הוראות תוספת לעיבוד נתונים של DocuSign

נספח עיבוד נתונים משלים של DocuSign

כיצד לבצע DPA זה

1. DPA משלים זה מורכב משני חלקים: הגוף הראשי של ה-DPA המשלים, ותוספות 1, 2, 3, 4 ו-5.
2. DPA משלים זה נחתם מראש מטעם Own.
3. כדי להשלים DPA משלים זה, הלקוח חייב:
   a. השלם את הקטע שם לקוח וכתובת לקוח.
   b. מלאו את המידע בתיבת החתימה וחתמו.
   c. ודא שהמידע בנספח 3 ("פרטי העיבוד") משקף במדויק את הנושאים וקטגוריות הנתונים שיש לעבד.
   d. שלח את ה-DPA המשלים המלא והחתום לבעלות בכתובת privacy@owndata.com.

לאחר קבלת ה-DPA המשלים בתוקף בכתובת דוא"ל זו, ה-DPA המשלים הזה יהפוך לחייב משפטית.

חתימה של DPA משלים זה בעמוד 3 תיחשב כחתימה וקבלה של סעיפי החוזים הסטנדרטיים (כולל הנספחים שלהם) והנספח של בריטניה, שניהם משולבים כאן בהפניה.

כיצד DPA זה חל

אם ישות הלקוח החותמת על ה-DPA המשלים הזה היא צד להסכם, ה-DPA המשלים הזה הוא תוספת להסכם או ה-DPA הקיים ומהווה חלק ממנו. במקרה כזה, הישות העצמית שהיא צד להסכם או ה-DPA הקיים היא צד ל-DPA זה.

אם ישות הלקוח החותמת על DPA משלים זה ביצעה טופס הזמנה עם הבעלים או השותף שלו בהתאם להסכם או ה-DPA הקיים, אך אינה בעצמה צד להסכם או DPA קיים, DPA משלים זה הוא תוספת לטופס הזמנה זה. טופסי הזמנת חידוש רלוונטיים, והישות העצמית שהיא צד לטופס הזמנה זה היא צד ל-DPA משלים זה.

אם ישות הלקוח החותמת על DPA משלים זה אינו צד לטופס הזמנה או להסכם או ל-DPA קיים, DPA משלים זה אינו תקף ואינו מחייב מבחינה משפטית. ישות כזו צריכה לבקש מיישות הלקוח שהיא צד להסכם או DPA קיים לבצע DPA משלים זה.

אם ישות הלקוח החותמת על ה-DPA המשלים אינה צד לטופס הזמנה ולא להסכם מנוי ראשי או DPA קיים ישירות עם Own, אלא היא לקוחה בעקיפין דרך מפיץ מורשה של שירותי Own, ה-DPA המשלים הזה אינו תקף והוא לא מחייב מבחינה משפטית. ישות כזו צריכה ליצור קשר עם המפיץ המורשה כדי לדון אם נדרש תיקון להסכם שלה עם אותו מפיץ.

במקרה של סתירה או אי התאמה בין DPA משלים זה לבין כל הסכם אחר בין הלקוח לבעלותו (כולל, ללא הגבלה, ההסכם או DPA קיים), תנאי ה-DPA המשלים הזה ישלטו ויגברו.

נספח עיבוד נתונים משלים זה, כולל לוחות הזמנים והנספחים שלו, ("ה-DPA המשלים") מהווה חלק מהנספח הקיים לעיבוד הנתונים שזוהה לעיל ("DPA קיים") בין OwnBackup Inc. ("הבעלים") לבין הלקוח. בשילוב ה-DPA המשלים הזה וה-DPA הקיים יהוו את הסכם עיבוד הנתונים המלא ("ה-DPA") כדי לתעד את הסכמת הצדדים בנוגע לעיבוד נתונים אישיים. אם ישות הלקוח והבעלים כאמור לא התקשרו בהסכם, אזי ה-DPA הזה בטל וללא השפעה משפטית.

ישות הלקוח הנזכרת לעיל נכנסת ל-DPA משלים זה עבור עצמה, ואם אחד מהשותפים העצמאיים שלה פועל כאחראי על נתונים אישיים, בשם אותם שותפים מורשים. לכל המונחים באותיות רישיות שאינם מוגדרים כאן תהיה המשמעות המפורטת בהסכם.

במהלך מתן שירותי ה-SaaS ללקוח במסגרת ההסכם, Own רשאית לעבד נתונים אישיים מטעם הלקוח. הצדדים מסכימים לתנאים המשלימים הבאים ביחס לעיבוד כזה.

1. הגדרות
   "CCPA" פירושו חוק פרטיות הצרכן של קליפורניה, Cal. Civ. קוד § 1798.100 et. בהמשך, כפי שתוקן על ידי חוק זכויות הפרטיות של קליפורניה משנת 2020 ויחד עם תקנות יישום כלשהן.
   "בקר" פירושו הישות הקובעת את המטרות והאמצעים של עיבוד הנתונים האישיים ונחשבת כמתייחסת גם ל"עסק" כהגדרתו ב-CCPA.
   "צרכן" פירושו הישות הנזכרת לעיל והשותפות שלה.
   "חוקים ותקנות להגנת מידע" פירושו כל החוקים והתקנות של האיחוד האירופי ושלו
   המדינות החברות, האזור הכלכלי האירופי והמדינות החברות בו, בריטניה, שוויץ, ארצות הברית, קנדה, ניו זילנד ואוסטרליה, וחלוקות המשנה הפוליטיות שלהן, החלות על עיבוד נתונים אישיים. אלה כוללים, בין היתר, את הדברים הבאים, במידה הרלוונטית: ה-GDPR, חוק הגנת מידע בבריטניה, ה-CCPA, חוק הגנת המידע של וירג'יניה ("VCDPA"), חוק הפרטיות של קולורדו ותקנות קשורות ("CPA") "), חוק פרטיות הצרכן של יוטה ("UCPA") וחוק קונטיקט לגבי פרטיות נתונים אישיים וניטור מקוון ("CPDPA").
   "נושא מידע" פירושו האדם המזוהה או הניתן לזיהוי שאליו מתייחסים נתונים אישיים וכוללים "צַרכָן" כהגדרתו בחוקים ובתקנות הגנת מידע. "אֵירוֹפָּה" פירושו האיחוד האירופי, האזור הכלכלי האירופי, שוויץ ובריטניה. הוראות נוספות החלות על העברות של נתונים אישיים מאירופה כלולות בנספח 5. במקרה שנספח 5 יוסר, הלקוח מתחייב כי הוא לא יעבד נתונים אישיים בכפוף לחוקי הגנת הנתונים ולתקנות של אירופה.
   "GDPR" פירושה תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מה-27 באפריל 2016 בדבר הגנת אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ולגבי התנועה החופשית של נתונים כאלה, וביטול הוראה 95/46 /EC (תקנת הגנת מידע כללית).
   "קבוצה משלו" פירושו הבעלים והשותפים שלו העוסקים בעיבוד נתונים אישיים.
   "נתונים אישיים" פירושו כל מידע הנוגע ל-(i) אדם טבעי מזוהה או מזוהה, ו-(ii) ישות משפטית מזוהה או ניתנת לזיהוי (כאשר מידע כזה מוגן בדומה לנתונים אישיים, מידע אישי או מידע אישי מזהה במסגרת חוקים ותקנות הגנת מידע החלים ), כאשר עבור כל (i) או (ii), נתונים כאלה הם נתוני לקוחות.
   "שירותי עיבוד נתונים אישיים" פירושו שירותי SaaS המפורטים בנספח 2, שעבורם Own רשאית לעבד נתונים אישיים.
   "מעבד" פירושו כל פעולה או מערך פעולות המתבצעים על נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לא, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, חשיפה באמצעות שידור, הפצה או אחר ביצוע זמין, יישור או שילוב, הגבלה, מחיקה או הרס.
   "מעבד" פירושו הישות המעבדת נתונים אישיים מטעם הפיקוח, לרבות לפי העניין כל "ספק שירות" כפי שהמונח הזה מוגדר על ידי ה-CCPA.
   "סעיפים חוזיים סטנדרטיים" פירושו הנספח להחלטת היישום של הנציבות האירופית
   (האיחוד האירופי) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) מ-4 ביוני 2021 בנושא סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדים הממוקמים במדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל מועצת האיחוד האירופי ובכפוף לתיקונים הנדרשים עבור האיחוד האירופי. הממלכה ושוויץ מתוארות עוד בתוספת 5.
   "מעבד משנה" פירושו כל מעבד המועסק על ידי Own, על ידי חבר בקבוצת Own או על ידי Sub-processor אחר.
   "רשות הפיקוח" פירושו גוף רגולטורי ממשלתי או ממשלתי בעל סמכות משפטית מחייבת על הלקוח.
   "נספח בריטניה" פירושו נספח העברת הנתונים הבינלאומית של בריטניה לסעיפים החוזים הסטנדרטיים של נציבות האיחוד האירופי (זמין החל מה-21 במרץ 2022 בכתובת https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), הושלם כמתואר בתוספת 5.
   "חוק הגנת מידע בבריטניה" פירושו תקנה 2016/679 של הפרלמנט האירופי והמועצה על ההגנה על אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל תנועה חופשית של נתונים כאלה כפי שהם חלק מהחוק של אנגליה ווילס, סקוטלנד והצפון אירלנד מכוח סעיף 3 של חוק האיחוד האירופי (נסיגה) 2018, כפי שעשוי להשתנות מעת לעת על ידי החוקים והתקנות להגנה על מידע של בריטניה.
2. צו קיום
   a. למעט הסעיפים החוזיים האחידים המשולבים בזאת, אשר יקבלו עדיפות, במקרה של אי התאמה כלשהי בין ה-DPA המשלים הזה לבין ה-DPA הקיים, תנאי ה-DPA הקיים יגברו.
3. הגבלת אחריות
   a. ככל שמתירים חוקים ותקנות הגנת המידע, החבות של כל צד ושל כל השותפים שלו, ביחד במצטבר, הנובעת או קשורה ל-DPA משלים זה, בין אם בחוזה, בנזיקין או לפי כל תיאוריה אחרת של אחריות, כפוף לסעיפי "מגבלת החבות", ולסעיפים אחרים כאלה המוציאים או מגבילים אחריות, של ההסכם, וכל התייחסות בסעיפים כאלה לאחריות של צד פירושה החבות המצרפית של אותו צד ושל כל השותפים המסונפים לו.
4. שינויים במנגנוני ההעברה
   a. במקרה שבו מנגנון העברה שוטף שעליו מסתמכים הצדדים לצורך הקלת העברות של נתונים אישיים למדינה אחת או יותר שאינן מבטיחות רמה נאותה של הגנה על מידע כמשמעות החוקים והתקנות להגנת המידע, יבוטל, יתוקן , או שהוחלפו הצדדים יפעלו בתום לב כדי להפעיל מנגנון העברה חלופי כזה כדי לאפשר את המשך העיבוד של נתונים אישיים הנחשבים בהסכם. השימוש במנגנון העברה חלופי כאמור יהיה כפוף למילוי של כל צד בכל הדרישות החוקיות לשימוש במנגנון העברה זה.

מורשי החתימה של הצדדים ביצעו הסכם זה כדין, לרבות כל לוחות הזמנים הרלוונטיים, הנספחים והנספחים המשולבים בה.

רשימת לוחות זמנים

לוח זמנים 1: רשימת תת-מעבדים נוכחית
לוח זמנים 2: שירותי SaaS החלים על עיבוד נתונים אישיים
לוח זמנים 3: פרטי העיבוד
לוח זמנים 4: בקרות אבטחה משלו
לוח זמנים 5: הוראות אירופיות

לוח 1 רשימת תת-מעבדים נוכחית

* הלקוח יכול לבחור באמזון Web שירותים או Microsoft (Azure) ומיקום העיבוד הרצוי שלה במהלך ההגדרה הראשונית של הלקוח של שירותי SaaS.
** חל רק על לקוחות ארכיון שבוחרים לפרוס בענן Microsoft (Azure).

SCHEDULE 2 שירותי SaaS החלים על עיבוד נתונים אישיים

• שחזור עבור ServiceNow
• שחזור עבור דינמיקה
• התאושש עבור Salesforce
• Governance Plus עבור Salesforce
• ארכיון
• תביא ניהול מפתח משלך
• לְהַאִיץ

לוח 3 פרטי העיבוד

ייצואן נתונים

שם חוקי מלא: שם הלקוח כמפורט לעיל
כתובת ראשית: כתובת הלקוח כמפורט לעיל
מַגָע: אם לא צוין אחרת, זה יהיה איש הקשר העיקרי בחשבון הלקוח.
אימייל ליצירת קשר: אם לא צוין אחרת, זו תהיה כתובת הדוא"ל הראשית ליצירת קשר בחשבון הלקוח.

יבואן נתונים 

שם מלא חוקי: OwnBackup Inc.
כתובת ראשית: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, ארה"ב
מַגָע: קצין פרטיות
אימייל ליצירת קשר: privacy@owndata.com

אופי ומטרת העיבוד

Own תעבד נתונים אישיים לפי הצורך לביצוע שירותי SaaS בהתאם להסכם ולהזמנות, ובהתאם להנחיה נוספת של הלקוח בשימוש שלו בשירותי SaaS.

משך העיבוד

Own תעבד נתונים אישיים למשך כל תקופת ההסכם, אלא אם הוסכם אחרת בכתב.

הַחזָקָה

Own תשמור את הנתונים האישיים בשירותי SaaS למשך ההסכם, אלא אם הוסכם אחרת בכתב, בכפוף לתקופת השמירה המרבית המצוינת בתיעוד.

תדירות ההעברה

כפי שנקבע על ידי הלקוח באמצעות השימוש שלו בשירותי SaaS.

העברות למעבדי משנה 

לפי הצורך כדי לבצע את שירותי ה-SaaS בהתאם להסכם ולהזמנות, וכפי שמתואר בהמשך בנספח 1.

קטגוריות של נושאי נתונים

הלקוח רשאי לשלוח נתונים אישיים לשירותי ה-SaaS, שהיקף שלהם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול, אך לא מוגבל לנתונים אישיים הקשורים לקטגוריות הבאות של נושאי מידע:

• לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח (שהם אנשים טבעיים)
• עובדים או אנשי קשר של לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח
• עובדים, סוכנים, יועצים, פרילנסרים של הלקוח (שהם אנשים טבעיים) משתמשי הלקוח המורשים על ידי הלקוח להשתמש בשירותי SaaS

סוג הנתונים האישיים

הלקוח רשאי לשלוח נתונים אישיים לשירותי SaaS, אשר היקף זה נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול אך לא מוגבל לקטגוריות הבאות של נתונים אישיים:

• שם פרטי ושם משפחה
• כּוֹתֶרֶת
• מַצָב
• מַעֲסִיק
• פרטי יצירת קשר (חברה, אימייל, טלפון, כתובת עסקית פיזית)
• נתוני תעודת זהות
• נתוני חיים מקצועיים
• נתוני חיים אישיים
• נתוני לוקליזציה

קטגוריות מיוחדות של נתונים (אם מתאים)

הלקוח רשאי להגיש קטגוריות מיוחדות של נתונים אישיים לשירותי ה-SaaS, אשר היקפם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר למען הבהירות יכולים לכלול עיבוד נתונים גנטיים, נתונים ביומטריים למטרות ייחודיות זיהוי אדם טבעי או נתונים הנוגעים לבריאות. ראה את האמצעים בנספח 4 כיצד Own מגן על קטגוריות מיוחדות של נתונים ונתונים אישיים אחרים.

לוח 4 בקרות אבטחה משלו 3.3

1. מָבוֹא
   1. יישומי תוכנה כשירות משלו (SaaS Services) תוכננו מההתחלה מתוך מחשבה על אבטחה. שירותי ה-SaaS מעוצבים עם מגוון בקרות אבטחה על פני מספר רבדים כדי לתת מענה למגוון סיכוני אבטחה. בקרות אבטחה אלו כפופות לשינויים; עם זאת, כל שינוי ישמור או ישפר את מצב האבטחה הכולל.
   2. תיאורי הפקדים שלהלן חלים על הטמעות של שירות SaaS ב-Amazon Web פלטפורמות שירותים (AWS) ו-Microsoft Azure (Azure) (המכונה ביחד ספקי שירותי הענן שלנו, או CSPs), למעט כפי שצוין בסעיף ההצפנה שלהלן. תיאורים אלה של פקדים אינם חלים על תוכנת RevCult למעט כפי שצוין תחת "פיתוח תוכנה מאובטח" להלן.
2. ביקורות והסמכות
   1. שירותי SaaS מוסמכים לפי ISO/IEC 27001:2013 (מערכת ניהול אבטחת מידע) ו-ISO/IEC 27701:2019 (מערכת ניהול מידע פרטיות).
   2. Own עוברת ביקורת שנתית של SOC2 Type II תחת SSAE-18 כדי לאמת באופן עצמאי את האפקטיביות של נוהלי אבטחת המידע, המדיניות, הנהלים והפעולות שלה עבור הקריטריונים הבאים של שירותי אמון: אבטחה, זמינות, סודיות ושלמות עיבוד.
   3. Own משתמשת באזורי CSP גלובליים עבור המחשוב והאחסון שלה עבור שירותי SaaS. AWS ו-Azure הם מתקנים מהשורה הראשונה עם מספר הסמכות, כולל SOC1 - SSAE-18, SOC2, SOC3, ISO 27001 ו-HIPAA.
3. Web בקרות אבטחת יישומים
   1. גישת הלקוח לשירותי SaaS היא רק באמצעות HTTPS (+TLS1.2), תוך יצירת ההצפנה של הנתונים במעבר בין משתמש הקצה לאפליקציה ובין מקור הנתונים הפרטי והצד השלישי (למשל, Salesforce).
   2. מנהלי SaaS Service של הלקוח יכולים לספק ולבטל את האספקה ​​של משתמשי SaaS Service וגישה משויכת לפי הצורך.
   3. שירותי SaaS מספקים בקרות גישה מבוססות תפקידים כדי לאפשר ללקוחות לנהל הרשאות ריבוי ארגונים.
   4. מנהלי SaaS Service של הלקוח יכולים לגשת למסלולי ביקורת כולל שם משתמש, פעולה, זמןamp, ושדות כתובת IP מקור. יומני ביקורת יכולים להיות viewעורך ומיוצא על ידי מנהל SaaS Service של הלקוח המחובר לשירותי SaaS וכן דרך ממשק ה-API של שירותי SaaS.
   5. ניתן להגביל את הגישה לשירותי SaaS על ידי כתובת IP מקור.
   6. שירותי SaaS מאפשרים ללקוחות לאפשר אימות רב-גורמי לגישה לחשבונות SaaS Service תוך שימוש בסיסמאות חד פעמיות מבוססות זמן.
   7. שירותי SaaS מאפשרים ללקוחות לאפשר כניסה יחידה באמצעות ספקי זהות SAML 2.0.
   8. שירותי SaaS מאפשרים ללקוחות להפעיל מדיניות סיסמאות הניתנת להתאמה אישית כדי לעזור ליישר סיסמאות של שירות SaaS למדיניות הארגונית.
4. הצפנה
   1. Own מציעה את האפשרויות הבאות של שירות SaaS להצפנת נתונים במצב מנוחה:
      1. היצע סטנדרטי.
         • הנתונים מוצפנים באמצעות הצפנת AES-256 בצד השרת באמצעות מערכת ניהול מפתחות מאומתת לפי FIPS 140-2.
         • הצפנת מעטפה מנוצלת כך שהמפתח הראשי לא יוצא ממודול אבטחת החומרה (HSM).
         • מפתחות הצפנה מסובבים לא פחות משנתיים.
      2. אפשרות ניהול מפתח מתקדם (AKM).
         • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים עם מפתח הצפנה ראשי (CMK) שסופק על ידי הלקוח.
         • AKM מאפשר אחסון עתידי של המפתח וסיבובו עם מפתח הצפנה ראשי אחר.
         • הלקוח יכול לבטל מפתחות הצפנה ראשיים, וכתוצאה מכך חוסר נגישות מיידי של הנתונים.
      3. אפשרות להביא את מערכת ניהול המפתחות שלך (KMS) (זמינה ב-AWS בלבד).
         • מפתחות הצפנה נוצרים בחשבון הלקוח שלו, שנרכש בנפרד, תוך שימוש ב-AWS KMS.
         • הלקוח מגדיר את מדיניות מפתח ההצפנה המאפשרת לחשבון SaaS Service של הלקוח ב-AWS לגשת למפתח מה-AWS KMS של הלקוח עצמו.
         • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים המנוהל על ידי Own, ומוגדר לשימוש במפתח ההצפנה של הלקוח.
         • הלקוח רשאי לבטל באופן מיידי את הגישה לנתונים המוצפנים על ידי ביטול הגישה של Own למפתח ההצפנה, ללא אינטראקציה עם Own.
         • לעובדים משלהם אין גישה למפתחות ההצפנה בכל עת ואינם ניגשים ישירות ל-KMS.
         • כל פעילויות השימוש במפתח נרשמות ב-KMS של הלקוח, כולל שליפת מפתחות על ידי אחסון האובייקטים הייעודי.
      4. הצפנה במעבר בין שירותי SaaS ומקור הנתונים של צד שלישי (למשל, Salesforce) משתמשת ב-HTTPS עם TLS 1.2+ ו-OAuth 2.0.
5. רֶשֶׁת
   1. שירותי SaaS משתמשים בבקרות רשת CSP כדי להגביל כניסה ויציאה מרשת.
   2. קבוצות אבטחה ממלכתיות מועסקות כדי להגביל כניסה ויציאה לרשת לנקודות קצה מורשות.
   3. שירותי ה-SaaS משתמשים בארכיטקטורת רשת מרובת שכבות, כולל מספר רב של עננים פרטיים וירטואליים של Amazon (VPCs) מופרדים באופן הגיוני או Azure Virtual Networks (VNets), תוך מינוף פרטי, DMZs ואזורים לא מהימנים בתוך תשתית ה-CSP.
   4. ב-AWS, נעשה שימוש בהגבלות של VPC S3 Endpoint בכל אזור כדי לאפשר גישה רק מה-VPCs המורשים.
6. ניטור וביקורת
   1. המערכות והרשתות של שירות SaaS מנוטרות לאיתור תקריות אבטחה, תקינות המערכת, חריגות ברשת וזמינות.
   2. שירותי SaaS משתמשים במערכת זיהוי חדירה (IDS) כדי לנטר את פעילות הרשת ולהתריע על התנהגות חשודה.
   3. השימוש בשירותי SaaS web חומות אש של יישומים (WAFs) לכל הציבור web שירותים.
   4. יומנים משלו של יישום, רשת, משתמש ואירועי מערכת הפעלה לשרת syslog מקומי ול-SIEM ספציפי לאזור. יומנים אלו מנותחים אוטומטית וחוזריםviewed עבור פעילות חשודה ואיומים. כל חריגות מוסלמות בהתאם לצורך.
   5. Own משתמש במערכות מידע אבטחה וניהול אירועים (SIEM) המספקות ניתוח אבטחה רציף של הרשתות וסביבת האבטחה של שירותי SaaS, התרעות על חריגות משתמשים, סיור התקפות פיקוד ובקרה (C&C), זיהוי אוטומטי של איומים ודיווח על אינדיקטורים של פשרה (IOC). ). כל היכולות הללו מנוהלות על ידי צוות האבטחה והתפעול של Own.
   6. צוות התגובה לאירועים של Own עוקב אחר security@owndata.com כינוי ומגיב לפי תוכנית התגובה לתקריות (IRP) של החברה כאשר הדבר מתאים.
7. בידוד בין חשבונות
   1. שירותי SaaS משתמשים בארגז חול של Linux כדי לבודד את נתוני חשבונות הלקוחות במהלך העיבוד. זה עוזר להבטיח שכל חריגה (למשלample, עקב בעיית אבטחה או באג תוכנה) נשאר מוגבל לחשבון יחיד.
   2. הגישה לנתוני דיירים נשלטת באמצעות משתמשי IAM ייחודיים עם נתונים tagging שמונע ממשתמשים לא מורשים לגשת לנתוני הדיירים.
8. התאוששות מאסון
   1. Own משתמש באחסון אובייקטי CSP כדי לאחסן נתוני לקוחות מוצפנים על פני מספר אזורי זמינות.
   2. עבור נתוני לקוחות המאוחסנים באחסון אובייקטים, Own משתמשת בניהול גרסאות של אובייקטים עם הזדקנות אוטומטית כדי לתמוך בעמידה במדיניות השחזור והגיבוי מאסון של Own. עבור אובייקטים אלה, המערכות של Own מתוכננות לתמוך ביעד נקודת התאוששות (RPO) של 0 שעות (כלומר, היכולת לשחזר לכל גרסה של כל אובייקט כפי שהיה קיים בתקופה של 14 הימים הקודמים).
   3. כל שחזור נדרש של מופע מחשוב מתבצע על ידי בנייה מחדש של המופע בהתבסס על האוטומציה של ניהול התצורה של Own.
   4. תוכנית ההתאוששות מאסון של Own נועדה לתמוך ביעד זמן התאוששות של 4 שעות (RTO).
9. ניהול פגיעות
   1. משלו מבצע תקופתי web הערכות פגיעות יישומים, ניתוח קוד סטטי והערכות דינמיות חיצוניות כחלק מתוכנית הניטור הרציף שלה כדי להבטיח שבקרות אבטחת יישומים מיושמות כהלכה ופועלות ביעילות.
   2. על בסיס חצי שנתי, Own שוכרת בודקי חדירה עצמאיים של צד שלישי לביצוע הן ברשת והן web הערכות פגיעות. היקף הביקורות החיצוניות הללו כולל ציות ל- Open Web פרויקט אבטחת יישומים (OWASP) 10 המובילים Web פגיעויות (www.owasp.org).
   3. תוצאות הערכת הפגיעות משולבות במחזור החיים של פיתוח תוכנה משלו (SDLC) כדי לתקן פגיעויות שזוהו. נקודות תורפה ספציפיות מקבלות עדיפות ומוכנסות למערכת הכרטיסים הפנימית של Own למעקב דרך פתרון.
10. תגובה לאירוע
    1. במקרה של פרצת אבטחה פוטנציאלית, צוות התגובה לאירועים משלו יבצע הערכת המצב ויפתח אסטרטגיות הפחתה מתאימות. אם תאושר הפרה פוטנציאלית, Own תפעל באופן מיידי לצמצום ההפרה ולשימור ראיות פורנזיות, ותודיע לנקודות הקשר העיקריות של הלקוחות המושפעים ללא דיחוי מיותר כדי לתדרך אותם על המצב ולספק עדכוני סטטוס פתרון.
11. פיתוח תוכנה מאובטח
    1. Own משתמשת בשיטות פיתוח מאובטחות עבור יישומי תוכנה Own ו-RevCult לאורך כל מחזור החיים של פיתוח התוכנה. פרקטיקות אלה כוללות ניתוח קוד סטטי, אבטחה של Salesforceview עבור יישומי RevCult ועבור יישומים משלו המותקנים במופעי Salesforce של לקוחות, עמיתיםview של שינויי קוד, הגבלת גישה למאגר קוד המקור בהתבסס על העיקרון של מינימום הרשאות, ורישום גישה למאגר קוד מקור ושינויים.
12. צוות אבטחה ייעודי
    1. ל- Own צוות אבטחה ייעודי עם למעלה מ-100 שנות ניסיון משולב באבטחת מידע רב-פנים. בנוסף, חברי הצוות מקיימים מספר הסמכות מוכרות בתעשייה, כולל אך לא רק CISM, CISSP ו-ISO 27001 מבקרים מובילים.
13. פרטיות והגנה על נתונים
    1. Own מספקת תמיכה מקורית לבקשות גישה של נושא נתונים, כגון הזכות למחיקה (הזכות להישכח) ואנונימיזציה, כדי לתמוך בעמידה בתקנות פרטיות הנתונים, לרבות תקנת הגנת המידע הכללית (GDPR), חוק הניידות והאחריות של ביטוח בריאות. (HIPAA), וחוק פרטיות הצרכן של קליפורניה (CCPA). Own מספקת גם נספח לעיבוד נתונים כדי לטפל בחוקי הפרטיות והגנת נתונים, כולל דרישות משפטיות להעברות נתונים בינלאומיות.
14. בדיקות רקע
    1. Own מבצעת פאנל של בדיקות רקע, לרבות בדיקות רקע פליליות, של אנשיה העשויים לקבל גישה לנתוני הלקוחות, בהתבסס על סמכויות מגוריו של העובד במהלך שבע השנים הקודמות, בכפוף לחוק החל.
15. ביטוח
    און מחזיקה, לכל הפחות, את הכיסויים הביטוחיים הבאים: (א) ביטוח פיצויי עובדים בהתאם לכל הדין החל; (ב) ביטוח אחריות לרכב לכלי רכב שאינם בבעלותם ושכירים, עם הגבלה בודדת משולבת של $1,000,000; (ג) ביטוח אחריות כללית מסחרית (אחריות ציבורית) עם כיסוי מגבלה יחיד של $1,000,000 לכל אירוע וכיסוי כללי מצטבר של $2,000,000; (ד) ביטוח טעויות והשמטות (שיפוי מקצועי) עם מגבלה של $20,000,000 לאירוע ומצטבר של $20,000,000, כולל שכבות ראשוניות ושכבות עודפות, לרבות אחריות סייבר, טכנולוגיה ושירותים מקצועיים, מוצרים טכנולוגיים, אבטחת נתונים ורשתות, תגובה להפרה, רגולציה הגנה ועונשים, סחיטת סייבר והתחייבויות לשחזור נתונים; וכן (ה) ביטוח חוסר יושר/פשע של עובדים עם כיסוי של $5,000,000. Own יספק ללקוח ראיות לביטוח כזה לפי בקשה.

לוח 5 הוראות אירופיות

לוח זמנים זה יחול רק על העברות של נתונים אישיים (כולל העברות הלאה) מאירופה, שבהיעדר יישום של הוראות אלה, יגרמו ללקוח או לבעלים להפר את החוקים והתקנות להגנת המידע החלים.

1. מנגנון העברה להעברת נתונים.
   a) הסעיפים החוזיים הסטנדרטיים חלים על כל העברות של נתונים אישיים על פי DPA משלים זה מאירופה למדינות שאינן מבטיחות רמה נאותה של הגנה על מידע במשמעות החוקים והתקנות להגנת המידע של טריטוריות כאלה, ככל שהעברות כאלה כפופות. לחוקים ותקנות הגנת מידע כאמור. Own נכנסת לסעיפים החוזיים הסטנדרטיים כיבאן נתונים. התנאים הנוספים בתוספת זו חלים גם על העברות נתונים כאלה.
2. העברות בכפוף לסעיפים החוזיים הסטנדרטיים.
   a) לקוחות המכוסים על ידי הסעיפים החוזיים הסטנדרטיים. הסעיפים החוזיים הסטנדרטיים והתנאים הנוספים המפורטים בתוספת זו חלים על (i) הלקוח, ככל שהלקוח כפוף לחוקי הגנת הנתונים ולתקנות של אירופה, ו- (ii) השותפים המורשים שלו. לצורך הסעיפים החוזיים הסטנדרטיים ובתוספת זו, ישויות כאלה הן "יצואניות נתונים".
   b) מודולים. הצדדים מסכימים שכאשר ניתן להחיל מודולים אופציונליים במסגרת הסעיפים החוזים הסטנדרטיים, יחולו רק אלה המסומנים "מודול שני: העברת בקר למעבד".
   c) הוראות. הצדדים מסכימים כי השימוש של הלקוח בשירותי עיבוד הנתונים האישיים בהתאם להסכם ול-DPA הקיים נחשבים כהוראה של הלקוח לעבד נתונים אישיים למטרות סעיף 8.1 של סעיפי החוזה האחיד.
   d) מינוי מעבדי משנה חדשים ורשימת מעבדי משנה נוכחיים. בהתאם לאופציה 2 לסעיף 9(א) בסעיפים החוזיים הסטנדרטיים, הלקוח מסכים ש-Own רשאית להעסיק מעבדי משנה חדשים כמתואר ב-DPA הקיים, וכי השותפים העצמאיים של Own עשויים להישמר כמעבדי משנה, ושותפי ה-Own וה-Own עשויים להשתלב. מעבדי משנה של צד שלישי בקשר עם אספקת שירותי עיבוד הנתונים. הרשימה הנוכחית של מעבדי המשנה כפי שמצורפת כנספח 1.
   e) הסכמי מעבד משנה. הצדדים מסכימים שהעברת נתונים למעבדי משנה עשויה להסתמך על מנגנון העברה אחר מלבד הסעיפים החוזיים הסטנדרטיים (למשלample, כללים תאגידיים מחייבים), וכי ההסכמים של Own עם מעבדי משנה כאלה אינם עשויים לכלול או לשקף את הסעיפים החוזיים הסטנדרטיים, על אף כל דבר אחר בסעיף 9(ב) של סעיפי החוזה האחיד. עם זאת, כל הסכם שכזה עם מעבד משנה יכיל התחייבויות הגנת מידע לא פחות מגנות מאלו המופיעות ב-DPA משלים זה לגבי הגנה על נתוני לקוחות, ככל שיחול על השירותים הניתנים על ידי מעבד משנה זה. עותקים של הסכמי מעבד המשנה שחייבים להיות מסופקים על ידי Own ללקוח בהתאם לסעיף 9(ג) של סעיפי החוזה האחיד יסופקו על ידי Own רק על פי בקשה בכתב של הלקוח וייתכן שיהיו להם כל המידע המסחרי, או סעיפים שאינם קשורים ל הסעיפים החוזיים הסטנדרטיים או המקבילים להם, שהוסרו על ידי Own מראש.
   f) ביקורות והסמכות. הצדדים מסכימים כי הביקורות המתוארות בסעיף 8.9 וסעיף 13(ב) של סעיפי החוזה האחיד יבוצעו בהתאם לתנאי ה-DPA הקיים.
   g) מחיקת נתונים. הצדדים מסכימים כי המחיקה או החזרה של נתונים הנדונים בסעיף 8.5 או בסעיף 16(ד) של סעיפי החוזה האחיד ייעשו בהתאם לתנאי ה-DPA הקיים וכל אישור מחיקה יסופק על ידי Own רק על ידי הלקוח בַּקָשָׁה.
   h) מוטבים של צד שלישי. הצדדים מסכימים כי בהתבסס על אופי שירותי ה-SaaS, הלקוח יספק את כל הסיוע הנדרש כדי לאפשר ל-Own לעמוד בהתחייבויותיה כלפי נושאי מידע לפי סעיף 3 בסעיפים החוזים הסטנדרטיים.
   i) הערכת השפעה. בהתאם לסעיף 14 בסעיפים החוזיים האחידים, הצדדים ערכו ניתוח, בהקשר של הנסיבות הספציפיות של ההעברה, של החוקים והנהלים של מדינת היעד, כמו גם השלמות החוזיות, הארגוניות והטכניות הספציפיות. אמצעי ההגנה החלים, ובהתבסס על מידע שידוע להם באופן סביר באותה עת, קבעו כי החוקים והנהלים של מדינת היעד אינם מונעים מהצדדים למלא את התחייבויותיו של כל צד על פי סעיפי החוזים האחידים.
   j) חוק ופורום חלים. הצדדים מסכימים, ביחס לאופציה 2 לסעיף 17, שבמקרה שהמדינה החברות באיחוד האירופי שבה פועל יצואן הנתונים אינה מאפשרת זכויות מוטבים של צד שלישי, הסעיפים החוזיים הסטנדרטיים יהיו כפופים לחוק של אירלנד. בהתאם לסעיף 18, מחלוקות הקשורות לסעיפים החוזיים הסטנדרטיים ייפתרו על ידי בתי המשפט המפורטים בהסכם, אלא אם כן בית משפט זה אינו ממוקם במדינה חברה באיחוד האירופי, ובמקרה זה הפורום למחלוקות מסוג זה יהיו בתי המשפט של אירלנד. .
   k) נספחים. למטרות ביצוע הסעיפים החוזיים הסטנדרטיים, נספח 3: פרטי העיבוד ישולבו כנספח IA ו-IB, נספח 4: בקרות אבטחה משלו (שעשויות להתעדכן מעת לעת ב- https://www.owndata.com/trust/) ישולבו כנספח II, ותוספת 1: רשימת מעבדי משנה נוכחית (כפי שעשוי להתעדכן מעת לעת ב-  https://www.owndata.com/legal/sub-p/) ישולבו כנספח III.
   l) פרשנות. התנאים של תוספת זו נועדו להבהיר ולא לשנות את הסעיפים החוזיים הסטנדרטיים. במקרה של סתירה או חוסר התאמה בין גוף תוספת זו לבין הסעיפים החוזיים הסטנדרטיים, הסעיפים החוזים הסטנדרטיים יגברו.
3. הוראות החלות על העברות משוויץ הצדדים מסכימים כי למטרות תחולת הסעיפים החוזיים האחידים כדי להקל על העברות של נתונים אישיים משוויץ יחולו ההוראות הנוספות הבאות: (i) כל הפניות לתקנה (EU) 2016/679 יפורש כהתייחסות להוראות המתאימות של החוק הפדרלי של שוויץ להגנה על מידע וחוקי הגנת מידע אחרים של שוויץ ("חוקי הגנת מידע בשוויץ"), (ii) כל הפניות ל"מדינה חברה" או "מדינה חברה באיחוד האירופי" או "האיחוד האירופי" יפורש כהתייחסות לשוויץ , וכן (iii) כל התייחסות לרשות הפיקוח, תתפרש כמתייחסת לממונה על הגנת הנתונים והמידע הפדרלי של שוויץ.
4. a) טבלה 1: הצדדים, פרטיהם ואנשי הקשר שלהם הם אלה המפורטים בנספח 3.
   b) טבלה 2: "הסעיפים החוזים הסטנדרטיים המאושרים של האיחוד האירופי" יהיו הסעיפים החוזיים הסטנדרטיים כמפורט בתוספת 5 זו.
   c) טבלה 3: נספחים I(A), I(B) ו-II הושלמו כמפורט בסעיף 2(ק) לתוספת 5 זו.
   d) טבלה 4: הבעלים רשאים לממש את זכות הסיום המוקדמת האופציונלית המתוארת בסעיף 19 של הנספח הבריטי.