Dodatok o spracovaní doplnkových údajov DocuSign

AKO VYKONAŤ TÚTO DPA

1. Tento dodatkový DPA pozostáva z dvoch častí: hlavná časť dodatkového DPA a zoznamy 1, 2, 3, 4 a 5.
2. Táto doplnková DPA bola vopred podpísaná v mene Own.
3. Na vyplnenie tohto dodatočného DPA musí zákazník:
   a. Vyplňte časť Meno zákazníka a Adresa zákazníka.
   b. Vyplňte údaje v poli podpisu a podpíšte sa.
   c. Overte si, že informácie v Prílohe 3 („Podrobnosti o spracovaní“) presne odrážajú subjekty a kategórie údajov, ktoré sa majú spracovať.
   d. Pošlite vyplnenú a podpísanú dodatočnú DPA vlastníkovi na adresu privacy@owndata.com.

Po prijatí platne vyplneného Dodatkového DPA na túto e-mailovú adresu sa tento Doplnkový DPA stane právne záväzným.

Podpis tohto Dodatkového DPA na strane 3 sa považuje za podpis a prijatie štandardných zmluvných doložiek (vrátane ich dodatkov) a Dodatku Spojeného kráľovstva, ktoré sú tu zahrnuté formou odkazu.

AKO PLATÍ TOTO DPA

Ak je zmluvnou stranou zmluvy subjekt zákazníka, ktorý podpisuje túto doplnkovú DPA, táto doplnková DPA je dodatkom a tvorí súčasť zmluvy alebo existujúcej DPA. V takom prípade je zmluvnou stranou tejto DPA Vlastný subjekt, ktorý je stranou Dohody alebo Existujúci DPA.

Ak zákaznícky subjekt podpisujúci túto Dodatočnú DPA vyhotovil Objednávkový formulár s vlastnou alebo jej pridruženou spoločnosťou v súlade so Zmluvou alebo Existujúcou DPA, ale sám nie je zmluvnou stranou Dohody alebo Existujúcej DPA, táto Dodatková DPA je dodatkom k tomuto Objednávkovému formuláru a príslušné formuláre objednávky na obnovenie a vlastný subjekt, ktorý je stranou takéhoto formulára objednávky, je stranou tohto doplnkového DPA.

Ak subjekt zákazníka, ktorý podpisuje túto Dodatočnú DPA, nie je ani zmluvnou stranou Formulára objednávky, Dohody alebo Existujúcej DPA, táto Doplnková DPA nie je platná a nie je právne záväzná. Takýto subjekt by mal požiadať subjekt zákazníka, ktorý je stranou zmluvy alebo existujúceho DPA, aby vykonal túto Dodatočnú DPA.

Ak subjekt zákazníka podpisujúci Dodatočnú DPA nie je zmluvnou stranou Formulára objednávky, Hlavnej zmluvy o predplatnom alebo Existujúcej DPA priamo s Own, ale je namiesto toho zákazníkom nepriamo prostredníctvom autorizovaného predajcu vlastných služieb, táto Doplnková DPA nie je platná a je nie je právne záväzný. Takýto subjekt by mal kontaktovať autorizovaného predajcu a prediskutovať, či je potrebná zmena a doplnenie jeho zmluvy s týmto predajcom.

V prípade akéhokoľvek konfliktu alebo nesúladu medzi týmto Dodatkovým DPA a akoukoľvek inou zmluvou medzi Zákazníkom a Vlastníkom (vrátane, bez obmedzenia, zmluvy alebo Existujúceho DPA), budú mať prednosť a prednosť podmienky tohto Dodatkového DPA.

Tento dodatočný dodatok o spracovaní údajov vrátane jeho plánov a príloh (ďalej len „doplnkový dodatok o spracovaní údajov“) tvorí súčasť existujúceho dodatku o spracovaní údajov uvedeného vyššie (ďalej len „existujúci dodatok o spracovaní údajov“) medzi spoločnosťou OwnBackup Inc. (ďalej len „vlastný“) a zákazníkom. Kombináciou tohto Doplnkového DPA a Existujúceho DPA vytvoria úplnú zmluvu o spracovaní údajov (ďalej len „DPA“), ktorá dokumentuje dohodu strán týkajúcu sa spracovania osobných údajov. Ak takýto Zákazník a Vlastník neuzavreli Zmluvu, potom je táto DPA neplatná a bez právneho účinku.

Vyššie uvedená entita zákazníka uzatvára túto Dodatočnú DPA za seba, a ak niektorá z jej pridružených spoločností koná ako Prevádzkovateľ osobných údajov, v mene týchto Oprávnených pridružených spoločností. Všetky výrazy s veľkým začiatočným písmenom, ktoré tu nie sú definované, majú význam uvedený v Zmluve.

V priebehu poskytovania služieb SaaS Zákazníkovi podľa Zmluvy môže Own spracúvať osobné údaje v mene Zákazníka. Strany súhlasia s nasledujúcimi doplňujúcimi podmienkami v súvislosti s takýmto Spracovaním.

1. DEFINÍCIE
   „CCPA“ znamená kalifornský zákon o ochrane súkromia spotrebiteľov, Cal. Civ. Zákonník § 1798.100 a kol. nasl. v znení kalifornského zákona o ochrane osobných údajov z roku 2020 a spolu s akýmikoľvek vykonávacími predpismi.
   "ovládač" znamená subjekt, ktorý určuje účely a prostriedky Spracúvania osobných údajov a považuje sa aj za „podnikanie“, ako je definované v CCPA.
   "Zákazník" znamená vyššie uvedený subjekt a jeho pridružené spoločnosti.
   „Zákony a predpisy o ochrane údajov“ znamená všetky zákony a nariadenia Európskej únie a jej
   členské štáty, Európsky hospodársky priestor a jeho členské štáty, Spojené kráľovstvo, Švajčiarsko, Spojené štáty americké, Kanada, Nový Zéland a Austrália a ich príslušné politické pododdiely, ktoré sa vzťahujú na Spracovanie osobných údajov. Patria medzi ne okrem iného v príslušnom rozsahu: GDPR, zákon o ochrane údajov Spojeného kráľovstva, zákon CCPA, zákon o ochrane spotrebiteľských údajov vo Virgínii („VCDPA“), zákon o ochrane osobných údajov v Colorade a súvisiace nariadenia („CPA“) “), zákon Utah Consumer Privacy Act („UCPA“) a zákon Connecticut o ochrane osobných údajov a online monitorovaní („CPDPA“).
   "Dotknutá osoba" znamená identifikovanú alebo identifikovateľnú osobu, ktorej sa Osobné údaje týkajú a zahŕňajú "spotrebiteľ" ako je definované v zákonoch a nariadeniach o ochrane údajov. "Európa" znamená Európsku úniu, Európsky hospodársky priestor, Švajčiarsko a Spojené kráľovstvo. Dodatočné ustanovenia vzťahujúce sa na prenosy Osobných údajov z Európy sú obsiahnuté v Prílohe 5. V prípade, že Príloha 5 bude odstránená, Zákazník zaručuje, že nebude spracúvať Osobné údaje v súlade so zákonmi a nariadeniami o ochrane údajov v Európe.
   "GDPR" znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov a o zrušení smernice 95/46 /EC (General Data Protection Regulation).
   “Vlastná skupina” znamená Vlastné a jeho Pridružené spoločnosti zaoberajúce sa Spracovaním osobných údajov.
   "Osobné údaje" znamená akékoľvek informácie týkajúce sa (i) identifikovanej alebo identifikovateľnej fyzickej osoby a (ii) identifikovanej alebo identifikovateľnej právnickej osoby (ak sú takéto informácie chránené podobne ako osobné údaje, osobné údaje alebo osobné údaje podľa platných zákonov a nariadení o ochrane údajov). ), pričom pre každý bod (i) alebo (ii) sú takýmito údajmi zákaznícke údaje.
   „Služby spracovania osobných údajov“ znamená Služby SaaS uvedené v Prílohe 2, pre ktoré môže Own spracúvať Osobné údaje.
   "Spracovanie" znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi, či už automatickými prostriedkami alebo nie, ako je zhromažďovanie, zaznamenávanie, organizácia, štruktúrovanie, ukladanie, prispôsobovanie alebo zmena, vyhľadávanie, konzultovanie, používanie, sprístupnenie prenosom, šírením alebo iným spôsobom sprístupnenie, zarovnanie alebo kombinácia, obmedzenie, vymazanie alebo zničenie.
   „Spracovateľ“ znamená subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa, vrátane akéhokoľvek „poskytovateľa služieb“, ako je tento pojem definovaný v CCPA.
   "Štandardné zmluvné doložky" znamená prílohu k vykonávaciemu rozhodnutiu Európskej komisie
   (EU) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) zo 4. júna 2021 o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa nariadenia Európskeho parlamentu a Rady Európskej únie (EÚ) 2016/679 a s výhradou požadovaných zmien a doplnení pre Spojené štáty Kráľovstvo a Švajčiarsko ďalej opísané v prílohe 5.
   „Sub-spracovateľ“ znamená akéhokoľvek Spracovateľa zamestnaného Vlastným, členom Vlastnej skupiny alebo iným Podspracovateľom.
   "Dozorný orgán" znamená vládny alebo vládou poverený regulačný orgán, ktorý má záväznú právnu právomoc nad zákazníkom.
   "Dodatok pre Spojené kráľovstvo" znamená Dodatok o medzinárodnom prenose údajov Spojeného kráľovstva k štandardným zmluvným doložkám Komisie EÚ (k dispozícii od 21. marca 2022 na https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), vyplnené tak, ako je popísané v Prílohe 5.
   „Zákon Spojeného kráľovstva o ochrane údajov“ sa rozumie Nariadenie Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, keďže je súčasťou právnych predpisov Anglicka a Walesu, Škótska a Severnej Kórey. Írsko na základe oddielu 3 zákona Európskej únie (odstúpenie od zmluvy) z roku 2018, ktorý môže byť z času na čas zmenený a doplnený zákonmi a nariadeniami Spojeného kráľovstva o ochrane údajov.
2. OBJEDNÁVKA PREDCHÁDZKY
   a. S výnimkou štandardných zmluvných doložiek zahrnutých v tomto dokumente, ktoré majú prednosť, v prípade akéhokoľvek nesúladu medzi týmto dodatočným DPA a existujúcim DPA majú prednosť podmienky existujúceho DPA.
3. OBMEDZENIE ZODPOVEDNOSTI
   a. V rozsahu povolenom zákonmi a nariadeniami o ochrane údajov, zodpovednosť každej strany a všetkých jej pridružených spoločností, spolu v súhrne, vyplývajúca alebo súvisiaca s týmto Doplnkovým DPA, či už v zmluve, deliktu alebo na základe akejkoľvek inej teórie zodpovednosti, podlieha klauzulám „Obmedzenia zodpovednosti“ a iným klauzulám, ktoré vylučujú alebo obmedzujú zodpovednosť zmluvy, a akýkoľvek odkaz v takýchto doložkách na zodpovednosť strany znamená súhrnnú zodpovednosť tejto strany a všetkých jej pridružených spoločností.
4. ZMENY PRENOSOVÝCH MECHANIZMOV
   a. V prípade, že súčasný mechanizmus prenosu, na ktorý sa zmluvné strany spoliehajú pri uľahčovaní prenosov osobných údajov do jednej alebo viacerých krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov, sa zmení a doplní , alebo nahradí strany, budú v dobrej viere pracovať na zavedení takéhoto alternatívneho mechanizmu prenosu, aby sa umožnilo pokračovanie Spracúvania Osobných údajov, o ktorom sa uvažuje v Zmluve. Použitie takéhoto alternatívneho prevodného mechanizmu je podmienené splnením všetkých zákonných požiadaviek na používanie takéhoto prevodného mechanizmu každou stranou.

Oprávnení signatári zmluvných strán riadne podpísali túto dohodu vrátane všetkých príslušných príloh, príloh a dodatkov, ktoré sú do nej zahrnuté.

Zoznam rozvrhov

Rozpis 1: Aktuálny zoznam podprocesorov
Rozpis 2: Služby SaaS vzťahujúce sa na spracovanie osobných údajov
Rozpis 3: Podrobnosti o spracovaní
Rozpis 4: Vlastné bezpečnostné kontroly
Rozpis 5: Európske ustanovenia

PLÁN 1 Aktuálny zoznam podprocesorov

Názov podprocesora	Adresa podprocesora	Povaha spracovania	Trvanie spracovania	Miesto spracovania
OwnBackup Limited	3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Izrael	Zákaznícka podpora a údržba	Po dobu trvania Zmluvy.	Izrael
Amazon Web Services, Inc.*	410 Terry Avenue North, Seattle, Washington 98109, USA	Hosting aplikácií a ukladanie dát	Po dobu trvania Zmluvy.	Spojené štáty, Kanada, Nemecko, Spojené kráľovstvo alebo Austrália
Microsoft Corporation (Azure)*	One Microsoft Way, Redmond, Washington 98052, USA	Hosting aplikácií a ukladanie dát	Po dobu trvania Zmluvy.	Holandsko alebo Spojené štáty americké
Elasticsearch, Inc.**	800 West El Camino Real, Suite 350, Mountain View, Kalifornia 94040, USA	Indexovanie a vyhľadávanie	Po dobu trvania Zmluvy.	Holandsko alebo Spojené štáty americké

* Zákazník si môže vybrať buď Amazon Web Services alebo Microsoft (Azure) a jej požadované miesto spracovania počas počiatočného nastavenia služieb SaaS zákazníkom.
** Vzťahuje sa len na zákazníkov služby Archive, ktorí sa rozhodnú nasadiť v cloude Microsoft (Azure).

PLÁN 2 Služby SaaS uplatniteľné na spracovanie osobných údajov

• Obnoviť pre ServiceNow
• Recover for Dynamics
• Obnoviť pre Salesforce
• Governance Plus pre Salesforce
• Archív
• Prineste si vlastnú správu kľúčov
• Zrýchliť

PLÁN 3 Podrobnosti o spracovaní

Exportér údajov

Celé meno: Meno zákazníka, ako je uvedené vyššie
Hlavná adresa: Adresa zákazníka, ako je uvedené vyššie
Kontakt: Ak nie je uvedené inak, ide o primárny kontakt na zákazníckom účte.
Kontaktný e-mail: Ak nie je uvedené inak, toto bude primárna kontaktná e-mailová adresa v zákazníckom účte.

Importér údajov 

Celé meno: OwnBackup Inc.
Hlavná adresa: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Kontakt: úradník pre ochranu osobných údajov
Kontaktný e-mail: privacy@owndata.com

Povaha a účel spracovania

Spoločnosť Own bude spracúvať osobné údaje tak, ako je to potrebné na vykonávanie služieb SaaS v súlade so Zmluvou a objednávkami a podľa ďalších pokynov zákazníka pri používaní služieb SaaS.

Trvanie spracovania

Vlastné bude spracúvať osobné údaje počas trvania zmluvy, pokiaľ nie je písomne ​​dohodnuté inak.

Udržanie

Vlastník bude uchovávať Osobné údaje v Službách SaaS počas trvania Zmluvy, pokiaľ nie je písomne ​​dohodnuté inak, s výhradou maximálnej doby uchovávania uvedenej v Dokumentácii.

Frekvencia prenosu

Ako určí zákazník prostredníctvom používania služieb SaaS.

Prevody na sub-spracovateľa (-ov) 

Ak je to potrebné na vykonávanie služieb SaaS v súlade so Zmluvou a Objednávkami, a ako je ďalej opísané v Prílohe 1.

Kategórie dotknutých osôb

Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, Osobné údaje týkajúce sa nasledujúcich kategórií dotknutých osôb:

• Záujemcovia, zákazníci, obchodní partneri a predajcovia zákazníka (ktorí sú fyzickými osobami)
• Zamestnanci alebo kontaktné osoby potenciálnych zákazníkov, zákazníkov, obchodných partnerov a predajcov
• Zamestnanci, agenti, poradcovia, nezávislí pracovníci Zákazníka (ktorí sú fyzickými osobami) Používatelia Zákazníka oprávnení Zákazníkom používať Služby SaaS

Typ osobných údajov

Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, nasledujúce kategórie Osobných údajov:

• Meno a priezvisko
• Názov
• pozícia
• Zamestnávateľ
• Kontaktné údaje (firma, e-mail, telefón, fyzická adresa firmy)
• identifikačné údaje
• Údaje o profesionálnom živote
• Údaje o osobnom živote
• Lokalizačné údaje

Špeciálne kategórie údajov (ak je to vhodné)

Zákazník môže Službám SaaS odovzdať osobitné kategórie Osobných údajov, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré by z dôvodu prehľadnosti mohli zahŕňať spracovanie genetických údajov, biometrických údajov na účely jedinečného identifikáciu fyzickej osoby alebo údaje týkajúce sa zdravia. Ako Own chráni špeciálne kategórie údajov a iné osobné údaje, nájdete v opatreniach v Prílohe 4.

PLÁN 4 Vlastné bezpečnostné kontroly 3.3

1. Úvod
   1. Vlastné aplikácie typu software-as-a-service (SaaS Services) boli od začiatku navrhnuté s ohľadom na bezpečnosť. Služby SaaS sú navrhnuté s rôznymi bezpečnostnými kontrolami na viacerých úrovniach, aby riešili celý rad bezpečnostných rizík. Tieto bezpečnostné kontroly podliehajú zmenám; akékoľvek zmeny však zachovajú alebo zlepšia celkový stav bezpečnosti.
   2. Opis ovládacích prvkov nižšie sa vzťahuje na implementácie služby SaaS na oboch serveroch Amazon Web Platformy služieb (AWS) a Microsoft Azure (Azure) (spolu označované ako naši poskytovatelia cloudových služieb alebo CSP), okrem prípadov uvedených v časti Šifrovanie nižšie. Tieto popisy ovládacích prvkov sa nevzťahujú na softvér RevCult okrem prípadov uvedených v časti „Vývoj bezpečného softvéru“ nižšie.
2. Audity a certifikácie
   1. Služby SaaS sú certifikované podľa ISO/IEC 27001:2013 (Systém riadenia bezpečnosti informácií) a ISO/IEC 27701:2019 (Systém riadenia informácií o súkromí).
   2. Spoločnosť Own sa podrobuje každoročnému auditu SOC2 typu II podľa SSAE-18, aby nezávisle overila účinnosť svojich praktík, zásad, postupov a operácií v oblasti bezpečnosti informácií pre nasledujúce kritériá dôveryhodných služieb: bezpečnosť, dostupnosť, dôvernosť a integrita spracovania.
   3. Own využíva globálne regióny CSP na svoje výpočty a ukladanie pre služby SaaS. AWS a Azure sú špičkové zariadenia s niekoľkými akreditáciami vrátane SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 a HIPAA.
3. Web Kontroly zabezpečenia aplikácií
   1. Zákaznícky prístup k Službám SaaS je len cez HTTPS (TLS1.2+), čím sa vytvára šifrovanie prenosu údajov medzi koncovým používateľom a aplikáciou a medzi vlastným a zdrojom údajov tretej strany (napr. Salesforce).
   2. Správcovia služby SaaS zákazníka môžu podľa potreby poskytovať a zrušiť poskytovanie služieb SaaS a súvisiaci prístup.
   3. Služby SaaS poskytujú riadenie prístupu na základe rolí, ktoré zákazníkom umožňuje spravovať povolenia viacerých organizácií.
   4. Správcovia služby SaaS zákazníka majú prístup k záznamom auditu vrátane používateľského mena, akcie a časuampa polia zdrojovej adresy IP. Protokoly auditu môžu byť viewspracované a exportované správcom služby SaaS zákazníka prihláseným do služieb SaaS, ako aj prostredníctvom rozhrania API služieb SaaS.
   5. Prístup k službám SaaS môže byť obmedzený zdrojovou IP adresou.
   6. Služby SaaS umožňujú zákazníkom povoliť viacfaktorovú autentifikáciu pre prístup k účtom služby SaaS pomocou časovo založených jednorazových hesiel.
   7. Služby SaaS umožňujú zákazníkom povoliť jednotné prihlásenie prostredníctvom poskytovateľov identity SAML 2.0.
   8. Služby SaaS umožňujú zákazníkom povoliť prispôsobiteľné zásady hesiel, aby pomohli zosúladiť heslá služby SaaS s podnikovými zásadami.
4. Šifrovanie
   1. Vlastné ponúka nasledujúce možnosti služby SaaS na šifrovanie údajov v pokoji:
      1. Štandardná ponuka.
         • Údaje sú šifrované pomocou šifrovania AES-256 na strane servera prostredníctvom systému správy kľúčov overeného podľa FIPS 140-2.
         • Šifrovanie obálok sa využíva tak, že hlavný kľúč nikdy neopustí hardvérový bezpečnostný modul (HSM).
         • Šifrovacie kľúče sa striedajú minimálne každé dva roky.
      2. Možnosť Advanced Key Management (AKM).
         • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov pomocou hlavného šifrovacieho kľúča (CMK) poskytnutého zákazníkom.
         • AKM umožňuje budúcu archiváciu kľúča a jeho rotáciu s iným hlavným šifrovacím kľúčom.
         • Zákazník môže odvolať hlavné šifrovacie kľúče, čo má za následok okamžitú nedostupnosť údajov.
      3. Možnosť Prineste si svoj vlastný systém správy kľúčov (KMS) (k dispozícii len na AWS).
         • Šifrovacie kľúče sa vytvárajú vo vlastnom, samostatne zakúpenom účte zákazníka pomocou AWS KMS.
         • Zákazník definuje politiku šifrovacieho kľúča, ktorá povoľuje zákazníckemu účtu služby SaaS na AWS prístup ku kľúču z vlastného AWS KMS zákazníka.
         • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov, ktorý spravuje Own a je nakonfigurovaný na používanie šifrovacieho kľúča zákazníka.
         • Zákazník môže okamžite odvolať prístup k zašifrovaným údajom zrušením prístupu Own k šifrovaciemu kľúču bez interakcie s Own.
         • Vlastní zamestnanci nemajú kedykoľvek prístup k šifrovacím kľúčom a nepristupujú priamo do KMS.
         • Všetky kľúčové aktivity používania sú zaznamenané v zákazníckom KMS, vrátane získavania kľúčov prostredníctvom vyhradeného úložiska objektov.
      4. Šifrovanie pri prenose medzi službami SaaS a zdrojom údajov tretej strany (napr. Salesforce) využíva HTTPS s TLS 1.2+ a OAuth 2.0.
5. sieť
   1. Služby SaaS využívajú sieťové ovládacie prvky CSP na obmedzenie vstupu a výstupu zo siete.
   2. Stavové bezpečnostné skupiny sa používajú na obmedzenie vstupu a výstupu siete na autorizované koncové body.
   3. Služby SaaS využívajú viacvrstvovú sieťovú architektúru, vrátane viacerých, logicky oddelených virtuálnych privátnych cloudov Amazon (VPC) alebo Azure Virtual Networks (VNets), ktoré využívajú súkromné, DMZ a nedôveryhodné zóny v rámci infraštruktúry CSP.
   4. V AWS sa obmedzenia koncového bodu VPC S3 používajú v každej oblasti na povolenie prístupu iba z autorizovaných VPC.
6. Monitorovanie a audit
   1. Systémy a siete služby SaaS sú monitorované z hľadiska bezpečnostných incidentov, stavu systému, abnormalít siete a dostupnosti.
   2. Služby SaaS používajú systém detekcie narušenia (IDS) na monitorovanie sieťovej aktivity a varovanie Own na podozrivé správanie.
   3. Používanie služieb SaaS web aplikačné firewally (WAF) pre celú verejnosť web služby.
   4. Vlastné zaznamenáva udalosti aplikácie, siete, používateľa a operačného systému na lokálny server syslog a SIEM špecifický pre daný región. Tieto protokoly sa automaticky analyzujú a znovaviewza podozrivú činnosť a vyhrážky. Akékoľvek anomálie sú podľa potreby eskalované.
   5. Vlastné využíva systémy správy bezpečnostných informácií a udalostí (SIEM), ktoré poskytujú nepretržitú bezpečnostnú analýzu sietí a bezpečnostného prostredia služieb SaaS, upozorňovanie na anomálie používateľov, prieskum útokov velenia a riadenia (C&C), automatickú detekciu hrozieb a hlásenie indikátorov kompromisu (IOC). ). Všetky tieto schopnosti sú spravované bezpečnostným a operačným personálom Own.
   6. Vlastný tím reakcie na incidenty monitoruje security@owndata.com alias a v prípade potreby odpovedá podľa plánu reakcie na incidenty (IRP) spoločnosti.
7. Izolácia medzi účtami
   1. Služby SaaS používajú karanténu systému Linux na izoláciu údajov zákazníckych účtov počas spracovania. To pomáha zaistiť, že akákoľvek anomália (naprample z dôvodu bezpečnostného problému alebo softvérovej chyby) zostáva obmedzený na jeden vlastný účet.
   2. Prístup k údajom nájomníkov je riadený prostredníctvom jedinečných používateľov IAM s údajmi taging, ktorý znemožňuje neoprávneným používateľom prístup k údajom nájomníka.
8. Obnova po katastrofe
   1. Own využíva ukladanie objektov CSP na ukladanie zašifrovaných údajov o zákazníkoch vo viacerých zónach dostupnosti.
   2. Pre zákaznícke dáta uložené na objektovom úložisku používa Own verzovanie objektov s automatickým starnutím na podporu dodržiavania zásad obnovy a zálohovania po havárii Own. Pre tieto objekty sú systémy Own navrhnuté tak, aby podporovali cieľ bodu obnovy (RPO) 0 hodín (t. j. možnosť obnovenia do ľubovoľnej verzie akéhokoľvek objektu tak, ako existoval počas predchádzajúcich 14 dní).
   3. Akékoľvek požadované obnovenie výpočtovej inštancie sa dosiahne prebudovaním inštancie na základe automatizácie správy konfigurácie Own.
   4. Own's Disaster Recovery Plan je navrhnutý tak, aby podporoval 4-hodinový časový cieľ obnovy (RTO).
9. Správa zraniteľností
   1. Vlastné vykonáva periodicky web hodnotenia zraniteľnosti aplikácií, analýza statického kódu a externé dynamické hodnotenia ako súčasť programu nepretržitého monitorovania, ktorý pomáha zaistiť správne uplatňovanie a efektívne fungovanie ovládacích prvkov zabezpečenia aplikácií.
   2. Spoločnosť Own si na polročnej báze najíma nezávislých penetračných testerov tretích strán, ktorí vykonávajú sieťové aj web hodnotenia zraniteľnosti. Rozsah týchto externých auditov zahŕňa súlad s Open Web Projekt zabezpečenia aplikácií (OWASP) Top 10 Web Zraniteľnosť (www.owasp.org).
   3. Výsledky hodnotenia zraniteľnosti sú začlenené do vlastného životného cyklu vývoja softvéru (SDLC) na nápravu identifikovaných zraniteľností. Špecifické zraniteľnosti sú uprednostňované a zadávané do vlastného interného systému lístkov na sledovanie prostredníctvom riešenia.
10. Reakcia na incident
    1. V prípade potenciálneho narušenia bezpečnosti, vlastný tím pre reakciu na incidenty zhodnotí situáciu a vypracuje vhodné stratégie na jej zmiernenie. Ak sa potvrdí potenciálne porušenie, spoločnosť Own bude okamžite konať, aby zmiernila porušenie a zachovala forenzné dôkazy, a bez zbytočného odkladu upovedomí primárne kontaktné miesta dotknutých zákazníkov, aby ich informovala o situácii a poskytla aktualizácie stavu riešenia.
11. Bezpečný vývoj softvéru
    1. Own využíva bezpečné vývojové postupy pre softvérové ​​aplikácie Own a RevCult počas celého životného cyklu vývoja softvéru. Tieto postupy zahŕňajú analýzu statického kódu, bezpečnosť Salesforceview pre aplikácie RevCult a pre vlastné aplikácie nainštalované v zákazníckych inštanciách Salesforce, peer review zmeny kódu, obmedzenie prístupu k úložisku zdrojového kódu na základe princípu najmenších privilégií a protokolovanie prístupu a zmien k úložisku zdrojového kódu.
12. Vyhradený bezpečnostný tím
    1. Own má špecializovaný bezpečnostný tím s viac ako 100-ročnými kombinovanými skúsenosťami v oblasti informačnej bezpečnosti. Okrem toho členovia tímu udržiavajú množstvo uznávaných certifikácií, vrátane, ale nie výlučne, CISM, CISSP a ISO 27001 vedúcich audítorov.
13. Ochrana súkromia a údajov
    1. Own poskytuje natívnu podporu pre žiadosti o prístup dotknutej osoby, ako je právo na vymazanie (právo byť zabudnutý) a anonymizáciu, na podporu dodržiavania nariadení o ochrane osobných údajov vrátane všeobecného nariadenia o ochrane údajov (GDPR), zákona o prenosnosti a zodpovednosti zdravotného poistenia. (HIPAA) a kalifornského zákona o ochrane súkromia spotrebiteľov (CCPA). Own tiež poskytuje dodatok o spracovaní údajov, ktorý rieši zákony na ochranu súkromia a údajov vrátane právnych požiadaviek na medzinárodné prenosy údajov.
14. Previerky pozadia
    1. Own vykonáva panel previerok, vrátane kriminálnych previerok svojich zamestnancov, ktorí môžu mať prístup k údajom zákazníkov, na základe jurisdikcie bydliska zamestnanca počas predchádzajúcich siedmich rokov, v súlade s platnými zákonmi.
15. poistenie
    Own udržiava minimálne nasledujúce poistné krytie: a) poistenie náhrady škody pracovníkov v súlade so všetkými príslušnými zákonmi; (b) poistenie zodpovednosti za škodu spôsobenú prevádzkou vozidla pre nevlastnené a prenajaté vozidlá s kombinovaným jediným limitom 1,000,000 1,000,000 2,000,000 USD; (c) poistenie všeobecnej komerčnej zodpovednosti (verejná zodpovednosť) s jednolimitným krytím 20,000,000 20,000,000 5,000,000 USD za udalosť a všeobecným súhrnným krytím XNUMX XNUMX XNUMX USD; (d) poistenie chýb a opomenutí (odškodnenie pri výkone povolania) s limitom XNUMX XNUMX XNUMX USD na udalosť a súhrnne XNUMX XNUMX XNUMX USD vrátane primárnych a nadbytočných vrstiev a vrátane kybernetickej zodpovednosti, technologických a profesionálnych služieb, technologických produktov, bezpečnosti údajov a sietí, reakcie na porušenie predpisov, zodpovednosť za obranu a sankcie, kybernetické vydieranie a obnovu údajov; a (e) poistenie pre nepoctivosť/zločin zamestnanca s krytím XNUMX XNUMX XNUMX USD. Na požiadanie poskytne Zákazníkovi dôkaz o takomto poistení.

PRÍLOHA 5 Európske ustanovenia

Tento harmonogram sa vzťahuje len na prenosy Osobných údajov (vrátane ďalších prenosov) z Európy, ktoré by v prípade neuplatnenia týchto ustanovení spôsobili, že zákazník alebo Vlastník porušia príslušné zákony a nariadenia o ochrane údajov.

1. Prenosový mechanizmus na prenos údajov.
   a) Štandardné zmluvné doložky sa vzťahujú na akékoľvek prenosy osobných údajov podľa tohto Dodatkového DPA z Európy do krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov na takýchto územiach, a to v rozsahu, v akom takéto prenosy podliehajú k takýmto zákonom a nariadeniam o ochrane údajov. Own vstupuje do štandardných zmluvných doložiek ako importér údajov. Na takéto prenosy údajov sa vzťahujú aj dodatočné podmienky v tomto zozname.
2. Prevody podliehajú štandardným zmluvným doložkám.
   a) Zákazníci, na ktorých sa vzťahujú štandardné zmluvné doložky. Štandardné zmluvné doložky a dodatočné podmienky uvedené v tejto prílohe sa vzťahujú na (i) Zákazníka v rozsahu, v akom Zákazník podlieha európskym zákonom a nariadeniam o ochrane údajov, a (ii) jeho Autorizované pridružené spoločnosti. Na účely štandardných zmluvných doložiek a tohto zoznamu sú takéto subjekty „vývozcami údajov“.
   b) Moduly. Zmluvné strany sa dohodli, že tam, kde je možné použiť voliteľné moduly v rámci Štandardných zmluvných doložiek, sa použijú len tie, ktoré sú označené ako „MODUL DVA: Preniesť správcu na sprostredkovateľa“.
   c) Pokyny. Zmluvné strany sa dohodli, že používanie Služieb spracovania osobných údajov Zákazníkom v súlade so Zmluvou a Existujúcimi DPA sa považujú za pokyny Zákazníka na spracúvanie Osobných údajov na účely článku 8.1 štandardných zmluvných doložiek.
   d) Vymenovanie nových sub-spracovateľov a zoznam súčasných sub-spracovateľov. V súlade s MOŽNOSŤOU 2 k článku 9(a) štandardných zmluvných doložiek zákazník súhlasí s tým, že Vlastník môže zapojiť nových čiastkových spracovateľov, ako je opísané v Existujúcom DPA, a že Vlastné pridružené spoločnosti môžu byť ponechané ako čiastkové spracovateľské spoločnosti a Vlastné a vlastné pridružené spoločnosti môžu zapojiť Subdodávatelia tretích strán v súvislosti s poskytovaním Služieb spracovania údajov. Aktuálny zoznam čiastkových spracovateľov, ako je priložený ako príloha 1.
   e) Subdodávateľské zmluvy. Zmluvné strany sa dohodli, že prenos údajov subdodávateľom sa môže opierať o iný mechanizmus prenosu ako sú štandardné zmluvné doložky (napr.ample, záväzné firemné pravidlá) a že dohody Own s takýmito Subspracovateľmi preto nemôžu zahŕňať alebo odzrkadľovať Štandardné zmluvné doložky, bez ohľadu na čokoľvek v rozpore s článkom 9(b) Štandardných zmluvných doložiek. Akákoľvek takáto zmluva so subdodávateľom však bude obsahovať povinnosti týkajúce sa ochrany údajov, ktoré nie sú menej chránené ako tie, ktoré sú uvedené v tomto dodatočnom DPA, pokiaľ ide o ochranu zákazníckych údajov, v rozsahu uplatniteľnom na služby poskytované takýmto subdodávateľom. Kópie zmlúv so subspracovateľmi, ktoré musí Zákazníkovi poskytnúť Vlastný podľa článku 9(c) Štandardných zmluvných doložiek, poskytne Vlastný iba na základe písomnej žiadosti Zákazníka a môžu obsahovať všetky komerčné informácie alebo doložky, ktoré nesúvisia s Štandardné zmluvné doložky alebo ich ekvivalent, ktoré Vlastník vopred odstráni.
   f) Audity a certifikácie. Strany sa dohodli, že audity opísané v článku 8.9 a článku 13(b) štandardných zmluvných doložiek sa vykonajú v súlade s podmienkami existujúceho DPA.
   g) Vymazanie údajov. Zmluvné strany sa dohodli, že vymazanie alebo vrátenie údajov, o ktorých sa uvažuje v článku 8.5 alebo článku 16(d) štandardných zmluvných doložiek, sa vykoná v súlade s podmienkami existujúceho DPA a akékoľvek potvrdenie vymazania poskytne Zákazník iba na základe súhlasu zákazníka. žiadosť.
   h) Príjemcovia tretích strán. Zmluvné strany sa dohodli, že na základe povahy služieb SaaS, Zákazník poskytne všetku pomoc potrebnú na to, aby umožnil spoločnosti Own splniť svoje záväzky voči dotknutým osobám podľa článku 3 štandardných zmluvných doložiek.
   i) Hodnotenie vplyvu. V súlade s článkom 14 štandardných zmluvných doložiek zmluvné strany vykonali analýzu v kontexte špecifických okolností prevodu, zákonov a praktík cieľovej krajiny, ako aj špecifických doplnkových zmluvných, organizačných a technických záruky, ktoré sa uplatňujú, a na základe informácií, ktoré im boli v tom čase primerane známe, určili, že zákony a prax cieľovej krajiny nebránia stranám v plnení záväzkov každej strany podľa štandardných zmluvných doložiek.
   j) Rozhodujúce právo a fórum. Zmluvné strany sa dohodli, pokiaľ ide o MOŽNOSŤ 2 k článku 17, že v prípade, že členský štát EÚ, v ktorom má vývozca údajov sídlo, nepripúšťa práva príjemcov tretích strán, štandardné zmluvné doložky sa budú riadiť právom Írsko. V súlade s článkom 18 budú spory súvisiace so štandardnými zmluvnými doložkami riešené súdmi uvedenými v zmluve, pokiaľ takýto súd nemá sídlo v členskom štáte EÚ, pričom v takom prípade budú súdom pre takéto spory súdy v Írsku .
   k) prílohy. Na účely vykonávania štandardných zmluvných doložiek sa príloha 3: Podrobnosti o spracovaní začlení ako PRÍLOHA IA a IB, príloha 4: Vlastné bezpečnostné kontroly (ktorá sa môže z času na čas aktualizovať na https://www.owndata.com/trust/) sa začlení ako PRÍLOHA II a Plán 1: Aktuálny zoznam podprocesorov (môže byť priebežne aktualizovaný na  https://www.owndata.com/legal/sub-p/) sa začlení ako PRÍLOHA III.
   l) Výklad. Podmienky tohto dodatku sú určené na objasnenie a nie na úpravu štandardných zmluvných doložiek. V prípade akéhokoľvek rozporu alebo nesúladu medzi telom tejto prílohy a štandardnými zmluvnými doložkami majú prednosť Štandardné zmluvné doložky.
3. Ustanovenia platné pre transfery zo Švajčiarska Zmluvné strany sa dohodli, že na účely uplatňovania štandardných zmluvných doložiek na uľahčenie prenosu osobných údajov zo Švajčiarska sa budú uplatňovať tieto dodatočné ustanovenia: (i) Akékoľvek odkazy na nariadenie (EÚ) 2016/679 sa budú vykladať tak, že odkazujú na príslušné ustanovenia švajčiarskeho federálneho zákona o ochrane údajov a iných zákonov Švajčiarska na ochranu údajov („švajčiarske zákony o ochrane údajov“), (ii) Všetky odkazy na „členský štát“ alebo „členský štát EÚ“ alebo „EÚ“ sa vykladajú tak, že odkazujú na Švajčiarsko a (iii) Všetky odkazy na dozorný orgán sa vykladajú tak, že odkazujú na Švajčiarskeho federálneho komisára pre ochranu údajov a informácií.
4. a) Tabuľka 1: Strany, ich podrobnosti a kontakty sú uvedené v zozname 3.
   b) Tabuľka 2: „Schválené štandardné zmluvné doložky EÚ“ sú štandardné zmluvné doložky uvedené v tomto dodatku 5.
   c) Tabuľka 3: Prílohy I(A), I(B) a II sú vyplnené tak, ako je uvedené v časti 2(k) tohto dodatku 5.
   d) Tabuľka 4: Vlastníci môžu uplatniť voliteľné právo na predčasné ukončenie popísané v časti 19 dodatku Spojeného kráľovstva.

Dokumenty / zdroje

Dodatok o spracovaní doplnkových údajov DocuSign [pdfPokyny Dodatok o spracovaní doplnkových údajov, dodatok o spracovaní údajov, dodatok o spracovaní, dodatok

Referencie

• Používateľská príručka