Дополнителен додаток за обработка на податоци на DocuSign

КАКО ДА СЕ ИЗВРШИ ОВАА ДПА

1. Овој Дополнителен ДПА се состои од два дела: главното тело на Дополнителната ДПА и Распоредот 1, 2, 3, 4 и 5.
2. Овој Дополнителен ДПА е претходно потпишан во име на сопствената.
3. За да ја заврши оваа дополнителна ДПА, Клиентот мора:
   a. Пополнете го делот Име на клиент и адреса на клиент.
   b. Пополнете ги информациите во полето за потпис и потпишете се.
   c. Потврдете дека информациите од Распоредот 3 („Детали за обработката“) точно ги одразуваат предметите и категориите на податоци што треба да се обработуваат.
   d. Испратете го пополнетиот и потпишан Дополнителен ДПА во Сопственик на privacy@owndata.com.

По приемот на сопствената валидно пополнета дополнителна ДПА на оваа адреса на е-пошта, оваа дополнителна ДПА ќе стане правно обврзувачка.

Потписот на овој Дополнителен ДПА на страница 3 ќе се смета дека претставува потпис и прифаќање на Стандардните договорни клаузули (вклучувајќи ги и нивните додатоци) и Додатокот на ОК, обата инкорпорирани овде преку референца.

КАКО ВАЖИ ОВА ДПА

Доколку субјектот клиент кој го потпишува овој Дополнителен ДПА е страна на Договорот, овој Дополнителен ДПА е додаток и претставува дел од Договорот или постоечката ДПА. Во таков случај, Сопствениот ентитет кој е страна на Договорот или постоечката ДПА е страна на оваа ДПА.

Ако субјектот клиент кој го потпишува овој Дополнителен ДПА има извршено Формулар за нарачка со сопствен или негов партнер во согласност со Договорот или постоечката ДПА, но самиот не е страна на Договорот или постоечката ДПА, овој Дополнителен ДПА е додаток на тој формулар за нарачка и важечките обрасци за нарачка за обновување, а сопствениот субјект кој е страна на таквиот формулар за нарачка е страна на овој Дополнителен ДПА.

Доколку субјектот клиент кој го потпишува овој Дополнителен DPA не е ниту страна во формуларот за нарачка, ниту во Договорот или во постоечката ДПА, овој Дополнителен DPA не е валиден и не е правно обврзувачки. Таквиот субјект треба да побара субјектот клиент кој е страна на Договорот или постоечката ДПА да го изврши овој Дополнителен ДПА.

Ако субјектот клиент кој го потпишува Дополнителниот ДПА не е страна на формуларот за нарачка, ниту на главен договор за претплата или постоечка ДПА директно со сопствениот, туку наместо тоа е клиент индиректно преку овластен препродавач на сопствени услуги, овој Дополнителен ДПА не е валиден и е не е правно обврзувачки. Таквиот субјект треба да контактира со овластениот препродавач за да разговара дали е потребна измена на договорот со тој препродавач.

Во случај на каков било конфликт или недоследност помеѓу овој Дополнителен ДПА и кој било друг договор помеѓу Клиентот и сопствениот (вклучувајќи, без ограничување, Договорот или постоечката ДПА), ќе ги контролираат и преовладуваат условите на овој Дополнителен ДПА.

Овој дополнителен додаток за обработка на податоци, вклучувајќи ги неговите распореди и додатоци, („Дополнителен DPA“) е дел од постојниот додаток за обработка на податоци идентификуван погоре („Постоечка DPA“) помеѓу OwnBackup Inc. („Сопствен“) и Клиентот. Комбинираниот овој Дополнителен ДПА и постоечката ДПА ќе формираат целосен договор за обработка на податоци („ДПА“) за документирање на договорот на страните во врска со Обработката на личните податоци. Доколку таквиот субјект на клиентите и сопствениците не склучиле Договор, тогаш оваа ДПА е ништовна и нема правно дејство.

Субјектот на клиентите именуван погоре влегува во оваа Дополнителна DPA за себе и, доколку некој од неговите подружници дејствува како контролори на лични податоци, во име на тие овластени филијали. Сите изрази со букви што не се дефинирани овде ќе го имаат значењето наведено во Договорот.

Во текот на обезбедувањето на услугите на SaaS на клиентот според Договорот, Own може да обработува лични податоци во име на клиентот. Страните се согласуваат со следните дополнителни услови во однос на таквата Обработка.

1. ДЕФИНИЦИИ
   „CCPA“ значи Законот за приватност на потрошувачите во Калифорнија, Кал. Граѓански Код § 1798.100 и др. понатаму, како што е изменето со Законот за правата на приватност во Калифорнија од 2020 година и заедно со сите регулативи за спроведување.
   „Контролор“ значи субјект кој ги одредува целите и средствата за Обработка на лични податоци и се смета дека исто така се однесува на „бизнис“ како што е дефинирано во ЗКП.
   „Клиент“ значи ентитетот наведен погоре и неговите филијали.
   „Закони и регулативи за заштита на податоците“ значи сите закони и прописи на Европската Унија и нејзините
   земјите-членки, Европската економска област и нејзините земји-членки, Обединетото Кралство, Швајцарија, Соединетите Американски Држави, Канада, Нов Зеланд и Австралија и нивните соодветни политички поделби, применливи за Обработка на лични податоци. Тие вклучуваат, но не се ограничени на, следново, до степен што е применлив: GDPR, Законот за заштита на податоците на Обединетото Кралство, CCPA, Законот за заштита на податоците на потрошувачите од Вирџинија („VCDPA“), Законот за приватност на Колорадо и сродните регулативи („CPA ”), Законот за приватност на потрошувачите во Јута („UCPA“) и Законот за Конектикат во врска со приватноста на личните податоци и онлајн мониторингот („CPDPA“).
   „Предмет на податоци“ значи идентификувано или препознатливо лице на кое се однесуваат и вклучуваат личните податоци „потрошувач“ како што е дефинирано во Законите и регулативите за заштита на податоци. „Европа“ значи Европската унија, Европската економска област, Швајцарија и Обединетото Кралство. Дополнителни одредби кои се применуваат за пренос на лични податоци од Европа се содржани во Распоред 5. Во случај да се отстрани Распоредот 5, клиентот гарантира дека нема да обработува лични податоци кои подлежат на законите и регулативите за заштита на податоци на Европа.
   „GDPR“ значи Регулатива (ЕУ) 2016/679 на Европскиот парламент и на Советот од 27 април 2016 година за заштита на физичките лица во однос на обработката на личните податоци и за слободното движење на тие податоци и за укинување на Директивата 95/46 /EC (Општа регулатива за заштита на податоци).
   „Сопствена група“ значи Сопственик и неговите подружници ангажирани во обработката на лични податоци.
   „Лични податоци“ значи секоја информација која се однесува на (i) идентификувано или физичко лице кое може да се идентификува и, (ii) идентификувано или препознатливо правно лице (каде што тие информации се заштитени слично како лични податоци, лични информации или информации за лична идентификација според важечките закони и регулативи за заштита на податоци ), каде што за секое (i) или (ii), таквите податоци се Податоци за клиентите.
   „Услуги за обработка на лични податоци“ значи SaaS услугите наведени во Распоред 2, за кои Own може да обработува лични податоци.
   „Обработка“ значи секоја операција или збир на операции што се извршуваат врз личните податоци, без разлика дали се или не со автоматски средства, како што се собирање, снимање, организација, структурирање, складирање, адаптација или промена, пронаоѓање, консултација, употреба, откривање со пренос, ширење или на друг начин. ставање на располагање, усогласување или комбинација, ограничување, бришење или уништување.
   „Процесор“ значи субјект кој обработува лични податоци во име на контролорот, вклучително како што е применливо секој „давател на услуги“ како што тој термин е дефиниран од CCPA.
   „Стандардни договорни клаузули“ значи Анекс на одлуката за спроведување на Европската комисија
   (ЕУ) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) од 4 јуни 2021 година за стандардни договорни клаузули за пренос на лични податоци на обработувачи основани во трети земји во согласност со Регулативата (ЕУ) 2016/679 на Европскиот парламент и на Советот на Европската унија и предмет на потребните амандмани за Обединетите Кралството и Швајцарија понатаму се опишани во Распоред 5.
   „Под-процесор“ значи кој било процесор ангажиран од сопствен, од член на Сопствената група или од друг под-процесор.
   „Надзорен орган“ значи владино или овластено регулаторно тело кое има обврзувачко правно овластување над Клиентот.
   „Додаток на ОК“ значи Додаток на Обединетото Кралство за меѓународен трансфер на податоци до стандардните договорни клаузули на Комисијата на ЕУ (достапен од 21 март 2022 година на https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), пополнето како што е опишано во Распоред 5.
   „Закон за заштита на податоци на Обединетото Кралство“ значи Регулатива 2016/679 на Европскиот парламент и на Советот за заштита на физичките лица во однос на обработката на личните податоци и за слободното движење на таквите податоци како што е дел од правото на Англија и Велс, Шкотска и Северна Ирска врз основа на член 3 од Законот за Европската унија (повлекување) од 2018 година, како што може одвреме-навреме да се менува со Законите и регулативите за заштита на податоци на Обединетото Кралство.
2. РЕДОК НА ПРЕСЕДЕНСТВО
   a. Со исклучок на Стандардните договорни клаузули инкорпорирани овде, кои ќе имаат приоритет, во случај на каква било недоследност помеѓу овој Дополнителен ДПА и постоечката ДПА, ќе преовладуваат условите на постоечката ДПА.
3. ОГРАНИЧУВАЊЕ НА ОДГОВОРНОСТА
   a. До степен што е дозволен со Законите и регулативите за заштита на податоци, одговорноста на секоја страна и на сите нејзини Подружници, збирно земена, произлегува од или поврзана со овој Дополнителен ДПА, без разлика дали е во договор, деликт или според која било друга теорија на одговорност, е предмет на клаузули за „Ограничување на одговорноста“ и такви други клаузули што ја исклучуваат или ограничуваат одговорноста од Договорот, и секое упатување во таквите клаузули за одговорноста на една страна значи збирна одговорност на таа страна и на сите нејзини Подружници.
4. ИЗМЕНИ НА МЕХАНИЗМИТЕ НА ТРАНСФЕР
   a. Во случај кога тековниот механизам за пренос на кој се потпираат страните за олеснување на преносот на лични податоци во една или повеќе земји кои не обезбедуваат соодветно ниво на заштита на податоците во смисла на Законите и регулативите за заштита на податоците е неважечки, изменет , или заменетите страни ќе работат со добра волја за да донесат таков алтернативен механизам за пренос за да се овозможи континуирана Обработка на лични податоци предвидена со Договорот. Употребата на таков алтернативен механизам за пренос е предмет на исполнување од страна на секоја страна на сите законски барања за користење на таквиот механизам за пренос.

Овластените потписници на страните уредно го извршиле овој Договор, вклучувајќи ги сите применливи Распореди, Анекси и Прилози инкорпорирани овде.

Список на распореди

Распоред 1: Тековен список на потпроцесори
Распоред 2: Услуги на SaaS применливи за обработка на лични податоци
Распоред 3: Детали за обработката
Распоред 4: Сопствени безбедносни контроли
Распоред 5: Европски одредби

РАСПОРЕД 1 Тековен список на потпроцесори

Име на под-процесор	Адреса на под-процесорот	Природата на обработката	Времетраење на обработката	Локација на обработка
OwnBackup Limited	3 Aluf Kalman Magen StZ, Тел Авив 6107075, Израел	Поддршка и одржување на клиентите	За времетраењето на Договорот.	Израел
Амазон Web Services, Inc.*	410 Тери Авенија Северна, Сиетл, Вашингтон 98109, САД	Хостирање на апликации и складирање на податоци	За времетраењето на Договорот.	Соединетите Американски Држави, Канада, Германија, Обединетото Кралство или Австралија
Microsoft Corporation (Azure)*	Еден Мајкрософт Веј, Редмонд, Вашингтон 98052, САД	Хостирање на апликации и складирање на податоци	За времетраењето на Договорот.	Холандија или САД
Elasticsearch, Inc.**	800 West El Camino Real, апартман 350, планина View, Калифорнија 94040, САД	Индексирање и пребарување	За времетраењето на Договорот.	Холандија или САД

* Клиентот може да избере или Амазон Web Услуги или Microsoft (Azure) и неговата посакувана локација на обработка за време на првичното поставување на услугите SaaS од страна на клиентот.
** Се однесува само на клиентите на Archive кои избираат да се распоредат во облакот на Microsoft (Azure).

РАСПОРЕД 2 Услуги на SaaS применливи за обработка на лични податоци

• Закрепнете за ServiceNow
• Закрепнете за Dynamics
• Закрепнете за Salesforce
• Governance Plus за Salesforce
• Архива
• Донесете свој менаџмент со клучеви
• Забрзајте

РАСПОРЕД 3 Детали за обработката

Извозник на податоци

Целосно правно име: Име на клиент како што е наведено погоре
Главна адреса: Адреса на клиент како што е наведено погоре
Контакт: Доколку не е поинаку предвидено, ова ќе биде примарен контакт на сметката на клиентот.
Контакт е-пошта: Доколку не е поинаку предвидено, ова ќе биде примарна адреса за е-пошта за контакт на сметката на клиентот.

Увозник на податоци 

Целосно правно име: OwnBackup Inc.
Главна адреса: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Контакт: Службеник за приватност
Контакт е-пошта: privacy@owndata.com

Природа и цел на обработка

Сопствената ќе ги обработува личните податоци како што е потребно за извршување на услугите на SaaS согласно Договорот и нарачките, и како што дополнително ќе биде наложено од Клиентот за користење на услугите на SaaS.

Времетраење на обработката

Сопствената ќе ги обработува личните податоци за времетраењето на Договорот, освен ако не е поинаку договорено во писмена форма.

Задржување

Own ќе ги чува личните податоци во Услугите на SaaS за времетраењето на Договорот, освен ако не е поинаку договорено во писмена форма, што е предмет на максималниот период на задржување наведен во Документацијата.

Фреквенција на пренос

Како што е утврдено од страна на Клиентот преку нивната употреба на услугите на SaaS.

Трансфери на под-процесори(и) 

Како што е потребно за извршување на Услугите на SaaS во согласност со Договорот и наредбите, и како што е понатаму опишано во Распоред 1.

Категории на субјекти на податоци

Клиентот може да достави лични податоци до Услугите на SaaS, чиј обем е определен и контролиран од Клиентот по негова дискреција, и кој може да вклучува, но не е ограничен на лични податоци кои се однесуваат на следните категории субјекти на податоци:

• Можни, клиенти, деловни партнери и продавачи на купувачи (кои се физички лица)
• Вработени или лица за контакт на потенцијалните клиенти, клиенти, деловни партнери и продавачи
• Вработени, агенти, советници, хонорарци на клиентите (кои се физички лица) Корисници на клиенти овластени од клиентот да ги користат услугите на SaaS

Вид на лични податоци

Клиентот може да достави лични податоци до Услугите на SaaS, чиј обем го одредува и контролира Клиентот по сопствено наоѓање, и кој може да ги вклучува, но не е ограничен на следните категории на лични податоци:

• Име и презиме
• Наслов
• Позиција
• Работодавач
• Информации за контакт (компанија, е-пошта, телефон, физичка деловна адреса)
• Податоци за лична карта
• Податоци за професионалниот живот
• Податоци за личниот живот
• Податоци за локализација

Посебни категории на податоци (доколку е соодветно)

Клиентот може да достави посебни категории на лични податоци до Услугите на SaaS, чиј обем го одредува и контролира Клиентот по сопствено наоѓање, и кои заради јасност може да вклучуваат обработка на генетски податоци, биометриски податоци со цел единствено идентификување на физичко лице или податоци во врска со здравјето. Погледнете ги мерките во Распоредот 4 за тоа како Own штити посебни категории на податоци и други лични податоци.

РАСПОРЕД 4 Сопствени безбедносни контроли 3.3

1. Вовед
   1. Сопствените апликации за софтвер како услуга (SaaS Services) беа дизајнирани од самиот почеток имајќи ја предвид безбедноста. Услугите на SaaS се дизајнирани со разновидни безбедносни контроли низ повеќе нивоа за справување со низа безбедносни ризици. Овие безбедносни контроли се предмет на промена; сепак, секоја промена ќе го задржи или подобри целокупното безбедносно држење.
   2. Описите на контролите подолу се однесуваат на имплементациите на SaaS Service и на Amazon Web Услуги (AWS) и Microsoft Azure (Azure) платформи (заедно наведени како наши даватели на услуги во облак или CSP), освен како што е наведено во делот за шифрирање подолу. Овие описи на контроли не се однесуваат на софтверот RevCult освен како што е дадено во „Безбеден развој на софтвер“ подолу.
2. Ревизии и сертификати
   1. Услугите на SaaS се сертифицирани според ISO/IEC 27001:2013 (Систем за управување со безбедноста на информациите) и ISO/IEC 27701:2019 (Систем за управување со информации за приватност).
   2. Сопствената е подложена на годишна ревизија SOC2 Тип II според SSAE-18 за независно да ја потврди ефективноста на практиките, политиките, процедурите и операциите за безбедност на информациите за следните критериуми за доверливи услуги: безбедност, достапност, доверливост и интегритет на обработка.
   3. Own користи глобални CSP региони за негово пресметување и складирање за SaaS услугите. AWS и Azure се објекти од највисоко ниво со неколку акредитации, вклучувајќи SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 и HIPAA.
3. Web Безбедносни контроли на апликацијата
   1. Пристапот на клиентите до услугите на SaaS е само преку HTTPS (TLS1.2+), воспоставувајќи ја шифрирањето на податоците во транзит помеѓу крајниот корисник и апликацијата и помеѓу сопствениот и изворот на податоци од трета страна (на пример, Salesforce).
   2. Администраторите на SaaS Service на клиентите можат да обезбедат и да ги отстранат корисниците на SaaS Service и поврзаниот пристап по потреба.
   3. Услугите на SaaS обезбедуваат контроли за пристап засновани на улоги за да им овозможат на клиентите да управуваат со дозволите за повеќе органи.
   4. Администраторите на SaaS Service на клиентите можат да пристапат до ревизорските патеки, вклучувајќи корисничко име, дејство, времеamp, и полињата за изворна IP адреса. Ревизорските дневници може да бидат viewизведено и извезено од администраторот на услугата SaaS на клиентот, најавен во Услугите на SaaS, како и преку API-то за услуги на SaaS.
   5. Пристапот до услугите на SaaS може да биде ограничен со изворната IP адреса.
   6. Услугите на SaaS им овозможуваат на клиентите да овозможат повеќефакторска автентикација за пристап до сметките на услугата SaaS користејќи еднократни лозинки базирани на време.
   7. Услугите SaaS им овозможуваат на клиентите да овозможат еднократно најавување преку давателите на идентитети SAML 2.0.
   8. Услугите на SaaS им овозможуваат на клиентите да овозможат приспособливи политики за лозинки за да помогнат во усогласувањето на лозинките за SaaS Service со корпоративните политики.
4. Енкрипција
   1. Own ги нуди следните опции за SaaS Service за шифрирање на податоците во мирување:
      1. Стандардна понуда.
         • Податоците се шифрираат со помош на шифрирање од страна на серверот AES-256 преку систем за управување со клучеви потврден според FIPS 140-2.
         • Шифрирањето на плико се користи така што главниот клуч никогаш не го напушта Хардверскиот безбедносен модул (HSM).
         • Копчињата за шифрирање се ротираат не помалку од секои две години.
      2. Опција за напредно управување со клучеви (AKM).
         • Податоците се шифрираат во посветен контејнер за складирање на предмети со главен клуч за шифрирање (CMK) обезбеден од клиентот.
         • AKM овозможува идно архивирање на клучот и негово ротирање со друг главен клуч за шифрирање.
         • Клиентот може да ги отповика главните клучеви за шифрирање, што резултира со непосредна недостапност на податоците.
      3. Донесете го вашиот сопствен систем за управување со клучеви (KMS) опција (достапна само на AWS).
         • Клучевите за шифрирање се креирани во сопствената, одделно купена сметка на клиентот користејќи AWS KMS.
         • Клиентот ја дефинира политиката на клучот за шифрирање што дозволува корисничката сметка SaaS Service на AWS да пристапи до клучот од сопствениот AWS KMS на клиентот.
         • Податоците се шифрираат во посветен контејнер за складирање на предмети управуван од Own и се конфигурирани да го користат клучот за шифрирање на клиентот.
         • Клиентот може веднаш да го отповика пристапот до шифрираните податоци со отповикување на пристапот на Own до клучот за шифрирање, без интеракција со Own.
         • Сопствените вработени немаат пристап до клучевите за шифрирање во секое време и не пристапуваат директно до KMS.
         • Сите активности за користење на клучот се најавени во KMS на клиентот, вклучително и преземање клучеви од посветеното складирање на објекти.
      4. Шифрирањето во транзит помеѓу услугите на SaaS и изворот на податоци од трета страна (на пример, Salesforce) користи HTTPS со TLS 1.2+ и OAuth 2.0.
5. Мрежа
   1. Услугите SaaS користат контроли на мрежата CSP за да го ограничат навлегувањето и излегувањето од мрежата.
   2. Се користат државни безбедносни групи за да се ограничи влезот и излезот во мрежата до овластени крајни точки.
   3. Услугите на SaaS користат повеќеслојна мрежна архитектура, вклучувајќи повеќекратни, логично одвоени виртуелни приватни облаци на Amazon (VPC) или Azure виртуелни мрежи (VNets), користејќи приватни, DMZ и недоверливи зони во рамките на CSP инфраструктурата.
   4. Во AWS, ограничувањата на крајната точка на VPC S3 се користат во секој регион за да се дозволи пристап само од овластените VPC.
6. Мониторинг и ревизија
   1. Системите и мрежите на услугата SaaS се надгледуваат за безбедносни инциденти, здравје на системот, абнормалности во мрежата и достапност.
   2. Услугите SaaS користат систем за откривање на упад (IDS) за следење на мрежната активност и предупредување за сомнително однесување.
   3. Се користат услугите на SaaS web заштитни ѕидови на апликации (WAF) за сите јавни web услуги.
   4. Сопствена апликација за дневници, мрежни, кориснички и настани од оперативниот систем на локален сервер за системски дневник и SIEM специфичен за регионот. Овие дневници автоматски се анализираат и повторноviewед за сомнителна активност и закани. Сите аномалии се ескалираат како што е соодветно.
   5. Own користи безбедносни информации и системи за управување со настани (SIEM) кои обезбедуваат континуирана безбедносна анализа на мрежите и безбедносната средина на услугите SaaS, предупредување за аномалии на корисникот, извидување напади на команда и контрола (C&C), автоматско откривање закани и известување за индикатори за компромис (IOC). ). Сите овие способности ги администрира безбедносниот и оперативниот персонал на Own.
   6. Сопствениот тим за одговор на инциденти го следи security@owndata.com алијас и одговара според Планот за одговор на инциденти (IRP) на компанијата кога е соодветно.
7. Изолација помеѓу сметките
   1. Услугите SaaS користат Linux sandboxing за да ги изолираат податоците на сметките на клиентите за време на обработката. Ова помага да се осигура дека секоја аномалија (на прample, поради безбедносно прашање или софтверска грешка) останува ограничена на една сопствена сметка.
   2. Пристапот до податоците на закупецот се контролира преку единствени корисници на IAM со податоци tagging што им дозволува на неовластени корисници пристап до податоците на закупецот.
8. Обнова од катастрофи
   1. Own користи складирање на објекти CSP за складирање на шифрирани податоци за клиентите низ повеќе зони на достапност.
   2. За податоците за клиентите складирани на складирање на објекти, Own користи верзии на објекти со автоматско стареење за да го поддржи усогласувањето со политиките за враќање при катастрофи и резервни копии на Own. За овие објекти, системите на Own се дизајнирани да поддржуваат цел на точка за обновување (RPO) од 0 часа (односно, можност за враќање на која било верзија на кој било објект како што постоела во претходниот период од 14 дена).
   3. Секое потребно обновување на компјутерска инстанца се постигнува со обнова на примерокот врз основа на автоматиката за управување со конфигурација на Own.
   4. Сопствениот план за враќање од катастрофи е дизајниран да поддржува 4-часовна цел за време на опоравување (RTO).
9. Управување со ранливост
   1. Сопствени врши периодични web проценки на ранливоста на апликацијата, статичка анализа на кодови и надворешни динамички проценки како дел од нејзината програма за континуирано следење за да се обезбеди правилно применување и ефективно функционирање на безбедносните контроли на апликациите.
   2. На полугодишна основа, Own ангажира независни тестери за пенетрација од трети страни за да ги извршуваат и мрежата и web проценки на ранливост. Опсегот на овие надворешни ревизии вклучува усогласеност со Отвореното Web Проект за безбедност на апликации (OWASP) Топ 10 Web Ранливост (www.owasp.org).
   3. Резултатите од проценката на ранливоста се инкорпорирани во животниот циклус на развој на сопствен софтвер (SDLC) за да се отстранат идентификуваните пропусти. Специфичните пропусти се приоритетни и внесени во Сопствениот внатрешен систем за билети за следење преку решавање.
10. Одговор на инцидент
    1. Во случај на потенцијално безбедносно нарушување, Сопствениот тим за одговор на инцидентот ќе изврши проценка на ситуацијата и ќе развие соодветни стратегии за ублажување. Доколку се потврди потенцијално прекршување, Own веднаш ќе дејствува за да го ублажи прекршувањето и да ги зачува форензичките докази и ќе ги извести примарните точки на контакт на погодените клиенти без непотребно одложување за да ги информира за ситуацијата и да обезбеди ажурирања за статусот на резолуцијата.
11. Безбеден развој на софтвер
    1. Own користи сигурни практики за развој за софтверски апликации Own и RevCult во текот на животниот циклус на развој на софтвер. Овие практики вклучуваат статичка анализа на кодови, безбедност на Salesforceview за апликации RevCult и за сопствени апликации инсталирани во примероците на Salesforce на клиентите, peer review на промени на кодот, ограничување на пристапот до складиштето на изворниот код врз основа на принципот на најмала привилегија и евидентирање на пристапот и промените во складиштето на изворниот код.
12. Посветен безбедносен тим
    1. Own има посветен тим за безбедност со повеќе од 100 години комбинирано повеќеслојно искуство во безбедноста на информациите. Дополнително, членовите на тимот одржуваат голем број сертификати признати во индустријата, вклучувајќи, но не ограничувајќи се на CISM, CISSP и водечки ревизори ISO 27001.
13. Приватност и заштита на податоци
    1. Own обезбедува домашна поддршка за барањата за пристап на субјектите на податоците, како што е правото на бришење (право да се заборави) и анонимизација, за поддршка на усогласеноста со прописите за приватност на податоците, вклучувајќи ја Општата регулатива за заштита на податоците (GDPR), Законот за преносливост и одговорност за здравствено осигурување (HIPAA) и Законот за приватност на потрошувачите во Калифорнија (CCPA). Own, исто така, обезбедува Додаток за обработка на податоци за решавање на законите за приватност и заштита на податоците, вклучувајќи ги и правните барања за меѓународни преноси на податоци.
14. Проверки на заднина
    1. Own врши панел на проверки на позадината, вклучително и проверки на криминално потекло, на својот персонал кој може да има пристап до податоците на клиентите, врз основа на јурисдикциите на работникот на живеење во текот на претходните седум години, што е предмет на важечкиот закон.
15. Осигурување
    Own го одржува, минимум, следното осигурително покритие: (а) осигурување за компензација на работниците во согласност со сите важечки закони; (б) осигурување од автомобилска одговорност за возила што не се во сопственост и изнајмени возила, со комбиниран единствен лимит од 1,000,000 американски долари; (в) осигурување од комерцијална општа одговорност (јавна одговорност) со единечно покритие од 1,000,000 УСД по појава и 2,000,000 американски долари општо збирно покривање; (г) осигурување за грешки и пропусти (професионално обештетување) со ограничување од 20,000,000 американски долари по настан и збир од 20,000,000 долари, вклучувајќи ги примарните и вишокот слоеви, и вклучувајќи сајбер одговорност, технологија и професионални услуги, технолошки производи, податоци и мрежна безбедност, одговор на прекршување, регулаторни одбрана и казни, сајбер изнуда и обврски за враќање на податоци; и (д) осигурување за нечесност/криминал на вработените со покриеност од 5,000,000 американски долари. Own ќе му достави на Клиентот доказ за такво осигурување на барање.

РАСПОРЕД 5 Европски одредби

Овој распоред ќе се применува само за трансфери на лични податоци (вклучувајќи ги и натамошните преноси) од Европа кои, во отсуство на примена на овие одредби, би предизвикале или клиентот или сопственикот да ги прекршат важечките закони и регулативи за заштита на податоци.

1. Механизам за пренос за пренос на податоци.
   a) Стандардните договорни клаузули се применуваат за какви било преноси на лични податоци според оваа дополнителна ДПА од Европа во земји кои не обезбедуваат соодветно ниво на заштита на податоците во смисла на Законите и регулативите за заштита на податоците на таквите територии, до степен до кој таквите трансфери се предмет на таквите закони и регулативи за заштита на податоци. Own влегува во Стандардните договорни клаузули како увозник на податоци. Дополнителните услови во овој Распоред важат и за таквите преноси на податоци.
2. Трансфери кои подлежат на стандардните договорни клаузули.
   a) Клиенти опфатени со Стандардните договорни клаузули. Стандардните договорни клаузули и дополнителните услови наведени во овој Распоред се однесуваат на (i) Клиентот, до степен до кој Клиентот е предмет на Законите и регулативите за заштита на податоците на Европа и (ii) неговите овластени подружници. За целите на Стандардните договорни клаузули и овој Распоред, таквите субјекти се „извозници на податоци“.
   b) Модули. Страните се согласуваат дека таму каде што може да се применат изборни модули во рамките на Стандардните договорни клаузули, да се применуваат само оние означени како „МОДУЛ ВТОРИ: Контролор за пренос на процесор“.
   c) Инструкции. Страните се согласуваат дека користењето на услугите за обработка на лични податоци од страна на клиентите во согласност со Договорот и постоечката ДПА се сметаат за упатства од страна на Клиентот за обработка на личните податоци за целите на клаузулата 8.1 од Стандардните договорни клаузули.
   d) Назначување на нови под-процесори и листа на тековни под-процесори. Согласно ОПЦИЈА 2 од клаузула 9(а) од Стандардните договорни клаузули, Клиентот се согласува дека сопствениот може да ангажира нови подпроцесори како што е опишано во постоечката ДПА и дека Сопствените партнери може да се задржат како под-процесори, а сопствените и сопствените подружници може да ангажираат трети лица Под-процесори во врска со обезбедувањето на Услугите за обработка на податоци. Тековната листа на под-процесори како што е приложена како Распоред 1.
   e) Договори за под-процесор. Страните се согласуваат дека преносот на податоци до под-процесорите може да се потпира на механизам за пренос различен од Стандардните договорни клаузули (на пр.ampле, обврзувачки корпоративни правила), и дека сопствените договори со таквите под-преработувачи не смеат да ги инкорпорираат или да ги пресликуваат Стандардните договорни клаузули, без разлика што е спротивно во клаузулата 9(б) од Стандардните договорни клаузули. Меѓутоа, секој таков договор со под-процесорот ќе содржи обврски за заштита на податоците не помалку заштитнички од оние во оваа Дополнителна ДПА во однос на заштитата на податоците на клиентите, до степен што е применлив за услугите што ги обезбедува тој подобработувач. Копиите од договорите за подпроцесорот што мора да ги достави Сопствената на клиентот во согласност со клаузулата 9(в) од Стандардните договорни клаузули ќе бидат обезбедени од сопствениците само по писмено барање на Клиентот и може да ги имаат сите комерцијални информации или клаузули кои не се поврзани со Стандардните договорни клаузули или нивниот еквивалент, претходно отстранети од сопствениците.
   f) Ревизии и сертификати. Страните се согласуваат дека ревизиите опишани во клаузула 8.9 и клаузула 13(б) од Стандардните договорни клаузули ќе се вршат во согласност со условите на постојната ДПА.
   g) Бришење на податоци. Страните се согласуваат дека бришењето или враќањето на податоците предвидени со клаузула 8.5 или клаузула 16(г) од Стандардните договорни клаузули ќе се изврши во согласност со условите на постојната ДПА и секоја потврда за бришење ќе биде обезбедена од сопствената само по барање на клиентот барање.
   h) Корисници од трета страна. Страните се согласуваат дека врз основа на природата на Услугите на SaaS, Клиентот ќе ја обезбеди сета помош потребна за да му дозволи на Own да ги исполни своите обврски кон субјектите на податоци според Клаузула 3 од Стандардните договорни клаузули.
   i) Проценка на влијанието. Во согласност со клаузула 14 од Стандардните договорни клаузули, страните извршија анализа, во контекст на специфичните околности на преносот, законите и практиките на земјата одредиште, како и специфичните дополнителни договорни, организациски и технички заштитните мерки што се применуваат и, врз основа на информациите кои им биле разумно познати во тоа време, утврдиле дека законите и практиките на земјата одредиште не ги спречуваат страните да ги исполнат обврските на секоја страна според Стандардните договорни клаузули.
   j) Владејачко право и форум. Страните се согласуваат, во однос на ОПЦИЈА 2 од клаузула 17, дека во случај земјата-членка на ЕУ во која е основан извозникот на податоци не дозволува права на корисници на трета страна, Стандардните договорни клаузули ќе бидат регулирани со законот за Ирска. Во согласност со клаузула 18, споровите поврзани со Стандардните договорни клаузули ќе ги решаваат судовите наведени во Договорот, освен ако тој суд не е лоциран во земја-членка на ЕУ, во кој случај форум за такви спорови ќе бидат судовите на Ирска .
   k) Анекси. За целите на извршувањето на Стандардните договорни клаузули, Распоред 3: Детали за обработката ќе бидат вградени како АНЕКС IA и IB, Распоред 4: Сопствени безбедносни контроли (кои може да се ажурираат од време на време на https://www.owndata.com/trust/) ќе бидат вградени како АНЕКС II, и Распоред 1: Тековен список на потпроцесори (како што може да се ажурира одвреме-навреме на  https://www.owndata.com/legal/sub-p/) се вградува како АНЕКС III.
   l) Толкување. Условите на овој Распоред имаат за цел да ги појаснат, а не да ги менуваат Стандардните договорни клаузули. Во случај на каков било конфликт или недоследност помеѓу телото на овој Распоред и Стандардните договорни клаузули, ќе преовладуваат Стандардните договорни клаузули.
3. Одредби што се применуваат за трансфери од Швајцарија Страните се согласуваат дека за целите на применливоста на Стандардните договорни клаузули за да се олесни преносот на лични податоци од Швајцарија, ќе се применуваат следните дополнителни одредби: (i) Секое упатување на Регулативата (ЕУ) 2016/679 ќе се толкува како упатување на соодветните одредби од швајцарскиот федерален акт за заштита на податоците и другите закони за заштита на податоците на Швајцарија („Швајцарски закони за заштита на податоците“), (ii) Секое упатување на „земја-членка“ или „земја-членка на ЕУ“ или „ЕУ“ ќе се толкува како упатување на Швајцарија , и (iii) Секое упатување до Надзорниот орган ќе се толкува како да се однесува на Швајцарскиот федерален комесар за заштита на податоци и информации.
4. a) Табела 1: Страните, нивните податоци и нивните контакти се оние наведени во Распоредот 3.
   b) Табела 2: „Одобрените стандардни договорни клаузули на ЕУ“ се стандардните договорни клаузули како што е наведено во овој Распоред 5.
   c) Табела 3: Анексите I(A), I(B) и II се пополнети како што е наведено во делот 2(к) од овој Распоред 5.
   d) Табела 4: Сопствениците може да го користат изборното право за предвремено раскинување опишано во Дел 19 од Додатокот на ОК.

Документи / ресурси

Дополнителен додаток за обработка на податоци на DocuSign [pdf] Инструкции Дополнителен додаток за обработка на податоци, додаток за обработка на податоци, додаток за обработка, додаток

Референци

• Упатство за употреба