Ownbackup 數據處理附錄說明

該產品是 OwnBackup 提供的資料處理附錄 (DPA)。它旨在促進代表客戶處理個人資料。 DPA 由主體和幾個概述資料處理協議條款和條件的附表組成。
DPA 適用於 2023 年，並已由 OwnBackup 預先簽署。它需要客戶填寫並簽名才能具有法律約束力。 DPA 包含根據相關資料保護法律和法規（例如《一般資料保護規範》(GDPR)）保護個人資料的規定。

產品使用說明

Review DPA 及其相關時間表，以了解條款和條件。
填寫 DPA 第 2 頁的客戶名稱和客戶地址部分。

在第 6 頁的簽名框中籤名。
驗證附表 3 上的資訊是否準確反映了要處理的資料的主題和類別。

將填寫完畢並簽名的 DPA 發送至 OwnBackup，網址為隱私@ownbackup.com.
收到有效填寫的 DPA 後，OwnBackup 將認為其具有法律約束力。

如何執行此 DPA

本 DPA 由兩部分組成：DPA 正文和附表 1、2、3、4 和 5。
本 DPA 已代表 OwnBackup 預先簽署。
要完成此 DPA，客戶必須：
1. 填寫第 2 頁的客戶名稱和客戶地址部分。
2. 填寫簽名框中的資訊並在第 6 頁簽名。
3. 驗證附表 3 上的資訊（「處理詳細資料」）是否準確反映了要處理的資料的主題和類別。
4. 將填寫完畢並簽名的 DPA 發送至 OwnBackup，網址為隱私@ownbackup.com.

OwnBackup 透過此電子郵件地址收到有效填寫的 DPA 後，該 DPA 將具有法律約束力。
本 DPA 在第 6 頁的簽名應被視為構成對標準合約條款（包括其附錄）和英國附錄的簽署和接受，兩者均透過引用併入本文。

本 DPA 如何適用

如果簽署本 DPA 的客戶實體是本協議的一方，則本 DPA 是本協議的附錄並構成本協議的一部分。在這種情況下，作為協議一方的 OwnBackup 實體也是本 DPA 的一方。

如果簽署本 DPA 的客戶實體已根據本協議與 OwnBackup 或其附屬公司簽署了訂單，但其本身並非本協議的一方，則本 DPA 是該訂單和適用的續訂訂單以及 OwnBackup 的附錄。作為該訂單一方的實體也是本DPA 的一方。
如果簽署本 DPA 的客戶實體既不是訂單也不是協議的一方，則本 DPA 無效且不具有法律約束力。此類實體應要求作為協議一方的客戶實體執行本 DPA。

如果簽署 DPA 的客戶實體不是直接與 OwnBackup 簽訂訂單或主訂閱協議的一方，而是透過 OwnBackup 服務的授權經銷商間接成為客戶，則本 DPA 無效且不具有法律約束力。此類實體應聯絡授權經銷商，討論是否需要修改與該經銷商的協議。
如果本 DPA 與客戶與 OwnBackup 之間的任何其他協議（包括但不限於本協議或本協議的任何資料處理附錄）之間存在任何衝突或不一致，則以本 DPA 的條款為準。

本數據處理附錄，包括其附表和附錄（“DPA”）構成 OwnBackup Inc.（“OwnBackup”）與上述客戶實體之間關於購買在線服務的主訂閱協議或其他書面或電子協議的一部分OwnBackup（“協議”）記錄雙方關於個人數據處理的協議。如果此類客戶實體和 OwnBackup 未簽訂協議，則本 DPA 無效且不具有法律效力。
上述客戶實體為其自身簽訂本 DPA，如果其任何關聯公司擔任個人數據控制者，則代表這些授權關聯公司簽訂本 DPA。本協議中未定義的所有大寫術語應具有協議中規定的含義。
在根據協議向客戶提供 SaaS 服務的過程中，OwnBackup 可以代表客戶處理個人數據。雙方就此類處理同意以下條款。

定義

「CCPA」指《加州消費者隱私法》，Cal. 公民。法典 § 1798.100 等。 seq.，經 2020 年《加州隱私權法案》及任何實施條例修訂。「控制者」是指確定個人資料處理的目的和方式的實體，也被視為指 CCPA 中定義的「企業」。

“客戶”是指上述實體及其關聯公司。
「資料保護法律和法規」指歐盟及其成員國、歐洲經濟區及其成員國、英國、瑞士、美國、加拿大、紐西蘭和澳洲的所有法律和法規，及其適用於個人資料處理的各自政治分區。其中包括但不限於以下適用範圍：GDPR、英國資料保護法、CCPA、維吉尼亞州消費者資料保護法（「VCDPA」）、科羅拉多州隱私法和相關法規（「CPA」）」）、猶他州消費者隱私法（“UCPA”）和康乃狄克州《個人資料隱私和線上監控法案》（“CPDPA”）。「資料主體」是指與個人資料相關的已識別或可識別的人員，包括資料保護法律法規中定義的「消費者」。「歐洲」指歐盟、歐洲經濟區、瑞士和英國。
適用於從歐洲傳輸個人資料的附加條款包含在附表 5 中。如果附表 5 被刪除，客戶保證其不會根據歐洲資料保護法律和法規處理個人資料。

“GDPR”是指歐洲議會和理事會 2016 年 679 月 27 日頒布的關於在個人數據處理和此類數據自由流動方面保護自然人的法規 (EU) 2016/95，並廢除指令46/XNUMX/EC（通用數據保護條例）。
“OwnBackup 集團”是指從事個人數據處理的 OwnBackup 及其附屬公司。

“個人數據”是指與(i) 已識別或可識別的自然人以及(ii) 已識別或可識別的法人實體相關的任何信息（此類信息與適用數據下的個人數據、個人信息或個人身份信息受到類似的保護）保護法律和法規），其中對於 (i) 或 (ii) 項，此類數據是客戶數據。
“個人數據處理服務”是指附表 2 中列出的 SaaS 服務，OwnBackup 可以為其處理個人數據。

「處理」是指對個人資料執行的任何操作或一組操作，無論是否透過自動方式，例如收集、記錄、組織、建置、儲存、改編或變更、檢索、諮詢、使用、透過傳輸揭露、傳播或以其他方式提供、排列或組合、限制、擦除或破壞。「處理者」指代表控制者處理個人資料的實體，包括 CCPA 定義的任何「服務提供者」（如適用）。
“標準合同條款”是指歐盟委員會2021 年914 月2021 日關於標準合同條款的實施決定(EU) 914/4 https://eur-lex.europa.eu/eli/dec_impl/2021/2016/oj)的附件根據歐洲議會和歐盟理事會的 (EU) 679/5 條例，將個人數據傳輸給在第三國設立的處理者，並遵守附表 XNUMX 中進一步描述的瑞士所需的修正案。

“分處理者”是指 OwnBackup、OwnBackup 集團成員或其他分處理者聘用的任何處理者。
“監管機構”是指對客戶具有約束力的法律權力的政府或政府特許監管機構。

“英國附錄”是指歐盟委員會標準合同條款的英國國際數據傳輸附錄（自21 年2022 月5 日起可在https://ico.org.uk/for-organizations/guideto-data-protection/guide- to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/)，按照附表 XNUMX 的說明完成。
「英國資料保護法」指歐洲議會和理事會關於在個人資料處理方面保護自然人以及此類資料自由流動的第 2016/679 號條例，該條例構成英格蘭法律的一部分以及威爾斯、蘇格蘭和北愛爾蘭，依據《3 年歐盟（退出）法案》第2018 條（該法案可能會根據英國資料保護法律和法規不時修訂）

個人資料處理

範圍。雙方同意本 DPA 僅適用於個人資料處理服務中的個人資料處理。
各方的角色。雙方同意，就個人資料的處理而言，客戶是控制者，OwnBackup 是處理者。
OwnBackup 對個人資料的處理。 OwnBackup 應將個人資料視為機密訊息，並應代表且僅按照客戶的書面指示處理個人數據，以實現以下目的： (i) 根據協議和適用訂單進行處理； (ii) 客戶人員在使用 SaaS 服務時所發起的處理； (iii) 處理以遵守客戶提供的其他書面合理指示（例如透過電子郵件），前提是此類指示與協議條款一致。
處理限制。 OwnBackup 不得：(i) 「出售」或「共享」個人資料（此類術語在資料保護法律和法規中定義）； (ii) 為執行 SaaS 服務以外的任何商業或其他目的保留、使用、揭露或處理個人資料； (iii) 在客戶與 OwnBackup 之間的直接業務關係之外保留、使用或揭露個人資料。 OwnBackup 應遵守資料保護法律和法規中有關將個人資料與 OwnBackup 從其他人或代表其他人接收的個人資料或 OwnBackup 從其與任何個人之間的任何互動中收集的個人資料相結合的適用限制。
非法指示通知；未經授權的處理。如果 OwnBackup 認為客戶的指示違反了任何資料保護法律或法規，則應立即通知客戶。客戶保留在收到通知後採取合理且適當的措施來停止和糾正未經授權的個人資料使用的權利，包括未經本 DPA 授權的個人資料的使用。
處理的詳細資訊。 OwnBackup 處理個人資料的主題是根據協議執行 SaaS 服務。處理的持續時間、處理的性質和目的、個人資料的類型以及根據本 DPA 處理的資料主體的類別在附表 3（處理詳細資訊）中進一步規定。
資料保護影響評估。根據客戶的要求，OwnBackup 應合理協助客戶履行資料保護法律法規規定的客戶義務，進行與客戶使用 SaaS 服務相關的資料保護影響評估，前提是客戶無法以其他方式存取相關資訊和此類資訊可供OwnBackup使用。 OwnBackup 應在適用資料保護法律和法規要求的範圍內，合理協助客戶就任何此類資料保護影響評估與監管機構進行合作或事先協商。
客戶有關個人資料的義務。在使用 SaaS 服務時，客戶將遵守資料保護法律和法規，包括向資料主體發出通知和/或獲得資料主體同意以供 OwnBackup 處理的任何適用要求。客戶應確保其個人資料處理指令符合資料保護法律和法規。
客戶應對個人資料的準確性、品質和合法性以及客戶獲取個人資料的方式承擔全部責任。客戶應確保其對 SaaS 服務的使用不會侵犯任何選擇退出銷售、共享或以其他方式揭露個人資料的資料主體的權利（在適用的範圍內）。客戶應確保客戶資料不包含任何符合法國公共衛生法第 L.1111-8 條保護的個人健康數據的數據

索取客戶數據

來自資料主體的請求。如果 OwnBackup 收到資料主體提出的行使資料主體的存取權、更正權、限制處理權、刪除權（「被遺忘權」）的請求，OwnBackup 應在法律允許的範圍內立即通知客戶、資料可攜性的權利、反對處理的權利或不受自動個人決策影響的權利，每個此類請求都是「資料主體請求」。考慮到處理的性質，OwnBackup 應盡可能透過適當的技術和組織措施協助客戶，以履行客戶根據資料保護法律和法規回應資料主體請求的義務。此外，如果客戶在使用 SaaS 服務時無法解決資料主體請求，OwnBackup 應根據客戶的請求，採取商業上合理的努力來協助客戶回應此類資料主體請求，在法律允許OwnBackup 這樣做的範圍內，並且根據資料保護法律和法規要求對此類資料主體請求做出回應。如果此類協助超出了合約 SaaS 服務的範圍，並且在法律允許的範圍內，客戶將負責承擔因協助而產生的任何額外費用。
其他第三方的請求。如果 OwnBackup 收到資料主體以外的第三方（包括但不限於政府機構）對客戶資料的請求，OwnBackup 應在法律允許的情況下將請求方引導至客戶，並立即將該請求通知客戶。如果法律不允許 OwnBackup 通知客戶該要求，OwnBackup 僅應在法律要求的情況下回覆請求方，並將盡合理努力與請求方合作以縮小客戶資料請求的範圍。

自有備份人員

保密。 OwnBackup 應確保其參與個人資料處理的人員了解個人資料的機密性質、接受過適當的職責培訓並簽署書面保密協議。 OwnBackup 應確保此類保密義務在終止人員後繼續有效。
可靠性。 OwnBackup 應採取商業上合理的措施，確保參與個人資料處理的任何 OwnBackup 人員的可靠性。
訪問限制。 OwnBackup 應確保 OwnBackup 對個人資料的存取權限僅限於需要此類存取權限以根據協議執行 SaaS 服務的人員。
資料保護官。如果資料保護法規要求，OwnBackup 集團的成員將任命資料保護官。可以透過以下方式聯絡指定人員：隱私@ownbackup.com.

子處理者

指定分處理者。客戶授予 OwnBackup 一般授權，以根據概述的程序指定與 SaaS 服務相關的第三方子處理者
在此 DPA 中。 OwnBackup 或 OwnBackup 附屬機構已與每個子處理者簽訂書面協議，其中包含的資料保護義務不低於本 DPA 中關於以下方面的保護義務：
在適用於此類分處理者提供的服務的範圍內保護客戶資料。
當前分處理者和新分處理者的通知。截至執行本 DPA 之日，SaaS 服務的子處理者清單附在附表 1 中。OwnBackup 在授權任何新的子處理者處理個人資料之前，應以書面通知客戶任何新的子處理者。
新分處理者的反對權。客戶可以在收到前一段所述的通知後 30 天內以書面通知 OwnBackup，反對 OwnBackup 使用新的子處理者。如果客戶反對前一句中允許的新子處理者，OwnBackup 將盡商業上合理的努力向客戶提供 SaaS 服務的更改，或建議更改客戶的配置或 SaaS 服務的使用，以避免處理被反對的新分處理者處理個人數據，不會造成客戶不合理的負擔。如果 OwnBackup 無法在 SaaS 服務中提供此類更改，或無法建議對客戶的配置或 SaaS 服務的使用進行此類讓客戶滿意的更改，則在合理的時間段內（在任何情況下不得超過 30 天） )，客戶可以透過向OwnBackup 提供書面通知來終止適用的訂單。在這種情況下，OwnBackup 將在終止生效日期後向客戶退還涵蓋此類訂單剩餘期限的任何預付費用，且不會對客戶施加因此類終止而產生的罰金。

子處理者的責任。 OwnBackup 應對其子處理者的行為和不作為承擔責任，其程度與 OwnBackup 直接根據本 DPA 條款履行每個子處理者的服務所承擔的責任相同。

安全

保護客戶資料的控制措施。 OwnBackup 應採取適當的實體、技術和組織措施來保護安全（包括防止未經授權或非法處理以及防止意外或非法破壞、遺失或更改或損壞、未經授權披露或存取客戶資料）、機密性和根據附表4（OwnBackup 安全控制）確保客戶資料（包括個人資料）的完整性。在訂閱期間內，OwnBackup 不會大幅降低 SaaS 服務的整體安全性。
第三方審核報告和認證。根據客戶以合理間隔提出的書面請求，並遵守協議中的保密義務，OwnBackup 應向客戶提供 OwnBackup 當時最新的第三方審核報告 SOC 2 審核報告以及任何其他審核報告和證明的副本如果客戶不是OwnBackup 的競爭對手，則OwnBackup 可供客戶使用。

客戶資料事件管理和通知

OwnBackup 維護安全事件管理政策和程序，並在意識到意外或非法破壞、遺失、變更、未經授權揭露或存取客戶資料（包括傳輸、儲存或以其他方式處理的個人資料）後，應立即通知客戶。OwnBackup 或其子處理者知悉（「客戶資料事件」）。 OwnBackup 應盡合理努力確定此類客戶資料事件的原因，並在 OwnBackup 合理控制範圍內採取 OwnBackup 認為必要且合理的措施來補救此類客戶資料事件的原因。本協議中的義務不適用於客戶或其人員造成的事件。

客戶資料的回傳與刪除
OwnBackup 應將客戶資料回饋給客戶，並在適用法律允許的範圍內，根據協議中指定的程序和時間表刪除客戶資料。

審計

根據客戶的要求，並根據協議中的保密義務，OwnBackup 應向客戶（或客戶的第三方審核員並已簽署 OwnBackup 合理接受的保密協議）提供必要的信息，以證明 OwnBackup 集團遵守義務本DPA 中規定的資料保護法律和法規規定的處理者義務，以OwnBackup 完成的標準化安全調查問卷、第三方認證和審計報告（例如，其完成的標準化資訊收集(SIG) 和雲端安全聯盟共識）的形式評估倡議( CSA CAIQ) 問卷、SOC 2 報告和滲透測試摘要報告），以及為其子處理者提供的第三方認證和稽核報告。在OwnBackup 向客戶發出任何有關實際或合理懷疑未經授權披露個人資料的通知後，如果客戶有理由相信OwnBackup 違反了本DPA 規定的個人資料保護義務，或者如果客戶的監管機構要求進行此類審計，則客戶可以聯絡 OwnBackup 請求對與個人資料保護相關的程序進行審核。任何此類審計應遠端進行，但如果資料保護法律和法規有要求，客戶和/或其監管機構可以在 OwnBackup 場所進行現場審計。任何此類請求每年不得超過一次，除非實際或合理懷疑未經授權存取個人資料。在開始任何審計之前，客戶和 OwnBackup 應就審計的範圍、時間表和持續時間達成一致。在任何情況下，除了重新審查之外，都不會對子處理者進行任何審計view 未經子處理者同意，允許子處理者提供報告、證明和文件。

關聯公司

合約關係。簽署本DPA 的客戶實體是為其自身以及（如適用）以其關聯公司的名義並代表其關聯公司簽署此協議，從而在OwnBackup 與每個此類關聯公司之間建立單獨的DPA，並遵守本協議、本第10 條和第11 條的規定。XNUMX 以下。每個此類關聯公司均同意遵守本 DPA 以及本協議（如果適用）下的義務。為避免疑義，此類關聯公司現在和將來都不會成為本協議的締約方，而只是本 DPA 的締約方。此類關聯公司對 SaaS 服務的所有存取和使用都必須遵守本協議，且關聯公司對本協議的任何違反應被視為客戶的違約行為。
溝通。簽署本 DPA 的客戶實體應繼續負責協調本 DPA 項下與 OwnBackup 的所有通信，並有權代表其關聯公司發出和接收與本 DPA 相關的任何通信。
客戶關聯公司的權利。如果客戶關聯公司透過 OwnBackup 成為本 DPA 的一方，則應在適用的資料保護法律和法規要求的範圍內，有權根據本 DPA 行使權利並尋求補救措施，但須遵守以下規定：

除非適用的資料保護法律和法規要求客戶關聯公司根據本 DPA 直接針對 OwnBackup 行使權利或尋求任何補救措施，否則雙方同意：
- 僅簽署本DPA 的客戶實體應代表客戶關聯公司行使任何此類權利或尋求任何此類補救措施，並且(ii) 簽署本DPA 的客戶實體不應單獨為每個關聯公司單獨行使任何此類權利，而是應單獨行使本DPA 項下的任何此類權利。以合併的方式為其自身及其所有附屬公司共同提供（如前所述，ample，見下文第 10.3.2 條）。
- 簽署本DPA 的客戶實體在對與個人資料保護相關的程序進行允許的審核時，應採取一切合理措施，透過在合理可能的範圍內結合多種措施來限制對OwnBackup 及其子處理者的任何影響。在一次審計中代表其自身及其所有附屬公司執行的審計請求。

責任限制

在資料保護法律和法規允許的範圍內，各方及其所有關聯公司因本 DPA 產生或與之相關的責任（無論是在合約、侵權行為或任何其他責任理論下）合計起來，均是受本協議「責任限制」條款以及排除或限制責任的此類其他條款的約束，並且此類條款中對一方責任的任何提及均指該方及其所有關聯公司的整體責任。

轉移機制的變化

如果雙方所依賴的用於促進個人資料傳輸到一個或多個國家的現有傳輸機制無法確保資料保護法律和法規含義內的充分資料保護水平，則該機制無效，則需要進行修訂或被替換的雙方將真誠地制定此類替代傳輸機制，以便能夠繼續處理本協議預期的個人資料。使用此類替代轉移機制應以各方均滿足使用此類轉移機制的所有法律要求為前提。

雙方的授權簽署人已正式簽署本協議，包括本協議中包含的所有適用的附表、附件和附錄

顧客

簽名：
姓名：
標題：
日期：

時間表清單

附表 1：當前子處理者列表
附表2：適用於個人資料處理的SaaS服務
附表 3：處理詳情
附表 4：OwnBackup 安全控制
附表 5：歐洲規定

當前子處理者列表

客戶可以選擇亞馬遜 Web 服務或 Microsoft (Azure) 及其在客戶初始設置 SaaS 服務期間所需的處理位置。
僅適用於選擇在 Microsoft (Azure) 雲端部署的 OAwnBackup Archive 客戶。

適用於個人資料處理的 Saas 服務

適用於 Salesforce 的 OwBackup Enterprise
Salesforce 的 OwnBackup Unlimited
適用於 Salesforce 的 OwnBackup Governance Plus
自己的備份存檔
自備密鑰管理
沙箱播種

處理細節

數據導出器

法定全名：上面指定的客戶名稱
主要地址： 如上所述的客戶地址
接觸： 如果沒有另外規定，這應是客戶帳戶的主要聯絡人。
聯絡信箱： 如果沒有另外規定，這應是客戶帳戶上的主要聯絡電子郵件地址。

數據導入器

法定全名：OwnBackup Inc.
主要地址： 940 Sylvan Ave，恩格爾伍德懸崖，NJ 07632，美國
接觸： 隱私官
聯絡信箱： 隱私@ownbackup.com

處理的性質和目的

OwnBackup 將根據需要處理個人數據，以根據以下規定執行 Saa 服務：
協議和訂單，以及客戶在使用 SaaS 服務時的進一步指示。

處理時間

除非另有書面約定，OwnBackup 將在協議有效期內處理個人數據。

保留
除非另有書面約定，OwnBackup 將在協議有效期內保留 SaaS 服務中的個人數據，但須遵守文檔中指定的最長保留期限。

轉移頻率
由客戶通過使用 SaaS 服務確定。

轉移至分處理者
根據協議和訂單執行 SaaS 服務所必需的，並如附表 1 中進一步所述。

數據主體的類別
客戶可以向 SaaS 服務提交個人數據，其範圍由客戶自行決定和控制，其中可能包括但不限於與以下類別的數據主體相關的個人數據：

客戶的潛在客戶、客戶、業務夥伴和供應商（均為自然人）

客戶的潛在客戶、現有客戶、業務合作夥伴和供應商的員工或聯絡人
客戶的員工、代理人、顧問、自由工作者（自然人）
客戶授權使用 SaaS 服務的客戶用戶

個人資料類型
客戶可以向 SaaS 服務提交個人數據，其範圍由客戶自行決定和控制，其中可能包括但不限於以下類別

個人資料：

名字和姓氏
標題
位置
雇主
身分資料
生涯數據
聯絡資訊（公司、電子郵件、電話、實際營業地址）
個人生活數據
在地化數據

特殊類別的資料（如果適用）
客戶可以向 SaaS 服務提交特殊類別的個人數據，其範圍由客戶自行決定和控制，為清楚起見，可能包括出於唯一目的而處理遺傳數據、生物識別數據。識別自然人或有關健康的數據。請參閱附表 4 中的措施，以了解 OwnBackup 如何保護特殊類別的資料和其他個人資料。

介紹

OwnBackup 軟件即服務應用程序（SaaS 服務）從一開始就考慮到了安全性。 SaaS 服務採用跨多個層的各種安全控制進行架構設計，以解決一系列安全風險。這些安全控制措施可能會發生變化；然而，任何變化都將維持或改善整體安全狀況。

以下控制說明適用於 Amazon 和 Amazon 上的 SaaS 服務實施 Web 服務 (AWS) 和 Microsoft Azure (Azure) 平台（統稱為我們的雲服務提供商或 CSP），下面加密部分中指定的除外。這些控制說明不適用於 RevCult 軟件，除非下面的“安全軟件開發”中另有規定。

Web 應用程序安全控制

客戶只能透過 HTTPS (TLS1.2+) 存取 SaaS 服務，從而加密最終使用者和應用程式之間以及 OwnBackup 和第三方資料來源（例如 Salesforce）之間傳輸的資料。
客戶的 SaaS 服務管理員可以根據需要設定和取消配置 SaaS 服務使用者以及關聯的存取權限。

SaaS 服務提供基於角色的存取控制，使客戶能夠管理多組織權限。
客戶的 SaaS 服務管理員可以存取審核跟踪，包括使用者名稱、操作、時間amp和源 IP 地址字段。審計日誌可以是 view由登錄到 SaaS 服務的客戶 SaaS 服務管理員以及通過 SaaS 服務 API 編輯和導出。
對 SaaS 服務的存取可以透過來源 IP 位址進行限制。

SaaS 服務允許客戶使用基於時間的一次性密碼啟用多重驗證來存取 SaaS 服務帳戶。
SaaS 服務可讓客戶透過 SAML 2.0 身分提供者啟用單一登入。
SaaS 服務可讓客戶啟用可自訂的密碼策略，以協助將 SaaS 服務密碼與公司策略保持一致。

加密

OwnBackup 提供以下 SaaS 服務選項來加密靜態資料：
- 標準產品。
  - 資料透過 FIPS 256-140 驗證的金鑰管理系統使用 AES-2 伺服器端加密進行加密。
  - 利用信封加密，主密鑰永遠不會離開硬件安全模塊 (HSM)。
  - 加密金鑰至少每兩年輪換一次。
- 進階金鑰管理 (AKM) 選項。
  - 資料在專用物件儲存容器中使用客戶提供的主加密金鑰 (CMK) 進行加密。
  - AKM 允許將來存檔金鑰並使用另一個主加密金鑰輪換它。
  - 客戶可以撤銷主加密金鑰，從而導致資料立即無法存取。
- 自帶金鑰管理系統 (KMS) 選項（僅在 AWS 上提供）。
  - 加密金鑰是使用 AWS KMS 在客戶自己單獨購買的帳戶中建立的。
  - 客戶定義加密金鑰策略，讓客戶在 AWS 上的 SaaS 服務帳戶從客戶自己的 AWS KMS 存取金鑰。
  - 資料在 OwnBackup 管理的專用物件儲存容器中進行加密，並配置為使用客戶的加密金鑰。
  - 客戶可以透過撤銷 OwnBackup 對加密金鑰的存取來立即撤銷對加密資料的訪問，而無需與 OwnBackup 互動。
  - OwnBackup 員工在任何時候都無法存取加密金鑰，也不能直接存取 KMS。
  - 所有密鑰使用活動都記錄在客戶的 KMS 中，包括專用對象存儲的密鑰檢索。
SaaS 服務和第三方資料來源（例如 Salesforce）之間的傳輸加密利用具有 TLS 1.2+ 和 OAuth 2.0 的 HTTPS。

網路

SaaS 服務利用 CSP 網路控制來限制網路入口和出口。

採用狀態安全群組來限制授權端點的網路入口和出口。
SaaS 服務使用多層網路架構，包含多個邏輯上獨立的 Amazon 虛擬私有雲 (VPC) 或 Azure 虛擬網路 (VNet)，利用 CSP 基礎架構內的私有區域、DMZ 和不受信任區域。
在 AWS 中，每個區域都使用 VPC S3 端點限制，以僅允許來自授權 VPC 的存取。

監控和審計

監控 SaaS 服務系統和網路的安全事件、系統運作狀況、網路異常和可用性。
SaaS 服務使用入侵偵測系統 (IDS) 來監控網路活動並向 OwnBackup 發出可疑行為警報。
SaaS 服務的使用 web 面向所有公眾的應用程序防火牆 (WAF) web 服務。

OwnBackup 將應用程式、網路、使用者和作業系統事件記錄到本機系統日誌伺服器和特定區域的 SIEM。這些日誌會被自動分析並重新view編輯可疑活動和威脅。任何異常情況都會酌情升級。
OwnBackup 利用安全資訊和事件管理 (SIEM) 系統，提供 SaaS 服務網路和安全環境的持續安全分析、使用者異常警報、命令和控制 (C&C) 攻擊偵察、自動威脅偵測以及危害指標報告 (IOC) ）。所有這些功能均由 OwnBackup 的安全和營運人員管理。
OwnBackup 的事件回應團隊監控 security@ownbackup.com 別名，並在適當的時候根據公司的事件回應計畫 (IRP) 進行回應。

帳戶間隔離

SaaS 服務使用 Linux 沙箱在處理過程中隔離客戶帳戶的資料。這有助於確保任何異常情況（例如amp文件（由於安全問題或軟件錯誤）仍然僅限於單個 OwnBackup 帳戶。
租戶資料存取由擁有資料的唯一 IAM 使用者控制 tag禁止未經授權的用戶訪問租戶數據。

災難復原

OwnBackup 使用 CSP 物件儲存跨多個可用區儲存加密的客戶資料。

對於儲存在物件儲存上的客戶數據，OwnBackup 使用具有自動老化功能的物件版本控制來支援遵守 OwnBackup 的災難復原和備份策略。對於這些對象，OwnBackup 的系統旨在支援 0 小時的復原點目標 (RPO)（即能夠恢復到任何物件在前 14 天期間存在的任何版本）。
計算實例所需的任何恢復都是透過基於 OwnBackup 的組態管理自動化重建實例來完成的。
OwnBackup 的災難復原計畫旨在支援 4 小時復原時間目標 (RTO)。

漏洞管理

OwnBackup 定期執行 web 應用程序漏洞評估、靜態代碼分析和外部動態評估作為其持續監控計劃的一部分，以幫助確保應用程序安全控制得到正確應用和有效運行。
OwnBackup 每半年聘請獨立的第三方滲透測試人員來執行網路和 web 脆弱性評估。這些外部審計的範圍包括對開放的合規性 Web 應用程序安全項目 (OWASP) 前 10 名 Web 漏洞 (www.owasp.org)。
漏洞評估結果被納入 OwnBackup 軟體開發生命週期 (SDLC)，以修復已識別的漏洞。特定漏洞會依優先順序排列並輸入 OwnBackup 內部票證系統，以便透過解決方案進行追蹤。

事件回應

如果發生潛在的安全漏洞，OwnBackup 事件回應團隊將對情況進行評估並制定適當的緩解策略。如果確認有潛在違規行為，OwnBackup 將立即採取行動減輕違規行為並保存取證證據，並將立即通知受影響客戶的主要聯絡人，向他們介紹情況並提供解決方案狀態更新

安全軟體開發

OwnBackup 在整個軟體開發生命週期中對 OwnBackup 和 RevCult 軟體應用程式採用安全開發實務。這些實踐包括靜態程式碼分析、Salesforce 安全審查view 對於安裝在客戶 Salesforce 實例中的 RevCult 應用程序和 OwnBackup 應用程序，同行重新view 代碼更改，根據最小權限原則限制源代碼存儲庫訪問，並記錄源代碼存儲庫訪問和更改。

專門的安全團隊

OwnBackup 擁有一支專業的安全團隊，擁有 100 多年的多面向資訊安全經驗。此外，團隊成員還擁有多項業界認可的認證，包括但不限於 CISM、CISSP 和 ISO 27001 首席審核員。

隱私和資料保護
OwnBackup 為資料主體存取請求提供本機支持，例如刪除權（被遺忘權）和匿名化，以支持遵守資料隱私法規，包括一般資料保護規範 (GDPR)、健康保險流通和責任法案(HIPAA) 和加州消費者隱私權法(CCPA)。 OwnBackup 還提供資料處理附錄，以滿足隱私和資料保護法的要求，包括國際資料傳輸的法律要求。

背景調查

OwnBackup 根據員工過去七年的居住司法管轄區，根據適用法律，對可能存取客戶資料的人員進行一系列背景調查，包括犯罪背景調查。

保險

OwnBackup 至少維持以下保險範圍： (a) 根據所有適用法律提供的工傷賠償保險； (b) 非自有和租用車輛的汽車責任保險，單一限額合計為 1,000,000 美元； (c) 商業一般責任（公共責任）保險，每次事故的單一限額承保額為 1,000,000 美元，一般總計承保額為 2,000,000 美元； (d) 錯誤和遺漏（專業賠償）保險，每次事件限額為20,000,000 美元，總計20,000,000 美元，包括主要層和超額層，並包括網絡責任、技術和專業服務、技術產品、數據和網絡安全、違規響應、監管辯護和處罰、網絡勒索和數據恢復責任； (e) 僱員不誠實/犯罪保險，保額為 5,000,000 美元。 OwnBackup 將根據要求向客戶提供此類保險的證據。

歐洲規定

本附表僅適用於從歐洲傳輸的個人數據（包括繼續傳輸），如果不應用這些規定，將導致客戶或 OwnBackup 違反適用的數據保護法律和法規。

資料傳輸的傳輸機制。
標準合約條款適用於根據本 DPA 從歐洲向無法確保提供資料保護法律和法規所指的充分資料保護的國家/地區的任何個人資料傳輸，但此類傳輸須遵守以下規定：此類資料保護法律和法規。 OwnBackup 作為資料導入方簽訂了標準合約條款。本附表中的附加條款也適用於此類資料傳輸。

轉讓須遵守標準合約條款。

標準合約條款涵蓋的客戶。本附表中指定的標準合約條款和附加條款適用於 (i) 客戶（在客戶受歐洲資料保護法律和法規約束的情況下）以及 (ii) 其授權附屬公司。就標準合約條款和本附表而言，此類實體是「資料導出者」。

模組。雙方同意，如果可選模組可以在標準合約條款中應用，則僅應應用標有「模組二：將控制者轉移到處理者」的模組。
指示。上述第 2 條所述的指示被視為客戶出於標準合約條款第 8.1 條的目的而處理個人資料的指示。
新子處理者的任命和目前子處理者的清單。根據標準合約條款第2(a) 條的選項9，客戶同意OwnBackup 可以按照上述第5.1、5.b 和5.c 條的規定聘請新的子處理者，並且OwnBackup 的關聯公司可以保留為子處理者。- 處理者、OwnBackup 和 OwnBackup 的附屬公司可能會聘請第三方分處理者來提供資料處理服務。當前分處理者清單如附表 1 所示。

子處理者協定。雙方同意，向分處理者的資料傳輸可能依賴標準合約條款以外的傳輸機制（例如amp文件，具有約束力的公司規則），因此，OwnBackup 與此類分處理者的協議可能不會納入或反映標準合同條款，儘管標準合同條款第 9(b) 條中有任何相反規定。但是，在適用於此類分處理者提供的服務的範圍內，與分處理者簽訂的任何此類協議所包含的數據保護義務應不低於本 DPA 中有關客戶數據保護的義務。根據標準合同條款第 9(c) 條，OwnBackup 必須向客戶提供的子處理者協議副本將僅根據客戶的書面請求由 OwnBackup 提供，並且可能包含與以下內容無關的所有商業信息或條款：標準合同條款或同等條款，由OwnBackup 事先刪除。
審核和認證。雙方同意，標準合約條款第 8.9 條和第 13(b) 條所述的審核應依照上述第 9 條進行。
資料擦除。雙方同意，標準合約條款第 8.5 條或第 16(d) 條規定的資料刪除或回傳應依照上述第 8 條進行，且 OwnBackup 僅應客戶要求提供任何刪除證明。

第三人受益人。雙方同意，根據 SaaS 服務的性質，客戶應提供所需的一切協助，以使 OwnBackup 履行標準合約條款第 3 條規定的對資料主體的義務。
對影響的評估。根據標準合約條款第14條，雙方結合轉讓的具體情況，對目的地國家的法律和慣例以及具體的補充合約、組織和技術進行了分析。適用的保障措施，並根據當時合理已知的資訊確定目的地國家/地區的法律和慣例不會妨礙雙方履行標準合約條款下的各方義務
適用法律和論壇。雙方同意，關於第 2 條的選項 17，如果資料匯出方所在的歐盟成員國不允許第三方受益權，則標準合約條款應受歐盟法律管轄。愛爾蘭。根據第 18 條，與標準合約條款相關的爭議應由協議中指定的法院解決，除非該法院不在歐盟成員國內，在這種情況下，此類爭議的法院應為愛爾蘭法院。

附件。為了執行標準合約條款，附表 3：處理詳細資訊應納入附件 IA 和 IB，附表 4：OwnBackup 安全控制（可能會不時更新） https://www.ownbackup.com/trust/）應納入附件 II，以及附表 1：目前分處理者清單（可能不時更新） https://www.ownbackup.com/legal/sub-p/)須納入附件III。
解釋。本附表的條款旨在澄清而非修改標準合約條款。若本附表正文與標準合約條款之間有任何衝突或不一致，則以標準合約條款為準。

適用於從瑞士轉機的規定

雙方同意，為了標準合約條款的適用性以促進從瑞士傳輸個人數據，應適用以下附加條款： (i) 對法規 (EU) 2016/679 的任何引用均應解釋為引用相應的條款瑞士聯邦數據保護法和瑞士其他資料保護法（「瑞士資料保護法」）的規定，(ii) 任何對「成員國」或「歐盟成員國」或「歐盟」的提及應解釋為提及瑞士，以及( iii) 任何提及監管機構的內容應解釋為指瑞士聯邦資料保護和資訊專員。

適用於從英國轉帳的規定

雙方同意英國附錄適用於受英國資料保護法管轄的個人資料傳輸，並應視為已完成如下（其他地方未定義的大寫術語具有英國附錄中規定的定義）：

表 1：各方、其詳細資料及聯絡方式如附表 3 所示。
表 2：「核准的歐盟標準合約條款」為本附表 5 所規定的標準合約條款。

表 3：附件 I(A)、I(B) 和 II 依照本附表 2 第 5(k) 節的規定填寫。
表 4：OwnBackup 可以行使英國附錄第 19 節所述的可選提前終止權。

文件/資源

Ownbackup 數據處理附錄 [pdf] 指示
數據處理附錄, 處理附錄, 附錄

參考

使用者手冊

Ownbackup 數據處理附錄

產品資訊