Obsah skryť
1 Dodatok o spracovaní doplnkových údajov pre vlastnú zálohu
2 Informácie o produkte
3 Návod na použitie produktu
4 POKYNY DODATKU NA SPRACOVANIE DOPLNKOVÝCH ÚDAJOV
5 Aktuálny zoznam podprocesorov
6 Služby SaaS vzťahujúce sa na spracovanie osobných údajov
7 Podrobnosti o Spracovaní
8 Kontroly zabezpečenia OwnBackup 3.3
9 Úvod
10 európske ustanovenia
11 Dokumenty / zdroje
11.1 Referencie

Vlastná záloha-LOGO

Dodatok o spracovaní doplnkových údajov pre vlastnú zálohu

Vlastná záloha-Doplnkové-Spracovanie-Údajov-Dodatok-PRODUKT

Informácie o produkte

Produkt je dodatkom o spracovaní údajov (DPA), ktorý poskytuje OwnBackup. Používa sa v spojení so službami SaaS poskytovanými OwnBackup na spracovanie osobných údajov v mene zákazníka.

Kľúčové definície

  • Ovládač: Subjekt, ktorý určuje účely a prostriedky spracúvania Osobných údajov.
  • zákazník: Subjekt uvedený vyššie a jeho pridružené spoločnosti.
  • Subjekt údajov: Identifikovaná alebo identifikovateľná osoba, ktorej sa osobné údaje týkajú.
  • Európa: Vzťahuje sa na Európsku úniu, Európsky hospodársky priestor, Švajčiarsko a Spojené kráľovstvo.
  • GDPR: General Data Protection Regulation, čo je nariadenie o ochrane údajov a súkromia pre všetky fyzické osoby v rámci Európskej únie a Európskeho hospodárskeho priestoru.

Návod na použitie produktu

  1. Tento Doplnkový DPA pozostáva z dvoch častí: hlavná časť Doplnkového DPA a Plány 1, 2, 3, 4 a 5.
  2. Dodatočná DPA už bola vopred podpísaná v mene OwnBackup.
  3. Ak chcete vyplniť dodatočný DPA, postupujte podľa týchto krokov:
    • Vyplňte časť Meno a adresa zákazníka na strane 2.
    • Vyplňte informácie v poli podpisu a prihláste sa na strane 3.
    • Overte si, či informácie v Prílohe 3 (Podrobnosti o spracovaní) presne odrážajú subjekty a kategórie údajov, ktoré sa majú spracovať.
    • Vyplnenú a podpísanú doplnkovú DPA odošlite spoločnosti OwnBackup na adresu privacy@ownbackup.com.
  4. Po prijatí platne vyplneného Dodatkového DPA spoločnosťou OwnBackup na poskytnutú e-mailovú adresu sa Doplnkový DPA stane právne záväzným.
  5. Podpis Dodatočného DPA na strane 3 predstavuje súhlas so štandardnými zmluvnými doložkami a dodatkom pre Spojené kráľovstvo, pričom obe sú zahrnuté formou odkazu.
  6. V prípade akéhokoľvek rozporu alebo nezrovnalosti medzi týmto Dodatkovým DPA a akoukoľvek inou dohodou medzi Zákazníkom a OwnBackup majú prednosť podmienky tohto Dodatkového DPA.

POKYNY DODATKU NA SPRACOVANIE DOPLNKOVÝCH ÚDAJOV

AKO VYKONAŤ TÚTO DPA:

  1. Tento doplnkový DPA pozostáva z dvoch častí: hlavná časť Dodatkového DPA a zoznamy 1, 2, 3, 4 a 5.
  2. Táto doplnková DPA bola vopred podpísaná v mene spoločnosti OwnBackup.
  3. Na vyplnenie tohto dodatočného DPA musí zákazník:
    • a.Vyplňte časť Meno a adresa zákazníka na strane 2.
    • b. Vyplňte informácie v poli podpisu a prihláste sa na strane 3.
    • c. Overte si, či informácie v Pláne 3 (MDDetails Of the Processing”) presne odrážajú predmety a kategórie údajov, ktoré sa majú spracovať
    • d. Vyplnenú a podpísanú doplnkovú DPA odošlite spoločnosti OwnBackup na adresu privacy@ownbackup.com.

Po prijatí platne vyplneného Dodatkového DPA na túto e-mailovú adresu spoločnosťou OwnBackup sa tento Doplnkový DPA stane právne záväzným. Podpis tohto dodatkového DPA na strane 3 sa považuje za podpis a prijatie štandardných zmluvných doložiek (vrátane ich dodatkov) a dodatku Spojeného kráľovstva, ktoré sú tu zahrnuté formou odkazu.

AKO PLATÍ TOTO DPA

  • Ak je zmluvnou stranou dohody subjekt zákazníka, ktorý podpisuje túto doplnkovú DPA, táto doplnková DPA je dodatkom a tvorí súčasť zmluvy alebo existujúcej DPA. V takom prípade je subjekt OwnBackup, ktorý je stranou Dohody alebo Existujúci DPA, stranou tohto DPA.
  • Ak entita zákazníka podpisujúca túto Dodatočnú DPA vyhotovila Objednávkový formulár s OwnBackup alebo jej pridruženou spoločnosťou v súlade so Zmluvou alebo Existujúcou DPA, ale sama nie je zmluvnou stranou Dohody alebo Existujúce DPA, je táto Dodatková DPA dodatkom k tomuto Objednávkovému formuláru a príslušné formuláre objednávky na obnovenie a subjekt OwnBackup, ktorý je stranou tohto formulára objednávky, je stranou tohto doplnkového DPA.
  • Ak subjekt zákazníka, ktorý podpisuje túto Dodatočnú DPA, nie je ani zmluvnou stranou Formulára objednávky, Dohody alebo Existujúcej DPA, táto Doplnková DPA nie je platná a nie je právne záväzná. Takýto subjekt by mal požiadať subjekt zákazníka, ktorý je stranou zmluvy alebo existujúceho DPA, aby vykonal túto Dodatočnú DPA.
  • Ak subjekt zákazníka podpisujúci Dodatočnú DPA nie je zmluvnou stranou Formulára objednávky, Hlavnej zmluvy o predplatnom alebo Existujúcej DPA priamo s OwnBackup, ale je namiesto toho zákazníkom nepriamo prostredníctvom autorizovaného predajcu služieb OwnBackup, táto Doplnková DPA nie je platná a je nie je právne záväzný. Takýto subjekt by mal kontaktovať autorizovaného predajcu a prediskutovať, či je potrebná zmena a doplnenie jeho zmluvy s týmto predajcom.
  • V prípade akéhokoľvek konfliktu alebo nesúladu medzi týmto Doplnkovým DPA a akoukoľvek inou zmluvou medzi Zákazníkom a OwnBackup (vrátane, bez obmedzenia, Zmluvy alebo Existujúceho DPA), platia a majú prednosť podmienky tohto Dodatkového DPA.

DODATOK O SPRACOVANÍ DOPLNKOVÝCH ÚDAJOV

Meno zákazníka:
Adresa zákazníka:
Existujúci dátum DPA:

Tento dodatočný dodatok o spracovaní údajov vrátane jeho plánov a príloh (ďalej len „doplnkový dodatok o spracovaní údajov“) tvorí súčasť existujúceho dodatku o spracovaní údajov uvedeného vyššie (ďalej len „existujúci dodatok o spracovaní údajov“) medzi spoločnosťou OwnBackup Inc. (ďalej len „vlastné zálohovanie“) a zákazníkom. Kombináciou tohto Doplnkového DPA a Existujúceho DPA vytvoria úplnú zmluvu o spracovaní údajov (ďalej len „DPA“), ktorá dokumentuje dohodu strán týkajúcu sa spracovania osobných údajov. Ak takýto zákaznícky subjekt a OwnBackup neuzavreli zmluvu, potom je táto DPA neplatná a nemá žiadny právny účinok. Vyššie uvedená entita zákazníka uzatvára túto Dodatočnú DPA za seba a ak niektorá z jej pridružených spoločností koná ako prevádzkovateľ osobných údajov, v mene týchto oprávnených pridružených spoločností. Všetky výrazy s veľkým začiatočným písmenom, ktoré tu nie sú definované, majú význam uvedený v Zmluve. V priebehu poskytovania služieb SaaS Zákazníkovi podľa Zmluvy môže OwnBackup spracúvať osobné údaje v mene Zákazníka. Strany súhlasia s nasledujúcimi doplňujúcimi podmienkami v súvislosti s takýmto Spracovaním.

DEFINÍCIE

  • „CCPA“ znamená kalifornský zákon o ochrane súkromia spotrebiteľov, Cal. Civ. Kód S 1798.100 et. nasl. v znení kalifornského zákona o ochrane osobných údajov z roku 2020 a spolu s akýmikoľvek vykonávacími predpismi.
  • „Správca“ znamená subjekt, ktorý určuje účely a prostriedky Spracúvania Osobných údajov a považuje sa aj za „podnikanie“, ako je definované v CCPA.
  • „Zákazník“ znamená vyššie uvedený subjekt a jeho pridružené spoločnosti.
  • „Zákony a predpisy o ochrane údajov“ znamenajú všetky zákony a nariadenia Európskej únie a jej členských štátov, Európskeho hospodárskeho priestoru a jeho členských štátov, Spojeného kráľovstva, Švajčiarska, Spojených štátov amerických, Kanady, Nového Zélandu a Austrálie a ich príslušné politické pododdiely, ktoré sa vzťahujú na Spracovanie osobných údajov. Patria medzi ne okrem iného v príslušnom rozsahu: GDPR, zákon o ochrane údajov Spojeného kráľovstva, zákon CCPA, zákon o ochrane spotrebiteľských údajov vo Virgínii („VCDPA“), zákon o ochrane osobných údajov v Colorade a súvisiace nariadenia („CPA“) “), zákon Utah Consumer Privacy Act („UCPA“) a zákon Connecticut o ochrane osobných údajov a online monitorovaní („CPDPA“)
  • „Dotknutá osoba“ znamená identifikovanú alebo identifikovateľnú osobu, ktorej sa osobné údaje týkajú, a zahŕňa „spotrebiteľa“, ako je definované v zákonoch a nariadeniach o ochrane údajov.
  • „Európa“ znamená Európsku úniu, Európsky hospodársky priestor, Švajčiarsko a Spojené kráľovstvo. Dodatočné ustanovenia vzťahujúce sa na prenosy Osobných údajov z Európy sú uvedené v Prílohe 5. V prípade, že Príloha 5 bude odstránená, Zákazník zaručuje, že nebude spracúvať Osobné údaje v súlade so zákonmi a nariadeniami o ochrane údajov v Európe.
  • „GDPR“ znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov a o zrušení smernice 95/46/ES (všeobecné nariadenie o ochrane údajov).
  • „Skupina OwnBackup“ znamená spoločnosť OwnBackup a jej pridružené spoločnosti zaoberajúce sa spracovaním osobných údajov.
  • „Osobné údaje“ znamenajú akékoľvek informácie týkajúce sa (i) identifikovanej alebo identifikovateľnej fyzickej osoby a (ii) identifikovanej alebo identifikovateľnej právnickej osoby (ak sú takéto informácie chránené podobne ako osobné údaje, osobné informácie alebo osobné údaje podľa príslušných údajov). Zákony a predpisy o ochrane), kde pre každý bod (i) alebo (ii) sú takéto údaje Údaje zákazníka.
  • „Služby spracovania osobných údajov“ znamenajú služby SaaS uvedené v prílohe 2, pre ktoré môže OwnBackup spracovávať osobné údaje.
  • „Spracovanie“ znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s Osobnými údajmi, či už automatickými prostriedkami alebo nie, ako je zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie, prispôsobovanie alebo pozmenenie, vyhľadávanie, konzultácia, používanie, sprístupnenie prenosom, šírenie alebo iné sprístupnenie, zosúladenie, kombináciu, obmedzenie, vymazanie alebo zničenie.
  • „Spracovateľ“ znamená subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa, vrátane akéhokoľvek „poskytovateľa služieb“, ako je tento pojem definovaný v CCPA.
  • „Štandardné zmluvné doložky“ znamenajú prílohu k vykonávaciemu rozhodnutiu Európskej komisie (EÚ) 2021/914 https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) zo 4. júna 2021 o štandardných zmluvných doložkách na prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 a s výhradou požadovaných zmien a doplnení pre Spojené štáty Kráľovstvo a Švajčiarsko ďalej opísané v prílohe 5.
  • „Sub-spracovateľ“ znamená akéhokoľvek procesora zamestnaného spoločnosťou OwnBackup, členom skupiny OwnBackup Group alebo iným podprocesorom.
  • „Dozorný orgán“ znamená vládny alebo vládou poverený regulačný orgán, ktorý má záväznú právnu právomoc nad zákazníkom.
  • „Dodatok pre Spojené kráľovstvo“ znamená Dodatok Spojeného kráľovstva o medzinárodnom prenose údajov k štandardným zmluvným doložkám Komisie EÚ (k dispozícii od 21. marca 2022 na https://ico.org.uk/for-organisations/guide-to-data-protection/ guide -to-the-General-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), vyplnené tak, ako je opísané v prílohe 5.
  • „Zákon Spojeného kráľovstva o ochrane údajov“ znamená Nariadenie Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktoré tvoria súčasť anglického práva. a Wales, Škótsko a Severné Írsko na základe oddielu 3 zákona o Európskej únii (vystúpenie) z roku 2018, ktorý môže byť z času na čas zmenený a doplnený zákonmi a nariadeniami Spojeného kráľovstva o ochrane údajov.

OBJEDNÁVKA PREDCHÁDZKY

  • a. S výnimkou tu zahrnutých štandardných zmluvných doložiek, ktoré majú prednosť, v prípade akéhokoľvek nesúladu medzi týmto dodatočným DPA a existujúcim DPA majú prednosť podmienky existujúceho DPA.

OBMEDZENIE ZODPOVEDNOSTI

  • a. V rozsahu povolenom zákonmi a nariadeniami o ochrane údajov, zodpovednosť každej strany a všetkých jej pridružených spoločností, spolu v súhrne, vyplývajúca alebo súvisiaca s touto doplnkovou DPA, či už na základe zmluvy, deliktu alebo na základe akejkoľvek inej teórie zodpovednosti, podlieha ustanoveniam „Obmedzenia zodpovednosti“ a takým iným ustanoveniam, ktoré vylučujú alebo obmedzujú zodpovednosť Zmluvy, a akýkoľvek odkaz v takýchto doložkách na zodpovednosť strany znamená súhrnnú zodpovednosť tejto strany a všetkých jej pridružených spoločností.

ZMENY PRENOSOVÝCH MECHANIZMOV

  • a. V prípade, že súčasný mechanizmus prenosu, na ktorý sa zmluvné strany spoliehajú pri uľahčovaní prenosov Osobných údajov do jednej alebo viacerých krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov, bude zrušený , alebo nahradí strany, budú v dobrej viere pracovať na uzákonení takéhoto alternatívneho mechanizmu prenosu, aby umožnili pokračovanie Spracúvania Osobných údajov, ktoré predpokladá Zmluva. Použitie takéhoto alternatívneho prenosového mechanizmu bude podmienené splnením všetkých zákonných požiadaviek na použitie takéhoto prenosového mechanizmu každou stranou.

Oprávnení signatári zmluvných strán riadne podpísali túto dohodu vrátane všetkých príslušných príloh, príloh a dodatkov, ktoré sú do nej zahrnuté.

Vlastná záloha-doplnkové-spracovanie-údajov-Dodatok-FIG-1

Zoznam rozvrhov

  • Plán 1: Aktuálny zoznam sub-procesorov
  • Príloha 2: Služby SaaS uplatniteľné na spracovanie osobných údajov
  • Príloha 3: Podrobnosti o spracovaní
  • Plán 4: OwnBackup Security Controls
  • Príloha 5: Európske ustanovenia

ROZVRH 1

Aktuálny zoznam podprocesorov

Sub-procesor Meno Adresa podprocesora Povaha spracovania Trvanie spracovania Miesto spracovania
OwnBackup Limited 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Izrael Zákaznícka podpora a údržba Po dobu trvania Zmluvy. Izrael
Amazon Web Services, Inc.* 410 Terry Avenue North, Seattle, Washington 98109, USA Hosting aplikácií a ukladanie dát Po dobu trvania Zmluvy. Spojené štáty, Kanada, Nemecko, Spojené kráľovstvo alebo Austrália
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, USA Hosting aplikácií a ukladanie dát Po dobu trvania Zmluvy. Holandsko alebo Spojené štáty americké
Elasticsearch, Inc.**  

800 West El Camino Real, Suite 350, Mountain View, Kalifornia 94040, USA

 Indexovanie a vyhľadávanie Po dobu trvania Zmluvy. Holandsko alebo Spojené štáty americké
  • Zákazník si môže vybrať buď Amazon Web Services alebo Microsoft (Azure) a jej požadované miesto spracovania počas počiatočného nastavenia služieb SaaS zákazníkom.
  • Vzťahuje sa len na zákazníkov OwnBackup Archive, ktorí sa rozhodnú nasadiť v cloude Microsoft (Azure).

ROZVRH 2

Služby SaaS vzťahujúce sa na spracovanie osobných údajov

  • OwnBackup Enterprise pre Salesforce
  • OwnBackup Unlimited pre Salesforce
  • OwnBackup Governance Plus pre Salesforce
  • Vlastný zálohovací archív
  • Prineste si vlastnú správu kľúčov
  • Osievanie pieskoviska

ROZVRH 3

Podrobnosti o Spracovaní

Exportér údajov

  • Celé meno: Meno zákazníka, ako je uvedené vyššie
  • Hlavná adresa: Adresa zákazníka, ako je uvedené vyššie
  • Kontakt: Ak nie je uvedené inak, toto bude primárny kontakt na zákazníckom účte.
  • Kontaktný e-mail: Ak nie je uvedené inak, toto bude primárna kontaktná e-mailová adresa v zákazníckom účte.

Importér údajov

  • Celé meno: OwnBackup Inc.
  • Hlavná adresa: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
  • Kontakt: Poverenec pre ochranu osobných údajov
  • Kontaktný e-mail: privacy@ownbackup.com

Povaha a účel spracovania

  • OwnBackup bude spracúvať osobné údaje tak, ako je to potrebné na vykonávanie služieb SaaS v súlade so Zmluvou a objednávkami a podľa ďalších pokynov zákazníka pri používaní služieb SaaS.

Trvanie spracovania

  • OwnBackup bude Osobné údaje spracúvať počas trvania Zmluvy, pokiaľ nie je písomne ​​dohodnuté inak.

Udržanie

  • OwnBackup bude uchovávať osobné údaje v službách SaaS počas trvania zmluvy, pokiaľ nie je písomne ​​dohodnuté inak, s výhradou maximálnej doby uchovávania uvedenej v dokumentácii.

Frekvencia prenosu

  • Ako určí zákazník prostredníctvom používania služieb SaaS.

Prevody na sub-spracovateľa (-ov)

  • Ak je to potrebné na vykonávanie služieb SaaS v súlade so Zmluvou a Objednávkami, a ako je ďalej opísané v Prílohe 1.

Kategórie dotknutých osôb
Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, Osobné údaje týkajúce sa nasledujúcich kategórií dotknutých osôb:

  • Záujemcovia, zákazníci, obchodní partneri a predajcovia zákazníka (ktorí sú fyzickými osobami)
  • Zamestnanci alebo kontaktné osoby potenciálnych zákazníkov, zákazníkov, obchodných partnerov a predajcov
  • Zamestnanci, agenti, poradcovia, nezávislí pracovníci Zákazníka (ktorí sú fyzickými osobami) Používatelia Zákazníka oprávnení Zákazníkom používať Služby SaaS

Typ osobných údajov
Zákazník môže poskytnúť Osobné údaje Službám SaaS, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré môžu zahŕňať, ale nie výlučne, nasledujúce kategórie Osobných údajov:

  • Meno a priezvisko
  • Názov
  • pozícia
  • Zamestnávateľ
  • Kontaktné údaje (firma, e-mail, telefón, fyzická adresa firmy)
  • identifikačné údaje
  • Údaje o profesionálnom živote
  • Údaje o osobnom živote
  • Lokalizačné údaje

Špeciálne kategórie údajov (ak je to vhodné)
Zákazník môže Službám SaaS odovzdať osobitné kategórie Osobných údajov, ktorých rozsah určuje a kontroluje Zákazník podľa vlastného uváženia a ktoré by z dôvodu prehľadnosti mohli zahŕňať spracovanie genetických údajov, biometrických údajov na účely jedinečného identifikáciu fyzickej osoby alebo údaje týkajúce sa zdravia. Informácie o tom, ako OwnBackup chráni špeciálne kategórie údajov a iné osobné údaje, nájdete v opatreniach v Pláne 4

ROZVRH 4

Kontroly zabezpečenia OwnBackup 3.3

Úvod

  • Aplikácie softvéru OwnBackup ako služby (SaaS Services) boli od začiatku navrhnuté s ohľadom na bezpečnosť. Služby SaaS sú navrhnuté s rôznymi bezpečnostnými kontrolami na viacerých úrovniach, aby riešili celý rad bezpečnostných rizík. Tieto bezpečnostné kontroly podliehajú zmenám; akékoľvek zmeny však zachovajú alebo zlepšia celkový stav bezpečnosti.
  • Opis ovládacích prvkov nižšie sa vzťahuje na implementácie služby SaaS na oboch serveroch Amazon Web Platformy služieb (AWS) a Microsoft Azure (Azure) (spolu označované ako naši poskytovatelia cloudových služieb alebo CSP), okrem prípadov uvedených v časti Šifrovanie nižšie. Tieto popisy ovládacích prvkov sa nevzťahujú na softvér RevCult okrem prípadov uvedených v časti „Vývoj bezpečného softvéru“ nižšie.

Audity a certifikácie

  • Služby SaaS sú certifikované podľa ISO/IEC 27001:2013 (Systém riadenia bezpečnosti informácií) a ISO/IEC 27701:2019 (Systém riadenia informácií o súkromí).
  • OwnBackup sa podrobuje každoročnému auditu SOC2 typu II podľa SSAE-18 s cieľom nezávisle overiť účinnosť svojich praktík, zásad, postupov a operácií v oblasti bezpečnosti informácií pre nasledujúce kritériá dôveryhodných služieb: bezpečnosť, dostupnosť, dôvernosť a integrita spracovania.
  • OwnBackup využíva globálne CSP regióny pre svoje výpočty a ukladanie pre služby SaaS. AWS a Azure sú špičkové zariadenia s niekoľkými akreditáciami vrátane SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 a HIPAA.

Web Kontroly zabezpečenia aplikácií

  • Zákaznícky prístup k Službám SaaS je len cez HTTPS (TLS1.2+), čím sa vytvára šifrovanie prenosu údajov medzi koncovým používateľom a aplikáciou a medzi OwnBackup a zdrojom údajov tretej strany (napr. Salesforce).
  • Správcovia služby SaaS zákazníka môžu podľa potreby poskytovať a zrušiť poskytovanie služieb SaaS a súvisiaci prístup.
  • Služby SaaS poskytujú riadenie prístupu na základe rolí, ktoré zákazníkom umožňuje spravovať povolenia viacerých organizácií.
  • Správcovia služby SaaS zákazníka majú prístup k záznamom auditu vrátane používateľského mena, akcie a časuampa polia zdrojovej adresy IP. Protokoly auditu môžu byť viewspracované a exportované správcom služby SaaS zákazníka prihláseným do služieb SaaS, ako aj prostredníctvom rozhrania API služieb SaaS.
  • Prístup k službám SaaS môže byť obmedzený zdrojovou IP adresou.
  • Služby SaaS umožňujú zákazníkom povoliť viacfaktorovú autentifikáciu pre prístup k účtom služby SaaS pomocou časovo založených jednorazových hesiel.
  • Služby SaaS umožňujú zákazníkom povoliť jednotné prihlásenie prostredníctvom poskytovateľov identity SAML 2.0.
  • Služby SaaS umožňujú zákazníkom povoliť prispôsobiteľné zásady hesiel, aby pomohli zosúladiť heslá služby SaaS s podnikovými zásadami.

Šifrovanie
OwnBackup ponúka nasledujúce možnosti služby SaaS na šifrovanie údajov v pokoji:
Štandardná ponuka.

  • Údaje sú šifrované pomocou šifrovania AES-256 na strane servera prostredníctvom systému správy kľúčov overeného podľa FIPS 140-2.
  • Šifrovanie obálok sa využíva tak, že hlavný kľúč nikdy neopustí hardvérový bezpečnostný modul (HSM).
  • Šifrovacie kľúče sa striedajú minimálne každé dva roky.

Možnosť Advanced Key Management (AKM).

  • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov pomocou hlavného šifrovacieho kľúča (CMK) poskytnutého zákazníkom.
  • AKM umožňuje budúcu archiváciu kľúča a jeho rotáciu s iným hlavným šifrovacím kľúčom.
  • Zákazník môže odvolať hlavné šifrovacie kľúče, čo má za následok okamžitú nedostupnosť údajov.

Možnosť Prineste si svoj vlastný systém správy kľúčov (KMS) (k dispozícii len na AWS).

  • Šifrovacie kľúče sa vytvárajú vo vlastnom, samostatne zakúpenom účte zákazníka pomocou AWS KMS.
  • Zákazník definuje politiku šifrovacieho kľúča, ktorá povoľuje zákazníckemu účtu služby SaaS na AWS prístup ku kľúču z vlastného AWS KMS zákazníka.
  • Údaje sú šifrované vo vyhradenom kontajneri na ukladanie objektov, ktorý spravuje OwnBackup a sú nakonfigurované na používanie šifrovacieho kľúča zákazníka.
  • Zákazník môže okamžite odvolať prístup k zašifrovaným údajom zrušením prístupu OwnBackup k šifrovaciemu kľúču bez interakcie s OwnBackup.
  • Zamestnanci OwnBackup nemajú kedykoľvek prístup k šifrovacím kľúčom a nepristupujú priamo do KMS.
  • Všetky kľúčové aktivity používania sú zaznamenané v zákazníckom KMS, vrátane získavania kľúčov prostredníctvom vyhradeného úložiska objektov.

Šifrovanie pri prenose medzi službami SaaS a zdrojom údajov tretej strany (napr. Salesforce) využíva HTTPS s TLS 1.2+ a OAuth 2.0.

sieť

  • Služby SaaS využívajú sieťové ovládacie prvky CSP na obmedzenie vstupu a výstupu zo siete.
  • Stavové bezpečnostné skupiny sa používajú na obmedzenie vstupu a výstupu siete na autorizované koncové body.
  • Služby SaaS využívajú viacvrstvovú sieťovú architektúru, vrátane viacerých, logicky oddelených virtuálnych privátnych cloudov Amazon (VPC) alebo Azure Virtual Networks (VNets), ktoré využívajú súkromné, DMZ a nedôveryhodné zóny v rámci infraštruktúry CSP.
  •  V AWS sa obmedzenia koncového bodu VPC S3 používajú v každej oblasti na povolenie prístupu iba z autorizovaných VPC.

Monitorovanie a audit

  • Systémy a siete služby SaaS sú monitorované z hľadiska bezpečnostných incidentov, stavu systému, abnormalít siete a dostupnosti.
  • Služby SaaS využívajú systém detekcie narušenia (IDS) na monitorovanie sieťovej aktivity a upozornenie OwnBackup na podozrivé správanie.
  • Používanie služieb SaaS web aplikačné firewally (WAF) pre celú verejnosť web služby.
  • OwnBackup zaznamenáva udalosti aplikácie, siete, používateľa a operačného systému na lokálny server syslog a SIEM špecifický pre daný región. Tieto protokoly sa automaticky analyzujú a znovaviewza podozrivú činnosť a vyhrážky. Akékoľvek anomálie sú podľa potreby eskalované.
  • OwnBackup využíva systémy správy bezpečnostných informácií a udalostí (SIEM), ktoré poskytujú nepretržitú bezpečnostnú analýzu sietí a bezpečnostného prostredia služieb SaaS, upozorňovanie na anomálie používateľov, prieskum útokov velenia a riadenia (C&C), automatickú detekciu hrozieb a hlásenie indikátorov kompromisu (IOC). ). Všetky tieto schopnosti spravuje bezpečnostný a prevádzkový personál OwnBackup.
  • Tím pre reakciu na incidenty OwnBackup monitoruje alias security@ownbackup.com a v prípade potreby odpovedá podľa plánu reakcie na incidenty (IRP) spoločnosti.

Izolácia medzi účtami

  • Služby SaaS používajú karanténu systému Linux na izoláciu údajov zákazníckych účtov počas spracovania. To pomáha zaistiť, že akákoľvek anomália (naprampz dôvodu bezpečnostného problému alebo softvérovej chyby) zostáva obmedzený na jediný účet OwnBackup.
  • Prístup k údajom nájomníkov je riadený prostredníctvom jedinečných používateľov IAM s údajmi taging, ktorý znemožňuje neoprávneným používateľom prístup k údajom nájomníka.

Obnova po katastrofe

  • OwnBackup využíva ukladanie objektov CSP na ukladanie zašifrovaných údajov o zákazníkoch vo viacerých zónach dostupnosti.
  • Pre údaje o zákazníkoch uložené na objektovom úložisku používa OwnBackup vytváranie verzií objektov s automatickým starnutím na podporu dodržiavania zásad obnovy a zálohovania po havárii OwnBackup. Pre tieto objekty sú systémy OwnBackup navrhnuté tak, aby podporovali cieľ bodu obnovy (RPO) 0 hodín (t. j. schopnosť obnoviť ľubovoľnú verziu ľubovoľného objektu tak, ako existoval počas predchádzajúcich 14 dní).
  • Akékoľvek požadované obnovenie výpočtovej inštancie sa dosiahne prebudovaním inštancie na základe automatizácie správy konfigurácie OwnBackup.
  • Plán obnovy po havárii spoločnosti OwnBackup je navrhnutý tak, aby podporoval 4-hodinový cieľ doby obnovy (RTO).

Správa zraniteľností

  • OwnBackup sa vykonáva pravidelne web hodnotenia zraniteľnosti aplikácií, analýza statického kódu a externé dynamické hodnotenia ako súčasť programu nepretržitého monitorovania, ktorý pomáha zaistiť správne uplatňovanie a efektívne fungovanie ovládacích prvkov zabezpečenia aplikácií.
  • Na polročnej báze si OwnBackup najíma nezávislých penetračných testerov tretích strán, ktorí vykonávajú sieťové aj web hodnotenia zraniteľnosti. Rozsah týchto externých auditov zahŕňa súlad s Open Web Projekt zabezpečenia aplikácií (OWASP) Top 10 Web Zraniteľnosť (www.owasp.org).
  • Výsledky hodnotenia zraniteľnosti sú začlenené do životného cyklu vývoja softvéru OwnBackup (SDLC), aby sa odstránili identifikované zraniteľnosti. Špecifické zraniteľnosti sú uprednostňované a zadávané do interného systému lístkov OwnBackup na sledovanie prostredníctvom riešenia.

Reakcia na incident

  • V prípade potenciálneho narušenia bezpečnosti tím OwnBackup Incident Response Team zhodnotí situáciu a vypracuje vhodné stratégie na zmiernenie. Ak sa potvrdí potenciálne porušenie, spoločnosť OwnBackup okamžite zasiahne, aby zmiernila porušenie a zachovala forenzné dôkazy, a bez zbytočného odkladu upovedomí primárne kontaktné miesta dotknutých zákazníkov, aby ich informovala o situácii a poskytla aktualizácie stavu riešenia.

Bezpečný vývoj softvéru

  • OwnBackup využíva bezpečné postupy vývoja softvérových aplikácií OwnBackup a RevCult počas celého životného cyklu vývoja softvéru. Tieto postupy zahŕňajú analýzu statického kódu, bezpečnosť Salesforceview pre aplikácie RevCult a pre aplikácie OwnBackup nainštalované v zákazníckych inštanciách Salesforce, peer review zmeny kódu, obmedzenie prístupu k úložisku zdrojového kódu na základe princípu najmenších privilégií a protokolovanie prístupu a zmien k úložisku zdrojového kódu.

Vyhradený bezpečnostný tím

  • OwnBackup má špecializovaný bezpečnostný tím s viac ako 100-ročnými kombinovanými skúsenosťami v oblasti informačnej bezpečnosti. Okrem toho členovia tímu udržiavajú množstvo uznávaných certifikácií, vrátane, ale nie výlučne, CISM, CISSP a ISO 27001 vedúcich audítorov.

Ochrana súkromia a údajov

  • OwnBackup poskytuje natívnu podporu pre žiadosti o prístup dotknutej osoby, ako je právo na vymazanie (právo byť zabudnutý) a anonymizáciu, na podporu dodržiavania nariadení o ochrane osobných údajov vrátane všeobecného nariadenia o ochrane údajov (GDPR), zákona o prenosnosti a zodpovednosti zdravotného poistenia. (HIPAA) a kalifornského zákona o ochrane súkromia spotrebiteľov (CCPA). OwnBackup tiež poskytuje dodatok o spracovaní údajov, ktorý rieši zákony na ochranu súkromia a údajov vrátane právnych požiadaviek na medzinárodné prenosy údajov.

Previerky pozadia

  •  OwnBackup vykonáva panel previerok, vrátane kriminálnych previerok svojich zamestnancov, ktorí môžu mať prístup k údajom zákazníkov, na základe jurisdikcie bydliska zamestnanca počas predchádzajúcich siedmich rokov, v súlade s platnými zákonmi.

poistenie
OwnBackup udržiava minimálne nasledujúce poistné krytie: (a) poistenie kompenzácie pracovníkov v súlade so všetkými príslušnými zákonmi; (b) poistenie zodpovednosti za škodu spôsobenú prevádzkou vozidla pre nevlastnené a prenajaté vozidlá s kombinovaným jediným limitom 1,000,000 1,000,000 2,000,000 USD; (c) poistenie všeobecnej komerčnej zodpovednosti (verejná zodpovednosť) s jednolimitným krytím 20,000,000 20,000,000 5,000,000 USD za udalosť a všeobecným súhrnným krytím XNUMX XNUMX XNUMX USD; (d) poistenie chýb a opomenutí (odškodnenie pri výkone povolania) s limitom XNUMX XNUMX XNUMX USD na udalosť a súhrnne XNUMX XNUMX XNUMX USD vrátane primárnych a nadbytočných vrstiev a vrátane kybernetickej zodpovednosti, technologických a profesionálnych služieb, technologických produktov, bezpečnosti údajov a sietí, reakcie na porušenie predpisov, zodpovednosť za obranu a sankcie, kybernetické vydieranie a obnovu údajov; a (e) poistenie pre nepoctivosť/zločin zamestnanca s krytím XNUMX XNUMX XNUMX USD. OwnBackup na požiadanie poskytne Zákazníkovi dôkaz o takomto poistení.

ROZVRH 5

európske ustanovenia

Tento harmonogram sa vzťahuje len na prenosy Osobných údajov (vrátane ďalších prenosov) z Európy, ktoré by v prípade neuplatnenia týchto ustanovení spôsobili, že zákazník alebo spoločnosť OwnBackup porušia príslušné zákony a nariadenia o ochrane údajov.

Prenosový mechanizmus na prenos údajov.

  • a) Štandardné zmluvné doložky sa vzťahujú na všetky prenosy Osobných údajov podľa tohto Dodatkového DPA z Európy do krajín, ktoré nezabezpečujú primeranú úroveň ochrany údajov v zmysle zákonov a nariadení o ochrane údajov na takýchto územiach, a to v rozsahu, v akom takéto prenosy podliehajú takýmto zákonom a nariadeniam o ochrane údajov. OwnBackup vstupuje do štandardných zmluvných doložiek ako importér údajov. Na takéto prenosy údajov sa vzťahujú aj dodatočné podmienky v tomto zozname.

Prevody podliehajú štandardným zmluvným doložkám.

  • a) Zákazníci, na ktorých sa vzťahujú Štandardné zmluvné doložky. Štandardné zmluvné doložky a dodatočné podmienky uvedené v tejto prílohe sa vzťahujú na (i) Zákazníka v rozsahu, v akom Zákazník podlieha európskym zákonom a nariadeniam o ochrane údajov, a (ii) jeho Autorizované pridružené spoločnosti. Na účely štandardných zmluvných doložiek a tohto zoznamu sú takéto subjekty „vývozcami údajov“.
  • b) Moduly. Zmluvné strany sa dohodli, že tam, kde je možné použiť voliteľné moduly v rámci Štandardných zmluvných doložiek, sa použijú len tie, ktoré sú označené ako „MODUL DVA: Preniesť správcu na sprostredkovateľa“.
  • c) Pokyny. Zmluvné strany sa dohodli, že používanie Služieb spracovania osobných údajov Zákazníkom v súlade so Zmluvou a Existujúcimi DPA sa považujú za pokyny Zákazníka na spracúvanie Osobných údajov na účely článku 8.1 štandardných zmluvných doložiek.
  • d) Vymenovanie nových čiastkových spracovateľov a zoznam súčasných čiastkových spracovateľov. V súlade s MOŽNOSŤOU 2 k článku 9(a) štandardných zmluvných doložiek zákazník súhlasí s tým, že spoločnosť OwnBackup môže zapojiť nových Sub-spracovateľov, ako je opísané v Existujúcom DPA, a že pridružené spoločnosti OwnBackup môžu byť ponechané ako Subspracovatelia a OwnBackup a OwnBackup môžu zapojiť tretie pridružené spoločnosti spoločnosti OwnBackup. Subspracovatelia v súvislosti s poskytovaním Služieb spracovania údajov. Aktuálny zoznam čiastkových spracovateľov, ako je priložený ako príloha 1.
  • Subdodávateľské zmluvy. Zmluvné strany sa dohodli, že prenos údajov subdodávateľom sa môže opierať o iný mechanizmus prenosu ako sú štandardné zmluvné doložky (napr.ample, záväzné podnikové pravidlá) a že dohody OwnBackup s takýmito Subspracovateľmi preto nemôžu zahŕňať alebo odzrkadľovať Štandardné zmluvné doložky, bez ohľadu na čokoľvek v rozpore s článkom 9(b) Štandardných zmluvných doložiek. Akákoľvek takáto zmluva so subdodávateľom však bude obsahovať povinnosti týkajúce sa ochrany údajov, ktoré nie sú menej chránené ako tie, ktoré sú uvedené v tomto dodatočnom DPA, pokiaľ ide o ochranu zákazníckych údajov, v rozsahu uplatniteľnom na služby poskytované takýmto subdodávateľom. Kópie zmlúv so subspracovateľmi, ktoré musí spoločnosť OwnBackup poskytnúť zákazníkovi podľa článku 9(c) štandardných zmluvných doložiek, poskytne spoločnosť OwnBackup iba na základe písomnej žiadosti zákazníka a môže obsahovať všetky obchodné informácie alebo ustanovenia, ktoré nesúvisia s Štandardné zmluvné doložky alebo ich ekvivalent, ktoré OwnBackup vopred odstráni.
  • f) Audity a certifikácie. Zmluvné strany sa dohodli, že audity opísané v článku 8.9 a článku 13(b) štandardných zmluvných doložiek sa budú vykonávať v súlade s podmienkami existujúceho DPA.
  • g) Vymazanie údajov. Zmluvné strany sa dohodli, že vymazanie alebo vrátenie údajov uvedených v článku 8.5 alebo článku 16(d) štandardných zmluvných doložiek sa vykoná v súlade s podmienkami existujúceho DPA a akékoľvek potvrdenie o vymazaní poskytne spoločnosť OwnBackup iba na základe súhlasu zákazníka. žiadosť.
  • h) Oprávnené tretie strany. Zmluvné strany sa dohodli, že na základe povahy služieb SaaS Zákazník poskytne všetku pomoc potrebnú na to, aby umožnil spoločnosti OwnBackup splniť svoje záväzky voči dotknutým osobám podľa článku 3 štandardných zmluvných doložiek.
  • Hodnotenie vplyvu. V súlade s článkom 14 štandardných zmluvných doložiek zmluvné strany vykonali analýzu v kontexte špecifických okolností prevodu, zákonov a praktík cieľovej krajiny, ako aj špecifických doplnkových zmluvných, organizačných a technických záruky, ktoré sa uplatňujú, a na základe informácií, ktoré im boli v tom čase primerane známe, určili, že zákony a prax cieľovej krajiny nebránia stranám v plnení záväzkov každej strany podľa štandardných zmluvných doložiek.
  • j) Rozhodné právo a fórum. Zmluvné strany sa dohodli, pokiaľ ide o MOŽNOSŤ 2 k článku 17, že v prípade, že členský štát EÚ, v ktorom má vývozca údajov sídlo, nepripúšťa práva príjemcov tretích strán, štandardné zmluvné doložky sa budú riadiť právom Írsko. V súlade s článkom 18 budú spory súvisiace so štandardnými zmluvnými doložkami riešené súdmi uvedenými v zmluve, pokiaľ takýto súd nemá sídlo v členskom štáte EÚ, pričom v takom prípade budú súdom pre takéto spory súdy v Írsku .
  • k) prílohy. Na účely vykonávania štandardných zmluvných doložiek sa príloha 3: Podrobnosti o spracovaní začlení ako PRÍLOHA IA a IB, príloha 4: Kontroly zabezpečenia vlastného zálohovania (ktorá sa môže z času na čas aktualizovať na https://www.ownbackup.com/trust/) sa začlení ako PRÍLOHA II a Plán 1: Aktuálny zoznam podprocesorov (môže byť priebežne aktualizovaný na https://www.ownbackup.com/legal/sub-p/) sa začlení ako PRÍLOHA III.
  • l) Výklad. Podmienky tohto dodatku sú určené na objasnenie a nie na úpravu štandardných zmluvných doložiek. V prípade akéhokoľvek rozporu alebo nesúladu medzi telom tejto prílohy a štandardnými zmluvnými doložkami majú prednosť Štandardné zmluvné doložky.

Ustanovenia platné pre transfery zo Švajčiarska
Zmluvné strany sa dohodli, že na účely uplatniteľnosti štandardných zmluvných doložiek na uľahčenie prenosu osobných údajov zo Švajčiarska sa budú uplatňovať tieto dodatočné ustanovenia: (i) Akékoľvek odkazy na nariadenie (EÚ) 2016/679 sa vykladajú tak, že odkazujú na zodpovedajúce ustanovenia švajčiarsky federálny zákon o ochrane údajov a ďalšie zákony Švajčiarska na ochranu údajov („švajčiarske zákony o ochrane údajov“), (ii) Všetky odkazy na „členský štát“ alebo „členský štát EÚ“ alebo „EÚ“ sa vykladajú tak, že odkazujú na Švajčiarsko, a (iii) Všetky odkazy na dozorný orgán sa vykladajú tak, že odkazujú na švajčiarskeho federálneho komisára pre ochranu údajov a informácií.

Ustanovenia platné pre transfery zo Spojeného kráľovstva.
Zmluvné strany súhlasia s tým, že Dodatok Spojeného kráľovstva sa vzťahuje na prenosy Osobných údajov, ktoré sa riadia zákonom Spojeného kráľovstva o ochrane údajov, a bude sa považovať za dokončený takto (s výrazmi s veľkým začiatočným písmenom, ktoré nie sú definované inde a majú definíciu uvedenú v Dodatku Spojeného kráľovstva):

  • a) Tabuľka 1: Strany, ich podrobnosti a kontakty sú uvedené v prílohe 3.
  • b) Tabuľka 2: „Schválené štandardné zmluvné doložky EÚ“ sú štandardné zmluvné doložky uvedené v tomto dodatku 5.
  • c) Tabuľka 3: Prílohy I(A), I(B) a II sú vyplnené tak, ako je uvedené v časti 2(k) tejto prílohy 5.
  • d) Tabuľka 4: OwnBackup môže uplatniť voliteľné právo na predčasné ukončenie popísané v časti 19 Dodatku pre Spojené kráľovstvo.

Dokumenty / zdroje

Dodatok o spracovaní doplnkových údajov pre vlastnú zálohu [pdfPokyny
Dodatok o spracovaní doplnkových údajov, dodatok o spracovaní údajov, dodatok

Referencie

Zanechajte komentár

Vaša emailová adresa nebude zverejnená. Povinné polia sú označené *