບຜິດຊອບຂອງຝ່າຍໃດໜຶ່ງ ໝາຍເຖິງຄວາມຮັບຜິດຊອບລວມຂອງຝ່າຍນັ້ນ ແລະທຸກພາກສ່ວນທີ່ກ່ຽວຂ້ອງ.
4. ການປ່ຽນແປງໃນການໂອນກົນໄກ
   a. ໃນ​ກໍ​ລະ​ນີ​ທີ່​ກົນ​ໄກ​ການ​ຍົກ​ຍ້າຍ​ໃນ​ປັດ​ຈຸ​ບັນ​ອີງ​ໃສ່​ໂດຍ​ພາກ​ສ່ວນ​ສໍາ​ລັບ​ການ​ອໍາ​ນວຍ​ຄວາມ​ສະ​ດວກ​ໃນ​ການ​ໂອນ​ຂໍ້​ມູນ​ສ່ວນ​ບຸກ​ຄົນ​ໄປ​ປະ​ເທດ​ຫນຶ່ງ​ຫຼື​ຫຼາຍ​ປະ​ເທດ​ທີ່​ບໍ່​ໄດ້​ຮັບ​ປະ​ກັນ​ລະ​ດັບ​ທີ່​ພຽງ​ພໍ​ຂອງ​ການ​ປົກ​ປັກ​ຮັກ​ສາ​ຂໍ້​ມູນ​ໃນ​ຄວາມ​ຫມາຍ​ຂອງ​ກົດ​ຫມາຍ​ວ່າ​ດ້ວຍ​ການ​ປົກ​ປັກ​ຮັກ​ສາ​ຂໍ້​ມູນ​ແລະ​ລະ​ບຽບ​ການ​ແມ່ນ invalidated. , ຫຼືແທນທີ່ຝ່າຍຕ່າງໆຈະເຮັດວຽກດ້ວຍຄວາມຊື່ສັດເພື່ອປະຕິບັດກົນໄກການໂອນຍ້າຍທາງເລືອກດັ່ງກ່າວເພື່ອໃຫ້ສາມາດສືບຕໍ່ການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນທີ່ພິຈາລະນາໂດຍສັນຍາ. ການນຳໃຊ້ກົນໄກການໂອນຍ້າຍທາງເລືອກດັ່ງກ່າວ ແມ່ນຂຶ້ນກັບແຕ່ລະຝ່າຍທີ່ບັນລຸໄດ້ຕາມຂໍ້ກຳນົດຂອງກົດໝາຍເພື່ອນຳໃຊ້ກົນໄກການໂອນຍ້າຍດັ່ງກ່າວ.

ຜູ້ລົງນາມທີ່ໄດ້ຮັບອະນຸຍາດຂອງບັນດາຝ່າຍໄດ້ປະຕິບັດຂໍ້ຕົກລົງນີ້ຢ່າງຖືກຕ້ອງ, ລວມທັງຕາຕະລາງ, ເອກະສານຊ້ອນທ້າຍ, ແລະເອກະສານຊ້ອນທ້າຍທີ່ລວມຢູ່ໃນນີ້.

ບັນຊີລາຍຊື່ຕາຕະລາງ

ຕາຕະລາງ 1: ລາຍຊື່ຜູ້ປະມວນຜົນຍ່ອຍປະຈຸບັນ
ຕາຕະລາງ 2: ບໍລິການ SaaS ນຳໃຊ້ກັບການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ
ຕາຕະລາງ 3: ລາຍລະອຽດຂອງການປະມວນຜົນ
ຕາຕະລາງ 4: ການຄວບຄຸມຄວາມປອດໄພຂອງຕົນເອງ
ຕາຕະລາງ 5: ຂໍ້ກໍານົດຂອງເອີຣົບ

SCHEDULE 1 ລາຍຊື່ຜູ້ປະມວນຜົນຍ່ອຍປະຈຸບັນ

ຊື່ໂປຣເຊສເຊີຍ່ອຍ	ທີ່ຢູ່ຂອງຕົວປະມວນຜົນຍ່ອຍ	ລັກສະນະຂອງການປຸງແຕ່ງ	ໄລຍະເວລາຂອງການປຸງແຕ່ງ	ສະຖານທີ່ຂອງການປຸງແຕ່ງ
OwnBackup ຈໍາກັດ	3 Aluf Kalman Magen StZ, Tel Aviv 6107075, ອິດສະຣາເອນ	ການຊ່ວຍເຫຼືອລູກຄ້າແລະການບໍາລຸງຮັກສາ	ສໍາລັບໄລຍະເວລາຂອງສັນຍາ.	ອິດສະຣາເອນ
Amazon Web ບໍລິການ, Inc.*	410 Terry Avenue North, Seattle, Washington 98109, USA	ແອັບພລິເຄຊັນໂຮດຕິ້ງແລະການເກັບຮັກສາຂໍ້ມູນ	ສໍາລັບໄລຍະເວລາຂອງສັນຍາ.	ສະຫະລັດ, ການາດາ, ເຢຍລະມັນ, ສະຫະລາຊະອານາຈັກ, ຫຼືອົດສະຕາລີ
Microsoft Corporation (Azure)*	One Microsoft Way, Redmond, Washington 98052, USA	ແອັບພລິເຄຊັນໂຮດຕິ້ງແລະການເກັບຮັກສາຂໍ້ມູນ	ສໍາລັບໄລຍະເວລາຂອງສັນຍາ.	ເນເທີແລນ ຫຼືສະຫະລັດ
Elasticsearch, Inc.**	800 West El Camino Real, Suite 350, Mountain View, California 94040, USA	ດັດສະນີແລະຄົ້ນຫາ	ສໍາລັບໄລຍະເວລາຂອງສັນຍາ.	ເນເທີແລນ ຫຼືສະຫະລັດ

* ລູກຄ້າອາດຈະເລືອກ Amazon Web ການບໍລິການຫຼື Microsoft (Azure) ແລະສະຖານທີ່ທີ່ຕ້ອງການຂອງຂະບວນການປະມວນຜົນໃນລະຫວ່າງການຕັ້ງຄ່າເບື້ອງຕົ້ນຂອງລູກຄ້າຂອງ SaaS Services.
** ນຳໃຊ້ກັບລູກຄ້າ Archive ທີ່ເລືອກທີ່ຈະນຳໃຊ້ໃນ Microsoft (Azure) Cloud ເທົ່ານັ້ນ.

SCHEDULE 2 ບໍລິການ SaaS ນຳໃຊ້ກັບການປະມວນຜົນຂໍ້ມູນສ່ວນຕົວ

• ກູ້ຄືນສໍາລັບ ServiceNow
• ກູ້ຄືນສໍາລັບ Dynamics
• ຟື້ນຕົວສໍາລັບ Salesforce
• Governance Plus ສໍາລັບ Salesforce
• ຮວບຮວມ
• ເອົາການຄຸ້ມຄອງທີ່ສໍາຄັນຂອງທ່ານເອງ
• ເລັ່ງ

ຕາຕະລາງ 3 ລາຍລະອຽດຂອງການປະມວນຜົນ

ຜູ້ສົ່ງອອກຂໍ້ມູນ

ຊື່ເຕັມຕາມກົດໝາຍ: ຊື່ລູກຄ້າຕາມທີ່ລະບຸໄວ້ຂ້າງເທິງ
ທີ່ຢູ່ຫຼັກ: ທີ່ຢູ່ລູກຄ້າຕາມທີ່ລະບຸໄວ້ຂ້າງເທິງ
ຕິດຕໍ່: ຖ້າບໍ່ໄດ້ລະບຸໄວ້ເປັນຢ່າງອື່ນນີ້ຈະເປັນການຕິດຕໍ່ຕົ້ນຕໍໃນບັນຊີລູກຄ້າ.
ອີເມວຕິດຕໍ່: ຖ້າບໍ່ໄດ້ລະບຸໄວ້ເປັນຢ່າງອື່ນນີ້ຈະເປັນທີ່ຢູ່ອີເມວຕິດຕໍ່ຫຼັກໃນບັນຊີລູກຄ້າ.

ຜູ້ນໍາເຂົ້າຂໍ້ມູນ 

ຊື່ເຕັມຕາມກົດໝາຍ: OwnBackup Inc.
ທີ່ຢູ່ຫຼັກ: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
ຕິດຕໍ່: ເຈົ້າຫນ້າທີ່ຄວາມເປັນສ່ວນຕົວ
ອີເມວຕິດຕໍ່: privacy@owndata.com

ທໍາມະຊາດແລະຈຸດປະສົງຂອງການປຸງແຕ່ງ

ເຈົ້າຂອງຈະປະມວນຜົນຂໍ້ມູນສ່ວນຕົວຕາມຄວາມຈໍາເປັນເພື່ອປະຕິບັດການບໍລິການ SaaS ຕາມຂໍ້ຕົກລົງແລະຄໍາສັ່ງ, ແລະຕາມຄໍາແນະນໍາເພີ່ມເຕີມໂດຍລູກຄ້າໃນການນໍາໃຊ້ການບໍລິການ SaaS.

ໄລຍະເວລາຂອງການປຸງແຕ່ງ

ເຈົ້າຂອງຈະປະມວນຜົນຂໍ້ມູນສ່ວນຕົວສໍາລັບໄລຍະເວລາຂອງສັນຍາ, ເວັ້ນເສຍແຕ່ໄດ້ຕົກລົງເປັນລາຍລັກອັກສອນ.

ການຮັກສາໄວ້

ເຈົ້າຂອງຈະຮັກສາຂໍ້ມູນສ່ວນຕົວຢູ່ໃນບໍລິການ SaaS ສໍາລັບໄລຍະເວລາຂອງສັນຍາ, ເວັ້ນເສຍແຕ່ໄດ້ຕົກລົງເປັນລາຍລັກອັກສອນ, ຂຶ້ນກັບໄລຍະເວລາເກັບຮັກສາສູງສຸດທີ່ລະບຸໄວ້ໃນເອກະສານ.

ຄວາມຖີ່ຂອງການໂອນ

ຕາມການກໍານົດໂດຍລູກຄ້າໂດຍຜ່ານການນໍາໃຊ້ການບໍລິການ SaaS ຂອງເຂົາເຈົ້າ.

ໂອນໄປໃຫ້ໂປຣເຊສເຊີຍ່ອຍ 

ຕາມຄວາມຈໍາເປັນເພື່ອປະຕິບັດການບໍລິການ SaaS ຕາມຂໍ້ຕົກລົງແລະຄໍາສັ່ງ, ແລະຕາມທີ່ອະທິບາຍຕື່ມອີກໃນຕາຕະລາງ 1.

ປະເພດຂອງວິຊາຂໍ້ມູນ

ລູກຄ້າອາດຈະສົ່ງຂໍ້ມູນສ່ວນຕົວໄປຫາບໍລິການ SaaS, ຂອບເຂດທີ່ຖືກກໍານົດ ແລະຄວບຄຸມໂດຍລູກຄ້າໃນການຕັດສິນໃຈຂອງຕົນແຕ່ພຽງຜູ້ດຽວ, ແລະເຊິ່ງອາດຈະລວມເຖິງແຕ່ບໍ່ຈໍາກັດຂໍ້ມູນສ່ວນຕົວທີ່ກ່ຽວຂ້ອງກັບປະເພດຂໍ້ມູນຕໍ່ໄປນີ້:

• ຄວາມສົດໃສດ້ານ, ລູກຄ້າ, ຄູ່ຮ່ວມງານທຸລະກິດແລະຜູ້ຂາຍຂອງລູກຄ້າ (ຜູ້ທີ່ເປັນບຸກຄົນທໍາມະຊາດ)
• ພະນັກງານຫຼືຜູ້ຕິດຕໍ່ຂອງຄວາມສົດໃສດ້ານຂອງລູກຄ້າ, ລູກຄ້າ, ຄູ່ຮ່ວມງານທຸລະກິດແລະຜູ້ຂາຍ
• ພະນັກງານ, ຕົວແທນ, ທີ່ປຶກສາ, ພະນັກງານອິດສະລະຂອງລູກຄ້າ (ທີ່ເປັນບຸກຄົນທໍາມະຊາດ) ຜູ້ໃຊ້ຂອງລູກຄ້າທີ່ໄດ້ຮັບອະນຸຍາດຈາກລູກຄ້າໃຫ້ໃຊ້ບໍລິການ SaaS

ປະເພດຂອງຂໍ້ມູນສ່ວນຕົວ

ລູກຄ້າອາດຈະສົ່ງຂໍ້ມູນສ່ວນຕົວໃຫ້ກັບບໍລິການ SaaS, ຂອບເຂດທີ່ຖືກກໍານົດ ແລະຄວບຄຸມໂດຍລູກຄ້າໃນການຕັດສິນໃຈຂອງຕົນ, ແລະເຊິ່ງອາດຈະລວມເຖິງແຕ່ບໍ່ຈໍາກັດໃນປະເພດຂອງຂໍ້ມູນສ່ວນຕົວຕໍ່ໄປນີ້:

• ຊື່ ແລະນາມສະກຸນ
• ຫົວຂໍ້
• ຕໍາແໜ່ງ
• ນາຍຈ້າງ
• ຂໍ້ມູນຕິດຕໍ່ (ບໍລິສັດ, ອີເມວ, ໂທລະສັບ, ທີ່ຢູ່ທາງທຸລະກິດ)
• ຂໍ້ມູນ ID
• ຂໍ້ມູນຊີວິດທີ່ເປັນມືອາຊີບ
• ຂໍ້ມູນຊີວິດສ່ວນຕົວ
• ຂໍ້ມູນທ້ອງຖິ່ນ

ປະເພດພິເສດຂອງຂໍ້ມູນ (ຖ້າເຫມາະສົມ)

ລູກຄ້າອາດຈະສົ່ງຂໍ້ມູນສ່ວນຕົວປະເພດພິເສດໃຫ້ກັບບໍລິການ SaaS, ຂອບເຂດທີ່ຖືກກໍານົດແລະຄວບຄຸມໂດຍລູກຄ້າໃນການຕັດສິນໃຈຂອງຕົນ, ແລະເພື່ອຜົນປະໂຫຍດຂອງຄວາມຊັດເຈນສາມາດປະກອບມີການປຸງແຕ່ງຂໍ້ມູນພັນທຸກໍາ, ຂໍ້ມູນ biometric ສໍາລັບຈຸດປະສົງທີ່ເປັນເອກະລັກ. ການລະບຸບຸກຄົນ ຫຼືຂໍ້ມູນກ່ຽວກັບສຸຂະພາບ. ເບິ່ງມາດຕະການໃນຕາຕະລາງ 4 ສໍາລັບວິທີການ Own ປົກປ້ອງປະເພດພິເສດຂອງຂໍ້ມູນແລະຂໍ້ມູນສ່ວນຕົວອື່ນໆ.

SCHEDULE 4 ການຄວບຄຸມຄວາມປອດໄພຂອງຕົນເອງ 3.3

1. ແນະນຳ
   1. ແອັບພລິເຄຊັນຊອບແວທີ່ເປັນບໍລິການຂອງຕົນເອງ (SaaS Services) ໄດ້ຖືກອອກແບບຕັ້ງແຕ່ເລີ່ມຕົ້ນດ້ວຍຄວາມປອດໄພໃນໃຈ. ການບໍລິການ SaaS ໄດ້ຖືກອອກແບບດ້ວຍການຄວບຄຸມຄວາມປອດໄພທີ່ຫຼາກຫຼາຍໃນທົ່ວຫຼາຍຊັ້ນເພື່ອແກ້ໄຂຄວາມສ່ຽງດ້ານຄວາມປອດໄພທີ່ຫຼາກຫຼາຍ. ການຄວບຄຸມຄວາມປອດໄພເຫຼົ່ານີ້ອາດຈະມີການປ່ຽນແປງ; ຢ່າງໃດກໍຕາມ, ການປ່ຽນແປງໃດໆຈະຮັກສາຫຼືປັບປຸງທ່າທາງຄວາມປອດໄພໂດຍລວມ.
   2. ຄໍາອະທິບາຍຂອງການຄວບຄຸມຂ້າງລຸ່ມນີ້ນໍາໃຊ້ກັບການປະຕິບັດການບໍລິການ SaaS ໃນທັງສອງ Amazon Web ບໍລິການ (AWS) ແລະ Microsoft Azure (Azure) ແພລດຟອມ (ເອີ້ນວ່າຜູ້ໃຫ້ບໍລິການຄລາວຂອງພວກເຮົາ, ຫຼື CSPs), ຍົກເວັ້ນທີ່ລະບຸໄວ້ໃນພາກການເຂົ້າລະຫັດຂ້າງລຸ່ມນີ້. ລາຍລະອຽດຂອງການຄວບຄຸມເຫຼົ່ານີ້ບໍ່ໄດ້ນໍາໃຊ້ກັບຊອບແວ RevCult ຍົກເວັ້ນຕາມທີ່ໄດ້ສະຫນອງໃຫ້ພາຍໃຕ້ "ການພັດທະນາຊອບແວທີ່ປອດໄພ" ຂ້າງລຸ່ມນີ້.
2. ການກວດສອບແລະການຢັ້ງຢືນ
   1. ບໍລິການ SaaS ໄດ້ຮັບການຢັ້ງຢືນພາຍໃຕ້ ISO/IEC 27001:2013 (ລະບົບການຄຸ້ມຄອງຄວາມປອດໄພຂໍ້ມູນ) ແລະ ISO/IEC 27701:2019 (ລະບົບການຄຸ້ມຄອງຂໍ້ມູນຄວາມເປັນສ່ວນຕົວ).
   2. ຂອງຕົນເອງໄດ້ຮັບການກວດສອບ SOC2 Type II ປະຈໍາປີພາຍໃຕ້ SSAE-18 ເພື່ອກວດສອບປະສິດທິພາບຂອງການປະຕິບັດຄວາມປອດໄພຂໍ້ມູນ, ນະໂຍບາຍ, ຂັ້ນຕອນ ແລະການປະຕິບັດງານຂອງຕົນສໍາລັບເງື່ອນໄຂການບໍລິການຄວາມໄວ້ວາງໃຈຕໍ່ໄປນີ້: ຄວາມປອດໄພ, ຄວາມພ້ອມ, ຄວາມລັບ, ແລະຄວາມສົມບູນຂອງການປະມວນຜົນ.
   3. ຂອງຕົນເອງໃຊ້ພາກພື້ນ CSP ທົ່ວໂລກສໍາລັບຄອມພິວເຕີ້ແລະການເກັບຮັກສາຂອງມັນສໍາລັບການບໍລິການ SaaS. AWS ແລະ Azure ແມ່ນສິ່ງອໍານວຍຄວາມສະດວກລະດັບສູງສຸດທີ່ມີການຮັບຮອງຫຼາຍອັນ, ລວມທັງ SOC1 – SSAE-18, SOC2, SOC3, ISO 27001, ແລະ HIPAA.
3. Web ການຄວບຄຸມຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ
   1. ລູກຄ້າເຂົ້າເຖິງການບໍລິການ SaaS ແມ່ນພຽງແຕ່ຜ່ານ HTTPS (TLS1.2+), ການສ້າງການເຂົ້າລະຫັດຂອງຂໍ້ມູນໃນການຂົນສົ່ງລະຫວ່າງຜູ້ໃຊ້ສຸດທ້າຍແລະແອັບພລິເຄຊັນແລະລະຫວ່າງຂອງຕົນເອງແລະແຫຼ່ງຂໍ້ມູນຂອງພາກສ່ວນທີສາມ (ຕົວຢ່າງ, Salesforce).
   2. ຜູ້ບໍລິຫານບໍລິການ SaaS ຂອງລູກຄ້າສາມາດຈັດຫາແລະຍົກເລີກການສະຫນອງການບໍລິການ SaaS ຜູ້ໃຊ້ແລະການເຂົ້າເຖິງທີ່ກ່ຽວຂ້ອງຕາມຄວາມຈໍາເປັນ.
   3. ການບໍລິການ SaaS ສະຫນອງການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດເພື່ອໃຫ້ລູກຄ້າສາມາດຈັດການການອະນຸຍາດຫຼາຍອົງການ.
   4. ຜູ້ບໍລິຫານບໍລິການ SaaS ຂອງລູກຄ້າສາມາດເຂົ້າເຖິງເສັ້ນທາງການກວດສອບລວມທັງຊື່ຜູ້ໃຊ້, ການປະຕິບັດ, ເວລາamp, ແລະຊ່ອງຂໍ້ມູນທີ່ຢູ່ IP ແຫຼ່ງ. ບັນທຶກການກວດສອບສາມາດ viewed ແລະສົ່ງອອກໂດຍຜູ້ບໍລິຫານບໍລິການ SaaS ຂອງລູກຄ້າເຂົ້າສູ່ລະບົບ SaaS Services ເຊັ່ນດຽວກັນກັບຜ່ານ SaaS Services API.
   5. ການເຂົ້າເຖິງການບໍລິການ SaaS ສາມາດຖືກຈໍາກັດໂດຍທີ່ຢູ່ IP ແຫຼ່ງ.
   6. ການບໍລິການ SaaS ອະນຸຍາດໃຫ້ລູກຄ້າສາມາດກວດສອບຄວາມຖືກຕ້ອງຫຼາຍປັດໃຈເພື່ອເຂົ້າເຖິງບັນຊີການບໍລິການ SaaS ໂດຍໃຊ້ລະຫັດຜ່ານຄັ້ງດຽວໂດຍອີງໃສ່ເວລາ.
   7. ການບໍລິການ SaaS ອະນຸຍາດໃຫ້ລູກຄ້າສາມາດເປີດໃຊ້ການເຂົ້າສູ່ລະບົບດຽວຜ່ານຜູ້ໃຫ້ບໍລິການຕົວຕົນ SAML 2.0.
   8. ບໍລິການ SaaS ອະນຸຍາດໃຫ້ລູກຄ້າເປີດໃຊ້ນະໂຍບາຍລະຫັດຜ່ານທີ່ສາມາດປັບແຕ່ງໄດ້ເພື່ອຊ່ວຍຈັດລຽງລະຫັດຜ່ານຂອງບໍລິການ SaaS ກັບນະໂຍບາຍຂອງບໍລິສັດ.
4. ການເຂົ້າລະຫັດ
   1. Own ສະເຫນີທາງເລືອກການບໍລິການ SaaS ຕໍ່ໄປນີ້ສໍາລັບການເຂົ້າລະຫັດຂໍ້ມູນໃນເວລາທີ່ພັກຜ່ອນ:
      1. ການສະເຫນີມາດຕະຖານ.
         • ຂໍ້ມູນຖືກເຂົ້າລະຫັດໂດຍໃຊ້ການເຂົ້າລະຫັດຂ້າງເຊີບເວີ AES-256 ຜ່ານລະບົບການຈັດການຫຼັກທີ່ໄດ້ຮັບການກວດສອບພາຍໃຕ້ FIPS 140-2.
         • ການເຂົ້າລະຫັດ envelope ຖືກນໍາໃຊ້ເຊັ່ນວ່າລະຫັດຫຼັກບໍ່ເຄີຍອອກຈາກໂມດູນຄວາມປອດໄພຂອງຮາດແວ (HSM).
         • ກະແຈການເຂົ້າລະຫັດຖືກຫມຸນບໍ່ຫນ້ອຍກວ່າທຸກໆສອງປີ.
      2. Advanced Key Management (AKM) ທາງເລືອກ.
         • ຂໍ້ມູນຖືກເຂົ້າລະຫັດໄວ້ໃນຖັງເກັບວັດຖຸສະເພາະທີ່ມີລະຫັດການເຂົ້າລະຫັດຫຼັກທີ່ລູກຄ້າສະໜອງໃຫ້ (CMK).
         • AKM ອະນຸຍາດໃຫ້ມີການຈັດເກັບກະແຈໃນອະນາຄົດ ແລະ ໝຸນມັນດ້ວຍລະຫັດການເຂົ້າລະຫັດຫຼັກອື່ນ.
         • ລູກຄ້າສາມາດຖອນລະຫັດການເຂົ້າລະຫັດຫຼັກ, ສົ່ງຜົນໃຫ້ຂໍ້ມູນບໍ່ສາມາດເຂົ້າເຖິງໄດ້ໃນທັນທີ.
      3. ເອົາລະບົບການຈັດການກະແຈຂອງທ່ານເອງ (KMS) ທາງເລືອກ (ມີຢູ່ໃນ AWS ເທົ່ານັ້ນ).
         • ລະ​ຫັດ​ການ​ເຂົ້າ​ລະ​ຫັດ​ແມ່ນ​ໄດ້​ຖືກ​ສ້າງ​ຕັ້ງ​ຂຶ້ນ​ໃນ​ບັນ​ຊີ​ຂອງ​ລູກ​ຄ້າ​ຂອງ​ຕົນ​ເອງ​, ການ​ຊື້​ແຍກ​ຕ່າງ​ຫາກ​ໂດຍ​ການ​ນໍາ​ໃຊ້ AWS KMS​.
         • ລູກຄ້າກໍານົດນະໂຍບາຍການເຂົ້າລະຫັດລັບທີ່ອະນຸຍາດໃຫ້ບັນຊີບໍລິການ SaaS ຂອງລູກຄ້າໃນ AWS ເຂົ້າເຖິງກະແຈຈາກ AWS KMS ຂອງລູກຄ້າເອງ.
         • ຂໍ້ມູນຖືກເຂົ້າລະຫັດໄວ້ໃນຖັງເກັບວັດຖຸສະເພາະທີ່ຈັດການໂດຍ Own, ແລະຖືກຕັ້ງຄ່າໃຫ້ໃຊ້ລະຫັດການເຂົ້າລະຫັດຂອງລູກຄ້າ.
         • ລູກຄ້າອາດຈະຖອນການເຂົ້າເຖິງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດທັນທີໂດຍການຖອນການເຂົ້າເຖິງລະຫັດການເຂົ້າລະຫັດຂອງເຈົ້າຂອງເອງ, ໂດຍບໍ່ມີການໂຕ້ຕອບກັບຂອງຕົນເອງ.
         • ພະນັກງານຂອງຕົນເອງບໍ່ສາມາດເຂົ້າເຖິງກະແຈການເຂົ້າລະຫັດໄດ້ທຸກເວລາ ແລະບໍ່ໄດ້ເຂົ້າເຖິງ KMS ໂດຍກົງ.
         • ກິດຈະກໍາການນໍາໃຊ້ທີ່ສໍາຄັນທັງຫມົດຖືກບັນທຶກໄວ້ໃນ KMS ຂອງລູກຄ້າ, ລວມທັງການດຶງລະຫັດໂດຍການເກັບຮັກສາວັດຖຸສະເພາະ.
      4. ການເຂົ້າລະຫັດລະຫວ່າງບໍລິການ SaaS ແລະແຫຼ່ງຂໍ້ມູນພາກສ່ວນທີສາມ (ເຊັ່ນ: Salesforce) ໃຊ້ HTTPS ກັບ TLS 1.2+ ແລະ OAuth 2.0.
5. ເຄືອຂ່າຍ
   1. ການບໍລິການ SaaS ນໍາໃຊ້ການຄວບຄຸມເຄືອຂ່າຍ CSP ເພື່ອຈໍາກັດການເຊື່ອມຕໍ່ຂາເຂົ້າຂອງເຄືອຂ່າຍ.
   2. ກຸ່ມຄວາມປອດໄພຂອງລັດແມ່ນຈ້າງງານເພື່ອຈໍາກັດການເຂົ້າເຄືອຂ່າຍແລະເຂົ້າໄປໃນຈຸດສິ້ນສຸດທີ່ໄດ້ຮັບອະນຸຍາດ.
   3. ບໍລິການ SaaS ໃຊ້ສະຖາປັດຕະຍະກໍາເຄືອຂ່າຍຫຼາຍຊັ້ນ, ລວມທັງຫຼາຍ, ແຍກອອກຢ່າງມີເຫດຜົນ Amazon Virtual Private Clouds (VPCs) ຫຼື Azure Virtual Networks (VNets), ນໍາໃຊ້ເອກະຊົນ, DMZs, ແລະເຂດທີ່ບໍ່ຫນ້າເຊື່ອຖືພາຍໃນໂຄງສ້າງພື້ນຖານ CSP.
   4. ໃນ AWS, ຂໍ້ຈໍາກັດຂອງ VPC S3 Endpoint ຖືກນໍາໃຊ້ໃນແຕ່ລະພາກພື້ນເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງຈາກ VPCs ທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນ.
6. ການຕິດຕາມແລະການກວດສອບ
   1. ລະບົບແລະເຄືອຂ່າຍບໍລິການ SaaS ໄດ້ຖືກຕິດຕາມສໍາລັບເຫດການຄວາມປອດໄພ, ສຸຂະພາບຂອງລະບົບ, ຄວາມຜິດປົກກະຕິຂອງເຄືອຂ່າຍ, ແລະຄວາມພ້ອມ.
   2. ການ​ບໍ​ລິ​ການ SaaS ໃຊ້​ລະ​ບົບ​ກວດ​ສອບ​ການ​ບຸກ​ລຸກ (IDS​) ເພື່ອ​ຕິດ​ຕາມ​ກວດ​ກາ​ກິດ​ຈະ​ກໍາ​ເຄືອ​ຂ່າຍ​ແລະ​ການ​ແຈ້ງ​ເຕືອນ​ຂອງ​ຕົນ​ເອງ​ຂອງ​ພຶດ​ຕິ​ກໍາ​ທີ່​ຫນ້າ​ສົງ​ໃສ​.
   3. ການບໍລິການ SaaS ໃຊ້ web ແອັບພລິເຄຊັນໄຟວໍ (WAFs) ສໍາລັບສາທາລະນະທັງຫມົດ web ການບໍລິການ.
   4. ຄໍາຮ້ອງສະຫມັກບັນທຶກຂອງຕົນເອງ, ເຄືອຂ່າຍ, ຜູ້ໃຊ້, ແລະເຫດການຂອງລະບົບປະຕິບັດການກັບເຄື່ອງແມ່ຂ່າຍ syslog ທ້ອງຖິ່ນແລະພາກພື້ນສະເພາະ SIEM. ບັນທຶກເຫຼົ່ານີ້ແມ່ນອັດຕະໂນມັດການວິເຄາະແລະ reviewed ສໍາລັບກິດຈະກໍາທີ່ຫນ້າສົງໄສແລະການຂົ່ມຂູ່. ຄວາມຜິດກະຕິໃດໆແມ່ນເພີ່ມຂຶ້ນຕາມຄວາມເຫມາະສົມ.
   5. ຂອງຕົນເອງນໍາໃຊ້ຂໍ້ມູນຄວາມປອດໄພແລະການຈັດການເຫດການ (SIEM) ສະຫນອງການວິເຄາະຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງຂອງເຄືອຂ່າຍ SaaS Services ແລະສະພາບແວດລ້ອມຄວາມປອດໄພ, ການເຕືອນຄວາມຜິດປົກກະຕິຂອງຜູ້ໃຊ້, ຄໍາສັ່ງແລະການຄວບຄຸມ (C&C) ການສອດແນມການໂຈມຕີ, ການກວດສອບໄພຂົ່ມຂູ່ອັດຕະໂນມັດ, ແລະການລາຍງານຕົວຊີ້ວັດຂອງການປະນີປະນອມ (IOC. ). ຄວາມສາມາດທັງໝົດເຫຼົ່ານີ້ແມ່ນບໍລິຫານໂດຍພະນັກງານຮັກສາຄວາມປອດໄພ ແລະ ປະຕິບັດງານຂອງເຈົ້າຂອງ.
   6. ທີມງານຕອບໂຕ້ເຫດການຂອງຕົນເອງຕິດຕາມກວດກາ security@owndata.com ນາມແຝງ ແລະຕອບສະໜອງຕາມແຜນການຕອບໂຕ້ເຫດການ (IRP) ຂອງບໍລິສັດເມື່ອເໝາະສົມ.
7. ການໂດດດ່ຽວລະຫວ່າງບັນຊີ
   1. ບໍລິການ SaaS ໃຊ້ Linux sandboxing ເພື່ອແຍກຂໍ້ມູນບັນຊີລູກຄ້າໃນລະຫວ່າງການປະມວນຜົນ. ນີ້ຊ່ວຍໃຫ້ແນ່ໃຈວ່າຄວາມຜິດປົກກະຕິໃດໆ (ສໍາລັບຕົວຢ່າງample, ເນື່ອງ ຈາກ ບັນ ຫາ ຄວາມ ປອດ ໄພ ຫຼື bug ຊອບ ແວ) ຍັງ confined ກັບ ບັນ ຊີ ຂອງ ຕົນ ເອງ ດຽວ.
   2. ການເຂົ້າເຖິງຂໍ້ມູນຂອງຜູ້ເຊົ່າແມ່ນຖືກຄວບຄຸມຜ່ານຜູ້ໃຊ້ IAM ທີ່ມີຂໍ້ມູນສະເພາະ tagging ທີ່ບໍ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ບໍ່ໄດ້ຮັບອະນຸຍາດຈາກການເຂົ້າເຖິງຂໍ້ມູນຜູ້ເຊົ່າ.
8. ການຟື້ນຟູໄພພິບັດ
   1. ຂອງຕົນເອງໃຊ້ການເກັບຮັກສາວັດຖຸ CSP ເພື່ອເກັບຂໍ້ມູນລູກຄ້າທີ່ເຂົ້າລະຫັດໄວ້ໃນທົ່ວເຂດທີ່ມີຫຼາຍເຂດ.
   2. ສໍາລັບຂໍ້ມູນລູກຄ້າທີ່ເກັບໄວ້ໃນບ່ອນເກັບມ້ຽນວັດຖຸ, Own ໃຊ້ການສະບັບວັດຖຸທີ່ມີ aging ອັດຕະໂນມັດເພື່ອສະຫນັບສະຫນູນການປະຕິບັດຕາມນະໂຍບາຍການຟື້ນຟູແລະສໍາຮອງຂໍ້ມູນໄພພິບັດຂອງ Own. ສໍາລັບວັດຖຸເຫຼົ່ານີ້, ລະບົບຂອງ Own ຖືກອອກແບບມາເພື່ອສະຫນັບສະຫນູນຈຸດປະສົງຈຸດຟື້ນຟູ (RPO) ຂອງ 0 ຊົ່ວໂມງ (ນັ້ນແມ່ນ, ຄວາມສາມາດໃນການຟື້ນຟູກັບທຸກລຸ້ນຂອງວັດຖຸໃດກໍ່ຕາມທີ່ມັນມີຢູ່ໃນໄລຍະເວລາ 14 ມື້ກ່ອນ).
   3. ທຸກໆການຟື້ນຕົວທີ່ຕ້ອງການຂອງ instance ຄອມພິວເຕີແມ່ນສໍາເລັດໂດຍການສ້າງຕົວຢ່າງໃຫມ່ໂດຍອີງໃສ່ອັດຕະໂນມັດການຈັດການການຕັ້ງຄ່າຂອງຕົນເອງ.
   4. ແຜນການຟື້ນຟູໄພພິບັດຂອງຕົນເອງໄດ້ຖືກອອກແບບເພື່ອສະຫນັບສະຫນູນຈຸດປະສົງທີ່ໃຊ້ເວລາການຟື້ນຟູ 4 ຊົ່ວໂມງ (RTO).
9. ການຄຸ້ມຄອງຄວາມສ່ຽງ
   1. ຂອງຕົນເອງປະຕິບັດແຕ່ລະໄລຍະ web ການປະເມີນຄວາມອ່ອນແອຂອງແອັບພລິເຄຊັນ, ການວິເຄາະລະຫັດສະຖິດ, ແລະການປະເມີນແບບເຄື່ອນໄຫວພາຍນອກເປັນສ່ວນຫນຶ່ງຂອງໂຄງການຕິດຕາມຢ່າງຕໍ່ເນື່ອງເພື່ອຊ່ວຍໃຫ້ແນ່ໃຈວ່າການຄວບຄຸມຄວາມປອດໄພຂອງແອັບພລິເຄຊັນຖືກປະຕິບັດຢ່າງຖືກຕ້ອງແລະມີປະສິດທິພາບ.
   2. ໃນເຄິ່ງປີ, Own ຈ້າງຜູ້ທົດສອບການເຈາະຂອງພາກສ່ວນທີສາມເອກະລາດເພື່ອປະຕິບັດທັງເຄືອຂ່າຍແລະ web ການປະເມີນຄວາມອ່ອນແອ. ຂອບເຂດຂອງການກວດສອບພາຍນອກເຫຼົ່ານີ້ລວມມີການປະຕິບັດຕາມການເປີດເຜີຍ Web ໂຄງການຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ (OWASP) Top 10 Web ຊ່ອງໂຫວ່ (www.owasp.org).
   3. ຜົນການປະເມີນຄວາມສ່ຽງແມ່ນລວມເຂົ້າໃນວົງຈອນການພັດທະນາຊອບແວຂອງຕົນເອງ (SDLC) ເພື່ອແກ້ໄຂຈຸດອ່ອນທີ່ຖືກລະບຸໄວ້. ຊ່ອງໂຫວ່ສະເພາະໄດ້ຖືກຈັດລໍາດັບຄວາມສໍາຄັນແລະເຂົ້າໄປໃນລະບົບຕົ໋ວພາຍໃນຂອງຕົນເອງເພື່ອຕິດຕາມການແກ້ໄຂ.
10. ການຕອບໂຕ້ເຫດການ
    1. ໃນກໍລະນີທີ່ມີການລະເມີດຄວາມປອດໄພທີ່ອາດຈະເກີດຂຶ້ນ, ທີມງານຕອບໂຕ້ເຫດການຂອງຕົນເອງຈະປະຕິບັດການປະເມີນສະຖານະການແລະສ້າງຍຸດທະສາດການຫຼຸດຜ່ອນທີ່ເຫມາະສົມ. ຖ້າການລະເມີດທີ່ອາດຈະຖືກຢືນຢັນ, Own ຈະປະຕິບັດທັນທີເພື່ອຫຼຸດຜ່ອນການລະເມີດແລະຮັກສາຫຼັກຖານທາງດ້ານນິຕິສາດ, ແລະຈະແຈ້ງໃຫ້ລູກຄ້າທີ່ໄດ້ຮັບຜົນກະທົບຈາກການຕິດຕໍ່ຕົ້ນຕໍໂດຍບໍ່ມີການຊັກຊ້າເກີນໄປເພື່ອສະຫຼຸບສະຖານະການແລະໃຫ້ການປັບປຸງສະຖານະການແກ້ໄຂ.
11. ການພັດທະນາຊອບແວທີ່ປອດໄພ
    1. Own ຈ້າງການປະຕິບັດການພັດທະນາທີ່ປອດໄພສໍາລັບຄໍາຮ້ອງສະຫມັກຊອບແວຂອງຕົນເອງແລະ RevCult ຕະຫຼອດວົງຈອນຊີວິດການພັດທະນາຊອບແວ. ການປະຕິບັດເຫຼົ່ານີ້ລວມມີການວິເຄາະລະຫັດຄົງທີ່, Salesforce security review ສໍາລັບຄໍາຮ້ອງສະຫມັກ RevCult ແລະສໍາລັບຄໍາຮ້ອງສະຫມັກຂອງຕົນເອງທີ່ຕິດຕັ້ງຢູ່ໃນຕົວຢ່າງ Salesforce ຂອງລູກຄ້າ, peer review ຂອງ​ການ​ປ່ຽນ​ແປງ​ລະ​ຫັດ​, ການ​ຈໍາ​ກັດ​ການ​ເຂົ້າ​ເຖິງ repository ລະ​ຫັດ​ແຫຼ່ງ​ໂດຍ​ອີງ​ໃສ່​ຫຼັກ​ການ​ຂອງ​ສິດ​ທິ​ຫນ້ອຍ​, ແລະ​ການ​ເຂົ້າ​ເຖິງ​ການ​ເຂົ້າ​ເຖິງ repository ລະ​ຫັດ​ແຫຼ່ງ​ການ​ເຂົ້າ​ສູ່​ລະ​ບົບ​.
12. ທີມງານຄວາມປອດໄພທີ່ອຸທິດຕົນ
    1. ຂອງຕົນເອງມີທີມງານຄວາມປອດໄພທີ່ອຸທິດຕົນທີ່ມີຫຼາຍກວ່າ 100 ປີຂອງປະສົບການຄວາມປອດໄພຂໍ້ມູນຫຼາຍດ້ານປະສົມປະສານ. ນອກຈາກນັ້ນ, ສະມາຊິກທີມຍັງຮັກສາການຢັ້ງຢືນທີ່ໄດ້ຮັບການຍອມຮັບຈາກອຸດສາຫະກໍາຈໍານວນຫນຶ່ງ, ລວມທັງແຕ່ບໍ່ຈໍາກັດ CISM, CISSP, ແລະ ISO 27001 Lead Auditors.
13. ຄວາມເປັນສ່ວນຕົວ ແລະການປົກປ້ອງຂໍ້ມູນ
    1. ຂອງຕົນເອງໃຫ້ການຊ່ວຍເຫຼືອພື້ນເມືອງສໍາລັບຄໍາຮ້ອງຂໍການເຂົ້າເຖິງຂໍ້ມູນ, ເຊັ່ນ: ສິດທິໃນການລຶບ (ສິດທີ່ຈະລືມ) ແລະການປິດບັງຊື່, ເພື່ອສະຫນັບສະຫນູນການປະຕິບັດຕາມກົດລະບຽບຄວາມເປັນສ່ວນຕົວຂອງຂໍ້ມູນ, ລວມທັງກົດລະບຽບການປົກປ້ອງຂໍ້ມູນທົ່ວໄປ (GDPR), ກົດຫມາຍວ່າດ້ວຍການ Portability ແລະຄວາມຮັບຜິດຊອບຂອງປະກັນໄພສຸຂະພາບ. (HIPAA), ແລະກົດໝາຍວ່າດ້ວຍຄວາມເປັນສ່ວນຕົວຂອງຜູ້ບໍລິໂພກຂອງລັດຄາລິຟໍເນຍ (CCPA). ຂອງຕົນເອງຍັງສະຫນອງເອກະສານເພີ່ມເຕີມການປະມວນຜົນຂໍ້ມູນເພື່ອແກ້ໄຂຄວາມເປັນສ່ວນຕົວແລະກົດຫມາຍການປົກປ້ອງຂໍ້ມູນ, ລວມທັງຂໍ້ກໍານົດທາງດ້ານກົດຫມາຍສໍາລັບການໂອນຂໍ້ມູນລະຫວ່າງປະເທດ.
14. ການກວດສອບຄວາມເປັນມາ
    1. ຂອງຕົນເອງດໍາເນີນການກວດກາຄວາມເປັນມາຂອງຄະນະກໍາມະ, ລວມທັງການກວດສອບຄວາມເປັນມາຂອງອາຊະຍາກໍາ, ບຸກຄະລາກອນຂອງຕົນທີ່ອາດຈະເຂົ້າເຖິງຂໍ້ມູນຂອງລູກຄ້າ, ໂດຍອີງໃສ່ສິດອໍານາດຂອງພະນັກງານທີ່ຢູ່ອາໃສໃນໄລຍະເຈັດປີກ່ອນ, ພາຍໃຕ້ກົດຫມາຍທີ່ກ່ຽວຂ້ອງ.
15. ປະກັນໄພ
    ການຄຸ້ມຄອງຂອງຕົນເອງ, ຢ່າງຫນ້ອຍ, ການຄຸ້ມຄອງປະກັນໄພດັ່ງຕໍ່ໄປນີ້: (a) ການປະກັນໄພຄ່າຊົດເຊີຍຂອງພະນັກງານຕາມກົດຫມາຍທີ່ນໍາໃຊ້ທັງຫມົດ; (b) ການປະກັນໄພຄວາມຮັບຜິດຊອບຂອງຍານພາຫະນະສໍາລັບຍານພາຫະນະທີ່ບໍ່ແມ່ນເຈົ້າຂອງແລະຈ້າງ, ມີຂອບເຂດຈໍາກັດດຽວລວມຂອງ $ 1,000,000; (c) ຄວາມຮັບຜິດຊອບທົ່ວໄປທາງດ້ານການຄ້າ (ຄວາມຮັບຜິດຊອບສາທາລະນະ) ການປະກັນໄພທີ່ມີຂອບເຂດຈໍາກັດດຽວຂອງ $ 1,000,000 ຕໍ່ເຫດການແລະ $ 2,000,000 ການຄຸ້ມຄອງລວມທົ່ວໄປ; (d) ຄວາມຜິດພາດແລະການລະເວັ້ນ (ການຊົດເຊີຍດ້ານວິຊາຊີບ) ການປະກັນໄພທີ່ມີຂອບເຂດຈໍາກັດ $ 20,000,000 ຕໍ່ເຫດການແລະ $ 20,000,000 ລວມ, ລວມທັງຊັ້ນປະຖົມແລະຊັ້ນເກີນ, ແລະລວມທັງຄວາມຮັບຜິດຊອບທາງອິນເຕີເນັດ, ເຕັກໂນໂລຢີແລະການບໍລິການດ້ານວິຊາຊີບ, ຜະລິດຕະພັນເຕັກໂນໂລຢີ, ຄວາມປອດໄພຂອງຂໍ້ມູນແລະເຄືອຂ່າຍ, ການຕອບສະຫນອງການລະເມີດ, ກົດລະບຽບ. ການ​ປ້ອງ​ກັນ​ປະ​ເທດ​ແລະ​ການ​ລົງ​ໂທດ​, extortion cyber ແລະ​ຄວາມ​ຮັບ​ຜິດ​ຊອບ​ການ​ຟື້ນ​ຕົວ​ຂໍ້​ມູນ​; ແລະ (e) ປະກັນໄພຄວາມບໍ່ສັດຊື່ຂອງພະນັກງານ/ອາດຊະຍາກຳ ທີ່ມີການຄຸ້ມຄອງ 5,000,000 ໂດລາ. ຂອງຕົນເອງຈະໃຫ້ຫຼັກຖານຂອງລູກຄ້າຂອງການປະກັນໄພດັ່ງກ່າວຕາມຄໍາຮ້ອງຂໍ.

ຕາຕະລາງ 5 ບົດບັນຍັດຂອງເອີຣົບ

ກໍານົດເວລານີ້ພຽງແຕ່ນໍາໃຊ້ກັບການໂອນຂໍ້ມູນສ່ວນບຸກຄົນ (ລວມທັງການໂອນຕໍ່ໄປ) ຈາກເອີຣົບ, ໃນກໍລະນີທີ່ບໍ່ມີການນໍາໃຊ້ຂໍ້ກໍານົດເຫຼົ່ານີ້, ຈະເຮັດໃຫ້ລູກຄ້າຫຼືເຈົ້າຂອງລະເມີດກົດຫມາຍແລະກົດລະບຽບການປົກປັກຮັກສາຂໍ້ມູນທີ່ກ່ຽວຂ້ອງ.

1. ກົນໄກການໂອນຂໍ້ມູນສໍາລັບການໂອນຂໍ້ມູນ.
   a) ຂໍ້ກໍານົດສັນຍາມາດຕະຖານນໍາໃຊ້ກັບການໂອນຂໍ້ມູນສ່ວນບຸກຄົນພາຍໃຕ້ DPA ເພີ່ມເຕີມນີ້ຈາກເອີຣົບໄປຫາປະເທດທີ່ບໍ່ຮັບປະກັນລະດັບການປົກປ້ອງຂໍ້ມູນທີ່ພຽງພໍໃນຄວາມຫມາຍຂອງກົດຫມາຍການປົກປ້ອງຂໍ້ມູນແລະກົດລະບຽບຂອງອານາເຂດດັ່ງກ່າວ, ໃນຂອບເຂດທີ່ການໂອນດັ່ງກ່າວແມ່ນຂຶ້ນກັບ. ຕໍ່ກັບກົດໝາຍ ແລະກົດລະບຽບການປົກປ້ອງຂໍ້ມູນດັ່ງກ່າວ. ຂອງຕົນເອງເຂົ້າໄປໃນຂໍ້ກໍານົດສັນຍາມາດຕະຖານເປັນຜູ້ນໍາເຂົ້າຂໍ້ມູນ. ເງື່ອນໄຂເພີ່ມເຕີມໃນຕາຕະລາງນີ້ຍັງໃຊ້ກັບການໂອນຂໍ້ມູນດັ່ງກ່າວ.
2. ການໂອນຍ້າຍພາຍໃຕ້ເງື່ອນໄຂສັນຍາມາດຕະຖານ.
   a) ລູກຄ້າທີ່ຄຸ້ມຄອງໂດຍເງື່ອນໄຂສັນຍາມາດຕະຖານ. ຂໍ້ສັນຍາມາດຕະຖານ ແລະເງື່ອນໄຂເພີ່ມເຕີມທີ່ລະບຸໄວ້ໃນຕາຕະລາງນີ້ນຳໃຊ້ກັບ (i) ລູກຄ້າ, ໃນຂອບເຂດທີ່ລູກຄ້າຕ້ອງຢູ່ພາຍໃຕ້ກົດໝາຍ ແລະກົດລະບຽບຂອງເອີຣົບ ແລະ (ii) ສາຂາທີ່ໄດ້ຮັບອະນຸຍາດ. ສໍາລັບຈຸດປະສົງຂອງສັນຍາມາດຕະຖານແລະຕາຕະລາງນີ້, ຫນ່ວຍງານດັ່ງກ່າວແມ່ນ "ຜູ້ສົ່ງອອກຂໍ້ມູນ."
   b) ໂມດູນ. ຄູ່ສັນຍາຕົກລົງເຫັນດີວ່າບ່ອນທີ່ໂມດູນທາງເລືອກອາດຈະຖືກນໍາໄປໃຊ້ພາຍໃນຂໍ້ກໍານົດສັນຍາມາດຕະຖານ, ເທົ່ານັ້ນທີ່ຈະຖືກນໍາໃຊ້ໃນປ້າຍຊື່ "MODULE TWO: Transfer controller to processor".
   c) ຄໍາແນະນໍາ. ພາກສ່ວນຕົກລົງເຫັນດີວ່າລູກຄ້າຂອງການນໍາໃຊ້ການບໍລິການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນຕາມສັນຍາແລະ DPA ທີ່ມີຢູ່ແລ້ວແມ່ນຖືວ່າເປັນຄໍາແນະນໍາຂອງລູກຄ້າໃນການປະມວນຜົນຂໍ້ມູນສ່ວນບຸກຄົນສໍາລັບຈຸດປະສົງຂອງຂໍ້ 8.1 ຂອງສັນຍາມາດຕະຖານ.
   d) ການແຕ່ງຕັ້ງຜູ້ປຸງແຕ່ງຍ່ອຍໃຫມ່ແລະລາຍຊື່ຜູ້ປຸງແຕ່ງຍ່ອຍໃນປະຈຸບັນ. ອີງຕາມທາງເລືອກ 2 ເຖິງຂໍ້ 9(a) ຂອງສັນຍາມາດຕະຖານ, ລູກຄ້າຕົກລົງເຫັນດີວ່າເຈົ້າຂອງອາດຈະມີສ່ວນຮ່ວມກັບໂປເຊດເຊີຍ່ອຍໃຫມ່ຕາມທີ່ອະທິບາຍໄວ້ໃນ DPA ທີ່ມີຢູ່ແລ້ວແລະສາຂາຂອງເຈົ້າຂອງອາດຈະຖືກຮັກສາໄວ້ເປັນຕົວປະມວນຜົນຍ່ອຍ, ແລະສາຂາຂອງຕົນເອງແລະຂອງຕົນເອງອາດຈະມີສ່ວນຮ່ວມ. ໂຮງງານຜະລິດຍ່ອຍພາກສ່ວນທີສາມທີ່ກ່ຽວຂ້ອງກັບການສະຫນອງການບໍລິການປະມວນຜົນຂໍ້ມູນ. ບັນຊີລາຍຊື່ປະຈຸບັນຂອງໂປເຊດເຊີຍ່ອຍຕາມຕາຕະລາງ 1.
   e) ສັນຍາຍ່ອຍ. ພາກສ່ວນທີ່ຕົກລົງເຫັນດີວ່າການໂອນຂໍ້ມູນໄປຫາຜູ້ປະມວນຜົນຍ່ອຍອາດຈະອີງໃສ່ກົນໄກການໂອນອື່ນນອກເຫນືອຈາກຂໍ້ສັນຍາມາດຕະຖານ (ສໍາລັບ ex.ample, ຜູກມັດກົດລະບຽບຂອງບໍລິສັດ), ແລະວ່າຂໍ້ຕົກລົງຂອງຕົນເອງກັບຜູ້ປຸງແຕ່ງຍ່ອຍດັ່ງກ່າວອາດຈະບໍ່ລວມຫຼືສະທ້ອນຂໍ້ກໍານົດຂອງສັນຍາມາດຕະຖານ, ເຖິງວ່າຈະມີສິ່ງໃດກໍ່ຕາມທີ່ກົງກັນຂ້າມໃນຂໍ້ 9(b) ຂອງຂໍ້ສັນຍາມາດຕະຖານ. ແນວໃດກໍ່ຕາມ, ຂໍ້ຕົກລົງດັ່ງກ່າວກັບຜູ້ປະມວນຜົນຍ່ອຍຈະຕ້ອງມີພັນທະປົກປ້ອງຂໍ້ມູນບໍ່ໜ້ອຍກວ່າທີ່ຢູ່ໃນ DPA ເສີມນີ້ກ່ຽວກັບການປົກປ້ອງຂໍ້ມູນລູກຄ້າ, ໃນຂອບເຂດທີ່ນຳໃຊ້ກັບການບໍລິການທີ່ສະໜອງໃຫ້ໂດຍຜູ້ປະມວນຜົນຍ່ອຍດັ່ງກ່າວ. ສຳເນົາຂອງສັນຍາຍ່ອຍທີ່ຈະຕ້ອງສະໜອງໃຫ້ໂດຍເຈົ້າຂອງໃຫ້ລູກຄ້າຕາມຂໍ້ 9(c) ຂອງສັນຍາມາດຕະຖານຈະຖືກສະໜອງໃຫ້ໂດຍເຈົ້າຂອງເອງຕາມການຮ້ອງຂໍເປັນລາຍລັກອັກສອນຂອງລູກຄ້າເທົ່ານັ້ນ ແລະອາດມີຂໍ້ມູນການຄ້າທັງໝົດ, ຫຼືຂໍ້ທີ່ບໍ່ກ່ຽວຂ້ອງກັບ ຂໍ້ກໍານົດສັນຍາມາດຕະຖານຫຼືທຽບເທົ່າຂອງພວກມັນ, ຖືກໂຍກຍ້າຍອອກໂດຍເຈົ້າຂອງກ່ອນ.
   f) ການກວດສອບແລະການຢັ້ງຢືນ. ພາກສ່ວນທີ່ຕົກລົງເຫັນດີວ່າການກວດສອບທີ່ໄດ້ອະທິບາຍໄວ້ໃນຂໍ້ 8.9 ແລະຂໍ້ 13(b) ຂອງສັນຍາມາດຕະຖານຈະຖືກດໍາເນີນໂດຍສອດຄ່ອງກັບເງື່ອນໄຂຂອງ DPA ທີ່ມີຢູ່ແລ້ວ.
   g) ການລຶບຂໍ້ມູນ. ພາກສ່ວນຕົກລົງເຫັນດີວ່າການລຶບຫຼືກັບຄືນຂອງຂໍ້ມູນທີ່ພິຈາລະນາໂດຍຂໍ້ 8.5 ຫຼືຂໍ້ 16(d) ຂອງສັນຍາມາດຕະຖານຈະເຮັດຕາມເງື່ອນໄຂຂອງ DPA ທີ່ມີຢູ່ແລ້ວແລະການຢັ້ງຢືນການລຶບໃດໆຈະຖືກສະຫນອງໃຫ້ໂດຍລູກຄ້າຂອງຕົນເອງເທົ່ານັ້ນ. ຮ້ອງຂໍ.
   h) ຜູ້ໄດ້ຮັບຜົນປະໂຫຍດຈາກພາກສ່ວນທີສາມ. ພາກສ່ວນຕົກລົງເຫັນດີວ່າໂດຍອີງໃສ່ລັກສະນະຂອງການບໍລິການ SaaS, ລູກຄ້າຈະຕ້ອງໃຫ້ການຊ່ວຍເຫຼືອທັງຫມົດທີ່ຕ້ອງອະນຸຍາດໃຫ້ເຈົ້າຂອງປະຕິບັດຕາມພັນທະຂອງຕົນຕໍ່ກັບຫົວຂໍ້ຂໍ້ມູນພາຍໃຕ້ຂໍ້ 3 ຂອງຂໍ້ສັນຍາມາດຕະຖານ.
   i) ການປະເມີນຜົນກະທົບ. ອີງ​ຕາມ​ຂໍ້ 14 ຂອງ​ຂໍ້​ຕົກ​ລົງ​ສັນ​ຍາ​ມາດ​ຕະ​ຖານ, ພາກ​ສ່ວນ​ໄດ້​ດໍາ​ເນີນ​ການ​ວິ​ເຄາະ, ໃນ​ສະ​ພາບ​ການ​ສະ​ເພາະ​ຂອງ​ການ​ຍົກ​ຍ້າຍ, ຂອງ​ກົດ​ຫມາຍ​ແລະ​ການ​ປະ​ຕິ​ບັດ​ຂອງ​ປະ​ເທດ​ຈຸດ​ຫມາຍ​ປາຍ​ທາງ, ເຊັ່ນ​ດຽວ​ກັນ​ກັບ​ສັນ​ຍາ​ການ​ເສີມ​ສະ​ເພາະ, ອົງ​ການ​ຈັດ​ຕັ້ງ, ແລະ​ເຕັກ​ນິກ​ການ. ການປົກປ້ອງທີ່ນໍາໃຊ້, ແລະ, ອີງຕາມຂໍ້ມູນທີ່ສົມເຫດສົມຜົນທີ່ຮູ້ຈັກກັບພວກເຂົາໃນເວລານັ້ນ, ໄດ້ກໍານົດວ່າກົດຫມາຍແລະການປະຕິບັດຂອງປະເທດປາຍທາງບໍ່ໄດ້ປ້ອງກັນບໍ່ໃຫ້ຝ່າຍຕ່າງໆປະຕິບັດພັນທະຂອງແຕ່ລະຝ່າຍພາຍໃຕ້ຂໍ້ສັນຍາມາດຕະຖານ.
   j) ກົດໝາຍວ່າດ້ວຍການປົກຄອງ ແລະ ເວທີປາໄສ. ບັນດາຝ່າຍຕົກລົງເຫັນດີ, ກ່ຽວກັບທາງເລືອກ 2 ເຖິງຂໍ້ 17, ວ່າໃນກໍລະນີທີ່ລັດສະມາຊິກ EU ທີ່ຜູ້ສົ່ງອອກຂໍ້ມູນຖືກສ້າງຕັ້ງຂຶ້ນບໍ່ອະນຸຍາດໃຫ້ມີສິດທິຂອງຜູ້ໄດ້ຮັບຜົນປະໂຫຍດຈາກພາກສ່ວນທີສາມ, ຂໍ້ສັນຍາມາດຕະຖານຈະຖືກຄຸ້ມຄອງໂດຍກົດຫມາຍຂອງ. ໄອແລນ. ອີງຕາມຂໍ້ 18, ຂໍ້ຂັດແຍ່ງທີ່ກ່ຽວຂ້ອງກັບສັນຍາມາດຕະຖານຈະຖືກແກ້ໄຂໂດຍສານທີ່ລະບຸໄວ້ໃນສັນຍາ, ເວັ້ນເສຍແຕ່ວ່າສານດັ່ງກ່າວບໍ່ໄດ້ຕັ້ງຢູ່ໃນປະເທດສະມາຊິກຂອງສະຫະພາບເອີຣົບ, ໃນກໍລະນີທີ່ເວທີການຂັດແຍ້ງດັ່ງກ່າວຈະເປັນສານຂອງໄອແລນ. .
   k) ເອກະສານຊ້ອນທ້າຍ. ສໍາລັບຈຸດປະສົງຂອງການປະຕິບັດຂໍ້ກໍານົດຂອງສັນຍາມາດຕະຖານ, ຕາຕະລາງ 3: ລາຍລະອຽດຂອງຂະບວນການຈະຖືກລວມເຂົ້າເປັນ ANNEX IA ແລະ IB, ຕາຕະລາງ 4: ການຄວບຄຸມຄວາມປອດໄພຂອງຕົນເອງ (ເຊິ່ງອາດຈະໄດ້ຮັບການປັບປຸງເປັນບາງຄັ້ງຄາວຢູ່ທີ່ https://www.owndata.com/trust/) ຈະຖືກລວມເຂົ້າເປັນ ANNEX II, ແລະຕາຕະລາງ 1: ບັນຊີລາຍຊື່ຜູ້ປະມວນຜົນຍ່ອຍໃນປະຈຸບັນ (ຕາມທີ່ອາດຈະໄດ້ຮັບການປັບປຸງຈາກແຕ່ລະເວລາຢູ່ທີ່  https://www.owndata.com/legal/sub-p/) ຈະຖືກລວມເຂົ້າເປັນເອກະສານຊ້ອນທ້າຍ III.
   l) ການຕີຄວາມໝາຍ. ເງື່ອນໄຂຂອງຕາຕະລາງນີ້ແມ່ນມີຈຸດປະສົງເພື່ອຊີ້ແຈງແລະບໍ່ດັດແປງເງື່ອນໄຂສັນຍາມາດຕະຖານ. ໃນກໍລະນີທີ່ມີຂໍ້ຂັດແຍ່ງ ຫຼືຄວາມບໍ່ສອດຄ່ອງກັນລະຫວ່າງເນື້ອໃນຂອງຕາຕະລາງນີ້ ແລະຂໍ້ສັນຍາມາດຕະຖານ, ຂໍ້ສັນຍາມາດຕະຖານຈະຊະນະ.
3. ບົດບັນຍັດໃຊ້ໄດ້ກັບການໂອນເງິນຈາກສະວິດເຊີແລນ ພາກສ່ວນຕົກລົງເຫັນດີວ່າສໍາລັບຈຸດປະສົງຂອງການປະຕິບັດຂອງສັນຍາມາດຕະຖານເພື່ອອໍານວຍຄວາມສະດວກໃນການໂອນຂໍ້ມູນສ່ວນບຸກຄົນຈາກສະວິດເຊີແລນ, ຂໍ້ກໍານົດເພີ່ມເຕີມດັ່ງຕໍ່ໄປນີ້ຈະຖືກນໍາໃຊ້: (i) ການອ້າງອິງໃດໆກັບກົດລະບຽບ (EU) 2016/679 ຈະຖືກຕີຄວາມເພື່ອອ້າງອີງຂໍ້ກໍານົດທີ່ສອດຄ້ອງກັນ. ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນຂອງລັດຖະບານກາງສະວິດເຊີແລນ ແລະກົດໝາຍປົກປ້ອງຂໍ້ມູນອື່ນໆຂອງສະວິດເຊີແລນ (“ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນຂອງສະວິດເຊີແລນ”), (ii) ການອ້າງອີງເຖິງ “ລັດສະມາຊິກ” ຫຼື “ລັດສະມາຊິກສະຫະພາບເອີຣົບ” ຫຼື “ສະຫະພາບເອີຣົບ” ຈະຖືກແປເພື່ອອ້າງອີງສະວິດເຊີແລນ , ແລະ (iii) ການອ້າງອິງໃດໆຕໍ່ກັບອົງການຄວບຄຸມ, ຈະຕ້ອງແປເພື່ອອ້າງອີງເຖິງຜູ້ຄຸ້ມຄອງຂໍ້ມູນ ແລະການປົກປ້ອງຂໍ້ມູນຂອງລັດຖະບານກາງສະວິດ.
4. a) ຕາຕະລາງ 1: ພາກສ່ວນ, ລາຍລະອຽດຂອງເຂົາເຈົ້າ, ແລະການຕິດຕໍ່ຂອງເຂົາເຈົ້າແມ່ນໄດ້ກໍານົດໄວ້ໃນຕາຕະລາງ 3.
   b) ຕາຕະລາງ 2: "ເງື່ອນໄຂສັນຍາມາດຕະຖານ EU ທີ່ໄດ້ຮັບການອະນຸມັດ" ຈະເປັນຂໍ້ສັນຍາມາດຕະຖານຕາມທີ່ໄດ້ກໍານົດໄວ້ໃນຕາຕະລາງ 5 ນີ້.
   c) ຕາຕະລາງ 3: ເອກະສານຊ້ອນທ້າຍ I(A), I(B), ແລະ II ແມ່ນສໍາເລັດຕາມທີ່ໄດ້ກໍານົດໄວ້ໃນພາກທີ 2(k) ຂອງຕາຕະລາງ 5 ນີ້.
   d) ຕາຕະລາງ 4: ເຈົ້າຂອງອາດຈະໃຊ້ສິດການຍົກເລີກໄວທາງເລືອກທີ່ໄດ້ອະທິບາຍໄວ້ໃນພາກທີ 19 ຂອງເອກະສານຊ້ອນທ້າຍຂອງອັງກິດ.

ເອກະສານ / ຊັບພະຍາກອນ

ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນ DocuSign [pdf] ຄໍາແນະນໍາ ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນ, ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນຂໍ້ມູນ, ເອກະສານຊ້ອນທ້າຍການປະມວນຜົນ, ເອກະສານຊ້ອນທ້າຍ

ເອກະສານອ້າງອີງ

• ຄູ່ມືຜູ້ໃຊ້