د DocuSign ضمیمه ډیټا پروسس کولو ضمیمه

دا DPA څنګه اجرا کړو

1. دا ضمیمه DPA دوه برخې لري: د ضمیمه DPA اصلي برخه، او مهال ویش 1، 2، 3، 4 او 5.
2. دا ضمیمه DPA د خپل ځان په استازیتوب دمخه لاسلیک شوی.
3. د دې اضافي DPA بشپړولو لپاره، پیرودونکي باید:
   a. د پیرودونکي نوم او د پیرودونکي پته برخه بشپړه کړئ.
   b. د لاسلیک بکس او لاسلیک کې معلومات بشپړ کړئ.
   c. ډاډ ترلاسه کړئ چې د 3 مهال ویش معلومات ("د پروسس کولو توضیحات") په سمه توګه د پروسس کولو لپاره د معلوماتو موضوع او کټګورۍ منعکس کوي.
   d. بشپړ شوی او لاسلیک شوی ضمیمه DPA خپل ملکیت ته واستوئ privacy@owndata.com.

په دې بریښنالیک پته کې د اعتبار وړ بشپړ شوي ضمیمه DPA د خپل ترلاسه کولو سره ، دا ضمیمه DPA به په قانوني ډول پابند شي.

د دې ضمیمه DPA لاسلیک په 3 پاڼه کې باید د معیاري قراردادي بندونو (د دوی ضمیمو په شمول) او د انګلستان ضمیمه لاسلیک او منل وي چې دواړه دلته د حوالې په واسطه شامل شوي.

دا DPA څنګه پلي کیږي

که چیرې د پیرودونکي اداره چې دا ضمیمه DPA لاسلیک کوي د موافقتنامې اړخ وي، دا ضمیمه DPA د تړون یا موجوده DPA برخه جوړوي او تشکیلوي. په داسې حالت کې، خپله اداره چې د تړون یا موجوده DPA ګوند دی د دې DPA ګوند دی.

که چیرې د پیرودونکي شرکت چې دا ضمیمه DPA لاسلیک کوي د خپل یا د هغې د وابسته سره د تړون یا موجوده DPA سره سم د امر فورمه اجرا کړې وي ، مګر پخپله د تړون یا موجوده DPA اړخ نه وي ، دا ضمیمه DPA د دې امر فورمه ضمیمه ده او د تطبیق وړ تجدید حکم فورمې، او خپله اداره چې د دې ډول فرمایش فورمه کې اړخ لري د دې ضمیمه DPA برخه ده.

که چیرې د پیرودونکي اداره چې دا ضمیمه DPA لاسلیک کوي نه د فرمایش فورمه یا تړون یا موجوده DPA کې اړخ وي، دا ضمیمه DPA اعتبار نلري او په قانوني توګه پابند ندي. دا ډول اداره باید غوښتنه وکړي چې د پیرودونکي اداره چې د تړون یا موجوده DPA برخه ده دا ضمیمه DPA اجرا کړي.

که چیرې د پیرودونکي اداره چې ضمیمه DPA لاسلیک کوي د امر فورمه یا د ماسټر ګډون تړون یا موجوده DPA مستقیم د مالک سره اړخ نه وي ، مګر پرځای یې په غیر مستقیم ډول د خپل خدماتو د مجاز پلورونکي له لارې پیرودونکي وي ، دا ضمیمه DPA اعتبار نلري او دی. په قانوني توګه پابند نه دي. دا ډول اداره باید د مجاز پلورونکي سره اړیکه ونیسي ترڅو بحث وکړي چې ایا د دې پلورونکي سره د دې تړون تعدیل اړین دی.

د دې ضمیمه DPA او د پیرودونکي او مالک ترمینځ کوم بل تړون (پشمول د محدودیت پرته ، تړون یا موجود DPA) ترمینځ د کومې شخړې یا تضاد په حالت کې ، د دې ضمیمه DPA شرایط باید کنټرول او غالب شي.

دا اضافي ډیټا پروسس کولو ضمیمه ، د دې مهالویشونو او ضمیمو په شمول ، ("اضافی DPA") د موجوده ډیټا پروسس کولو ضمیمه برخه جوړوي چې پورته پیژندل شوي ("موجوده DPA") د OwnBackup Inc. ("خپل") او پیرودونکي ترمینځ. د دې ضمیمه DPA او موجوده DPA سره یوځای باید د ډیټا پروسس کولو بشپړ تړون ("DPA") رامینځته کړي ترڅو د شخصي معلوماتو پروسس کولو په اړه د ګوندونو تړون مستند کړي. که چیرې داسې پیرودونکي اداره او مالک یو تړون ته نه وي رسیدلی، نو دا DPA باطل دی او هیڅ قانوني اغیزه نلري.

پورته نومول شوی پیرودونکي اداره د ځان لپاره دې ضمیمه DPA ته ننوځي او که چیرې د دې کوم ملګری د شخصي معلوماتو کنټرولر په توګه عمل وکړي ، د دې مجاز وابسته ملګرو په استازیتوب. ټول لوی شوي شرایط چې دلته ندي تعریف شوي باید هغه معنی ولري چې په تړون کې بیان شوي.

د تړون له مخې پیرودونکي ته د SaaS خدماتو چمتو کولو په جریان کې، مالک ممکن د پیرودونکي په استازیتوب شخصي معلومات پروسس کړي. اړخونه د دې پروسې په اړه لاندې ضمیمه شرایطو سره موافق دي.

1. تعریفونه
   "CCPA" معنی د کالیفورنیا د مصرف کونکي محرمیت قانون ، Cal. Civ. کوډ § 1798.100 et. seq.، لکه څنګه چې د 2020 کالیفورنیا د محرمیت حقونو قانون لخوا تعدیل شوی او د پلي کولو مقرراتو سره یوځای.
   "کنټرولر" هغه اداره ده چې د شخصي معلوماتو د پروسس کولو موخې او وسیلې ټاکي او داسې انګیرل کیږي چې "سوداګرۍ" ته هم اشاره کوي لکه څنګه چې په CCPA کې تعریف شوي.
   "پیرودونکی" په دې معنی چې پورته نومول شوې اداره او د هغې ملحقات.
   "د معلوماتو د ساتنې قوانین او مقررات" د اروپایی اتحادیې او د هغې ټول قوانین او مقررات
   غړي هیوادونه، د اروپا اقتصادي سیمه او د هغې غړي هیوادونه، انګلستان، سویس، متحده ایالات، کاناډا، نیوزیلینډ، او آسټرالیا، او د دوی اړوند سیاسي فرعي برخې، د شخصي معلوماتو پروسس کولو لپاره پلي کیږي. پدې کې شامل دي، مګر د پلي کیدو حد پورې لاندې محدود ندي: د GDPR، د انګلستان د معلوماتو محافظت قانون، CCPA، د ویرجینیا د مصرف کونکي ډیټا محافظت قانون ("VCDPA")، د کولوراډو د محرمیت قانون او اړوند مقررات ("CPA" ")، د یوتا د مصرف کونکي محرمیت قانون ("UCPA")، او د کنیکټیکټ قانون د شخصي معلوماتو محرمیت او آنلاین څارنې په اړه ("CPDPA").
   "د معلوماتو موضوع" د پیژندل شوي یا پیژندلو وړ شخص معنی لري چې شخصي معلومات ورسره تړاو لري او پکې شامل دي "پیرودونکي" لکه څنګه چې د معلوماتو د ساتنې په قوانینو او مقرراتو کې تعریف شوي. "اروپا" د اروپا اتحادیه، د اروپا اقتصادي سیمه، سویس، او انګلستان معنی لري. اضافي احکام چې له اروپا څخه د شخصي ډیټا لیږد لپاره پلي کیږي په 5 مهالویش کې شتون لري. په هغه حالت کې چې مهالویش 5 لرې شوی وي ، پیرودونکي تضمین کوي ​​​​چې دا به د اروپا د ډیټا محافظت قانون او مقرراتو سره سم شخصي ډیټا پروسس نکړي.
   "GDPR" د اروپایی پارلمان 2016/679 مقررات (EU) او د 27 اپریل 2016 شورا د شخصي معلوماتو پروسس کولو او د داسې معلوماتو د آزاد حرکت په اړه د طبیعي اشخاصو د ساتنې په اړه ، او د 95/46 لغوه کولو لارښود /EC (د معلوماتو د ساتنې عمومي مقررات).
   "خپله ډله" معنی دا ده چې د خپل ځان او د هغې ملګري د شخصي معلوماتو پروسس کولو کې ښکیل دي.
   "شخصي معلومات" پدې معنی چې د (i) د پیژندل شوي یا پیژندلو وړ طبیعي شخص او (ii) یو پیژندل شوی یا د پیژندلو وړ قانوني ارګان پورې اړوند هر ډول معلومات (چیرې چې دا ډول معلومات د شخصي معلوماتو، شخصي معلوماتو، یا شخصي پیژندلو وړ معلوماتو په څیر خوندي وي لکه د معلوماتو د ساتنې قوانینو او مقرراتو الندې )، چیرته چې د هر (i) یا (ii) لپاره، دا ډول ډاټا د پیرودونکي ډاټا دي.
   "د شخصي معلوماتو پروسس کولو خدمتونه" معنی د SaaS خدمتونه چې په 2 مهال ویش کې لیست شوي، د کوم لپاره چې خپل شخصي معلومات پروسس کولی شي.
   "پروسس کول" هر ډول عملیات یا د عملیاتو مجموعه چې د شخصي معلوماتو په اساس ترسره کیږي، که د اتوماتیک وسیلو له لارې ترسره کیږي، لکه راټولول، ثبت کول، تنظیم کول، جوړښت، ذخیره کول، تطبیق یا بدلون، بیرته اخیستل، مشوره، کارول، افشاء کول، خپرول یا بل ډول. چمتو کول، سمون یا ترکیب، محدودیت، پاکول یا ویجاړول.
   "پروسیسر" هغه اداره ده چې د کنټرولر په استازیتوب شخصي معلومات پروسس کوي، په شمول د تطبیق وړ هر "خدمات چمتو کونکي" لکه څنګه چې دا اصطلاح د CCPA لخوا تعریف شوې.
   "معیاري قراردادي مادې" د اروپایي کمیسیون د پلي کولو پریکړې سره ضمیمه معنی لري
   (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/ojد 4 جون 2021 د معیاري قراردادي بندونو په اړه پروسیسرانو ته د شخصي معلوماتو لیږد لپاره په دریم هیوادونو کې د اروپایی پارلمان او د اروپایی اتحادیې د شورا د مقرراتو (EU) 2016/679 مطابق او د متحده ایالاتو لپاره د اړینو تعدیلاتو تابع دي. سلطنت او سویس نور په 5 مهال ویش کې تشریح شوي.
   "فرعي پروسیسر" معنی لري هر هغه پروسیسر چې د خپل ځان لخوا ښکیل وي، د خپل ګروپ غړي یا د بل فرعي پروسیسر لخوا.
   "د څارنې اداره" په دې معنی چې یو دولتي یا د حکومت لخوا جوړ شوی تنظیم کونکي اداره چې په پیرودونکي باندې پابند قانوني واک لري.
   "د انګلستان ضمیمه" د EU کمیسیون معیاري قراردادي بندونو ته د انګلستان نړیوال ډیټا لیږد ضمیمه معنی لري (د 21 مارچ 2022 پورې شتون لري https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/)، لکه څنګه چې په 5 مهال ویش کې تشریح شوی بشپړ شوی.
   "د انګلستان د معلوماتو د ساتنې قانون" د 2016/679 مقررات د اروپا پارلمان او شورا د طبیعي اشخاصو د ساتنې په اړه د شخصي معلوماتو پروسس کولو او د داسې معلوماتو د آزاد حرکت په اړه چې دا د انګلستان او ویلز، سکاټلینډ او شمالي هیوادونو د قانون برخه ده. آیرلینډ د اروپایی اتحادیې (د وتلو) قانون 3 د 2018 برخې په اساس، لکه څنګه چې د انګلستان د معلوماتو د ساتنې قوانینو او مقرراتو لخوا وخت په وخت تعدیل کیدی شي.
2. د خوندیتوب آرډر
   a. د معیاري قراردادي بندونو په استثنا سره چې دلته شامل شوي، کوم چې باید لومړیتوب ولري، د دې ضمیمه DPA او موجوده DPA ترمنځ د کوم توپیر په صورت کې، د موجوده DPA شرایط باید غالب وي.
3. د مسؤلیت محدودیت
   a. تر هغه حده چې د معلوماتو د ساتنې قوانینو او مقرراتو لخوا اجازه ورکړل شوې، د هر ګوند او د هغې د ټولو وابسته مسؤلیتونو، په مجموع کې په ګډه اخیستل شوي، د دې ضمیمه DPA څخه رامینځته شوي یا ورسره تړاو لري، که په قرارداد کې، شکنجې یا د مسؤلیت کومې بلې تیوري لاندې وي، د "مسؤولیت محدودیت" بندونو تابع دی، او داسې نور بندونه چې د تړون څخه مسؤلیتونه خارجوي یا محدودوي، او د یو ګوند مسؤلیت ته په دې ډول بندونو کې هر ډول حواله د هغه ګوند او د هغې د ټولو اړوندو غړو مجموعي مسؤلیت دی.
4. د لیږد میکانیزمونو کې بدلونونه
   a. په هغه حالت کې چې د اوسني لیږد میکانیزم د اړخونو لخوا یو یا ډیرو هیوادونو ته د شخصي ډیټا لیږدولو اسانتیا لپاره تکیه کوي چې د ډیټا محافظت قانون او مقرراتو معنی کې د کافي کچې ډیټا محافظت تضمین نه کوي ، تعدیل شوی ، یا بدل شوي اړخونه به په ښه نیت کار وکړي ترڅو د دې ډول بدیل لیږد میکانیزم رامینځته کړي ترڅو د تړون لخوا په پام کې نیول شوي شخصي معلوماتو دوامداره پروسس کولو وړ کړي. د دې بدیل لیږد میکانیزم کارول باید د هر اړخ لخوا د ورته لیږد میکانیزم کارولو لپاره د ټولو قانوني اړتیاو پوره کولو تابع وي.

د ګوندونو مجاز لاسلیک کونکو دا تړون په سمه توګه پلي کړی، په شمول د ټولو تطبیق شوي مهالویشونو، ضمیمو، او ضمیمو په شمول چې دلته شامل شوي.

د مهالویش لیست

مهال ویش 1: د اوسني فرعي پروسیسر لیست
مهال ویش 2: SaaS خدمتونه د شخصي معلوماتو پروسس کولو لپاره پلي کیږي
مهال ویش 3: د پروسس جزیات
مهال ویش 4: د خپل امنیت کنټرولونه
مهال ویش 5: اروپايي احکام

شیډول 1 د اوسني فرعي پروسیسر لیست

د فرعي پروسیسر نوم	د فرعي پروسیسر پته	د پروسس نوعیت	د پروسې موده	د پروسس کولو ځای
OwnBackup Limited	3 Aluf Kalman Magen StZ، تل ابیب 6107075، اسراییل	د پیرودونکي ملاتړ او ساتنه	د تړون د مودې لپاره.	اسراییل
ایمیزون Web خدمات، Inc.*	410 ټیری ایونیو شمالي، سیټل، واشنګټن 98109، امریکا	د غوښتنلیک کوربه توب او د معلوماتو ذخیره کول	د تړون د مودې لپاره.	متحده ایالات، کاناډا، آلمان، انګلستان، یا استرالیا
د مایکروسافټ کارپوریشن (ازور)*	د مایکروسافټ یوه لاره، ریډمونډ، واشنګټن 98052، امریکا	د غوښتنلیک کوربه توب او د معلوماتو ذخیره کول	د تړون د مودې لپاره.	هالنډ او متحده ایالات
Elasticsearch, Inc.**	800 لویدیځ ال کیمینو ریال، سویټ 350، غر Viewکالیفورنیا 94040، امریکا	لیست کول او لټون کول	د تړون د مودې لپاره.	هالنډ او متحده ایالات

* پیرودونکي کولی شي ایمیزون غوره کړي Web خدمتونه یا مایکروسافټ (Azure) او د پیرودونکي د SaaS خدماتو لومړني تنظیم کولو پرمهال د پروسس کولو مطلوب ځای.
** یوازې د آرشیف پیرودونکو لپاره پلي کیږي چې د مایکروسافټ (Azure) کلاوډ کې ځای په ځای کول غوره کوي.

شیډول 2 SaaS خدمتونه د شخصي معلوماتو پروسس کولو لپاره پلي کیږي

• اوس د خدمت لپاره بیرته ترلاسه کړئ
• د متحرکاتو لپاره بیرته ترلاسه کول
• د Salesforce لپاره بیرته ترلاسه کول
• د خرڅلاو ځواک لپاره حکومتداري پلس
• آرشیف
• خپل کلیدي مدیریت راوړو
• ګړندی کول

مهال ویش 3 د پروسس کولو توضیحات

د معلوماتو صادرونکی

بشپړ قانوني نوم: د پیرودونکي نوم لکه څنګه چې پورته مشخص شوی
اصلي ادرس: د پیرودونکي پته لکه څنګه چې پورته مشخص شوي
اړیکه: که نه نو دا به د پیرودونکي حساب کې لومړنۍ اړیکه وي.
د اړیکې بریښنالیک: که بل ډول نه وي ورکړل شوی دا به د پیرودونکي حساب کې د لومړني اړیکې بریښنالیک پته وي.

د معلوماتو واردونکي 

بشپړ قانوني نوم: OwnBackup Inc.
اصلي ادرس: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
اړیکه: د محرمیت افسر
د اړیکې بریښنالیک: privacy@owndata.com

د پروسس کولو ماهیت او موخه

د تړون او امرونو سره سم د SaaS خدماتو د ترسره کولو لپاره د اړتیا سره سم شخصي ډاټا پروسس کوي، او لکه څنګه چې د SaaS خدماتو کارولو کې د پیرودونکي لخوا نور لارښوونې شوي.

د پروسې موده

پخپله به د تړون د مودې لپاره شخصي معلومات پروسس کړي، پرته لدې چې په لیکلي ډول موافقه شوې وي.

ساتل

خپله به د تړون د مودې لپاره د SaaS خدماتو کې شخصي معلومات ساتي، پرته لدې چې په لیکلي ډول موافقه شوې وي، په اسنادو کې د ټاکل شوي اعظمي ساتلو مودې پورې اړه لري.

د لیږد فریکونسی

لکه څنګه چې د پیرودونکي لخوا د SaaS خدماتو کارولو له لارې ټاکل کیږي.

فرعي پروسیسرونو ته لیږدول 

لکه څنګه چې د تړون او امرونو سره سم د SaaS خدماتو ترسره کولو لپاره اړین دي، او لکه څنګه چې په 1 مهال ویش کې تشریح شوي.

د ډیټا موضوعاتو کټګورۍ

پیرودونکی کولی شي شخصي معلومات SaaS خدماتو ته وسپاري، هغه حد چې د پیرودونکي لخوا په خپل اختیار کې ټاکل کیږي او کنټرول کیږي، او پدې کې ممکن شامل وي مګر د معلوماتو موضوعاتو لاندې کټګوریو پورې اړوند شخصي ډیټا پورې محدود ندي:

• امکانات، پیرودونکي، سوداګریز شریکان او د پیرودونکي پلورونکي (چې طبیعي کسان دي)
• د پیرودونکي امکانات، پیرودونکي، سوداګریز شریکان او پلورونکي کارمندان یا د اړیکو اشخاص
• کارمندان، اجنټان، مشاورین، د پیرودونکي آزاد کارونکي (څوک چې طبیعي کسان دي) د پیرودونکي کاروونکي چې د پیرودونکي لخوا د SaaS خدماتو کارولو واک لري

د شخصي معلوماتو ډول

پیرودونکي کولی شي شخصي معلومات SaaS خدماتو ته وسپاري، هغه حد چې د پیرودونکي لخوا په خپل اختیار کې ټاکل کیږي او کنټرول کیږي، او پدې کې ممکن شامل وي مګر د شخصي معلوماتو لاندې کټګوریو پورې محدود ندي:

• لومړی او وروستی نوم
• عنوان
• موقف
• کارکوونکی
• د اړیکو معلومات (شرکت، بریښنالیک، تلیفون، فزیکي سوداګریز پته)
• د ID ډیټا
• د مسلکي ژوند ډاټا
• د شخصي ژوند معلومات
• د ځایی کولو ډاټا

د معلوماتو ځانګړي کټګورۍ (که مناسب وي)

پیرودونکی کولی شي د شخصي معلوماتو ځانګړي کټګورۍ SaaS خدماتو ته وسپاري، هغه حد چې د پیرودونکي لخوا په خپل اختیار کې ټاکل کیږي او کنټرول کیږي، او کوم چې د روښانه کولو لپاره د جینیاتي معلوماتو پروسس کول شامل دي، د ځانګړي هدف لپاره بایومیټریک ډاټا د طبیعي شخص پیژندل یا د روغتیا په اړه معلومات. په جدول 4 کې د دې لپاره اقدامات وګورئ چې څنګه Own د ډیټا او نورو شخصي معلوماتو ځانګړي کټګورۍ خوندي کوي.

مهالویش 4 د خپل امنیت کنټرول 3.3

1. پیژندنه
   1. د خدمت په توګه د خپل سافټویر غوښتنلیکونه (SaaS خدمات) له پیل څخه د امنیت په پام کې نیولو سره ډیزاین شوي. د SaaS خدمتونه د یو لړ امنیتي خطرونو په نښه کولو لپاره په څو پوړونو کې د مختلف امنیتي کنټرولونو سره جوړ شوي. دا امنیتي کنټرولونه د بدلون تابع دي؛ په هرصورت، هر ډول بدلونونه به د امنیت عمومي حالت وساتي یا ښه کړي.
   2. د لاندې کنټرولونو توضیحات په دواړو ایمیزون کې د SaaS خدماتو پلي کولو باندې پلي کیږي Web خدمتونه (AWS) او د مایکروسافټ Azure (Azure) پلیټ فارمونه (په ګډه زموږ د کلاوډ خدماتو چمتو کونکي یا CSPs په توګه راجع کیږي) پرته لدې چې لاندې د کوډ کولو برخه کې مشخص شوي. د کنټرول دا توضیحات په RevCult سافټویر کې نه پلي کیږي پرته لدې چې لاندې "د خوندي سافټویر پراختیا" لاندې چمتو شوي.
2. پلټنې او تصدیقونه
   1. د SaaS خدمتونه د ISO/IEC 27001:2013 (د معلوماتو د امنیت مدیریت سیسټم) او ISO/IEC 27701:2019 (د محرمیت معلوماتو مدیریت سیسټم) لاندې تصدیق شوي.
   2. Own د SSAE-2 لاندې کلنۍ SOC18 ډول II پلټنه ترسره کوي ترڅو په خپلواکه توګه د لاندې باوري خدماتو معیارونو لپاره د دې د معلوماتو امنیت طرزالعملونو، پالیسیو، طرزالعملونو او عملیاتو اغیزمنتوب تصدیق کړي: امنیت، شتون، محرمیت، او د پروسس بشپړتیا.
   3. Own د ساس خدماتو لپاره د دې کمپیوټري او ذخیره کولو لپاره د نړیوال CSP سیمې کاروي. AWS او Azure د ډیری اعتبارونو سره د لوړ پوړ تاسیسات دي، په شمول د SOC1 - SSAE-18، SOC2، SOC3، ISO 27001، او HIPAA.
3. Web د غوښتنلیک امنیت کنټرولونه
   1. د SaaS خدماتو ته د پیرودونکي لاسرسی یوازې د HTTPS (TLS1.2+) له لارې دی ، د پای کارونکي او غوښتنلیک او د خپل او دریمې ډلې ډیټا سرچینې (د بیلګې په توګه ، Salesforce) تر مینځ د لیږد په جریان کې د ډیټا کوډ کول رامینځته کوي.
   2. د پیرودونکي SaaS خدماتو مدیران کولی شي د اړتیا سره سم د SaaS خدماتو کاروونکو او اړونده لاسرسي چمتو او تنظیم کړي.
   3. د SaaS خدمتونه د رول پراساس لاسرسي کنټرولونو لپاره چمتو کوي ترڅو پیرودونکي وکولی شي څو تنظیمي اجازې اداره کړي.
   4. د پیرودونکي SaaS خدماتو مدیران کولی شي د کارونکي نوم ، عمل ، وخت په شمول د پلټنې ټریلونو ته لاسرسی وموميamp، او د سرچینې IP پتې ساحې. د پلټنې لاګونه کیدی شي viewد پیرودونکي SaaS خدماتو مدیر لخوا صادر شوی او صادر شوی د SaaS خدماتو او همدارنګه د SaaS خدماتو API له لارې ننوتل.
   5. د SaaS خدماتو ته لاسرسی د سرچینې IP پتې لخوا محدود کیدی شي.
   6. د SaaS خدمات پیرودونکو ته اجازه ورکوي چې د وخت پراساس یو ځل پاسورډونو کارولو سره د SaaS خدماتو حسابونو ته د لاسرسي لپاره څو فکتور تصدیق فعال کړي.
   7. د SaaS خدمتونه پیرودونکو ته اجازه ورکوي چې د SAML 2.0 پیژندونکي چمتو کونکو له لارې واحد لاسلیک فعال کړي.
   8. د SaaS خدمتونه پیرودونکو ته اجازه ورکوي چې د تخصیص وړ پاسورډ پالیسي فعاله کړي ترڅو د کارپوریټ پالیسیو سره د SaaS خدماتو پاسورډونو تنظیم کولو کې مرسته وکړي.
4. کوډ کول
   1. Own په آرام کې د معلوماتو کوډ کولو لپاره لاندې SaaS خدماتو اختیارونه وړاندیز کوي:
      1. معیاري وړاندیز.
         • ډاټا د AES-256 سرور-سایډ کوډ کولو په کارولو سره د کلیدي مدیریت سیسټم له لارې کوډ شوی چې د FIPS 140-2 لاندې تایید شوی.
         • د لفافې کوډ کول داسې کارول کیږي چې ماسټر کیلي هیڅکله د هارډویر امنیت ماډل (HSM) نه پریږدي.
         • د کوډ کولو کیلي د هر دوه کلونو څخه لږ نه څرخیږي.
      2. د پرمختللي کلیدي مدیریت (AKM) اختیار.
         • ډاټا د پیرودونکي لخوا چمتو شوي ماسټر کوډ کولو کیلي (CMK) سره د وقف شوي توکي ذخیره کولو کانټینر کې کوډ شوي.
         • AKM د کیلي راتلونکي آرشیف کولو ته اجازه ورکوي او د بل ماسټر کوډ کولو کیلي سره یې ګرځوي.
         • پیرودونکی کولی شي د ماسټر کوډ کولو کیلي لغوه کړي، چې په پایله کې د معلوماتو سمدستي لاس رسی نه لري.
      3. خپل د کلیدي مدیریت سیسټم (KMS) اختیار راوړئ (یوازې په AWS کې شتون لري).
         • د کوډ کولو کیلي د پیرودونکي په خپل کې رامینځته شوي ، په جلا توګه پیرود شوي حساب د AWS KMS په کارولو سره.
         • پیرودونکي د کوډ کولو کلیدي پالیسي تعریفوي چې په AWS کې د پیرودونکي SaaS خدماتو حساب ته اجازه ورکوي چې د پیرودونکي د خپل AWS KMS څخه کلیدي ته لاسرسی ومومي.
         • ډاټا د خپل ځان لخوا اداره شوي د وقف شوي اعتراض ذخیره کولو کانټینر کې کوډ شوي، او د پیرودونکي د کوډ کولو کیلي کارولو لپاره ترتیب شوي.
         • پیرودونکی کولی شي سمدلاسه د کوډ کولو کیلي ته د خپل لاسرسي لغوه کولو سره کوډ شوي ډیټا ته لاسرسی لغوه کړي ، پرته له دې چې له خپل سره اړیکه ونیسي.
         • خپل کارمندان په هیڅ وخت کې د کوډ کولو کیلي ته لاسرسی نلري او KMS ته مستقیم لاسرسی نلري.
         • د کارونې ټول کلیدي فعالیتونه د پیرودونکي KMS کې ننوتل شوي، په شمول د وقف شوي شیانو ذخیره کولو لخوا کلیدي بیرته اخیستل شامل دي.
      4. د SaaS خدماتو او د دریمې ډلې ډیټا سرچینې (د بیلګې په توګه، Salesforce) تر منځ په لیږد کې کوډ کول د TLS 1.2+ او OAuth 2.0 سره HTTPS کاروي.
5. شبکه
   1. د SaaS خدمتونه د CSP شبکې کنټرولونه کاروي ترڅو د شبکې ننوتل او وتلو محدود کړي.
   2. دولتي امنیتي ډلې ګمارل شوي ترڅو د شبکې ننوتل محدود کړي او مجاز پای ته رسیدو ته لاړ شي.
   3. د SaaS خدمتونه د څو درجې شبکې جوړښت کاروي ، پشمول د ډیری ، منطقي پلوه جلا شوي ایمیزون مجازی خصوصي کلاوډز (VPCs) یا Azure مجازی شبکې (VNets) ، د CSP زیربنا کې د خصوصي ، DMZs ، او بې باوره زونونو ګټه پورته کول.
   4. په AWS کې، د VPC S3 پای ټکي محدودیتونه په هره سیمه کې کارول کیږي ترڅو یوازې د مجاز VPCs څخه د لاسرسي اجازه ورکړي.
6. څارنه او پلټنه
   1. د SaaS خدماتو سیسټمونه او شبکې د امنیتي پیښو، سیسټم روغتیا، د شبکې غیرمعمومیت، او شتون لپاره څارل کیږي.
   2. د SaaS خدمتونه د مداخلې کشف سیسټم (IDS) کاروي ترڅو د شبکې فعالیت وڅاري او د شکمن چلند څخه ځان خبر کړي.
   3. د SaaS خدمتونه کاروي web د ټولو خلکو لپاره د غوښتنلیک فایر وال (WAFs). web خدمتونه
   4. د خپل لاګ غوښتنلیک، شبکه، کاروونکي، او د عملیاتي سیسټم پیښې د محلي سیسلوګ سرور او د سیمې ځانګړي SIEM ته. دا لاګونه په اوتومات ډول تحلیل کیږي او بیاviewد مشکوک فعالیت او ګواښونو لپاره ed. هر ډول اختلالات د مناسب په توګه زیاتیږي.
   5. خپل د امنیتي معلوماتو او پیښو مدیریت (SIEM) سیسټمونه کاروي چې د SaaS خدماتو شبکې او امنیت چاپیریال دوامداره امنیتي تحلیل چمتو کوي، د کارونکي بې نظمۍ خبرتیا، د قوماندې او کنټرول (C&C) برید کشف، اتوماتیک ګواښ کشف، او د جوړجاړي شاخصونو راپور ورکول (IOC) ). دا ټول صلاحیتونه د خپل ځان د امنیت او عملیاتي کارمندانو لخوا اداره کیږي.
   6. د خپل ځان د پیښې غبرګون ټیم څارنه کوي security@owndata.com عرف او د شرکت د پیښې غبرګون پلان (IRP) سره سم ځواب ورکوي کله چې مناسب وي.
7. د حسابونو ترمنځ جلا کول
   1. د SaaS خدمتونه د پروسس کولو پرمهال د پیرودونکو حسابونو ډیټا جلا کولو لپاره لینکس سینڈ باکسینګ کاروي. دا مرسته کوي چې ډاډ ترلاسه کړي چې هر ډول بې نظمۍ (د مثال لپارهampد امنیت مسلې یا سافټویر بګ له امله) په یو واحد حساب پورې محدود پاتې کیږي.
   2. د کرایه کونکي ډیټا لاسرسی د ډیټا سره د ځانګړي IAM کاروونکو له لارې کنټرول کیږي tagging چې غیر مجاز کاروونکو ته اجازه نه ورکوي چې د کرایه کونکي ډیټا ته لاسرسی ومومي.
8. د ناورین بیا رغونه
   1. خپل د ډیری موجودیت زونونو کې د کوډ شوي پیرودونکي ډیټا ذخیره کولو لپاره د CSP اعتراض ذخیره کاروي.
   2. د پیرودونکي ډیټا لپاره چې د اعتراض ذخیره کې زیرمه شوي ، Own د اتوماتیک عمر سره د اعتراض نسخه کاروي ترڅو د خپل ناورین بیا رغونه او بیک اپ پالیسیو سره موافقت ملاتړ وکړي. د دې شیانو لپاره، د خپل سیسټمونه د 0 ساعتونو د بیا رغونې نقطې هدف (RPO) مالتړ لپاره ډیزاین شوي (دا د هر څیز هر ډول نسخه ته د بیرته راستنیدو وړتیا لکه څنګه چې دا په 14 ورځو کې شتون درلود).
   3. د کمپیوټري مثال هر ډول اړین بیا رغونه د خپل ترتیب مدیریت اتوماتیک پراساس د مثال په بیا جوړولو سره ترسره کیږي.
   4. د خپل ځان د ناورین بیا رغونه پلان د 4 ساعتونو د بیا رغونې وخت هدف (RTO) مالتړ لپاره ډیزاین شوی.
9. د زیان مننې مدیریت
   1. خپل دوره ترسره کوي web د غوښتنلیک د زیانمننې ارزونه، د جامد کوډ تحلیل، او بهرنۍ متحرک ارزونه د دې دوامداره څارنې پروګرام د یوې برخې په توګه د دې لپاره چې ډاډ ترلاسه شي چې د غوښتنلیک امنیت کنټرولونه په سمه توګه پلي شوي او په اغیزمنه توګه کار کوي.
   2. په نیمه کلنۍ کې، خپل د دریمې ډلې د ننوتلو خپلواک ټیسټران استخدام کوي ترڅو دواړه شبکې ترسره کړي او web د زیانمننې ارزونه د دې بهرنۍ پلټنو په ساحه کې د خلاص په وړاندې اطاعت شامل دي Web د غوښتنلیک امنیت پروژه (OWASP) غوره 10 Web زیانمنتیاوې (www.owasp.org).
   3. د زیانمننې ارزونې پایلې د خپل سافټویر پراختیا ژوند دورې (SDLC) کې شاملې شوې ترڅو پیژندل شوي زیانمننې حل کړي. ځانګړي زیانونه لومړیتوب لري او د حل له لارې تعقیب لپاره د خپل داخلي ټیکټ سیسټم ته داخل شوي.
10. د پیښې غبرګون
    1. د احتمالي امنیتي سرغړونې په صورت کې، د خپل ځان د غبرګون ټیم به د وضعیت ارزونه ترسره کړي او د مخنیوي مناسبې ستراتیژۍ رامینځته کړي. که چیرې احتمالي سرغړونه تایید شي، Own به سمدستي د سرغړونې کمولو او د عدلي شواهدو ساتلو لپاره عمل وکړي، او د اغیزمنو پیرودونکو د اړیکو لومړني ټکي به پرته له ځنډه خبر کړي ترڅو دوی ته د وضعیت په اړه معلومات ورکړي او د حل حالت تازه معلومات چمتو کړي.
11. د خوندي سافټویر پراختیا
    1. Own د سافټویر پراختیا د ژوند دورې په اوږدو کې د خپل او RevCult سافټویر غوښتنلیکونو لپاره خوندي پرمختیایي کړنې ګماري. په دې کړنو کې د جامد کوډ تحلیل، د Salesforce امنیت بیا شامل ديview د RevCult غوښتنلیکونو لپاره او د خپلو غوښتنلیکونو لپاره چې د پیرودونکو سیلز فورس مثالونو کې نصب شوي، بیاview د کوډ بدلونونه، د لږترلږه امتیاز د اصولو پراساس د سرچینې کوډ ذخیره کولو لاسرسي محدودول، او د سرچینې کوډ ذخیره کولو لاسرسي او بدلونونو ته ننوتل.
12. وقف امنیتي ټیم
    1. Own یو وقف شوی امنیتي ټیم لري چې د 100 کلونو څخه ډیر ګډ څو اړخیز معلوماتي امنیت تجربه لري. برسیره پردې، د ټیم غړي یو شمیر د صنعت پیژندل شوي تصدیقونه ساتي، په شمول مګر د CISM، CISSP، او ISO 27001 مخکښ پلټونکو پورې محدود ندي.
13. د محرمیت او معلوماتو ساتنه
    1. Own د معلوماتو موضوع ته د لاسرسي غوښتنو لپاره اصلي ملاتړ چمتو کوي ، لکه د پاکولو حق (د هیرولو حق) او د نوم نه ښودلو لپاره ، د معلوماتو محرمیت مقرراتو سره د موافقت ملاتړ کولو لپاره ، پشمول د عمومي معلوماتو محافظت مقرراتو (GDPR) ، د روغتیا بیمې پورټیت او حساب ورکولو قانون. (HIPAA)، او د کالیفورنیا د مصرف کونکي محرمیت قانون (CCPA). Own د محرمیت او ډیټا محافظت قوانینو په نښه کولو لپاره د معلوماتو پروسس کولو ضمیمه هم چمتو کوي ، پشمول د نړیوالو معلوماتو لیږد لپاره قانوني اړتیاوې.
14. د پس منظر چکونه
    1. Own د خپل پرسونل د جرمي شالید چکونو په ګډون د شالید چکونو یوه پینل ترسره کوي چې ممکن د پیرودونکو معلوماتو ته لاسرسی ولري، د پخوانیو اوو کلونو په جریان کې د کارمندانو د استوګنې صالحیتونو پراساس، د تطبیق شوي قانون سره سم.
15. بیمه
    خپل ځان، لږترلږه، د بیمې لاندې پوښښ ساتي: (الف) د ټولو پلي شوي قانون سره سم د کارګرانو د خسارې بیمه؛ (b) د غیر ملکیت او کرایه شوي موټرو لپاره د موټرو مسؤلیت بیمه، د $ 1,000,000 ګډ واحد حد سره؛ (c) سوداګریز عمومي مسؤلیت (عامه مسؤلیت) بیمه چې په هر پیښه کې د $ 1,000,000 یو واحد محدودیت پوښښ او $ 2,000,000 عمومي مجموعي پوښښ سره؛ (d) تېروتنې او نیمګړتیاوې (مسلکي جبران) بیمه د هرې پیښې حد $ 20,000,000 او $ 20,000,000 مجموعي، په شمول د لومړني او اضافي پرتونو، او د سایبر مسؤلیت، ټیکنالوژۍ او مسلکي خدماتو، د ټیکنالوژۍ محصولاتو، ډیټا او شبکې امنیت، سرغړونې غبرګون، مقرراتي دفاع او جریمې، د سایبر غصب او د معلوماتو بیرته راګرځولو مسؤلیتونه؛ او (e) د $5,000,000 پوښښ سره د کارمند بې ایماني/جرم بیمه. خپل به د غوښتنې په صورت کې د ورته بیمې ثبوت پیرودونکي ته وړاندې کړي.

جدول 5 اروپایی احکام

دا مهالویش باید یوازې له اروپا څخه د شخصي معلوماتو (د راتلونکي لیږد په شمول) لیږد باندې پلي شي چې د دې مقرراتو د پلي کیدو په نه شتون کې به پیرودونکي یا مالک د پلي شوي ډیټا محافظت قوانینو او مقرراتو څخه سرغړونه وکړي.

1. د معلوماتو د لیږد لپاره د لیږد میکانیزم.
   a) معیاري قراردادي بندونه له اروپا څخه هیوادونو ته د دې ضمیمه DPA لاندې د شخصي معلوماتو هر ډول لیږد باندې پلي کیږي کوم چې د داسې ساحو د معلوماتو محافظت قانون او مقرراتو په معنی کې د کافي کچې ډیټا محافظت تضمین نه کوي ، تر هغه حده چې دا ډول لیږدونه تابع دي. د دې ډول معلوماتو د ساتنې قوانینو او مقرراتو ته. خپل د معلوماتو واردونکي په توګه معیاري قراردادي بندونو ته داخلیږي. په دې مهالویش کې اضافي شرایط د دې ډول معلوماتو لیږد باندې هم پلي کیږي.
2. لیږد د معیاري قراردادي بندونو تابع دي.
   a) پیرودونکي د معیاري قراردادي بندونو لخوا پوښل شوي. د قرارداد معیاري بندونه او په دې مهالویش کې مشخص شوي اضافي شرایط په (i) پیرودونکي باندې پلي کیږي، تر هغه حده چې پیرودونکي د اروپا د معلوماتو د ساتنې قوانینو او مقرراتو تابع وي او (ii) د هغې مجاز وابسته. د معیاري قراردادي بندونو او دې مهالویش لپاره، دا ډول ادارې "د معلوماتو صادرونکي" دي.
   b) ماډلونه. اړخونه موافق دي چې چیرې چې اختیاري ماډلونه د معیاري تړون بندونو کې پلي کیدی شي، یوازې هغه کسان چې لیبل شوي "دوه ماډل: پروسیسر ته کنټرولر لیږد" باید پلي شي.
   c) لارښوونې. اړخونه موافق دي چې د تړون او موجوده DPA سره سم د پیرودونکي شخصي ډیټا پروسس کولو خدماتو کارول د معیاري تړون بندونو 8.1 بندونو موخو لپاره د شخصي معلوماتو پروسس کولو لپاره د پیرودونکي لخوا لارښوونې ګڼل کیږي.
   d) د نوي فرعي پروسیسرونو ټاکل او د اوسني فرعي پروسیسرونو لیست. د معیاري قراردادي بندونو 2(a) بند ته د اختیار 9 سره سم، پیرودونکي موافق دي چې مالک ممکن نوي فرعي پروسیسرونه ښکیل کړي لکه څنګه چې په موجوده DPA کې تشریح شوي او دا چې د خپل ملګري ممکن د فرعي پروسیسرونو په توګه وساتل شي، او خپل او خپل ملګري ممکن ښکیل شي. د دریمې ډلې فرعي پروسیسرونه د معلوماتو پروسس کولو خدماتو چمتو کولو په تړاو. د فرعي پروسیسرونو اوسنی لیست لکه څنګه چې د شیډول 1 سره ضمیمه شوی.
   e) د فرعي پروسیسر تړونونه. اړخونه موافق دي چې فرعي پروسس کونکو ته د معلوماتو لیږد ممکن د معیاري قراردادي بندونو پرته د لیږد میکانیزم باندې تکیه وکړي (د مثال لپارهample، د کارپوریټ قواعدو پابند کول) او دا چې د داسې فرعي پروسیجرونو سره د خپل ملکیت تړونونه ممکن د معیاري قراردادي بندونو سره یوځای یا منعکس نه کړي، سره له دې چې د معیاري قراردادي بندونو 9(b) فقره کې کوم څه مخالف دي. په هرصورت، د فرعي پروسیسر سره هر ډول تړون باید د ډیټا محافظت مکلفیتونه ولري چې د دې ضمیمه DPA کې د پیرودونکي ډیټا محافظت په اړه لږ محافظت نلري، تر هغه حده چې د داسې فرعي پروسیسر لخوا چمتو شوي خدماتو باندې پلي کیږي. د فرعي پروسیسر تړونونو کاپي چې باید د خپل ځان لخوا پیرودونکي ته د معیاري قراردادي بندونو 9 (c) بند سره سم چمتو شي یوازې د پیرودونکي په لیکلي غوښتنې سره به د مالک لخوا چمتو شي او ممکن ټول سوداګریز معلومات ولري، یا بندونه د دې سره تړاو نلري. معیاري قراردادي بندونه یا د دوی معادل، مخکې له مخکې د خپل ځان لخوا لرې شوي.
   f) پلټنې او تصدیقونه. اړخونه موافق دي چې د معیاري قراردادي بندونو په 8.9 بند او 13 (b) بند کې تشریح شوي پلټنې باید د موجوده DPA شرایطو سره سم ترسره شي.
   g) د معلوماتو پاکول. اړخونه موافق دي چې د معیاري قراردادي بندونو د 8.5 بند یا بند 16 (d) لخوا په پام کې نیول شوي ډیټا له مینځه وړل یا بیرته راستنیدل باید د موجوده DPA شرایطو سره سم ترسره شي او د حذف کولو هر ډول تصدیق باید یوازې د پیرودونکي لخوا چمتو شي. غوښتنه
   h) د دریمې ډلې ګټه اخیستونکي. اړخونه موافق دي چې د SaaS خدماتو ماهیت پراساس، پیرودونکی باید ټول اړین مرستې چمتو کړي ترڅو خپل ځان ته اجازه ورکړي چې د معیاري قراردادي بندونو 3 بند لاندې د معلوماتو موضوعاتو ته خپل مکلفیتونه پوره کړي.
   i) د اغیزو ارزونه. د معیاري قراردادي بندونو د 14 فقرې سره سم، اړخونو د لیږد د ځانګړو شرایطو، د منزل هیواد قوانینو او کړنو او همدارنګه د ځانګړي ضمیمه قراردادي، سازماني او تخنیکي شرایطو په برخه کې تحلیل ترسره کړي. هغه محافظتونه چې پلي کیږي، او د هغو معلوماتو پر بنسټ چې په هغه وخت کې دوی ته په معقول ډول پیژندل شوي، دا معلومه کړې چې د منزل هیواد قوانین او کړنې د معیاري قراردادي بندونو الندې د هر ګوند د مکلفیتونو د پوره کولو مخه نه نیسي.
   j) د قانون او فورم اداره کول. اړخونه موافق دي، د OPTION 2 څخه تر 17 بند پورې، په هغه صورت کې چې د اروپايي اتحادیې غړی هیواد چې د ډیټا صادرونکی تاسیس شوی وي د دریمې ډلې ګټه اخیستونکي حقونو ته اجازه نه ورکوي، معیاري قراردادي بندونه به د قانون لخوا اداره کیږي. ایرلینډ. د 18 بند سره سم، د معیاري قراردادي بندونو سره تړلې شخړې باید په تړون کې مشخص شوي محکمو لخوا حل شي، پرته لدې چې دا ډول محکمه د اروپايي اتحادیې په غړي هیواد کې واقع نه وي، په دې حالت کې د دې ډول شخړو لپاره فورم به د آیرلینډ محکمه وي. .
   k) ضمیمه د معیاري قراردادي بندونو د اجرا کولو لپاره، مهال ویش 3: د پروسس توضیحات باید د ضمیمې IA او IB په توګه شامل شي، مهال ویش 4: د خپل امنیت کنټرولونه (کوم چې وخت په وخت تازه کیږي. https://www.owndata.com/trust/) باید د ضمیمې II په توګه شامل شي، او مهالویش 1: د اوسني فرعي پروسیسر لیست (لکه څنګه چې ممکن وخت په وخت تازه شي  https://www.owndata.com/legal/sub-p/) باید د ضمیمې III په توګه شامل شي.
   l) تفسیر. د دې مهالویش شرایط د دې لپاره دي چې روښانه شي او د معیاري قراردادي بندونو تعدیل نه کوي. د دې مهالویش او د معیاري قراردادي بندونو تر منځ د هر ډول تناقض یا تناقض په صورت کې، معیاري قراردادي بندونه باید غالب شي.
3. د سویس څخه د لیږد لپاره د تطبیق شرایط اړخونه موافق دي چې د سویس څخه د شخصي معلوماتو لیږد اسانه کولو لپاره د معیاري قراردادي بندونو پلي کولو موخو لپاره لاندې اضافي احکام پلي کیږي: (i) د مقرراتو (EU) 2016/679 هر ډول حوالې باید د اړوندو احکامو حواله کولو لپاره تشریح شي. د سویس فدرالي قانون د ډیټا محافظت او د سویس نور ډیټا محافظت قوانین ("د سویس ډیټا محافظت قانون") ، (ii) د "غړي هیواد" یا "EU غړي هیواد" یا "EU" هر ډول حوالې باید د سویزرلینډ حواله کولو لپاره تشریح شي. ، او (iii) د څارنې ادارې ته هر ډول حوالې باید د سویس فدرالي معلوماتو ساتنې او معلوماتو کمیشنر ته راجع کولو لپاره تشریح شي.
4. a) جدول 1: اړخونه، د هغوی جزئیات، او د دوی تماسونه هغه دي چې په 3 جدول کې بیان شوي.
   b) جدول 2: "منظور شوي EU معیاري قراردادي بندونه" باید معیاري قراردادي بندونه وي لکه څنګه چې په دې 5 مهال ویش کې بیان شوي.
   c) جدول 3: ضمیمې I(A)، I(B) او II بشپړ شوي لکه څنګه چې د دې مهالویش 2 (k) برخه کې بیان شوي.
   d) جدول 4: د انګلستان د ضمیمې په 19 برخه کې بیان شوي د اختیاري ابتدايي پای ته رسیدو حق پخپله کارول کیدی شي.

اسناد / سرچینې

د DocuSign ضمیمه ډیټا پروسس کولو ضمیمه [pdf] لارښوونې د معلوماتو د پروسس ضمیمه ضمیمه، د معلوماتو پروسس کولو ضمیمه، د پروسس ضمیمه، ضمیمه

حوالې

• د کارن لارښود