Adendum Pemprosesan Data Tambahan DocuSign

Adendum Pemprosesan Data Tambahan DocuSign

kandungan bersembunyi
1 BAGAIMANA UNTUK MELAKSANAKAN DPA INI
2 BAGAIMANA DPA INI BERGUNA
3 JADUAL 1 Senarai Sub-Pemproses Semasa
4 JADUAL 2 Perkhidmatan SaaS Berkenaan dengan Pemprosesan Data Peribadi
5 JADUAL 3 Butiran Pemprosesan
6 JADUAL 4 Kawalan Keselamatan Sendiri 3.3
7 JADUAL 5 Peruntukan Eropah
8 Dokumen / Sumber
8.1 Rujukan
9 Catatan Berkaitan

BAGAIMANA UNTUK MELAKSANAKAN DPA INI

  1. DPA Tambahan ini terdiri daripada dua bahagian: badan utama DPA Tambahan dan Jadual 1, 2, 3, 4 dan 5.
  2. DPA Tambahan ini telah ditandatangani terlebih dahulu bagi pihak Sendiri.
  3. Untuk melengkapkan DPA Tambahan ini, Pelanggan mesti:
    a. Lengkapkan Bahagian Nama Pelanggan dan Alamat Pelanggan.
    b. Lengkapkan maklumat dalam kotak tandatangan dan tandatangani.
    c. Sahkan bahawa maklumat pada Jadual 3 (“Butiran Pemprosesan”) menggambarkan dengan tepat subjek dan kategori data yang akan diproses.
    d. Hantar DPA Tambahan yang lengkap dan ditandatangani untuk Dimiliki di privacy@owndata.com.

Apabila Sendiri menerima DPA Tambahan yang telah dilengkapkan dengan sah di alamat e-mel ini, DPA Tambahan ini akan mengikat secara sah.

Tandatangan DPA Tambahan ini di muka surat 3 hendaklah dianggap sebagai tandatangan dan penerimaan Klausa Kontrak Standard (termasuk Lampirannya) dan Tambahan UK, kedua-duanya digabungkan di sini melalui rujukan.

BAGAIMANA DPA INI BERGUNA

Jika entiti Pelanggan yang menandatangani DPA Tambahan ini adalah pihak kepada Perjanjian, DPA Tambahan ini adalah tambahan kepada dan menjadi sebahagian daripada Perjanjian atau DPA Sedia Ada. Dalam kes sedemikian, entiti Sendiri yang menjadi pihak dalam Perjanjian atau DPA Sedia Ada adalah pihak kepada DPA ini.

Jika entiti Pelanggan yang menandatangani DPA Tambahan ini telah melaksanakan Borang Pesanan dengan Sendiri atau Ahli Gabungannya menurut Perjanjian atau DPA Sedia Ada, tetapi sendiri bukan merupakan pihak kepada Perjanjian atau DPA Sedia Ada, DPA Tambahan ini adalah tambahan kepada Borang Pesanan itu dan Borang Pesanan pembaharuan yang berkenaan, dan entiti Sendiri yang menjadi pihak kepada Borang Pesanan tersebut adalah pihak kepada DPA Tambahan ini.

Jika entiti Pelanggan yang menandatangani DPA Tambahan ini bukan merupakan pihak kepada Borang Pesanan mahupun Perjanjian atau DPA Sedia Ada, DPA Tambahan ini tidak sah dan tidak mengikat di sisi undang-undang. Entiti tersebut harus meminta agar entiti Pelanggan yang merupakan pihak kepada Perjanjian atau DPA Sedia Ada melaksanakan DPA Tambahan ini.

Jika entiti Pelanggan yang menandatangani DPA Tambahan bukan pihak kepada Borang Pesanan atau Perjanjian Langganan Induk atau DPA Sedia Ada secara langsung dengan Sendiri, tetapi sebaliknya merupakan pelanggan secara tidak langsung melalui penjual semula sah perkhidmatan Sendiri, DPA Tambahan ini tidak sah dan adalah tidak mengikat secara sah. Entiti tersebut harus menghubungi penjual semula yang dibenarkan untuk membincangkan sama ada pindaan kepada perjanjiannya dengan penjual semula itu diperlukan.

Sekiranya berlaku sebarang konflik atau ketidakselarasan antara DPA Tambahan ini dan mana-mana perjanjian lain antara Pelanggan dan Milik (termasuk, tanpa had, Perjanjian atau DPA Sedia Ada), syarat DPA Tambahan ini akan mengawal dan diguna pakai.

Adendum Pemprosesan Data Tambahan ini, termasuk Jadual dan Lampirannya, (“DPA Tambahan”) merupakan sebahagian daripada Adendum Pemprosesan Data sedia ada yang dikenal pasti di atas (“DPA Sedia Ada”) antara OwnBackup Inc. (“Sendiri”) dan Pelanggan. Gabungan DPA Tambahan ini dan DPA Sedia Ada hendaklah membentuk perjanjian pemprosesan data yang lengkap ("DPA") untuk mendokumenkan perjanjian pihak berkenaan Pemprosesan Data Peribadi. Jika entiti Pelanggan dan Milik tersebut tidak memeterai Perjanjian, maka DPA ini tidak sah dan tidak mempunyai kesan undang-undang.

Entiti Pelanggan yang dinamakan di atas memasuki DPA Tambahan ini untuk dirinya sendiri dan, jika mana-mana Ahli Gabungannya bertindak sebagai Pengawal Data Peribadi, bagi pihak Ahli Gabungan Dibenarkan tersebut. Semua istilah berhuruf besar yang tidak ditakrifkan di sini hendaklah mempunyai maksud yang dinyatakan dalam Perjanjian.

Semasa menyediakan Perkhidmatan SaaS kepada Pelanggan di bawah Perjanjian, Own boleh Memproses Data Peribadi bagi pihak Pelanggan. Pihak-pihak bersetuju dengan syarat tambahan berikut berkenaan dengan Pemprosesan tersebut.

  1. DEFINISI
    “CCPA” bermaksud Akta Privasi Pengguna California, Cal. Siv. Kod § 1798.100 et. seq., seperti yang dipinda oleh Akta Hak Privasi California 2020 dan bersama-sama dengan mana-mana peraturan pelaksana.
    "Pengawal" bermaksud entiti yang menentukan tujuan dan cara Pemprosesan Data Peribadi dan dianggap turut merujuk kepada “perniagaan” seperti yang ditakrifkan dalam CCPA.
    “Pelanggan” bermaksud entiti yang dinamakan di atas dan Ahli Gabungannya.
    “Undang-undang dan Peraturan Perlindungan Data” bermaksud semua undang-undang dan peraturan Kesatuan Eropah dannya
    negara anggota, Kawasan Ekonomi Eropah dan negara anggotanya, United Kingdom, Switzerland, Amerika Syarikat, Kanada, New Zealand, dan Australia, dan subbahagian politik masing-masing, yang berkenaan dengan Pemprosesan Data Peribadi. Ini termasuk, tetapi tidak terhad kepada, yang berikut, setakat yang berkenaan: GDPR, Undang-undang Perlindungan Data UK, CCPA, Akta Perlindungan Data Pengguna Virginia (“VCDPA”), Akta Privasi Colorado dan peraturan yang berkaitan (“CPA” ”), Akta Privasi Pengguna Utah (“UCPA”), dan Akta Connecticut Berkenaan Privasi Data Peribadi dan Pemantauan Dalam Talian (“CPPDA”).
    “Subjek Data” bermaksud orang yang dikenal pasti atau boleh dikenal pasti yang berkaitan dan disertakan dengan Data Peribadi “pengguna” seperti yang ditakrifkan dalam Undang-undang dan Peraturan Perlindungan Data. “Eropah” bermaksud Kesatuan Eropah, Kawasan Ekonomi Eropah, Switzerland, dan United Kingdom. Peruntukan tambahan yang terpakai untuk pemindahan Data Peribadi dari Eropah terkandung dalam Jadual 5. Sekiranya Jadual 5 dialih keluar, Pelanggan menjamin bahawa ia tidak akan memproses Data Peribadi tertakluk kepada Undang-undang dan Peraturan Perlindungan Data Eropah.
    “GDPR” bermaksud Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis 27 April 2016 mengenai perlindungan orang asli berkenaan dengan pemprosesan data peribadi dan pergerakan bebas data tersebut, dan memansuhkan Arahan 95/46 /EC (Peraturan Perlindungan Data Umum).
    “Kumpulan Sendiri” bermakna Sendiri dan Ahli Gabungannya terlibat dalam Pemprosesan Data Peribadi.
    “Data Peribadi” bermaksud sebarang maklumat yang berkaitan dengan (i) orang asli yang dikenal pasti atau boleh dikenal pasti dan, (ii) entiti undang-undang yang dikenal pasti atau boleh dikenal pasti (di mana maklumat tersebut dilindungi sama seperti data peribadi, maklumat peribadi, atau maklumat peribadi yang boleh dikenal pasti di bawah Undang-undang dan Peraturan Perlindungan Data yang berkenaan. ), di mana bagi setiap (i) atau (ii), data tersebut ialah Data Pelanggan.
    “Perkhidmatan Pemprosesan Data Peribadi” bermaksud Perkhidmatan SaaS yang disenaraikan dalam Jadual 2, yang mana Own boleh memproses Data Peribadi.
    “Memproses” bermaksud sebarang operasi atau set operasi yang dilakukan atas Data Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, rakaman, organisasi, penstrukturan, penyimpanan, penyesuaian atau pengubahan, pengambilan semula, perundingan, penggunaan, pendedahan melalui penghantaran, penyebaran atau sebaliknya menyediakan, penjajaran atau gabungan, sekatan, pemadaman atau pemusnahan.
    “Pemproses” bermaksud entiti yang Memproses Data Peribadi bagi pihak Pengawal, termasuk mana-mana “pembekal perkhidmatan” yang berkenaan sebagaimana yang ditakrifkan oleh CCPA.
    "Klausa Kontrak Standard" bermaksud Lampiran kepada keputusan pelaksanaan Suruhanjaya Eropah
    (EU) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) pada 4 Jun 2021 mengenai Klausa Kontrak Standard untuk pemindahan data peribadi kepada pemproses yang ditubuhkan di negara ketiga menurut Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis Kesatuan Eropah dan tertakluk kepada pindaan yang diperlukan untuk United Kingdom dan Switzerland diterangkan dengan lebih lanjut dalam Jadual 5.
    “Sub-pemproses” bermaksud mana-mana Pemproses yang digunakan oleh Sendiri, oleh ahli Kumpulan Sendiri atau oleh Sub-pemproses lain.
    “Pihak Berkuasa Penyeliaan” bermaksud badan kawal selia kerajaan atau berpiagam kerajaan yang mempunyai kuasa undang-undang yang mengikat ke atas Pelanggan.
    “Tambahan UK” bermaksud Adendum Pemindahan Data Antarabangsa United Kingdom kepada Klausa Kontrak Standard Suruhanjaya EU (tersedia pada 21 Mac 2022 di https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), diselesaikan seperti yang diterangkan dalam Jadual 5.
    “Undang-undang Perlindungan Data UK” bermaksud Peraturan 2016/679 Parlimen Eropah dan Majlis mengenai perlindungan orang asli berkenaan dengan pemprosesan data peribadi dan pergerakan bebas data tersebut kerana ia merupakan sebahagian daripada undang-undang England dan Wales, Scotland dan Utara. Ireland menurut kuasa seksyen 3 Akta Kesatuan Eropah (Pengeluaran) 2018, sebagaimana yang mungkin dipinda dari semasa ke semasa oleh Undang-undang dan Peraturan Perlindungan Data United Kingdom.
  2. PESANAN KEUTAMAAN
    a. Kecuali Klausa Kontrak Standard yang digabungkan di sini, yang akan diutamakan, sekiranya terdapat sebarang percanggahan antara DPA Tambahan ini dan DPA Sedia Ada, syarat DPA Sedia Ada akan diguna pakai.
  3. HAD LIABILITI
    a. Setakat yang dibenarkan oleh Undang-undang dan Peraturan Perlindungan Data, setiap pihak dan semua liabiliti Ahli Gabungannya, diambil bersama dalam agregat, yang timbul daripada atau berkaitan dengan DPA Tambahan ini, sama ada dalam kontrak, tort atau di bawah mana-mana teori liabiliti lain, tertakluk kepada klausa "Had Liabiliti", dan klausa lain yang mengecualikan atau mengehadkan liabiliti, Perjanjian, dan sebarang rujukan dalam klausa tersebut kepada liabiliti sesuatu pihak bermakna liabiliti agregat pihak tersebut dan semua Ahli Gabungannya.
  4. PERUBAHAN KEPADA MEKANISME PEMINDAHAN
    a. Sekiranya mekanisme pemindahan semasa yang dipercayai oleh pihak-pihak untuk memudahkan pemindahan Data Peribadi ke satu atau lebih negara yang tidak memastikan tahap perlindungan data yang mencukupi dalam pengertian Undang-undang dan Peraturan Perlindungan Data adalah tidak sah, dipinda. , atau pihak yang digantikan akan bekerja dengan niat baik untuk menggubal mekanisme pemindahan alternatif sedemikian untuk membolehkan Pemprosesan Data Peribadi berterusan yang difikirkan oleh Perjanjian. Penggunaan mekanisme pemindahan alternatif tersebut hendaklah tertakluk kepada pemenuhan setiap pihak terhadap semua keperluan undang-undang untuk penggunaan mekanisme pemindahan tersebut.

Penandatangan yang diberi kuasa oleh pihak-pihak telah melaksanakan Perjanjian ini dengan sewajarnya, termasuk semua Jadual, Lampiran dan Lampiran yang berkenaan yang digabungkan di sini.

Tandatangan

Senarai Jadual

Jadual 1: Senarai Sub-Pemproses Semasa
Jadual 2: Perkhidmatan SaaS Berkenaan dengan Pemprosesan Data Peribadi
Jadual 3: Butiran Pemprosesan
Jadual 4: Kawalan Keselamatan Sendiri
Jadual 5: Peruntukan Eropah

JADUAL 1 Senarai Sub-Pemproses Semasa

Nama Sub-Pemproses Alamat Sub-Pemproses Sifat Pemprosesan Tempoh Pemprosesan Lokasi Pemprosesan
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israel Sokongan dan penyelenggaraan pelanggan Untuk tempoh Perjanjian. Israel
Amazon Web Perkhidmatan, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, Amerika Syarikat Pengehosan aplikasi dan penyimpanan data Untuk tempoh Perjanjian. Amerika Syarikat, Kanada, Jerman, United Kingdom atau Australia
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, Amerika Syarikat Pengehosan aplikasi dan penyimpanan data Untuk tempoh Perjanjian. Belanda atau Amerika Syarikat
Elasticsearch, Inc.** 800 West El Camino Real, Suite 350, Gunung View, California 94040, Amerika Syarikat Pengindeksan dan carian Untuk tempoh Perjanjian. Belanda atau Amerika Syarikat

* Pelanggan boleh memilih sama ada Amazon Web Perkhidmatan atau Microsoft (Azure) dan Lokasi Pemprosesannya yang dikehendaki semasa persediaan awal Perkhidmatan SaaS Pelanggan.
** Terpakai hanya kepada pelanggan Arkib yang memilih untuk digunakan dalam Awan Microsoft (Azure).

JADUAL 2 Perkhidmatan SaaS Berkenaan dengan Pemprosesan Data Peribadi

  • Pulih untuk ServiceNow
  • Pulih untuk Dinamik
  • Pulih untuk Salesforce
  • Governance Plus untuk Salesforce
  • Arkib
  • Bawa Pengurusan Kunci Anda Sendiri
  • Mempercepatkan

JADUAL 3 Butiran Pemprosesan

Pengeksport Data

Nama Penuh Undang-undang: Nama Pelanggan seperti yang dinyatakan di atas
Alamat Utama: Alamat Pelanggan seperti yang dinyatakan di atas
Hubungi: Jika tidak disediakan sebaliknya, ini akan menjadi hubungan utama pada akaun Pelanggan.
E-mel hubungan: Jika tidak disediakan sebaliknya, ini akan menjadi alamat e-mel hubungan utama pada akaun Pelanggan.

Pengimport Data 

Nama Penuh Undang-undang: OwnBackup Inc.
Alamat Utama: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, Amerika Syarikat
Hubungi: Pegawai Privasi
E-mel hubungan: privacy@owndata.com

Sifat dan Tujuan Pemprosesan

Kehendak Sendiri Memproses Data Peribadi seperti yang diperlukan untuk melaksanakan Perkhidmatan SaaS menurut Perjanjian dan Pesanan, dan seperti yang diarahkan oleh Pelanggan dalam penggunaan Perkhidmatan SaaS.

Tempoh Pemprosesan

Kehendak Sendiri Memproses Data Peribadi selama tempoh Perjanjian, melainkan dipersetujui sebaliknya secara bertulis.

Pengekalan

Sendiri akan mengekalkan Data Peribadi dalam Perkhidmatan SaaS untuk tempoh Perjanjian, melainkan dipersetujui sebaliknya secara bertulis, tertakluk kepada tempoh pengekalan maksimum yang dinyatakan dalam Dokumentasi.

Kekerapan Pemindahan

Seperti yang ditentukan oleh Pelanggan melalui penggunaan Perkhidmatan SaaS mereka.

Pemindahan kepada Sub-pemproses 

Seperti yang perlu untuk melaksanakan Perkhidmatan SaaS menurut Perjanjian dan Pesanan, dan seperti yang diterangkan lebih lanjut dalam Jadual 1.

Kategori Subjek Data

Pelanggan boleh menyerahkan Data Peribadi kepada Perkhidmatan SaaS, takat yang ditentukan dan dikawal oleh Pelanggan mengikut budi bicara mutlaknya, dan yang mungkin termasuk tetapi tidak terhad kepada Data Peribadi yang berkaitan dengan kategori subjek data berikut:

  • Prospek, pelanggan, rakan kongsi perniagaan dan vendor Pelanggan (yang merupakan orang asli)
  • Pekerja atau orang hubungan prospek Pelanggan, pelanggan, rakan kongsi perniagaan dan vendor
  • Pekerja, ejen, penasihat, pekerja bebas Pelanggan (yang merupakan orang asli) Pengguna Pelanggan yang diberi kuasa oleh Pelanggan untuk menggunakan Perkhidmatan SaaS

Jenis Data Peribadi

Pelanggan boleh menyerahkan Data Peribadi kepada Perkhidmatan SaaS, takat yang ditentukan dan dikawal oleh Pelanggan mengikut budi bicara mutlaknya, dan yang mungkin termasuk tetapi tidak terhad kepada kategori Data Peribadi berikut:

  • Nama depan dan belakang
  • Tajuk
  • kedudukan
  • Majikan
  • Maklumat hubungan (syarikat, e-mel, telefon, alamat perniagaan fizikal)
  • data ID
  • Data kehidupan profesional
  • Data kehidupan peribadi
  • Data penyetempatan

Kategori data khas (jika sesuai)

Pelanggan boleh menyerahkan kategori Data Peribadi khas kepada Perkhidmatan SaaS, takat yang ditentukan dan dikawal oleh Pelanggan mengikut budi bicara mutlaknya, dan yang demi kejelasan boleh termasuk pemprosesan data genetik, data biometrik untuk tujuan unik. mengenal pasti orang asli atau data mengenai kesihatan. Lihat langkah dalam Jadual 4 untuk mengetahui cara Own melindungi kategori khas data dan data peribadi lain.

JADUAL 4 Kawalan Keselamatan Sendiri 3.3

  1. pengenalan
    1. Aplikasi perisian-sebagai-perkhidmatan sendiri (Perkhidmatan SaaS) telah direka dari awal dengan mengambil kira keselamatan. Perkhidmatan SaaS direka bentuk dengan pelbagai kawalan keselamatan merentas pelbagai peringkat untuk menangani pelbagai risiko keselamatan. Kawalan keselamatan ini tertakluk kepada perubahan; walau bagaimanapun, sebarang perubahan akan mengekalkan atau menambah baik postur keselamatan keseluruhan.
    2. Perihalan kawalan di bawah digunakan pada pelaksanaan Perkhidmatan SaaS pada kedua-dua Amazon Web Platform Perkhidmatan (AWS) dan Microsoft Azure (Azure) (bersama-sama dirujuk sebagai Pembekal Perkhidmatan Awan kami, atau CSP), kecuali seperti yang dinyatakan dalam bahagian Penyulitan di bawah. Perihalan kawalan ini tidak digunakan untuk perisian RevCult kecuali seperti yang disediakan di bawah "Pembangunan Perisian Selamat" di bawah.
  2. Audit dan Pensijilan
    1. Perkhidmatan SaaS diperakui di bawah ISO/IEC 27001:2013 (Sistem Pengurusan Keselamatan Maklumat) dan ISO/IEC 27701:2019 (Sistem Pengurusan Maklumat Privasi).
    2. Own menjalani audit tahunan SOC2 Jenis II di bawah SSAE-18 untuk mengesahkan secara bebas keberkesanan amalan keselamatan maklumat, dasar, prosedur dan operasinya untuk Kriteria Perkhidmatan Amanah berikut: Keselamatan, Ketersediaan, Kerahsiaan dan Integriti Pemprosesan.
    3. Own menggunakan wilayah CSP global untuk pengkomputeran dan penyimpanannya untuk Perkhidmatan SaaS. AWS dan Azure ialah kemudahan peringkat teratas dengan beberapa akreditasi, termasuk SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 dan HIPAA.
  3. Web Kawalan Keselamatan Aplikasi
    1. Akses pelanggan kepada Perkhidmatan SaaS hanya melalui HTTPS (TLS1.2+), mewujudkan penyulitan data dalam transit antara pengguna akhir dan aplikasi dan antara Sendiri dan sumber data pihak ketiga (cth, Salesforce).
    2. Pentadbir Perkhidmatan SaaS pelanggan boleh menyediakan dan menyahperuntukkan pengguna Perkhidmatan SaaS dan akses yang berkaitan jika perlu.
    3. Perkhidmatan SaaS menyediakan kawalan akses berasaskan peranan untuk membolehkan pelanggan mengurus kebenaran berbilang organisasi.
    4. Pentadbir Perkhidmatan SaaS pelanggan boleh mengakses jejak audit termasuk nama pengguna, tindakan, masaamp, dan medan alamat IP sumber. Log audit boleh viewed dan dieksport oleh pentadbir Perkhidmatan SaaS pelanggan yang log masuk ke Perkhidmatan SaaS serta melalui API Perkhidmatan SaaS.
    5. Akses kepada Perkhidmatan SaaS boleh dihadkan oleh alamat IP sumber.
    6. Perkhidmatan SaaS membolehkan pelanggan mendayakan pengesahan berbilang faktor untuk mengakses akaun Perkhidmatan SaaS menggunakan kata laluan satu masa berasaskan masa.
    7. Perkhidmatan SaaS membenarkan pelanggan mendayakan log masuk tunggal melalui pembekal identiti SAML 2.0.
    8. Perkhidmatan SaaS membenarkan pelanggan mendayakan dasar kata laluan yang boleh disesuaikan untuk membantu menyelaraskan kata laluan Perkhidmatan SaaS kepada dasar korporat.
  4. Penyulitan
    1. Own menawarkan pilihan Perkhidmatan SaaS berikut untuk penyulitan data semasa rehat:
      1. Tawaran standard.
        • Data disulitkan menggunakan penyulitan sisi pelayan AES-256 melalui sistem pengurusan kunci yang disahkan di bawah FIPS 140-2.
        • Penyulitan sampul surat digunakan supaya kunci induk tidak pernah meninggalkan Modul Keselamatan Perkakasan (HSM).
        • Kunci penyulitan diputar tidak kurang daripada setiap dua tahun.
      2. Pilihan Pengurusan Kunci Lanjutan (AKM).
        • Data disulitkan dalam bekas penyimpanan objek khusus dengan kunci penyulitan induk (CMK) yang disediakan pelanggan.
        • AKM membenarkan pengarkiban masa depan kunci dan memutarkannya dengan kunci penyulitan induk yang lain.
        • Pelanggan boleh membatalkan kunci penyulitan induk, menyebabkan data tidak dapat diakses serta-merta.
      3. Bawa pilihan Sistem Pengurusan Kunci Anda Sendiri (KMS) (tersedia pada AWS sahaja).
        • Kunci penyulitan dibuat dalam akaun pelanggan yang dibeli secara berasingan menggunakan AWS KMS.
        • Pelanggan mentakrifkan dasar kunci penyulitan yang membenarkan akaun Perkhidmatan SaaS pelanggan di AWS mengakses kunci daripada KMS AWS pelanggan sendiri.
        • Data disulitkan dalam bekas penyimpanan objek khusus yang diuruskan oleh Sendiri, dan dikonfigurasikan untuk menggunakan kunci penyulitan pelanggan.
        • Pelanggan boleh serta-merta membatalkan akses kepada data yang disulitkan dengan membatalkan akses Sendiri kepada kunci penyulitan, tanpa berinteraksi dengan Sendiri.
        • Pekerja sendiri tidak mempunyai akses kepada kunci penyulitan pada bila-bila masa dan tidak mengakses KMS secara langsung.
        • Semua aktiviti penggunaan utama dilog dalam KMS pelanggan, termasuk pengambilan kunci oleh storan objek khusus.
      4. Penyulitan dalam transit antara Perkhidmatan SaaS dan sumber data pihak ketiga (cth, Salesforce) menggunakan HTTPS dengan TLS 1.2+ dan OAuth 2.0.
  5. Rangkaian
    1. Perkhidmatan SaaS menggunakan kawalan rangkaian CSP untuk menyekat kemasukan dan keluar rangkaian.
    2. Kumpulan keselamatan stateful digunakan untuk mengehadkan kemasukan dan keluar rangkaian kepada titik akhir yang dibenarkan.
    3. Perkhidmatan SaaS menggunakan seni bina rangkaian berbilang peringkat, termasuk berbilang, Amazon Virtual Private Clouds (VPC) atau Rangkaian Maya Azure (VNets) yang dipisahkan secara logik, memanfaatkan peribadi, DMZ dan zon tidak dipercayai dalam infrastruktur CSP.
    4. Dalam AWS, sekatan Titik Akhir VPC S3 digunakan di setiap rantau untuk membenarkan akses hanya daripada VPC yang dibenarkan.
  6. Pemantauan dan Pengauditan
    1. Sistem dan rangkaian Perkhidmatan SaaS dipantau untuk insiden keselamatan, kesihatan sistem, keabnormalan rangkaian dan ketersediaan.
    2. Perkhidmatan SaaS menggunakan sistem pengesanan pencerobohan (IDS) untuk memantau aktiviti rangkaian dan memaklumkan Sendiri tentang tingkah laku yang mencurigakan.
    3. Penggunaan Perkhidmatan SaaS web tembok api aplikasi (WAF) untuk semua orang awam web perkhidmatan.
    4. Log sendiri peristiwa aplikasi, rangkaian, pengguna dan sistem pengendalian ke pelayan syslog tempatan dan SIEM khusus wilayah. Log ini dianalisis secara automatik dan semulaviewed untuk aktiviti dan ancaman yang mencurigakan. Sebarang anomali akan ditingkatkan mengikut kesesuaian.
    5. Sendiri menggunakan sistem maklumat keselamatan dan pengurusan acara (SIEM) yang menyediakan analisis keselamatan berterusan bagi rangkaian dan persekitaran keselamatan Perkhidmatan SaaS, amaran anomali pengguna, peninjauan serangan arahan dan kawalan (C&C), pengesanan ancaman automatik dan pelaporan penunjuk kompromi (IOC). ). Kesemua keupayaan ini ditadbir oleh kakitangan keselamatan dan operasi Sendiri.
    6. Pasukan tindak balas insiden sendiri memantau security@owndata.com alias dan bertindak balas mengikut Pelan Tindak Balas Insiden (IRP) syarikat apabila sesuai.
  7. Pengasingan Antara Akaun
    1. Perkhidmatan SaaS menggunakan kotak pasir Linux untuk mengasingkan data akaun pelanggan semasa pemprosesan. Ini membantu untuk memastikan bahawa sebarang anomali (contohnyaampkerana isu keselamatan atau pepijat perisian) kekal terhad kepada satu akaun Sendiri.
    2. Akses data penyewa dikawal melalui pengguna IAM unik dengan data tagging yang tidak membenarkan pengguna yang tidak dibenarkan daripada mengakses data penyewa.
  8. Pemulihan Bencana
    1. Sendiri menggunakan storan objek CSP untuk menyimpan data pelanggan yang disulitkan merentas berbilang zon ketersediaan.
    2. Untuk data pelanggan yang disimpan pada storan objek, Own menggunakan versi objek dengan penuaan automatik untuk menyokong pematuhan dengan dasar pemulihan dan sandaran bencana Own. Untuk objek ini, sistem Own direka untuk menyokong objektif titik pemulihan (RPO) selama 0 jam (iaitu, keupayaan untuk memulihkan kepada mana-mana versi mana-mana objek seperti yang wujud dalam tempoh 14 hari sebelumnya).
    3. Sebarang pemulihan yang diperlukan bagi tika pengiraan dicapai dengan membina semula tika itu berdasarkan automasi pengurusan konfigurasi Sendiri.
    4. Pelan Pemulihan Bencana Sendiri direka untuk menyokong objektif masa pemulihan (RTO) 4 jam.
  9. Pengurusan Keterdedahan
    1. Sendiri melakukan secara berkala web penilaian kelemahan aplikasi, analisis kod statik dan penilaian dinamik luaran sebagai sebahagian daripada program pemantauan berterusannya untuk membantu memastikan kawalan keselamatan aplikasi digunakan dengan betul dan beroperasi dengan berkesan.
    2. Pada asas separuh tahunan, Own mengupah penguji penembusan pihak ketiga yang bebas untuk melaksanakan kedua-dua rangkaian dan web penilaian kelemahan. Skop audit luaran ini termasuk pematuhan terhadap Terbuka Web Projek Keselamatan Aplikasi (OWASP) Top 10 Web Kerentanan (www.owasp.org).
    3. Keputusan penilaian kerentanan dimasukkan ke dalam kitaran hayat pembangunan perisian Sendiri (SDLC) untuk memulihkan kelemahan yang dikenal pasti. Kerentanan khusus diutamakan dan dimasukkan ke dalam sistem tiket dalaman Sendiri untuk penjejakan melalui penyelesaian.
  10. Respon Insiden
    1. Sekiranya berlaku kemungkinan pelanggaran keselamatan, Pasukan Tindak Balas Insiden Sendiri akan melakukan penilaian keadaan dan membangunkan strategi mitigasi yang sesuai. Jika kemungkinan pelanggaran disahkan, Own akan segera bertindak untuk mengurangkan pelanggaran dan mengekalkan bukti forensik, dan akan memaklumkan tempat hubungan utama pelanggan yang terjejas tanpa kelewatan yang tidak wajar untuk memberi taklimat kepada mereka tentang situasi tersebut dan menyediakan kemas kini status penyelesaian.
  11. Pembangunan Perisian Selamat
    1. Own menggunakan amalan pembangunan selamat untuk aplikasi perisian Own dan RevCult sepanjang kitaran hayat pembangunan perisian. Amalan ini termasuk analisis kod statik, semula keselamatan Salesforceview untuk aplikasi RevCult dan untuk aplikasi Sendiri yang dipasang dalam contoh Salesforce pelanggan, peer review perubahan kod, mengehadkan akses repositori kod sumber berdasarkan prinsip keistimewaan paling rendah, dan log akses dan perubahan repositori kod sumber.
  12. Pasukan Keselamatan yang berdedikasi
    1. Own mempunyai pasukan keselamatan yang berdedikasi dengan lebih 100 tahun gabungan pengalaman keselamatan maklumat pelbagai segi. Selain itu, ahli pasukan mengekalkan beberapa pensijilan yang diiktiraf industri, termasuk tetapi tidak terhad kepada CISM, CISSP dan Juruaudit Utama ISO 27001.
  13. Privasi dan Perlindungan Data
    1. Own menyediakan sokongan asli untuk permintaan akses subjek data, seperti hak untuk memadam (hak untuk dilupakan) dan tanpa nama, untuk menyokong pematuhan peraturan privasi data, termasuk Peraturan Perlindungan Data Am (GDPR), Akta Mudah Alih dan Akauntabiliti Insurans Kesihatan (HIPAA), dan Akta Privasi Pengguna California (CCPA). Own juga menyediakan Adendum Pemprosesan Data untuk menangani undang-undang privasi dan perlindungan data, termasuk keperluan undang-undang untuk pemindahan data antarabangsa.
  14. Pemeriksaan Latar Belakang
    1. Own menjalankan panel semakan latar belakang, termasuk semakan latar belakang jenayah, kakitangannya yang mungkin mempunyai akses kepada data pelanggan, berdasarkan bidang kuasa tempat tinggal pekerja dalam tempoh tujuh tahun sebelumnya, tertakluk kepada undang-undang yang terpakai.
  15. Insurans
    Sendiri mengekalkan, sekurang-kurangnya, perlindungan insurans berikut: (a) insurans pampasan pekerja mengikut semua undang-undang yang terpakai; (b) insurans liabiliti kereta untuk kenderaan bukan milik dan sewa, dengan had tunggal gabungan $1,000,000; (c) insurans liabiliti am komersial (liabiliti awam) dengan perlindungan had tunggal $1,000,000 setiap kejadian dan $2,000,000 perlindungan agregat am; (d) insurans kesilapan dan ketinggalan (indemniti profesional) dengan had $20,000,000 setiap peristiwa dan agregat $20,000,000, termasuk lapisan utama dan lebihan, dan termasuk liabiliti siber, teknologi dan perkhidmatan profesional, produk teknologi, keselamatan data dan rangkaian, tindak balas pelanggaran, peraturan pertahanan dan penalti, pemerasan siber dan liabiliti pemulihan data; dan (e) insurans ketidakjujuran/jenayah pekerja dengan perlindungan $5,000,000. Sendiri akan memberikan kepada Pelanggan bukti insurans tersebut atas permintaan.

JADUAL 5 Peruntukan Eropah

Jadual ini hanya terpakai untuk pemindahan Data Peribadi (termasuk pemindahan seterusnya) dari Eropah yang, jika tiada penggunaan peruntukan ini, akan menyebabkan sama ada Pelanggan atau Milik melanggar Undang-undang dan Peraturan Perlindungan Data yang berkenaan.

  1. Mekanisme Pemindahan untuk Pemindahan Data.
    a) Klausa Kontrak Standard terpakai kepada sebarang pemindahan Data Peribadi di bawah DPA Tambahan ini dari Eropah ke negara yang tidak memastikan tahap perlindungan data yang mencukupi dalam pengertian Undang-undang dan Peraturan Perlindungan Data wilayah tersebut, setakat pemindahan tersebut tertakluk kepada Undang-undang dan Peraturan Perlindungan Data tersebut. Sendiri memasuki Klausa Kontrak Standard sebagai pengimport data. Terma tambahan dalam Jadual ini juga digunakan untuk pemindahan data tersebut.
  2. Pemindahan Tertakluk kepada Klausa Kontrak Standard.
    a) Pelanggan yang Dilindungi oleh Klausa Kontrak Standard. Klausa Kontrak Standard dan terma tambahan yang dinyatakan dalam Jadual ini terpakai kepada (i) Pelanggan, setakat Pelanggan tertakluk kepada Undang-undang dan Peraturan Perlindungan Data Eropah dan, (ii) Ahli Gabungan Dibenarkannya. Untuk tujuan Klausa Kontrak Standard dan Jadual ini, entiti tersebut adalah "pengeksport data."
    b) Modul. Pihak-Pihak bersetuju bahawa jika modul pilihan boleh digunakan dalam Klausa Kontrak Standard, hanya yang berlabel "MODUL DUA: Pindahkan pengawal kepada pemproses" akan digunakan.
    c) Arahan. Pihak bersetuju bahawa penggunaan Perkhidmatan Pemprosesan Data Peribadi oleh Pelanggan menurut Perjanjian dan DPA Sedia Ada dianggap sebagai arahan oleh Pelanggan untuk memproses Data Peribadi bagi tujuan Klausa 8.1 Klausa Kontrak Standard.
    d) Pelantikan Sub-pemproses Baharu dan Senarai Sub-pemproses Semasa. Menurut PILIHAN 2 hingga Klausa 9(a) Klausa Kontrak Standard, Pelanggan bersetuju bahawa Own boleh menggunakan Subpemproses baharu seperti yang diterangkan dalam DPA Sedia Ada dan bahawa Rakan Gabungan Sendiri boleh dikekalkan sebagai Sub-pemproses, dan Rakan Sendiri dan Sendiri boleh terlibat. Sub-pemproses pihak ketiga berkaitan dengan penyediaan Perkhidmatan Pemprosesan Data. Senarai semasa Sub-pemproses seperti yang dilampirkan sebagai Jadual 1.
    e) Perjanjian sub-pemproses. Pihak-pihak bersetuju bahawa pemindahan data kepada Sub-pemproses mungkin bergantung pada mekanisme pemindahan selain daripada Klausa Kontrak Standard (untukampperaturan korporat yang mengikat), dan oleh itu perjanjian Sendiri dengan Sub-pemproses sedemikian tidak boleh menggabungkan atau mencerminkan Klausa Kontrak Standard, walau apa pun yang bertentangan dalam klausa 9(b) Klausa Kontrak Standard. Walau bagaimanapun, mana-mana perjanjian sedemikian dengan Sub-pemproses hendaklah mengandungi kewajipan perlindungan data yang tidak kurang melindungi daripada yang terkandung dalam DPA Tambahan ini berkenaan dengan perlindungan Data Pelanggan, setakat yang berkenaan dengan perkhidmatan yang disediakan oleh Sub-pemproses tersebut. Salinan perjanjian Sub-pemproses yang mesti disediakan oleh Sendiri kepada Pelanggan menurut Klausa 9(c) Klausa Kontrak Standard akan disediakan oleh Sendiri hanya atas permintaan bertulis Pelanggan dan mungkin mempunyai semua maklumat komersial, atau klausa yang tidak berkaitan dengan Klausa Kontrak Standard atau yang setara dengannya, dikeluarkan oleh Sendiri terlebih dahulu.
    f) Audit dan Pensijilan. Pihak-pihak bersetuju bahawa audit yang diterangkan dalam Klausa 8.9 dan Klausa 13(b) Klausa Kontrak Standard hendaklah dilaksanakan mengikut terma DPA Sedia Ada.
    g) Pemadaman Data. Pihak-pihak bersetuju bahawa pemadaman atau pengembalian data yang dipertimbangkan oleh Klausa 8.5 atau Klausa 16(d) Klausa Kontrak Standard hendaklah dilakukan mengikut terma DPA Sedia Ada dan sebarang pensijilan pemadaman hendaklah disediakan oleh Sendiri hanya atas permintaan Pelanggan. permintaan.
    h) Penerima Pihak Ketiga. Pihak-pihak bersetuju bahawa berdasarkan sifat Perkhidmatan SaaS, Pelanggan hendaklah menyediakan semua bantuan yang diperlukan untuk membenarkan Own memenuhi kewajipannya kepada subjek data di bawah Klausa 3 Klausa Kontrak Standard.
    i) Penilaian Kesan. Selaras dengan Fasal 14 Klausa Kontrak Standard, pihak-pihak telah menjalankan analisis, dalam konteks keadaan khusus pemindahan, undang-undang dan amalan negara destinasi, serta kontrak, organisasi dan teknikal tambahan khusus. perlindungan yang terpakai, dan, berdasarkan maklumat yang diketahui secara munasabah oleh mereka pada masa itu, telah menentukan bahawa undang-undang dan amalan negara destinasi tidak menghalang pihak daripada memenuhi kewajipan setiap pihak di bawah Klausa Kontrak Standard.
    j) Undang-undang dan Forum yang Mentadbir. Pihak-pihak bersetuju, berkenaan dengan PILIHAN 2 hingga Klausa 17, bahawa sekiranya Negara Anggota EU di mana pengeksport data ditubuhkan tidak membenarkan hak benefisiari pihak ketiga, Klausa Kontrak Standard hendaklah dikawal oleh undang-undang Ireland. Selaras dengan Klausa 18, pertikaian yang dikaitkan dengan Klausa Kontrak Standard hendaklah diselesaikan oleh mahkamah yang dinyatakan dalam Perjanjian, melainkan mahkamah tersebut tidak terletak di Negara Anggota EU, yang mana forum untuk pertikaian tersebut ialah mahkamah Ireland. .
    k) Lampiran. Untuk tujuan pelaksanaan Klausa Kontrak Standard, Jadual 3: Butiran Pemprosesan hendaklah digabungkan sebagai LAMPIRAN IA dan IB, Jadual 4: Kawalan Keselamatan Sendiri (yang boleh dikemas kini dari semasa ke semasa pada https://www.owndata.com/trust/) hendaklah digabungkan sebagai LAMPIRAN II, dan Jadual 1: Senarai Sub Pemproses Semasa (seperti yang mungkin dikemas kini dari semasa ke semasa di  https://www.owndata.com/legal/sub-p/) hendaklah digabungkan sebagai LAMPIRAN III.
    l) Tafsiran. Terma Jadual ini bertujuan untuk menjelaskan dan bukan untuk mengubah suai Klausa Kontrak Standard. Sekiranya berlaku sebarang konflik atau ketidakselarasan antara badan Jadual ini dan Klausa Kontrak Standard, Klausa Kontrak Standard akan diguna pakai.
  3. Peruntukan Terpakai untuk Pemindahan dari Switzerland Pihak-pihak bersetuju bahawa bagi tujuan kebolehgunaan Klausa Kontrak Standard untuk memudahkan pemindahan Data Peribadi dari Switzerland, peruntukan tambahan berikut hendaklah terpakai: (i) Sebarang rujukan kepada Peraturan (EU) 2016/679 hendaklah ditafsirkan merujuk kepada peruntukan yang sepadan Akta Persekutuan Switzerland mengenai Perlindungan Data dan undang-undang perlindungan data lain Switzerland (“Undang-undang Perlindungan Data Switzerland”), (ii) Sebarang rujukan kepada “Negara Anggota” atau “Negara Anggota EU” atau “EU” hendaklah ditafsirkan merujuk kepada Switzerland , dan (iii) Sebarang rujukan kepada Pihak Berkuasa Penyeliaan, hendaklah ditafsirkan merujuk kepada Pesuruhjaya Perlindungan Data dan Maklumat Persekutuan Switzerland.
  4. a) Jadual 1: Pihak, butiran mereka dan kenalan mereka adalah yang dinyatakan dalam Jadual 3.
    b) Jadual 2: “Klausa Kontrak Standard EU yang Diluluskan” hendaklah menjadi Klausa Kontrak Standard seperti yang dinyatakan dalam Jadual 5 ini.
    c) Jadual 3: Lampiran I(A), I(B), dan II dilengkapkan seperti yang dinyatakan dalam seksyen 2(k) Jadual 5 ini.
    d) Jadual 4: Sendiri boleh menggunakan hak penamatan awal pilihan yang diterangkan dalam Seksyen 19 Adendum UK.

Adendum Pemprosesan Data Tambahan DocuSign

Dokumen / Sumber

Adendum Pemprosesan Data Tambahan DocuSign [pdf] Arahan
Adendum Pemprosesan Data Tambahan, Adendum Pemprosesan Data, Adendum Pemprosesan, Adendum

Rujukan

Catatan Berkaitan

Tinggalkan komen

Alamat e-mel anda tidak akan diterbitkan. Medan yang diperlukan ditanda *