Addendum sa Pagproseso ng Karagdagang Data ng DocuSign

Addendum sa Pagproseso ng Karagdagang Data ng DocuSign

Mga nilalaman magtago
1 PAANO IPATUPAD ANG DPA NA ITO
2 PAANO ANG DPA NA ITO UMAPAT
3 Iskedyul 1 Kasalukuyang Listahan ng Sub-Processor
4 SCHEDULE 2 Mga Serbisyo ng SaaS na Naaangkop sa Pagproseso ng Personal na Data
5 Iskedyul 3 Mga Detalye ng Pagproseso
6 SCHEDULE 4 Sariling Mga Kontrol sa Seguridad 3.3
7 Iskedyul 5 Mga Probisyon sa Europa
8 Mga Dokumento / Mga Mapagkukunan
8.1 Mga sanggunian
9 Mga Kaugnay na Post

PAANO IPATUPAD ANG DPA NA ITO

  1. Ang Karagdagang DPA na ito ay binubuo ng dalawang bahagi: ang pangunahing bahagi ng Karagdagang DPA, at Mga Iskedyul 1, 2, 3, 4 at 5.
  2. Ang Karagdagang DPA na ito ay paunang nilagdaan sa ngalan ng Sariling.
  3. Upang makumpleto ang Karagdagang DPA na ito, ang Customer ay dapat na:
    a. Kumpletuhin ang Seksyon ng Pangalan ng Customer at Address ng Customer.
    b. Kumpletuhin ang impormasyon sa kahon ng lagda at lagdaan.
    c. I-verify na ang impormasyon sa Iskedyul 3 (“Mga Detalye ng Pagproseso”) ay tumpak na nagpapakita ng mga paksa at kategorya ng data na ipoproseso.
    d. Ipadala ang nakumpleto at nilagdaang Supplemental DPA sa Pagmamay-ari sa privacy@owndata.com.

Sa pagtanggap ng Sarili ng wastong nakumpletong Supplemental DPA sa email address na ito, ang Supplemental DPA na ito ay magiging legal na may bisa.

Ang lagda ng Karagdagang DPA na ito sa pahina 3 ay dapat ituring na pirma at pagtanggap ng mga Standard Contractual Clause (kabilang ang kanilang mga Appendice) at ang UK Addendum, na parehong isinama dito sa pamamagitan ng sanggunian.

PAANO ANG DPA NA ITO UMAPAT

Kung ang entity ng Customer na pumipirma sa Karagdagang DPA na ito ay isang partido sa Kasunduan, ang Karagdagang DPA na ito ay isang addendum sa at bahagi ng Kasunduan o Umiiral na DPA. Sa ganoong sitwasyon, ang Sariling entity na partido sa Kasunduan o Umiiral na DPA ay partido sa DPA na ito.

Kung ang entity ng Customer na pumirma sa Karagdagang DPA na ito ay nagsagawa ng Order Form na may Sarili o Kaakibat nito alinsunod sa Kasunduan o Kasalukuyang DPA, ngunit hindi mismo partido sa Kasunduan o Umiiral na DPA, ang Karagdagang DPA na ito ay isang addendum sa Order Form na iyon at naaangkop na pag-renew ng Mga Form ng Order, at ang Sariling entity na partido sa naturang Order Form ay partido sa Karagdagang DPA na ito.

Kung ang entity ng Customer na pumipirma sa Karagdagang DPA na ito ay hindi partido sa isang Order Form o sa Kasunduan o Kasalukuyang DPA, ang Karagdagang DPA na ito ay hindi wasto at hindi legal na may bisa. Dapat hilingin ng naturang entity na ang entity ng Customer na isang partido sa Kasunduan o Kasalukuyang DPA ay isakatuparan ang Karagdagang DPA na ito.

Kung ang entity ng Customer na pumipirma sa Supplemental DPA ay hindi isang partido sa isang Order Form o isang Master Subscription Agreement o Umiiral na DPA nang direkta sa Own, ngunit sa halip ay isang customer na hindi direkta sa pamamagitan ng isang awtorisadong reseller ng Sariling mga serbisyo, ang Supplemental DPA na ito ay hindi wasto at ito ay hindi legal na may bisa. Ang nasabing entity ay dapat makipag-ugnayan sa awtorisadong reseller upang talakayin kung kinakailangan ang isang pagbabago sa kasunduan nito sa reseller na iyon.

Kung sakaling magkaroon ng anumang salungatan o hindi pagkakapare-pareho sa pagitan ng Karagdagang DPA na ito at ng anumang iba pang kasunduan sa pagitan ng Customer at Pagmamay-ari (kabilang ang, nang walang limitasyon, ang Kasunduan o Umiiral na DPA), ang mga tuntunin ng Karagdagang DPA na ito ay makokontrol at mananaig.

Ang Karagdagang Addendum sa Pagproseso ng Data na ito, kasama ang Mga Iskedyul at Appendice nito, (“Karagdagang DPA”) ay bahagi ng umiiral na Addendum sa Pagproseso ng Data na tinukoy sa itaas (“Kasalukuyang DPA”) sa pagitan ng OwnBackup Inc. (“Pagmamay-ari”) at ng Customer. Ang pinagsamang Supplemental DPA na ito at ang Umiiral na DPA ay bubuo ng kumpletong kasunduan sa pagproseso ng data (ang “DPA”) upang idokumento ang kasunduan ng mga partido tungkol sa Pagproseso ng Personal na Data. Kung ang naturang Customer entity at Own ay hindi pumasok sa isang Kasunduan, ang DPA na ito ay walang bisa at walang legal na epekto.

Ang entity ng Customer na pinangalanan sa itaas ay pumapasok sa Karagdagang DPA na ito para sa sarili nito at, kung ang alinman sa mga Affiliate nito ay kumilos bilang Mga Controller ng Personal na Data, sa ngalan ng mga Awtorisadong Affiliate na iyon. Ang lahat ng naka-capitalize na termino na hindi tinukoy dito ay magkakaroon ng kahulugang itinakda sa Kasunduan.

Sa kurso ng pagbibigay ng Mga Serbisyo ng SaaS sa Customer sa ilalim ng Kasunduan, ang Own ay maaaring Magproseso ng Personal na Data sa ngalan ng Customer. Ang mga partido ay sumasang-ayon sa mga sumusunod na pandagdag na tuntunin kaugnay ng naturang Pagproseso.

  1. MGA KAHULUGAN
    “CCPA” ay nangangahulugan ng California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et. seq., gaya ng sinusugan ng California Privacy Rights Act of 2020 at kasama ng anumang mga regulasyon sa pagpapatupad.
    “Controller” nangangahulugang ang entity na tumutukoy sa mga layunin at paraan ng Pagproseso ng Personal na Data at itinuring na tumutukoy din sa isang "negosyo" tulad ng tinukoy sa CCPA.
    “Customer” nangangahulugang ang entity na pinangalanan sa itaas at ang mga Affiliate nito.
    “Mga Batas at Regulasyon sa Proteksyon ng Data” nangangahulugang lahat ng batas at regulasyon ng European Union at nito
    mga miyembrong estado, ang European Economic Area at ang mga miyembrong estado nito, ang United Kingdom, Switzerland, United States, Canada, New Zealand, at Australia, at ang kani-kanilang mga political subdivision, na naaangkop sa Pagproseso ng Personal na Data. Kabilang dito ang, ngunit hindi limitado sa, ang mga sumusunod, sa lawak na naaangkop: ang GDPR, UK Data Protection Law, ang CCPA, ang Virginia Consumer Data Protection Act (“VCDPA”), ang Colorado Privacy Act at mga nauugnay na regulasyon (“CPA). ”), ang Utah Consumer Privacy Act (“UCPA”), at ang Connecticut Act Concerning Personal Data Privacy and Online Monitoring (ang “CPPDA”).
    "Paksa ng Data" nangangahulugang ang kinilala o makikilalang tao kung kanino nauugnay at kasama ang Personal na Data “consumer” gaya ng tinukoy sa Mga Batas at Regulasyon sa Proteksyon ng Data. “Europa” nangangahulugang European Union, European Economic Area, Switzerland, at United Kingdom. Ang mga karagdagang probisyon na naaangkop sa mga paglilipat ng Personal na Data mula sa Europe ay nasa Iskedyul 5. Kung sakaling maalis ang Iskedyul 5, ginagarantiyahan ng Customer na hindi nito ipoproseso ang Personal na Data na napapailalim sa Mga Batas at Regulasyon sa Proteksyon ng Data ng Europe.
    “GDPR” nangangahulugang ang Regulasyon (EU) 2016/679 ng European Parliament at ng Konseho ng 27 Abril 2016 sa proteksyon ng mga natural na tao patungkol sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data, at pagpapawalang-bisa sa Directive 95/46 /EC (General Data Protection Regulation).
    "Sariling Grupo" ay nangangahulugan ng Pagmamay-ari at ng mga Kaakibat nito na nakikibahagi sa Pagproseso ng Personal na Data.
    "Personal na Data" nangangahulugang anumang impormasyong nauugnay sa (i) isang kinilala o nakikilalang natural na tao at, (ii) isang kinilala o nakikilalang legal na entity (kung saan ang naturang impormasyon ay pinoprotektahan katulad ng personal na data, personal na impormasyon, o personal na nakakapagpakilalang impormasyon sa ilalim ng naaangkop na Mga Batas at Regulasyon sa Proteksyon ng Data. ), kung saan para sa bawat (i) o (ii), ang naturang data ay Data ng Customer.
    "Mga Serbisyo sa Personal na Pagproseso ng Data" nangangahulugang ang Mga Serbisyo ng SaaS na nakalista sa Iskedyul 2, kung saan maaaring iproseso ng Own ang Personal na Data.
    "Pagproseso" nangangahulugang anumang operasyon o hanay ng mga operasyon na isinagawa sa Personal na Data, sa pamamagitan man ng awtomatikong paraan, tulad ng pagkolekta, pagtatala, organisasyon, pag-istruktura, pag-iimbak, pagbagay o pagbabago, pagkuha, konsultasyon, paggamit, pagsisiwalat sa pamamagitan ng paghahatid, pagpapakalat o kung hindi man ginagawang magagamit, pagkakahanay o kumbinasyon, paghihigpit, pagbura o pagkawasak.
    Ang ibig sabihin ng “Processor” ay ang entity na Nagpoproseso ng Personal na Data sa ngalan ng Controller, kabilang ang anumang naaangkop na “service provider” ayon sa pagkakatukoy ng terminong iyon ng CCPA.
    "Mga Karaniwang Sugnay sa Kontratwal" nangangahulugang ang Annex sa desisyon ng pagpapatupad ng European Commission
    (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ng 4 Hunyo 2021 sa Standard Contractual Clauses para sa paglilipat ng personal na data sa mga processor na itinatag sa mga ikatlong bansa alinsunod sa Regulation (EU) 2016/679 ng European Parliament at ng Council of the European Union at napapailalim sa mga kinakailangang pagbabago para sa United Ang Kingdom at Switzerland ay higit na inilarawan sa Iskedyul 5.
    Ang ibig sabihin ng “Sub-processor” ay anumang Processor na nakikibahagi ng Sariling, ng isang miyembro ng Sariling Grupo o ng isa pang Sub-processor.
    "Awtoridad sa pangangasiwa" nangangahulugang isang katawan ng regulasyon ng pamahalaan o chartered ng gobyerno na may umiiral na legal na awtoridad sa Customer.
    “UK Addendum” nangangahulugang ang United Kingdom International Data Transfer Addendum sa EU Commission Standard Contractual Clauses (available simula 21 March 2022 sa https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), natapos gaya ng inilarawan sa Iskedyul 5.
    "Batas sa Proteksyon ng Data sa UK" ay nangangahulugan ng Regulasyon 2016/679 ng European Parliament at ng Konseho sa proteksyon ng mga natural na tao patungkol sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data dahil ito ay bahagi ng batas ng England at Wales, Scotland at Northern Ireland sa bisa ng seksyon 3 ng European Union (Withdrawal) Act 2018, na maaaring susugan paminsan-minsan ng Data Protection Laws and Regulations ng United Kingdom.
  2. HANAY NG UNA
    a. Maliban sa mga Standard Contractual Clause na kasama rito, na dapat mauna, kung sakaling magkaroon ng anumang hindi pagkakatugma sa pagitan ng Supplemental DPA na ito at ng Umiiral na DPA, ang mga tuntunin ng Umiiral na DPA ay mananaig.
  3. LIMITASYON NG PANANAGUTAN
    a. Sa lawak na pinahihintulutan ng Mga Batas at Regulasyon sa Proteksyon ng Data, ang pananagutan ng bawat partido at ng lahat ng mga Affiliate nito, na pinagsama-sama, na nagmumula sa o nauugnay sa Karagdagang DPA na ito, nasa kontrata man, tort o sa ilalim ng anumang iba pang teorya ng pananagutan, ay napapailalim sa mga sugnay na "Limitasyon ng Pananagutan", at iba pang mga sugnay na nagbubukod o naglilimita sa pananagutan, ng Kasunduan, at ang anumang pagtukoy sa naturang mga sugnay sa pananagutan ng isang partido ay nangangahulugang ang pinagsama-samang pananagutan ng partidong iyon at ng lahat ng Kaakibat nito.
  4. MGA PAGBABAGO SA TRANSFER MECHANISMS
    a. Kung sakaling ang isang kasalukuyang mekanismo ng paglipat na umaasa sa mga partido para sa pagpapadali ng mga paglilipat ng Personal na Data sa isa o higit pang mga bansa na hindi nagsisiguro ng sapat na antas ng proteksyon ng data sa loob ng kahulugan ng Mga Batas at Regulasyon sa Proteksyon ng Data ay hindi wasto, susugan. , o pinalitan ang mga partido ay gagana nang may mabuting pananampalataya upang maisabatas ang naturang alternatibong mekanismo ng paglipat upang paganahin ang patuloy na Pagproseso ng Personal na Data na pinag-isipan ng Kasunduan. Ang paggamit ng naturang alternatibong mekanismo ng paglipat ay sasailalim sa katuparan ng bawat partido sa lahat ng legal na kinakailangan para sa paggamit ng naturang mekanismo ng paglilipat.

Ang mga awtorisadong pumirma ng mga partido ay nararapat na naisakatuparan ang Kasunduang ito, kasama ang lahat ng naaangkop na Iskedyul, Mga Annex, at Mga Appendice na kasama rito.

Lagda

Listahan ng mga Iskedyul

Iskedyul 1: Kasalukuyang Listahan ng Sub-Processor
Iskedyul 2: Mga Serbisyo ng SaaS na Naaangkop sa Pagproseso ng Personal na Data
Iskedyul 3: Mga Detalye ng Pagproseso
Iskedyul 4: Sariling Mga Kontrol sa Seguridad
Iskedyul 5: Mga Probisyon sa Europa

Iskedyul 1 Kasalukuyang Listahan ng Sub-Processor

Pangalan ng Sub-Processor Address ng Sub-Processor Kalikasan ng Pagproseso Tagal ng Pagproseso Lokasyon ng Pagproseso
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israel Suporta at pagpapanatili ng customer Para sa termino ng Kasunduan. Israel
Amazon Web Services, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, USA Pagho-host ng application at pag-iimbak ng data Para sa termino ng Kasunduan. United States, Canada, Germany, United Kingdom, o Australia
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, USA Pagho-host ng application at pag-iimbak ng data Para sa termino ng Kasunduan. Netherlands o Estados Unidos
Elasticsearch, Inc.** 800 West El Camino Real, Suite 350, Bundok View, California 94040, USA Pag-index at paghahanap Para sa termino ng Kasunduan. Netherlands o Estados Unidos

* Maaaring piliin ng customer ang alinman sa Amazon Web Mga Serbisyo o Microsoft (Azure) at ang nais nitong Lokasyon ng Pagproseso sa panahon ng paunang pag-setup ng Customer ng Mga Serbisyo ng SaaS.
** Nalalapat lang sa mga customer ng Archive na pipiliing mag-deploy sa Microsoft (Azure) Cloud.

SCHEDULE 2 Mga Serbisyo ng SaaS na Naaangkop sa Pagproseso ng Personal na Data

  • I-recover para sa ServiceNow
  • I-recover para sa Dynamics
  • I-recover para sa Salesforce
  • Governance Plus para sa Salesforce
  • Archive
  • Dalhin ang Iyong Sariling Key Management
  • Pabilisin

Iskedyul 3 Mga Detalye ng Pagproseso

Taga-export ng Data

Buong Legal na Pangalan: Pangalan ng Customer gaya ng tinukoy sa itaas
Pangunahing Address: Address ng Customer gaya ng tinukoy sa itaas
Makipag-ugnayan sa: Kung hindi ibinigay, ito ang magiging pangunahing contact sa Customer account.
Contact Email: Kung hindi ibinigay, ito ang magiging pangunahing email address sa pakikipag-ugnayan sa Customer account.

Taga-import ng Data 

Buong legal na pangalan: OwnBackup Inc.
Pangunahing Address: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Makipag-ugnayan sa: Opisyal sa Privacy
Contact Email: privacy@owndata.com

Kalikasan at Layunin ng Pagproseso

Ang sariling kalooban ay Nagpoproseso ng Personal na Data kung kinakailangan upang maisagawa ang Mga Serbisyo ng SaaS alinsunod sa Kasunduan at Mga Order, at bilang karagdagang itinagubilin ng Customer sa paggamit nito ng Mga Serbisyo ng SaaS.

Tagal ng Pagproseso

Ang Sariling kalooban ay Nagpoproseso ng Personal na Data para sa tagal ng Kasunduan, maliban kung napagkasunduan sa pagsulat.

Pagpapanatili

Ang sariling ay magpapanatili ng Personal na Data sa Mga Serbisyo ng SaaS para sa tagal ng Kasunduan, maliban kung napagkasunduan sa pagsulat, napapailalim sa maximum na panahon ng pagpapanatili na tinukoy sa Dokumentasyon.

Dalas ng Paglipat

Gaya ng natukoy ng Customer sa pamamagitan ng kanilang paggamit sa Mga Serbisyo ng SaaS.

Mga paglilipat sa (mga) Sub-processor 

Kung kinakailangan upang maisagawa ang Mga Serbisyo ng SaaS alinsunod sa Kasunduan at Mga Order, at bilang karagdagang inilalarawan sa Iskedyul 1.

Mga Kategorya ng Mga Paksa ng Data

Maaaring magsumite ang Customer ng Personal na Data sa Mga Serbisyo ng SaaS, ang lawak nito ay tinutukoy at kinokontrol ng Customer sa sarili nitong pagpapasya, at maaaring kasama ngunit hindi limitado sa Personal na Data na nauugnay sa mga sumusunod na kategorya ng mga paksa ng data:

  • Mga prospect, customer, kasosyo sa negosyo at vendor ng Customer (na mga natural na tao)
  • Mga empleyado o contact person ng mga prospect, customer, kasosyo sa negosyo at vendor ng Customer
  • Mga empleyado, ahente, tagapayo, freelancer ng Customer (na mga natural na tao) Mga user ng Customer na pinahintulutan ng Customer na gamitin ang Mga Serbisyo ng SaaS

Uri ng Personal na Data

Maaaring magsumite ang Customer ng Personal na Data sa Mga Serbisyo ng SaaS, na ang lawak nito ay tinutukoy at kinokontrol ng Customer sa sarili nitong pagpapasya, at maaaring kasama ngunit hindi limitado sa mga sumusunod na kategorya ng Personal na Data:

  • Pangalan at apelyido
  • Pamagat
  • Posisyon
  • Employer
  • Impormasyon sa pakikipag-ugnayan (kumpanya, email, telepono, pisikal na address ng negosyo)
  • Data ng ID
  • Data ng propesyonal na buhay
  • Data ng personal na buhay
  • Data ng lokalisasyon

Mga espesyal na kategorya ng data (kung naaangkop)

Maaaring magsumite ang Customer ng mga espesyal na kategorya ng Personal na Data sa Mga Serbisyo ng SaaS, ang lawak nito ay tinutukoy at kinokontrol ng Customer sa sarili nitong pagpapasya, at kung saan para sa kalinawan ay maaaring isama ang pagproseso ng genetic data, biometric data para sa layunin ng natatanging pagkilala sa isang natural na tao o data tungkol sa kalusugan. Tingnan ang mga hakbang sa Iskedyul 4 para sa kung paano pinoprotektahan ng Own ang mga espesyal na kategorya ng data at iba pang personal na data.

SCHEDULE 4 Sariling Mga Kontrol sa Seguridad 3.3

  1. Panimula
    1. Ang mga sariling software-as-a-service na application (SaaS Services) ay idinisenyo mula sa simula nang may iniisip na seguridad. Ang Mga Serbisyo ng SaaS ay naka-architect na may iba't ibang mga kontrol sa seguridad sa maraming mga antas upang matugunan ang isang hanay ng mga panganib sa seguridad. Ang mga kontrol sa seguridad na ito ay napapailalim sa pagbabago; gayunpaman, ang anumang mga pagbabago ay magpapanatili o magpapahusay sa pangkalahatang postura ng seguridad.
    2. Ang mga paglalarawan ng mga kontrol sa ibaba ay nalalapat sa mga pagpapatupad ng Serbisyo ng SaaS sa parehong Amazon Web Mga platform ng Services (AWS) at Microsoft Azure (Azure) (magkasamang tinutukoy bilang aming Mga Cloud Service Provider, o CSP), maliban sa tinukoy sa seksyong Encryption sa ibaba. Ang mga paglalarawan ng mga kontrol na ito ay hindi nalalapat sa RevCult software maliban sa ibinigay sa ilalim ng "Secure Software Development" sa ibaba.
  2. Mga Pag-audit at Sertipikasyon
    1. Ang SaaS Services ay certified sa ilalim ng ISO/IEC 27001:2013 (Information Security Management System) at ISO/IEC 27701:2019 (Privacy Information Management System).
    2. Sumasailalim ang Own sa taunang pag-audit ng SOC2 Type II sa ilalim ng SSAE-18 upang independiyenteng i-verify ang pagiging epektibo ng mga kasanayan, patakaran, pamamaraan, at operasyon sa seguridad ng impormasyon nito para sa sumusunod na Mga Pamantayan sa Mga Serbisyo sa Pagtitiwala: Seguridad, Availability, Kumpidensyal, at Integridad sa Pagproseso.
    3. Ginagamit ng Own ang mga pandaigdigang rehiyon ng CSP para sa pag-compute at storage nito para sa Mga Serbisyo ng SaaS. Ang AWS at Azure ay mga top-tier na pasilidad na may ilang mga akreditasyon, kabilang ang SOC1 – SSAE-18, SOC2, SOC3, ISO 27001, at HIPAA.
  3. Web Mga Kontrol sa Seguridad ng Application
    1. Ang access ng customer sa Mga Serbisyo ng SaaS ay sa pamamagitan lamang ng HTTPS (TLS1.2+), na nagtatatag ng pag-encrypt ng data sa transit sa pagitan ng end-user at ng application at sa pagitan ng Own at ng third-party na data source (hal, Salesforce).
    2. Ang mga administrator ng Serbisyo ng SaaS ng customer ay maaaring magbigay at mag-alis ng pagkakaloob ng mga gumagamit ng Serbisyo ng SaaS at nauugnay na pag-access kung kinakailangan.
    3. Ang Mga Serbisyo ng SaaS ay nagbibigay ng mga kontrol sa pag-access na nakabatay sa tungkulin upang bigyang-daan ang mga customer na pamahalaan ang mga pahintulot ng multi-org.
    4. Maa-access ng mga administrator ng SaaS Service ng customer ang mga audit trail kabilang ang username, aksyon, timestamp, at mga field ng source IP address. Ang mga log ng pag-audit ay maaaring viewed at na-export ng administrator ng SaaS Service ng customer na naka-log in sa SaaS Services gayundin sa pamamagitan ng SaaS Services API.
    5. Ang pag-access sa Mga Serbisyo ng SaaS ay maaaring paghigpitan ng pinagmulang IP address.
    6. Ang SaaS Services ay nagbibigay-daan sa mga customer na paganahin ang multi-factor authentication para sa pag-access sa mga SaaS Service account na gumagamit ng time-based na isang beses na password.
    7. Ang SaaS Services ay nagbibigay-daan sa mga customer na i-enable ang single sign-on sa pamamagitan ng SAML 2.0 identity provider.
    8. Binibigyang-daan ng Mga Serbisyo ng SaaS ang mga customer na paganahin ang mga napapasadyang patakaran ng password upang makatulong na ihanay ang mga password ng Serbisyo ng SaaS sa mga patakaran ng kumpanya.
  4. Pag-encrypt
    1. Nag-aalok ang Own ng mga sumusunod na opsyon sa Serbisyo ng SaaS para sa pag-encrypt ng data sa pahinga:
      1. Karaniwang alay.
        • Ang data ay naka-encrypt gamit ang AES-256 server-side encryption sa pamamagitan ng isang pangunahing sistema ng pamamahala na napatunayan sa ilalim ng FIPS 140-2.
        • Ang envelope encryption ay ginagamit upang ang master key ay hindi umaalis sa Hardware Security Module (HSM).
        • Ang mga susi sa pag-encrypt ay iniikot nang hindi bababa sa bawat dalawang taon.
      2. Advanced na Key Management (AKM) na opsyon.
        • Naka-encrypt ang data sa isang nakalaang lalagyan ng imbakan ng bagay na may master encryption key (CMK) na ibinigay ng customer.
        • Ang AKM ay nagbibigay-daan para sa hinaharap na pag-archive ng susi at pag-ikot nito gamit ang isa pang master encryption key.
        • Maaaring bawiin ng customer ang mga master encryption key, na nagreresulta sa agarang kawalan ng access ng data.
      3. Dalhin ang Iyong Sariling Key Management System (KMS) na opsyon (available sa AWS lang).
        • Ang mga susi sa pag-encrypt ay ginawa sa sariling account ng customer, hiwalay na binili gamit ang AWS KMS.
        • Tinutukoy ng customer ang patakaran sa encryption key na nagpapahintulot sa SaaS Service account ng customer sa AWS na i-access ang key mula sa sariling AWS KMS ng customer.
        • Naka-encrypt ang data sa isang nakalaang lalagyan ng imbakan ng bagay na pinamamahalaan ng Own, at na-configure na gamitin ang encryption key ng customer.
        • Maaaring agad na bawiin ng customer ang access sa naka-encrypt na data sa pamamagitan ng pagbawi ng access ng Own sa encryption key, nang hindi nakikipag-ugnayan sa Own.
        • Ang mga sariling empleyado ay walang access sa mga encryption key anumang oras at hindi direktang ina-access ang KMS.
        • Ang lahat ng mga pangunahing aktibidad sa paggamit ay naka-log sa KMS ng customer, kabilang ang pagkuha ng key sa pamamagitan ng nakalaang imbakan ng bagay.
      4. Ang pag-encrypt sa transit sa pagitan ng SaaS Services at ng third-party na data source (hal, Salesforce) ay gumagamit ng HTTPS na may TLS 1.2+ at OAuth 2.0.
  5. Network
    1. Ginagamit ng SaaS Services ang mga kontrol sa network ng CSP upang paghigpitan ang pagpasok at paglabas ng network.
    2. Ang mga stateful na grupo ng seguridad ay ginagamit upang limitahan ang pagpasok at paglabas ng network sa mga awtorisadong endpoint.
    3. Gumagamit ang SaaS Services ng multi-tier na arkitektura ng network, kabilang ang maramihang, lohikal na pinaghihiwalay na Amazon Virtual Private Clouds (VPCs) o Azure Virtual Networks (VNets), na gumagamit ng pribado, DMZ, at hindi pinagkakatiwalaang mga zone sa loob ng imprastraktura ng CSP.
    4. Sa AWS, ang mga paghihigpit sa VPC S3 Endpoint ay ginagamit sa bawat rehiyon upang payagan ang pag-access mula lamang sa mga awtorisadong VPC.
  6. Pagsubaybay at Pag-audit
    1. Ang mga sistema at network ng Serbisyo ng SaaS ay sinusubaybayan para sa mga insidente sa seguridad, kalusugan ng system, mga abnormalidad sa network, at pagkakaroon.
    2. Gumagamit ang Mga Serbisyo ng SaaS ng intrusion detection system (IDS) para subaybayan ang aktibidad ng network at alertuhan ang Pag-aaring may kahina-hinalang gawi.
    3. Ang paggamit ng SaaS Services web application firewalls (WAFs) para sa lahat ng publiko web mga serbisyo.
    4. Sariling log application, network, user, at mga kaganapan sa operating system sa isang lokal na server ng syslog at isang partikular na rehiyon ng SIEM. Ang mga log na ito ay awtomatikong sinusuri at mulingviewed para sa kahina-hinalang aktibidad at pagbabanta. Ang anumang mga anomalya ay pinapataas kung naaangkop.
    5. Gumagamit ang sariling mga sistema ng impormasyon sa seguridad at pamamahala ng kaganapan (SIEM) na nagbibigay ng tuluy-tuloy na pagsusuri sa seguridad ng mga network at kapaligiran ng seguridad ng SaaS Services, pag-alerto sa anomalya ng user, pag-reconnaissance ng pag-atake ng command at control (C&C), awtomatikong pagtukoy ng pagbabanta, at pag-uulat ng mga indicator ng kompromiso (IOC). ). Ang lahat ng mga kakayahan na ito ay pinangangasiwaan ng Own's security at operations staff.
    6. Sinusubaybayan ng sariling pangkat ng pagtugon sa insidente ang security@owndata.com alias at tumutugon ayon sa Incident Response Plan (IRP) ng kumpanya kung naaangkop.
  7. Paghihiwalay sa Pagitan ng Mga Account
    1. Gumagamit ang SaaS Services ng Linux sandboxing upang ihiwalay ang data ng mga account ng customer sa panahon ng pagproseso. Nakakatulong ito upang matiyak na ang anumang anomalya (halample, dahil sa isang isyu sa seguridad o isang software bug) ay nananatiling nakakulong sa iisang Sariling account.
    2. Ang pag-access sa data ng nangungupahan ay kinokontrol sa pamamagitan ng mga natatanging user ng IAM na may data tagging na hindi pinapayagan ang mga hindi awtorisadong user na ma-access ang data ng nangungupahan.
  8. Pagbawi ng Sakuna
    1. Ang sariling ay gumagamit ng CSP object storage upang mag-imbak ng naka-encrypt na data ng customer sa maraming availability-zone.
    2. Para sa data ng customer na nakaimbak sa imbakan ng bagay, gumagamit si Own ng object versioning na may awtomatikong pagtanda upang suportahan ang pagsunod sa mga patakaran sa pagbawi at backup ng Own sa kalamidad. Para sa mga bagay na ito, ang mga sistema ng Own ay idinisenyo upang suportahan ang isang layunin ng punto ng pagbawi (RPO) na 0 oras (ibig sabihin, ang kakayahang mag-restore sa anumang bersyon ng anumang bagay tulad ng dati nitong 14 na araw).
    3. Ang anumang kinakailangang pagbawi ng isang instance ng compute ay nagagawa sa pamamagitan ng muling pagbuo ng instance batay sa automation ng pamamahala ng configuration ng Own.
    4. Ang Disaster Recovery Plan ng Own ay idinisenyo upang suportahan ang isang 4 na oras na layunin sa oras ng pagbawi (RTO).
  9. Pamamahala ng Kahinaan
    1. Ang sariling gumaganap ng pana-panahon web mga pagtatasa sa kahinaan ng application, pagsusuri ng static na code, at mga external na dynamic na pagtatasa bilang bahagi ng tuluy-tuloy na programa ng pagsubaybay nito upang makatulong na matiyak na ang mga kontrol sa seguridad ng aplikasyon ay wastong inilalapat at epektibong gumagana.
    2. Sa kalahating taon, kumukuha ang Own ng mga independiyenteng third-party na penetration tester para gumanap sa parehong network at web mga pagtatasa ng kahinaan. Kasama sa saklaw ng mga panlabas na pag-audit na ito ang pagsunod laban sa Open Web Application Security Project (OWASP) Top 10 Web Mga kahinaan (www.owasp.org).
    3. Ang mga resulta ng pagtatasa ng kahinaan ay isinama sa Own software development lifecycle (SDLC) upang ayusin ang mga natukoy na kahinaan. Ang mga partikular na kahinaan ay binibigyang-priyoridad at ipinasok sa Sariling panloob na sistema ng tiket para sa pagsubaybay sa pamamagitan ng paglutas.
  10. Tugon sa Insidente
    1. Kung sakaling magkaroon ng potensyal na paglabag sa seguridad, ang Sariling Koponan ng Pagtugon sa Insidente ay magsasagawa ng pagtatasa ng sitwasyon at bubuo ng naaangkop na mga diskarte sa pagpapagaan. Kung makumpirma ang isang potensyal na paglabag, agad na kikilos ang Own upang pagaanin ang paglabag at panatilihin ang forensic na ebidensya, at aabisuhan ang mga naapektuhang pangunahing punto ng pakikipag-ugnayan ng mga customer nang walang labis na pagkaantala upang ipaalam sa kanila ang sitwasyon at magbigay ng mga update sa status ng resolusyon.
  11. Secure na Software Development
    1. Gumagamit ang Own ng mga secure na kasanayan sa pag-develop para sa Own at RevCult software application sa buong ikot ng buhay ng software development. Kasama sa mga kasanayang ito ang static code analysis, Salesforce security review para sa mga RevCult na application at para sa Sariling mga application na naka-install sa mga pagkakataon ng Salesforce ng mga customer, peer review ng mga pagbabago sa code, paghihigpit sa pag-access sa repositoryo ng source code batay sa prinsipyo ng hindi bababa sa pribilehiyo, at pag-log sa pag-access at pagbabago sa repositoryo ng source code.
  12. Dedikadong Security Team
    1. Ang Own ay may dedikadong security team na may higit sa 100 taon ng pinagsamang multi-faceted information security experience. Bukod pa rito, ang mga miyembro ng koponan ay nagpapanatili ng ilang mga sertipikasyon na kinikilala ng industriya, kabilang ngunit hindi limitado sa CISM, CISSP, at ISO 27001 Lead Auditors.
  13. Privacy at Proteksyon ng Data
    1. Nagbibigay ang Own ng katutubong suporta para sa mga kahilingan sa pag-access sa paksa ng data, tulad ng karapatang burahin (karapatan na makalimutan) at anonymization, upang suportahan ang pagsunod sa mga regulasyon sa privacy ng data, kabilang ang General Data Protection Regulation (GDPR), ang Health Insurance Portability at Accountability Act (HIPAA), at California Consumer Privacy Act (CCPA). Nagbibigay din ang Own ng Data Processing Addendum upang tugunan ang mga batas sa privacy at proteksyon ng data, kabilang ang mga legal na kinakailangan para sa mga internasyonal na paglilipat ng data.
  14. Mga Pagsusuri sa Background
    1. Nagsasagawa ang Own ng isang panel ng mga background check, kabilang ang mga kriminal na pagsusuri sa background, ng mga tauhan nito na maaaring may access sa data ng mga customer, batay sa mga hurisdiksyon ng paninirahan ng empleyado sa loob ng nakaraang pitong taon, na napapailalim sa naaangkop na batas.
  15. Insurance
    Pinapanatili ng sariling, sa pinakamababa, ang sumusunod na saklaw ng seguro: (a) seguro sa kompensasyon ng mga manggagawa alinsunod sa lahat ng naaangkop na batas; (b) insurance sa pananagutan ng sasakyan para sa hindi pag-aari at inupahan na mga sasakyan, na may pinagsamang iisang limitasyon na $1,000,000; (c) komersyal na pangkalahatang pananagutan (pampublikong pananagutan) na insurance na may iisang limitasyon na saklaw na $1,000,000 bawat pangyayari at $2,000,000 pangkalahatang pinagsama-samang saklaw; (d) mga error at pagtanggal (professional indemnity) insurance na may limitasyon na $20,000,000 bawat kaganapan at $20,000,000 pinagsama-samang, kabilang ang pangunahin at labis na mga layer, at kabilang ang cyber liability, teknolohiya at propesyonal na serbisyo, mga produkto ng teknolohiya, data at seguridad ng network, pagtugon sa paglabag, regulasyon pagtatanggol at mga parusa, cyber extortion at mga pananagutan sa pagbawi ng data; at (e) hindi katapatan ng empleyado/seguro sa krimen na may saklaw na $5,000,000. Ang sariling ay magbibigay sa Customer ng ebidensya ng naturang insurance kapag hiniling.

Iskedyul 5 Mga Probisyon sa Europa

Malalapat lang ang iskedyul na ito sa mga paglilipat ng Personal na Data (kabilang ang mga pasulong na paglilipat) mula sa Europe na, sa kawalan ng aplikasyon ng mga probisyong ito, ay magiging sanhi ng paglabag sa Customer o Own sa naaangkop na Mga Batas at Regulasyon sa Proteksyon ng Data.

  1. Mekanismo ng Paglipat para sa Paglilipat ng Data.
    a) Ang mga Standard Contractual Clause ay nalalapat sa anumang paglilipat ng Personal na Data sa ilalim ng Supplemental DPA na ito mula sa Europe patungo sa mga bansang hindi nagtitiyak ng sapat na antas ng proteksyon ng data sa loob ng kahulugan ng Mga Batas at Regulasyon sa Proteksyon ng Data ng naturang mga teritoryo, hanggang sa napapailalim ang mga naturang paglilipat. sa naturang Mga Batas at Regulasyon sa Proteksyon ng Data. Pumapasok ang sariling sa Standard Contractual Clauses bilang data importer. Ang mga karagdagang tuntunin sa Iskedyul na ito ay nalalapat din sa mga naturang paglilipat ng data.
  2. Mga Paglilipat na napapailalim sa Karaniwang Mga Sugnay sa Kontrata.
    a) Mga Customer na Saklaw ng Mga Karaniwang Contractual Clause. Ang mga Standard Contractual Clause at ang mga karagdagang tuntuning tinukoy sa Iskedyul na ito ay nalalapat sa (i) Customer, hanggang sa ang Customer ay napapailalim sa Data Protection Laws and Regulations ng Europe at, (ii) sa mga Awtorisadong Affiliate nito. Para sa layunin ng Standard Contractual Clauses at ang Iskedyul na ito, ang mga nasabing entity ay "mga taga-export ng data."
    b) Mga module. Ang mga Partido ay sumasang-ayon na kung saan ang mga opsyonal na module ay maaaring ilapat sa loob ng Standard Contractual Clauses, na tanging ang mga may label na "MODULE TWO: Transfer controller to processor" ang dapat ilapat.
    c) Mga tagubilin. Sumasang-ayon ang Mga Partido na ang paggamit ng Customer sa Mga Serbisyo sa Pagpoproseso ng Personal na Data alinsunod sa Kasunduan at ang Umiiral na DPA ay itinuring na mga tagubilin ng Customer upang iproseso ang Personal na Data para sa mga layunin ng Clause 8.1 ng Standard Contractual Clauses.
    d) Paghirang ng mga Bagong Sub-processor at Listahan ng Kasalukuyang Sub-processor. Alinsunod sa OPTION 2 hanggang Clause 9(a) ng Standard Contractual Clauses, sumasang-ayon ang Customer na maaaring makipag-ugnayan ang Own ng mga bagong Sub processor gaya ng inilalarawan sa Umiiral na DPA at na ang Own's Affiliate ay maaaring panatilihin bilang Sub-processors, at Own and Own's Affiliates ay maaaring makipag-ugnayan Mga Sub-processor ng third-party na may kaugnayan sa probisyon ng Mga Serbisyo sa Pagproseso ng Data. Ang kasalukuyang listahan ng mga Sub-processor na naka-attach bilang Iskedyul 1.
    e) Mga Kasunduan sa Sub-processor. Ang mga partido ay sumang-ayon na ang mga paglilipat ng data sa mga Sub-processor ay maaaring umasa sa isang mekanismo ng paglilipat maliban sa Standard Contractual Clauses (para sa example, nagbubuklod na mga patakaran ng korporasyon), at ang mga kasunduan ng Own sa mga naturang Sub-processor ay maaaring hindi isama o i-mirror ang Standard Contractual Clauses, sa kabila ng anumang bagay na salungat sa clause 9(b) ng Standard Contractual Clauses. Gayunpaman, ang anumang naturang kasunduan sa isang Sub-processor ay dapat maglaman ng mga obligasyon sa proteksyon ng data na hindi gaanong proteksiyon kaysa sa mga nasa Karagdagang DPA na ito tungkol sa proteksyon ng Data ng Customer, sa lawak na naaangkop sa mga serbisyong ibinigay ng naturang Sub-processor. Ang mga kopya ng mga kasunduan sa Sub-processor na dapat ibigay ng Own sa Customer alinsunod sa Clause 9(c) ng Standard Contractual Clauses ay ibibigay ng Own lamang sa nakasulat na kahilingan ng Customer at maaaring magkaroon ng lahat ng komersyal na impormasyon, o mga clause na walang kaugnayan sa ang Standard Contractual Clauses o ang katumbas nito, inalis ng Own bago pa man.
    f) Mga Pag-audit at Sertipikasyon. Sumasang-ayon ang mga partido na ang mga pag-audit na inilalarawan sa Clause 8.9 at Clause 13(b) ng Standard Contractual Clause ay isasagawa alinsunod sa mga tuntunin ng Umiiral na DPA.
    g) Pagbubura ng Data. Sumasang-ayon ang mga partido na ang pagbura o pagbabalik ng data na pinag-iisipan ng Clause 8.5 o Clause 16(d) ng Standard Contractual Clauses ay gagawin alinsunod sa mga tuntunin ng Umiiral na DPA at anumang sertipikasyon ng pagtanggal ay ibibigay ng Own lamang sa Customer. hiling.
    h) Mga Makikinabang ng Third-Party. Sumasang-ayon ang mga partido na batay sa katangian ng Mga Serbisyo ng SaaS, ibibigay ng Customer ang lahat ng tulong na kinakailangan upang payagan ang Own na matugunan ang mga obligasyon nito sa mga paksa ng data sa ilalim ng Clause 3 ng Standard Contractual Clauses.
    i) Pagtatasa ng Epekto. Alinsunod sa Clause 14 ng Standard Contractual Clauses, ang mga partido ay nagsagawa ng pagsusuri, sa konteksto ng mga partikular na kalagayan ng paglilipat, ng mga batas at kasanayan ng destinasyong bansa, gayundin ang partikular na pandagdag na kontraktwal, organisasyon, at teknikal. mga pananggalang na nalalapat, at, batay sa impormasyong makatwirang alam nila sa panahong iyon, ay nagpasiya na ang mga batas at gawi ng patutunguhang bansa ay hindi pumipigil sa mga partido na tuparin ang mga obligasyon ng bawat partido sa ilalim ng Standard Contractual Clauses.
    j) Namamahala sa Batas at Forum. Ang mga partido ay sumasang-ayon, patungkol sa OPTION 2 hanggang Clause 17, na kung sakaling ang EU Member State kung saan itinatag ang data exporter ay hindi nagpapahintulot para sa mga karapatan ng benepisyaryo ng third-party, ang Standard Contractual Clauses ay pamamahalaan ng batas ng Ireland. Alinsunod sa Clause 18, ang mga hindi pagkakaunawaan na nauugnay sa Standard Contractual Clauses ay dapat lutasin ng mga korte na tinukoy sa Kasunduan, maliban kung ang naturang hukuman ay hindi matatagpuan sa isang EU Member State, kung saan ang forum para sa mga naturang hindi pagkakaunawaan ay ang mga korte ng Ireland .
    k) Mga Annex. Para sa mga layunin ng pagpapatupad ng Standard Contractual Clauses, Iskedyul 3: Ang mga Detalye ng Pagproseso ay dapat isama bilang ANNEX IA at IB, Iskedyul 4: Sariling Mga Kontrol sa Seguridad (na maaaring i-update paminsan-minsan sa https://www.owndata.com/trust/) ay dapat isama bilang ANNEX II, at Iskedyul 1: Kasalukuyang Listahan ng Sub Processor (tulad ng maaaring i-update paminsan-minsan sa  https://www.owndata.com/legal/sub-p/) ay dapat isama bilang ANNEX III.
    l) Interpretasyon. Ang mga tuntunin ng Iskedyul na ito ay nilayon upang linawin at hindi baguhin ang Mga Karaniwang Sugnay sa Kontrata. Kung sakaling magkaroon ng anumang salungatan o hindi pagkakapare-pareho sa pagitan ng katawan ng Iskedyul na ito at ng Standard Contractual Clauses, ang Standard Contractual Clauses ay mananaig.
  3. Mga Probisyon na Naaangkop sa Mga Paglilipat mula sa Switzerland Ang mga partido ay sumang-ayon na para sa mga layunin ng pagiging angkop ng Mga Karaniwang Contractual Clause upang mapadali ang mga paglilipat ng Personal na Data mula sa Switzerland ang mga sumusunod na karagdagang probisyon ay dapat ilapat: (i) Anumang mga pagtukoy sa Regulasyon (EU) 2016/679 ay dapat bigyang-kahulugan upang sumangguni sa mga kaukulang probisyon ng Swiss Federal Act on Data Protection at iba pang mga batas sa proteksyon ng data ng Switzerland (“Swiss Data Protection Laws”), (ii) Anumang pagtukoy sa “Member State” o “EU Member State” o “EU” ay dapat bigyang-kahulugan na tumutukoy sa Switzerland , at (iii) Anumang mga pagtukoy sa Supervisory Authority, ay dapat bigyang-kahulugan na sumangguni sa Swiss Federal Data Protection and Information Commissioner.
  4. a) Talahanayan 1: Ang mga partido, ang kanilang mga detalye, at ang kanilang mga contact ay ang mga nakalagay sa Iskedyul 3.
    b) Talahanayan 2: ang “Mga Inaprubahang Pangkaraniwang Kontratwal na Sugnay ng EU” ay ang mga Karaniwang Sugnay sa Kontratwal na itinakda sa Iskedyul 5 na ito.
    c) Talahanayan 3: Ang mga Annex I(A), I(B), at II ay kinumpleto gaya ng itinakda sa seksyon 2(k) ng Iskedyul 5 na ito.
    d) Talahanayan 4: Maaaring gamitin ng sarili ang opsyonal na karapatan sa maagang pagwawakas na inilarawan sa Seksyon 19 ng UK Addendum.

Addendum sa Pagproseso ng Karagdagang Data ng DocuSign

Mga Dokumento / Mga Mapagkukunan

Addendum sa Pagproseso ng Karagdagang Data ng DocuSign [pdf] Mga tagubilin
Karagdagang Addendum sa Pagproseso ng Data, Addendum sa Pagproseso ng Data, Addendum sa Pagproseso, Addendum

Mga sanggunian

Mga Kaugnay na Post

Mag-iwan ng komento

Ang iyong email address ay hindi maipa-publish. Ang mga kinakailangang field ay minarkahan *