Содржини скриј
1 Дополнителен додаток за обработка на податоци за сопствена резервна копија
2 Информации за производот
3 Упатство за употреба на производот
4 ИНСТРУКЦИИ ЗА ДОДАТОК ЗА ОБРАБОТКА НА ПОДАТОЦИ
5 Тековен список на потпроцесори
6 Услуги SaaS применливи за обработка на лични податоци
7 Детали за обработката
8 Безбедносни контроли на сопствена резервна копија 3.3
9 Вовед
10 Европски одредби
11 Документи / ресурси
11.1 Референци

Сопствена резервна копија-ЛОГО

Дополнителен додаток за обработка на податоци за сопствена резервна копија

Ownbackup-Supplemental-Data-Processing-Addendum-PRODUCT

Информации за производот

Производот е Дополнителен додаток за обработка на податоци (DPA) обезбеден од OwnBackup. Се користи заедно со услугите SaaS обезбедени од OwnBackup за обработка на лични податоци во име на клиентот.

Клучни дефиниции

  • Контролор: Субјектот кој ги одредува целите и средствата за обработка на Личните податоци.
  • Клиент: Субјектот наведен погоре и неговите филијали.
  • Предмет на податоци: Идентификуваното или препознатливо лице на кое се однесуваат личните податоци.
  • Европа: Се однесува на Европската унија, Европската економска област, Швајцарија и Обединетото Кралство.
  • GDPR: Општата регулатива за заштита на податоците, која е регулатива за заштита на податоците и приватноста за сите поединци во Европската Унија и Европската економска област.

Упатство за употреба на производот

  1. Овој Дополнителен ДПА се состои од два дела: главното тело на Дополнителната ДПА и Распоредот 1, 2, 3, 4 и 5.
  2. Дополнителната ДПА е веќе претходно потпишана во име на OwnBackup.
  3. За да ја завршите дополнителната ДПА, следете ги овие чекори:
    • Пополнете го делот Име на клиент и адреса на клиент на страница 2.
    • Пополнете ги информациите во полето за потпис и потпишете се на страница 3.
    • Потврдете дека информациите од Распоредот 3 (Детали за обработка) точно ги одразуваат субјектите и категориите на податоци што треба да се обработат.
    • Испратете го пополнетиот и потпишан Дополнителен DPA на OwnBackup на privacy@ownbackup.com.
  4. По приемот на OwnBackup на валидно пополнетата дополнителна DPA на дадената адреса на е-пошта, Дополнителната DPA ќе стане правно обврзувачка.
  5. Потписот на Дополнителниот ДПА на страница 3 претставува прифаќање на Стандардните договорни клаузули и Додатокот на ОК, обете инкорпорирани со референца.
  6. Во случај на каков било конфликт или недоследност помеѓу овој Дополнителен DPA и кој било друг договор помеѓу Клиентот и OwnBackup, ќе преовладуваат условите на овој Дополнителен DPA.

ИНСТРУКЦИИ ЗА ДОДАТОК ЗА ОБРАБОТКА НА ПОДАТОЦИ

КАКО ДА СЕ ИЗВРШИ ОВАА ДПА:

  1. Овој Дополнителен ДПА се состои од два дела: главното тело на Дополнителната ДПА и Распоредот 1, 2, 3, 4 и 5.
  2. Оваа дополнителна ДПА е претходно потпишана во име на OwnBackup.
  3. За да се заврши оваа дополнителна ДПА, клиентот мора:
    • a.Пополнете го делот Име на клиент и адреса на клиент на страница 2.
    • б. Пополнете ги информациите во полето за потпис и потпишете се на страница 3.
    • в. Потврдете дека информациите од Распоредот 3 (МД детали за обработката“) точно ги одразуваат предметите и категориите на податоци што треба да се обработат
    • г. Испратете го пополнетиот и потпишан Дополнителен DPA на OwnBackup на privacy@ownbackup.com.

По приемот на OwnBackup на валидно пополнетиот Дополнителен DPA на оваа адреса на е-пошта, овој Дополнителен DPA ќе стане правно обврзувачки. Потписот на овој Дополнителен ДПА на страница 3 ќе се смета дека претставува потпис и прифаќање на Стандардните договорни клаузули (вклучувајќи ги и нивните додатоци) и Додатокот на ОК, обата инкорпорирани овде преку референца.

КАКО ВАЖИ ОВА ДПА

  • Ако субјектот клиент кој го потпишува овој Дополнителен ДПА е страна на Договорот, овој Дополнителен ДПА е додаток и е дел од Договорот или постоечката ДПА. Во таков случај, субјектот OwnBackup што е страна на Договорот или постоечката ДПА е страна на оваа ДПА.
  • Ако субјектот клиент што ја потпишува оваа дополнителна ДПА извршил формулар за нарачка со OwnBackup или негов партнер во согласност со Договорот или постоечката ДПА, но самиот не е страна на Договорот или постоечката ДПА, овој Дополнителен ДПА е додаток на тој формулар за нарачка и применливи обрасци за нарачка за обновување и субјектот OwnBackup кој е страна на таквиот формулар за нарачка е страна на оваа Дополнителна ДПА.
  • Доколку субјектот клиент кој го потпишува овој Дополнителен DPA не е ниту страна во формуларот за нарачка, ниту во Договорот или во постоечката ДПА, овој Дополнителен DPA не е валиден и не е правно обврзувачки. Таквиот субјект треба да побара субјектот клиент кој е страна на Договорот или постоечката ДПА да го изврши овој Дополнителен ДПА.
  • Ако субјектот клиент кој го потпишува Дополнителниот DPA не е страна на формуларот за нарачка, ниту на главен договор за претплата или постоечка DPA директно со OwnBackup, туку наместо тоа е клиент индиректно преку овластен препродавач на услуги OwnBackup, овој Дополнителен DPA не е валиден и е не е правно обврзувачки. Таквиот субјект треба да контактира со овластениот препродавач за да разговара дали е потребна измена на договорот со тој препродавач.
  • Во случај на каков било конфликт или недоследност помеѓу овој Дополнителен ДПА и кој било друг договор помеѓу Клиентот и Сопствената резервна копија (вклучувајќи, без ограничување, Договорот или постоечката ДПА), ќе ги контролираат и ќе преовладуваат условите на овој Дополнителен ДПА.

ДОПОЛНИТЕЛНИ ОБРАБОТКА НА ПОДАТОЦИ ДОДАТОК

Име на клиент:
Адреса на клиент:
Постоечка ДПА Датум:

Овој дополнителен додаток за обработка на податоци, вклучувајќи ги неговите распореди и прилози, („Дополнителен DPA“) е дел од постојниот додаток за обработка на податоци идентификуван погоре („Постоечка DPA“) помеѓу OwnBackup Inc. („OwnBackup“) и клиентот. Комбинираниот овој Дополнителен ДПА и постоечката ДПА ќе формираат целосен договор за обработка на податоци („ДПА“) за документирање на договорот на страните во врска со Обработката на личните податоци. Доколку таквиот ентитет на клиент и Сопствената резервна копија не склучиле договор, тогаш оваа ДПА е неважечка и нема правно дејство. Субјектот на клиентите именуван погоре влегува во оваа дополнителна ДПА за себе и, доколку некој од неговите подружници дејствува како контролори на лични податоци, во име на тие овластени филијали. Сите изрази со букви што не се дефинирани овде ќе го имаат значењето наведено во Договорот. Во текот на обезбедувањето на услугите на SaaS на клиентот според Договорот, OwnBackup може да обработува лични податоци во име на клиентот. Страните се согласуваат со следните дополнителни услови во однос на таквата Обработка.

ДЕФИНИЦИИ

  • „CCPA“ значи Закон за приватност на потрошувачите во Калифорнија, Кал. Граѓански Шифра S 1798.100 et. понатаму, како што е изменето со Законот за правата на приватност во Калифорнија од 2020 година и заедно со сите регулативи за спроведување.
  • „Контролор“ значи субјект кој ги одредува целите и средствата за обработка на лични податоци и се смета дека се однесува и на „бизнис“ како што е дефинирано во CCPA.
  • „Клиент“ значи ентитетот наведен погоре и неговите филијали.
  • „Закони и регулативи за заштита на податоците“ се сите закони и прописи на Европската унија и нејзините земји-членки, Европската економска област и нејзините земји-членки, Обединетото Кралство, Швајцарија, САД, Канада, Нов Зеланд и Австралија, и нивните соодветните политички поделби, применливи за Обработка на лични податоци. Тие вклучуваат, но не се ограничени на, следново, до степен што е применлив: GDPR, Законот за заштита на податоците на Обединетото Кралство, CCPA, Законот за заштита на податоците на потрошувачите од Вирџинија („VCDPA“), Законот за приватност на Колорадо и сродните регулативи („CPA ”), Законот за приватност на потрошувачите во Јута („UCPA“) и Законот за Конектикат во врска со приватноста на личните податоци и онлајн мониторингот („CPDPA“)
  • „Предмет на податоци“ значи идентификувано или препознатливо лице на кое се однесуваат личните податоци и вклучува „потрошувач“ како што е дефинирано во Законите и регулативите за заштита на податоците.
  • „Европа“ значи Европската унија, Европската економска област, Швајцарија и Обединетото Кралство. Дополнителни одредби кои се применуваат за пренос на лични податоци од Европа се содржани во Распоред 5. Во случај да се отстрани Распоредот 5, клиентот гарантира дека нема да обработува лични податоци што подлежат на Законите и регулативите за заштита на податоците на Европа.
  • „GDPR“ значи Регулатива (ЕУ) 2016/679 на Европскиот парламент и на Советот од 27 април 2016 година за заштита на физичките лица во однос на обработката на личните податоци и за слободното движење на таквите податоци и за укинување на Директивата 95/46/EC (Општа регулатива за заштита на податоците).
  • „OwnBackup Group“ значи OwnBackup и неговите соработници ангажирани во Обработка на лични податоци.
  • „Лични податоци“ значи секоја информација која се однесува на (i) идентификувано или физичко лице кое може да се идентификува и, (ii) идентификувано или препознатливо правно лице (каде што тие информации се заштитени слично како лични податоци, лични информации или информации за лична идентификација според применливите податоци Закони и регулативи за заштита), каде што за секое (i) или (ii), таквите податоци се Податоци за клиентите.
  • „Услуги за обработка на лични податоци“ се услугите на SaaS наведени во Распоред 2, за кои OwnBackup може да обработува лични податоци.
  • „Обработка“ значи секоја операција или збир на операции што се извршуваат врз Личните податоци, без разлика дали се или не со автоматски средства, како што се собирање, снимање, организација, структурирање, складирање, прилагодување или менување, пронаоѓање, консултација, употреба, откривање со пренос, ширење или на друг начин ставање на располагање, усогласување на комбинацијата, ограничување, бришење или уништување.
  • „Процесор“ значи субјект кој обработува лични податоци во име на контролорот, вклучително како што е применливо секој „давател на услуги“ како што тој термин е дефиниран од CCPA.
  • „Стандардни договорни клаузули“ значи Анекс на одлуката за спроведување на Европската комисија (ЕУ) 2021/914 https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) Од 4 јуни 2021 година за стандардни договорни клаузули за пренос на лични податоци на обработувачи основани во трети земји во согласност со Регулативата (ЕУ) 2016/679 на Европскиот парламент и на Советот на Европската унија и предмет на потребните амандмани за Обединетите Кралството и Швајцарија понатаму се опишани во Распоред 5.
  • „Под-процесор“ значи секој процесор ангажиран од OwnBackup, од член на OwnBackup групата или од друг под-процесор.
  • „Надзорен орган“ значи владино или овластено регулаторно тело кое има обврзувачко правно овластување над Клиентот.
  • „Додаток на ОК“ значи додаток на Обединетото Кралство за меѓународен трансфер на податоци до стандардните договорни клаузули на Комисијата на ЕУ (достапен од 21 март 2022 година на https://ico.org.uk/for-organisations/guide-to-data-protection/ guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), завршен како што е опишано во Распоред 5.
  • „Закон за заштита на податоците на Обединетото Кралство“ значи Регулатива 2016/679 на Европскиот парламент и на Советот за заштита на физичките лица во однос на обработката на личните податоци и за слободното движење на таквите податоци бидејќи тоа е дел од законот на Англија и Велс, Шкотска и Северна Ирска врз основа на член 3 од Законот за Европската унија (повлекување) од 2018 година, како што може да се менува од време на време со Заштита на податоци Закони и регулативи на Обединетото Кралство.

РЕДОК НА ПРЕСЕДЕНСТВО

  • а. Со исклучок на Стандардните договорни клаузули инкорпорирани овде, кои ќе имаат приоритет, во случај на каква било недоследност помеѓу овој Дополнителен ДПА и постоечката ДПА, ќе преовладуваат условите на постоечката ДПА.

ОГРАНИЧУВАЊЕ НА ОДГОВОРНОСТА

  • а. До степен што е дозволен со Законите и регулативите за заштита на податоци, одговорноста на секоја страна и на сите нејзини соработници, збирно земена, која произлегува од или поврзана со овој Дополнителен ДПА, без разлика дали е во договор, деликт или според која било друга теорија на одговорност, подлежи на клаузули за „Ограничување на одговорноста“ и други клаузули што ја исклучуваат или ограничуваат одговорноста, од Договорот, и секое упатување во таквите клаузули за одговорноста на една страна значи збирна одговорност на таа партија и сите нејзини подружници.

ИЗМЕНИ НА МЕХАНИЗМИТЕ НА ТРАНСФЕР

  • а. Во случај кога тековниот механизам за пренос на кој се потпираат страните за олеснување на преносот на лични податоци во една или повеќе земји кои не обезбедуваат соодветно ниво на заштита на податоците во смисла на Законите и регулативите за заштита на податоците се поништи, изменети , или заменетите страни ќе работат со добра волја за да донесат таков алтернативен механизам за пренос за да се овозможи континуирана Обработка на лични податоци предвидена со Договорот. Употребата на таков алтернативен механизам за пренос е предмет на исполнување на сите законски барања за користење на таков механизам за пренос од страна на секоја страна.

Овластените потписници на страните уредно го извршиле овој Договор, вклучувајќи ги сите применливи Распореди, Анекси и Прилози инкорпорирани овде.

Ownbackup-Supplemental-Data-Processing-Addendum-FIG-1

Список на распореди

  • Распоред 1: Тековен список на потпроцесори
  • Распоред 2: Услуги на SaaS применливи за обработка на лични податоци
  • Распоред 3: Детали за обработката
  • Распоред 4: Безбедносни контроли на сопствена резервна копија
  • Распоред 5: Европски одредби

РАСПОРЕД 1

Тековен список на потпроцесори

Под-процесор Име Адреса на под-процесорот Природата на обработката Времетраење на обработката Локација на обработка
OwnBackup Limited 3 Aluf Kalman Magen StZ, Тел Авив 6107075, Израел Поддршка и одржување на клиентите За времетраењето на Договорот. Израел
Амазон Web Services, Inc.* 410 Тери Авенија Северна, Сиетл, Вашингтон 98109, САД Хостирање на апликации и складирање на податоци За времетраењето на Договорот. Соединетите Американски Држави, Канада, Германија, Обединетото Кралство или Австралија
Microsoft Corporation (Azure)* Еден Мајкрософт Веј, Редмонд, Вашингтон 98052, САД Хостирање на апликации и складирање на податоци За времетраењето на Договорот. Холандија или САД
Elasticsearch, Inc.**  

800 West El Camino Real, апартман 350, планина View, Калифорнија 94040, САД

 Индексирање и пребарување За времетраењето на Договорот. Холандија или САД
  • Клиентот може да избере или Амазон Web Услуги или Microsoft (Azure) и неговата посакувана локација на обработка за време на првичното поставување на услугите SaaS од страна на клиентот.
  • Се однесува само на клиентите на OwnBackup Archive кои избираат да се распоредат во облакот на Microsoft (Azure).

РАСПОРЕД 2

Услуги SaaS применливи за обработка на лични податоци

  • OwnBackup Enterprise за Salesforce
  • OwnBackup Unlimited за Salesforce
  • OwnBackup Governance Plus за Salesforce
  • Архива за сопствена резервна копија
  • Донесете свој менаџмент со клучеви
  • Сеење со песок

РАСПОРЕД 3

Детали за обработката

Извозник на податоци

  • Целосно правно име: Име на клиент како што е наведено погоре
  • Главна адреса: Адреса на клиент како што е наведено погоре
  • Контакт: Доколку не е поинаку предвидено, ова ќе биде примарен контакт на сметката на клиентот.
  • Е-пошта за контакт: Доколку не е поинаку предвидено, ова ќе биде примарна адреса за е-пошта за контакт на сметката на клиентот.

Увозник на податоци

  • Целосно правно име: OwnBackup Inc.
  • Главна адреса: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
  • Контакт: Службеник за приватност
  • Контакт е-пошта: privacy@ownbackup.com

Природа и цел на обработка

  • OwnBackup ќе ги обработува личните податоци колку што е потребно за извршување на услугите на SaaS согласно Договорот и нарачките, и како што понатаму ќе биде наложено од Клиентот за користење на услугите на SaaS.

Времетраење на обработката

  • OwnBackup ќе обработува лични податоци за времетраењето на Договорот, освен ако не е поинаку договорено во писмена форма.

Задржување

  • OwnBackup ќе ги задржи личните податоци во Услугите на SaaS за времетраењето на Договорот, освен ако не е поинаку договорено во писмена форма, што е предмет на максималниот период на задржување наведен во Документацијата.

Фреквенција на пренос

  • Како што е утврдено од страна на Клиентот преку нивната употреба на услугите на SaaS.

Трансфери на под-процесори(и)

  • Како што е потребно за извршување на Услугите на SaaS во согласност со Договорот и наредбите, и како што е понатаму опишано во Распоред 1.

Категории на субјекти на податоци
Клиентот може да достави лични податоци до Услугите на SaaS, чиј обем е определен и контролиран од Клиентот по негова дискреција, и кој може да вклучува, но не е ограничен на лични податоци кои се однесуваат на следните категории субјекти на податоци:

  • Можни, клиенти, деловни партнери и продавачи на купувачи (кои се физички лица)
  • Вработени или лица за контакт на потенцијалните клиенти, клиенти, деловни партнери и продавачи
  • Вработени, агенти, советници, хонорарци на клиентите (кои се физички лица) Корисници на клиенти овластени од клиентот да ги користат услугите на SaaS

Вид на лични податоци
Клиентот може да достави лични податоци до Услугите на SaaS, чиј обем го одредува и контролира Клиентот по сопствено наоѓање, и кој може да ги вклучува, но не е ограничен на следните категории на лични податоци:

  • Име и презиме
  • Наслов
  • Позиција
  • Работодавач
  • Информации за контакт (компанија, е-пошта, телефон, физичка деловна адреса)
  • Податоци за лична карта
  • Податоци за професионалниот живот
  • Податоци за личниот живот
  • Податоци за локализација

Посебни категории на податоци (доколку е соодветно)
Клиентот може да достави посебни категории на лични податоци до Услугите на SaaS, чиј обем го одредува и контролира Клиентот по сопствено наоѓање, и кои заради јасност може да вклучуваат обработка на генетски податоци, биометриски податоци со цел единствено идентификување на физичко лице или податоци во врска со здравјето. Погледнете ги мерките во Распоредот 4 за тоа како OwnBackup заштитува посебни категории на податоци и други лични податоци

РАСПОРЕД 4

Безбедносни контроли на сопствена резервна копија 3.3

Вовед

  • Софтверските апликации како услуга OwnBackup (SaaS Services) беа дизајнирани од самиот почеток имајќи ја предвид безбедноста. Услугите на SaaS се дизајнирани со разновидни безбедносни контроли низ повеќе нивоа за справување со низа безбедносни ризици. Овие безбедносни контроли се предмет на промена; сепак, секоја промена ќе го задржи или подобри целокупното безбедносно држење.
  • Описите на контролите подолу се однесуваат на имплементациите на SaaS Service и на Amazon Web Услуги (AWS) и Microsoft Azure (Azure) платформи (заедно наведени како наши даватели на услуги во облак или CSP), освен како што е наведено во делот за шифрирање подолу. Овие описи на контроли не се однесуваат на софтверот RevCult освен како што е дадено во „Безбеден развој на софтвер“ подолу.

Ревизии и сертификати

  • Услугите на SaaS се сертифицирани според ISO/IEC 27001:2013 (Систем за управување со безбедноста на информациите) и ISO/IEC 27701:2019 (Систем за управување со информации за приватност).
  • OwnBackup е подложен на годишна ревизија SOC2 Тип II според SSAE-18 за независно да ја потврди ефективноста на практиките, политиките, процедурите и операциите за безбедност на информациите за следните критериуми за доверливи услуги: безбедност, достапност, доверливост и интегритет на обработка.
  • OwnBackup користи глобални CSP региони за негово пресметување и складирање за SaaS услугите. AWS и Azure се објекти од највисоко ниво со неколку акредитации, вклучувајќи SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 и HIPAA.

Web Безбедносни контроли на апликацијата

  • Пристапот на клиентите до услугите на SaaS е само преку HTTPS (TLS1.2+), воспоставувајќи шифрирање на податоците во транзит помеѓу крајниот корисник и апликацијата и помеѓу OwnBackup и изворот на податоци од трета страна (на пример, Salesforce).
  • Администраторите на SaaS Service на клиентите можат да обезбедат и да ги отстранат корисниците на SaaS Service и поврзаниот пристап по потреба.
  • Услугите на SaaS обезбедуваат контроли за пристап засновани на улоги за да им овозможат на клиентите да управуваат со дозволите за повеќе органи.
  • Администраторите на SaaS Service на клиентите можат да пристапат до ревизорските патеки, вклучувајќи корисничко име, дејство, времеamp, и полињата за изворна IP адреса. Ревизорските дневници може да бидат viewизведено и извезено од администраторот на услугата SaaS на клиентот, најавен во Услугите на SaaS, како и преку API-то за услуги на SaaS.
  • Пристапот до услугите на SaaS може да биде ограничен со изворната IP адреса.
  • Услугите на SaaS им овозможуваат на клиентите да овозможат повеќефакторска автентикација за пристап до сметките на услугата SaaS користејќи еднократни лозинки базирани на време.
  • Услугите SaaS им овозможуваат на клиентите да овозможат еднократно најавување преку давателите на идентитети SAML 2.0.
  • Услугите на SaaS им овозможуваат на клиентите да овозможат приспособливи политики за лозинки за да помогнат во усогласувањето на лозинките за SaaS Service со корпоративните политики.

Енкрипција
OwnBackup ги нуди следните опции за SaaS Service за шифрирање на податоците во мирување:
Стандардна понуда.

  • Податоците се шифрираат со помош на шифрирање од страна на серверот AES-256 преку систем за управување со клучеви потврден според FIPS 140-2.
  • Шифрирањето на плико се користи така што главниот клуч никогаш не го напушта Хардверскиот безбедносен модул (HSM).
  • Копчињата за шифрирање се ротираат не помалку од секои две години.

Опција за напредно управување со клучеви (AKM).

  • Податоците се шифрираат во посветен контејнер за складирање на предмети со главен клуч за шифрирање (CMK) обезбеден од клиентот.
  • AKM овозможува идно архивирање на клучот и негово ротирање со друг главен клуч за шифрирање.
  • Клиентот може да ги отповика главните клучеви за шифрирање, што резултира со непосредна недостапност на податоците.

Донесете го вашиот сопствен систем за управување со клучеви (KMS) опција (достапна само на AWS).

  • Клучевите за шифрирање се креирани во сопствената, одделно купена сметка на клиентот користејќи AWS KMS.
  • Клиентот ја дефинира политиката на клучот за шифрирање што дозволува корисничката сметка SaaS Service на AWS да пристапи до клучот од сопствениот AWS KMS на клиентот.
  • Податоците се шифрираат во посветен контејнер за складирање на објекти управуван од OwnBackup и се конфигурирани да го користат клучот за шифрирање на клиентот.
  • Клиентот може веднаш да го отповика пристапот до шифрираните податоци со одземање на пристапот на OwnBackup до клучот за шифрирање, без интеракција со OwnBackup.
  • Вработените во OwnBackup немаат пристап до клучевите за шифрирање во секое време и не пристапуваат директно до KMS.
  • Сите активности за користење на клучот се најавени во KMS на клиентот, вклучително и преземање клучеви од посветеното складирање на објекти.

Шифрирањето во транзит помеѓу услугите на SaaS и изворот на податоци од трета страна (на пример, Salesforce) користи HTTPS со TLS 1.2+ и OAuth 2.0.

Мрежа

  • Услугите SaaS користат контроли на мрежата CSP за да го ограничат навлегувањето и излегувањето од мрежата.
  • Се користат државни безбедносни групи за да се ограничи влезот и излезот во мрежата до овластени крајни точки.
  • Услугите на SaaS користат повеќеслојна мрежна архитектура, вклучувајќи повеќекратни, логично одвоени виртуелни приватни облаци на Amazon (VPC) или Azure виртуелни мрежи (VNets), користејќи приватни, DMZ и недоверливи зони во рамките на CSP инфраструктурата.
  •  Во AWS, ограничувањата на крајната точка на VPC S3 се користат во секој регион за да се дозволи пристап само од овластените VPC.

Мониторинг и ревизија

  • Системите и мрежите на услугата SaaS се надгледуваат за безбедносни инциденти, здравје на системот, абнормалности во мрежата и достапност.
  • Услугите SaaS користат систем за откривање на упад (IDS) за следење на мрежната активност и предупредување за Сопствената резервна копија за сомнително однесување.
  • Се користат услугите на SaaS web заштитни ѕидови на апликации (WAF) за сите јавни web услуги.
  • OwnBackup ги евидентира настаните од апликацијата, мрежата, корисникот и оперативниот систем на локален системски сервер и SIEM специфичен за регионот. Овие дневници автоматски се анализираат и повторноviewед за сомнителна активност и закани. Сите аномалии се ескалираат како што е соодветно.
  • OwnBackup користи безбедносни информации и системи за управување со настани (SIEM) кои обезбедуваат континуирана безбедносна анализа на мрежите и безбедносната средина на услугите SaaS, предупредување за аномалија на корисникот, извидување напади на команда и контрола (C&C), автоматско откривање закани и известување за индикатори за компромис (IOC). ). Сите овие способности ги администрира безбедносниот и оперативниот персонал на OwnBackup.
  • Тимот за одговор на инциденти на OwnBackup го следи алијасот security@ownbackup.com и одговара според Планот за одговор на инциденти (IRP) на компанијата кога е соодветно.

Изолација помеѓу сметките

  • Услугите SaaS користат Linux sandboxing за да ги изолираат податоците на сметките на клиентите за време на обработката. Ова помага да се осигура дека секоја аномалија (на прample, поради безбедносен проблем или софтверска грешка) останува ограничена на една сметка на OwnBackup.
  • Пристапот до податоците на закупецот се контролира преку единствени корисници на IAM со податоци tagging што им дозволува на неовластени корисници пристап до податоците на закупецот.

Обнова од катастрофи

  • OwnBackup користи складирање на објекти CSP за складирање на шифрирани податоци за клиентите низ повеќе зони на достапност.
  • За податоците за клиентите складирани на складирање на објекти, OwnBackup користи верзии на објекти со автоматско стареење за да го поддржи усогласувањето со политиките за враќање при катастрофи и резервна копија на OwnBackup. За овие објекти, системите на OwnBackup се дизајнирани да поддржуваат цел на точка за обновување (RPO) од 0 часа (односно, можност за враќање на која било верзија на кој било објект како што постоела во претходниот период од 14 дена).
  • Секое потребно враќање на компјутерска инстанца се постигнува со обнова на примерокот врз основа на автоматизацијата за управување со конфигурации на OwnBackup.
  • Планот за враќање од катастрофи на OwnBackup е дизајниран да поддржува 4-часовна цел за време на обновување (RTO).

Управување со ранливост

  • OwnBackup врши периодично web проценки на ранливоста на апликацијата, статичка анализа на кодови и надворешни динамички проценки како дел од нејзината програма за континуирано следење за да се обезбеди правилно применување и ефективно функционирање на безбедносните контроли на апликациите.
  • На полугодишна основа, OwnBackup ангажира независни тестери за пенетрација од трети страни за да ги извршуваат и мрежата и web проценки на ранливост. Опсегот на овие надворешни ревизии вклучува усогласеност со Отвореното Web Проект за безбедност на апликации (OWASP) Топ 10 Web Ранливост (www.owasp.org).
  • Резултатите од проценката на ранливоста се инкорпорирани во животниот циклус на развој на софтвер OwnBackup (SDLC) за да се отстранат идентификуваните пропусти. Специфичните пропусти се приоритетни и внесени во внатрешниот систем за билети OwnBackup за следење преку резолуција.

Одговор на инцидент

  • Во случај на потенцијално нарушување на безбедноста, тимот за одговор на инцидентот на сопствената резервна копија ќе изврши проценка на ситуацијата и ќе развие соодветни стратегии за ублажување. Доколку се потврди потенцијално прекршување, OwnBackup веднаш ќе дејствува за да го ублажи прекршувањето и да ги зачува форензичките докази и ќе ги извести примарните точки на контакт на погодените клиенти без непотребно одложување за да ги информира за ситуацијата и да обезбеди ажурирања за статусот на резолуција.

Безбеден развој на софтвер

  • OwnBackup користи безбедни развојни практики за софтверските апликации OwnBackup и RevCult во текот на животниот циклус на развој на софтвер. Овие практики вклучуваат статичка анализа на кодови, безбедност на Salesforceview за апликации RevCult и за апликации OwnBackup инсталирани во примероците на Salesforce на клиентите, peer review на промени на кодот, ограничување на пристапот до складиштето на изворниот код врз основа на принципот на најмала привилегија и евидентирање на пристапот и промените во складиштето на изворниот код.

Посветен безбедносен тим

  • OwnBackup има посветен безбедносен тим со повеќе од 100 години комбинирано повеќеслојно искуство во безбедноста на информациите. Дополнително, членовите на тимот одржуваат голем број сертификати признати во индустријата, вклучувајќи, но не ограничувајќи се на CISM, CISSP и водечки ревизори ISO 27001.

Приватност и заштита на податоци

  • OwnBackup обезбедува домашна поддршка за барањата за пристап на субјектите на податоците, како што е правото на бришење (право да се заборави) и анонимизација, за поддршка на усогласеноста со прописите за приватност на податоците, вклучувајќи ја Општата регулатива за заштита на податоците (GDPR), Законот за преносливост и одговорност за здравствено осигурување (HIPAA) и Законот за приватност на потрошувачите во Калифорнија (CCPA). OwnBackup, исто така, обезбедува Додаток за обработка на податоци за решавање на законите за приватност и заштита на податоците, вклучувајќи ги и правните барања за меѓународни трансфери на податоци.

Проверки на заднина

  •  OwnBackup врши панел од проверки на заднината, вклучително и проверки на криминално потекло, на својот персонал кој може да има пристап до податоците на клиентите, врз основа на јурисдикциите на престој на вработениот во текот на претходните седум години, што е предмет на важечкиот закон.

Осигурување
OwnBackup го одржува, минимум, следното осигурително покритие: (а) осигурување за компензација на работниците во согласност со сите важечки закони; (б) осигурување од автомобилска одговорност за возила што не се во сопственост и изнајмени возила, со комбиниран единствен лимит од 1,000,000 американски долари; (в) осигурување од комерцијална општа одговорност (јавна одговорност) со единечно покритие од 1,000,000 УСД по појава и 2,000,000 американски долари општо збирно покривање; (г) осигурување за грешки и пропусти (професионално обештетување) со ограничување од 20,000,000 американски долари по настан и збир од 20,000,000 долари, вклучувајќи ги примарните и вишокот слоеви, и вклучувајќи сајбер одговорност, технологија и професионални услуги, технолошки производи, податоци и мрежна безбедност, одговор на прекршување, регулаторни одбрана и казни, сајбер изнуда и обврски за враќање на податоци; и (д) осигурување за нечесност/криминал на вработените со покриеност од 5,000,000 американски долари. OwnBackup ќе му достави на Клиентот доказ за такво осигурување на барање.

РАСПОРЕД 5

Европски одредби

Овој распоред ќе се применува само за трансфери на лични податоци (вклучувајќи ги и натамошните преноси) од Европа кои, во отсуство на примена на овие одредби, би предизвикале или клиентот или OwnBackup да ги прекршат важечките закони и регулативи за заштита на податоци.

Механизам за пренос за пренос на податоци.

  • а) Стандардните договорни клаузули се применуваат за какви било трансфери на лични податоци според овој Дополнителен ДПА од Европа во земји кои не обезбедуваат соодветно ниво на заштита на податоците во смисла на законите и регулативите за заштита на податоците на тие територии, до степен до кој таквите трансфери се предмет на такви закони и регулативи за заштита на податоци. OwnBackup влегува во Стандардните договорни клаузули како увозник на податоци. Дополнителните услови во овој Распоред важат и за таквите преноси на податоци.

Трансфери кои подлежат на стандардните договорни клаузули.

  • а) Клиенти опфатени со Стандардните договорни клаузули. Стандардните договорни клаузули и дополнителните услови наведени во овој Распоред се однесуваат на (i) Клиентот, до степен до кој Клиентот е предмет на Законите и регулативите за заштита на податоците на Европа и (ii) неговите овластени подружници. За целите на Стандардните договорни клаузули и овој Распоред, таквите субјекти се „извозници на податоци“.
  • б) Модули. Страните се согласуваат дека таму каде што може да се применат изборни модули во рамките на Стандардните договорни клаузули, да се применуваат само оние означени како „МОДУЛ ВТОРИ: Контролор за пренос на процесор“.
  • в) Инструкции. Страните се согласуваат дека користењето на услугите за обработка на лични податоци од страна на клиентите во согласност со Договорот и постоечката ДПА се сметаат за упатства од страна на Клиентот за обработка на личните податоци за целите на клаузулата 8.1 од Стандардните договорни клаузули.
  • г) Назначување на нови под-преработувачи и листа на тековни под-преработувачи. Согласно ОПЦИЈА 2 од клаузула 9(а) од Стандардните договорни клаузули, Клиентот се согласува дека OwnBackup може да ангажира нови подпроцесори како што е опишано во постоечката DPA и дека подружниците на OwnBackup може да се задржат како потпроцесори, а OwnBackup и OwnBackup може да ангажираат трети Affili -партиски Под-преработувачи во врска со обезбедувањето на Услуги за обработка на податоци. Тековната листа на под-процесори како што е приложена како Распоред 1.
  • Договори за под-процесор. Страните се согласуваат дека преносот на податоци до под-процесорите може да се потпира на механизам за пренос различен од Стандардните договорни клаузули (на пр.ampле, обврзувачки корпоративни правила), и дека договорите на OwnBackup со таквите под-процесори не смеат да ги инкорпорираат или отсликуваат Стандардните договорни клаузули, без оглед на спротивното во клаузулата 9(б) од Стандардните договорни клаузули. Меѓутоа, секој таков договор со под-процесорот ќе содржи обврски за заштита на податоците не помалку заштитнички од оние во оваа Дополнителна ДПА во однос на заштитата на податоците на клиентите, до степен што е применлив за услугите што ги обезбедува тој подобработувач. Копиите од договорите за подпроцесорот што мора да ги обезбеди OwnBackup на клиентот во согласност со клаузулата 9(в) од Стандардните договорни клаузули ќе ги обезбеди OwnBackup само по писмено барање на Клиентот и може да ги имаат сите комерцијални информации или клаузули кои не се поврзани со Стандардните договорни клаузули или нивниот еквивалент, претходно отстранети од OwnBackup.
  • ѓ) Ревизии и сертификати. Страните се согласуваат дека ревизиите опишани во клаузула 8.9 и клаузула 13(б) од Стандардните договорни клаузули ќе се вршат во согласност со условите на постојната ДПА.
  • е) Бришење на податоци. Страните се согласуваат дека бришењето или враќањето на податоците предвидени со клаузула 8.5 или клаузула 16(г) од Стандардните договорни клаузули ќе се врши во согласност со условите на постоечката ДПА и секоја потврда за бришење ќе биде обезбедена од OwnBackup само по барање на клиентот барање.
  • ж) Трети лица корисници. Страните се согласуваат дека врз основа на природата на Услугите на SaaS, Клиентот ќе ја обезбеди сета помош потребна за да му овозможи на OwnBackup да ги исполни своите обврски кон субјектите на податоците според Клаузула 3 од Стандардните договорни клаузули.
  • Проценка на влијанието. Во согласност со клаузула 14 од Стандардните договорни клаузули, страните извршија анализа, во контекст на специфичните околности на преносот, законите и практиките на земјата одредиште, како и специфичните дополнителни договорни, организациски и технички заштитните мерки што се применуваат и, врз основа на информациите кои им биле разумно познати во тоа време, утврдиле дека законите и практиките на земјата одредиште не ги спречуваат страните да ги исполнат обврските на секоја страна според Стандардните договорни клаузули.
  • ѕ) Управувачки закон и форум. Страните се согласуваат, во однос на ОПЦИЈА 2 од клаузула 17, дека во случај земјата-членка на ЕУ во која е основан извозникот на податоци не дозволува права на корисници на трета страна, Стандардните договорни клаузули ќе бидат регулирани со законот за Ирска. Во согласност со клаузула 18, споровите поврзани со Стандардните договорни клаузули ќе ги решаваат судовите наведени во Договорот, освен ако тој суд не е лоциран во земја-членка на ЕУ, во кој случај форум за такви спорови ќе бидат судовите на Ирска .
  • и) Анекси. За потребите на извршувањето на Стандардните договорни клаузули, Распоред 3: Детали за обработката ќе бидат вградени како АНЕКС IA и IB, Распоред 4: Безбедносни контроли за сопствена резервна копија (која може да се ажурира од време на време на https://www.ownbackup.com/trust/) ќе бидат вградени како АНЕКС II, и Распоред 1: Тековен список на потпроцесори (како што може да се ажурира одвреме-навреме на https://www.ownbackup.com/legal/sub-p/) се вградува како АНЕКС III.
  • ј) Толкување. Условите на овој Распоред имаат за цел да ги појаснат, а не да ги менуваат Стандардните договорни клаузули. Во случај на каков било конфликт или недоследност помеѓу телото на овој Распоред и Стандардните договорни клаузули, ќе преовладуваат Стандардните договорни клаузули.

Одредби што се применуваат за трансфери од Швајцарија
Страните се согласуваат дека за целите на применливоста на Стандардните договорни клаузули за олеснување на преносот на лични податоци од Швајцарија, ќе се применуваат следните дополнителни одредби: (i) Секое упатување на Регулативата (ЕУ) 2016/679 ќе се толкува како упатување на соодветните одредби од швајцарскиот федерален закон за заштита на податоците и други закони за заштита на податоците на Швајцарија („Швајцарски закони за заштита на податоци“), (ii) Секое упатување на „земја-членка“ или „земја-членка на ЕУ“ или „ЕУ“ ќе се толкува како упатување на Швајцарија, и (iii) Сите референци до надзорниот орган ќе се толкуваат така што се однесуваат на швајцарскиот федерален комесар за заштита на податоци и информации .

Одредбите што се применуваат трансфери од Обединетото Кралство.
Страните се согласуваат дека Додатокот на ОК се применува на трансфери на лични податоци регулирани со Законот за заштита на податоците на ОК и ќе се смета дека е завршен на следниов начин (со изрази со големи букви кои не се дефинирани на друго место со дефиницијата наведена во Додатокот на ОК):

  • а) Табела 1: Страните, нивните податоци и нивните контакти се оние наведени во Распоредот 3.
  • б) Табела 2: „Одобрените стандардни договорни клаузули на ЕУ“ се Стандардните договорни клаузули како што е наведено во овој Прилог 5.
  • в) Табела 3: Анексите I(A), I(B) и II се пополнети како што е наведено во делот 2(к) од овој Распоред 5.
  • г) Табела 4: OwnBackup може да го искористи изборното право за предвремено раскинување опишано во Дел 19 од Додатокот на ОК.

Документи / ресурси

Дополнителен додаток за обработка на податоци за сопствена резервна копија [pdf] Инструкции
Дополнителен додаток за обработка на податоци, додаток за обработка на податоци, додаток

Референци

Оставете коментар

Вашата адреса за е-пошта нема да биде објавена. Задолжителните полиња се означени *