הוראות נספח לעיבוד נתונים משלימים של Ownbackup

תוֹכֶן לְהַסתִיר
1 נספח עיבוד נתונים משלים של Ownbackup
2 מידע על המוצר
3 הוראות שימוש במוצר
4 הוראות תוספת לעיבוד נתונים
5 רשימת תת-מעבדים נוכחית
6 שירותי SaaS החלים על עיבוד נתונים אישיים
7 פרטי העיבוד
8 בקרות אבטחה של OwnBackup 3.3
9 מָבוֹא
10 הוראות אירופיות
Ownbackup Supplemental Data Processing Addendum Instructions

Ownbackup-LOGO

נספח עיבוד נתונים משלים של Ownbackup

גיבוי עצמי-משלים-עיבוד נתונים-תוספת-מוצר

מידע על המוצר

המוצר הוא תוספת לעיבוד נתונים (DPA) המסופק על ידי OwnBackup. הוא משמש יחד עם שירותי SaaS המסופקים על ידי OwnBackup לעיבוד נתונים אישיים מטעם הלקוח.

הגדרות מפתח

  • בַּקָר: הישות הקובעת את המטרות והאמצעים לעיבוד נתונים אישיים.
  • לָקוּחַ: הישות ששמה לעיל והשותפים שלה.
  • נושא הנתונים: האדם המזוהה או הניתן לזיהוי שאליו מתייחסים נתונים אישיים.
  • אֵירוֹפָּה: מתייחס לאיחוד האירופי, לאזור הכלכלי האירופי, שוויץ ובריטניה.
  • GDPR: תקנת הגנת המידע הכללית, שהיא תקנה בנושא הגנת מידע ופרטיות עבור כל הפרטים בתוך האיחוד האירופי והאזור הכלכלי האירופי.

הוראות שימוש במוצר

  1. DPA משלים זה מורכב משני חלקים: הגוף הראשי של ה-DPA המשלים, ותוספות 1, 2, 3, 4 ו-5.
  2. ה-DPA המשלים כבר נחתם מראש מטעם OwnBackup.
  3. כדי להשלים את ה-DPA המשלים, בצע את השלבים הבאים:
    • השלם את הקטע שם לקוח וכתובת לקוח בעמוד 2.
    • השלם את המידע בתיבת החתימה וחתום בעמוד 3.
    • ודא שהמידע בנספח 3 (פרטי העיבוד) משקף במדויק את הנושאים וקטגוריות הנתונים שיש לעבד.
    • שלח את ה-DPA המשלים המלא והחתום אל OwnBackup בכתובת privacy@ownbackup.com.
  4. עם קבלת ה-DPA המשלים בתוקף על ידי OwnBackup בכתובת הדוא"ל שסופקה, ה-DPA המשלים יהפוך לחייב משפטית.
  5. החתימה של ה-DPA המשלים בעמוד 3 מהווה הסכמה לסעיפים החוזיים הסטנדרטיים ולנספח בריטניה, שניהם משולבים בהפניה.
  6. במקרה של התנגשות או חוסר עקביות בין DPA משלים זה לבין כל הסכם אחר בין הלקוח לבין OwnBackup, תנאי ה-DPA המשלים הזה יגברו.

הוראות תוספת לעיבוד נתונים

כיצד לבצע DPA זה:

  1. DPA משלים זה מורכב משני חלקים: הגוף הראשי של ה-DPA המשלים, ותוספות 1, 2, 3, 4 ו-5.
  2. DPA משלים זה נחתם מראש מטעם OwnBackup.
  3. כדי להשלים DPA משלים זה, על הלקוח:
    • א. השלם את הסעיף שם הלקוח וכתובת הלקוח בעמוד 2.
    • ב. השלם את המידע בתיבת החתימה וחתום בעמוד 3.
    • ג. ודא שהמידע על לוח 3 (Mפרטי העיבוד") משקף במדויק את הנושאים והקטגוריות של הנתונים שיש לעבד
    • ד. שלח את ה-DPA המשלים והחתום אל OwnBackup בכתובת privacy@ownbackup.com.

עם קבלת OwnBackup של ה-DPA המשלים בתוקף בכתובת דוא"ל זו, ה-DPA המשלים הזה יהפוך לחייב משפטית. חתימה של DPA משלים זה בעמוד 3 תיחשב כחתימה וקבלה של סעיפי החוזים הסטנדרטיים (כולל הנספחים שלהם) והנספח של בריטניה, שניהם משולבים כאן בהפניה.

כיצד DPA זה חל

  • אם ישות הלקוח החותמת על ה-DPA המשלים הזה היא צד להסכם, ה-DPA המשלים הזה הוא תוספת להסכם או ה-DPA הקיים ומהווה חלק מההסכם. במקרה כזה, ישות OwnBackup שהיא צד להסכם או DPA קיים היא צד ל-DPA זה.
  • אם ישות הלקוח החותמת על DPA משלים זה ביצעה טופס הזמנה עם OwnBackup או השותף שלו בהתאם להסכם או DPA קיים, אך אינה בעצמה צד להסכם או DPA קיים, DPA משלים זה הוא תוספת לטופס הזמנה זה. טופסי הזמנת חידוש רלוונטיים, והישות OwnBackup שהיא צד לטופס הזמנה כזה היא צד ל-DPA משלים זה.
  • אם ישות הלקוח החותמת על DPA משלים זה אינו צד לטופס הזמנה או להסכם או ל-DPA קיים, DPA משלים זה אינו תקף ואינו מחייב מבחינה משפטית. ישות כזו צריכה לבקש מיישות הלקוח שהיא צד להסכם או DPA קיים לבצע DPA משלים זה.
  • אם ישות הלקוח החותמת על ה-DPA המשלים אינה צד לטופס הזמנה ולא להסכם מנוי ראשי או DPA קיים ישירות עם OwnBackup, אלא היא לקוחה בעקיפין דרך מפיץ מורשה של שירותי OwnBackup, ה-DPA המשלים הזה אינו תקף והוא לא מחייב מבחינה משפטית. ישות כזו צריכה ליצור קשר עם המפיץ המורשה כדי לדון אם נדרש תיקון להסכם שלה עם אותו מפיץ.
  • במקרה של סתירה או חוסר עקביות בין DPA משלים זה לבין כל הסכם אחר בין הלקוח לבין OwnBackup (כולל, ללא הגבלה, ההסכם או DPA קיים), תנאי ה-DPA המשלים הזה ישלטו ויגברו.

תוספת עיבוד נתונים משלימה

שם לקוח:
כתובת הלקוח:
תאריך DPA קיים:

נספח עיבוד נתונים משלים זה, כולל לוחות הזמנים והנספחים שלו, ("DPA משלים") מהווה חלק מהנספח הקיים לעיבוד נתונים שזוהה לעיל ("DPA קיים") בין OwnBackup Inc. ("OwnBackup") לבין הלקוח. בשילוב ה-DPA המשלים הזה וה-DPA הקיים יהוו את הסכם עיבוד הנתונים המלא ("ה-DPA") כדי לתעד את הסכמת הצדדים לגבי עיבוד הנתונים האישיים. אם ישות הלקוח ו-OwnBackup לא התקשרו בהסכם, אזי ה-DPA הזה בטל וללא תוקף משפטי. ישות הלקוח הנזכרת לעיל מתקשרת ל-DPA משלים זה עבור עצמה, ואם אחד מהשותפים העצמאיים שלה פועל כאחראי על נתונים אישיים, בשם אותם שותפים מורשים. לכל המונחים באותיות רישיות שאינם מוגדרים כאן תהיה המשמעות המפורטת בהסכם. במהלך מתן שירותי ה-SaaS ללקוח במסגרת ההסכם, OwnBackup עשויה לעבד נתונים אישיים מטעם הלקוח. הצדדים מסכימים לתנאים המשלימים הבאים ביחס לעיבוד כזה.

הגדרות

  • "CCPA" פירושו חוק הפרטיות לצרכן בקליפורניה, Cal. Civ. קוד S 1798.100 et. בהמשך, כפי שתוקן על ידי חוק זכויות הפרטיות של קליפורניה משנת 2020 ויחד עם תקנות יישום כלשהן.
  • "בקר" פירושו הישות הקובעת את המטרות והאמצעים של עיבוד הנתונים האישיים ונחשבת כמתייחסת גם ל"עסק" כהגדרתו ב-CCPA.
  • "לקוח" פירושו הישות הנזכרת לעיל והשותפות שלה.
  • "חוקים ותקנות להגנת מידע" פירושם כל החוקים והתקנות של האיחוד האירופי והמדינות החברות בו, האזור הכלכלי האירופי והמדינות החברות בו, בריטניה, שוויץ, ארצות הברית, קנדה, ניו זילנד ואוסטרליה, והן חלוקות משנה פוליטיות בהתאמה, החלות על עיבוד נתונים אישיים. אלה כוללים, בין היתר, את הדברים הבאים, במידה הרלוונטית: ה-GDPR, חוק הגנת מידע בבריטניה, ה-CCPA, חוק הגנת המידע של וירג'יניה ("VCDPA"), חוק הפרטיות של קולורדו ותקנות קשורות ("CPA") "), חוק פרטיות הצרכן של יוטה ("UCPA") וחוק קונטיקט לגבי פרטיות נתונים אישיים וניטור מקוון ("CPDPA")
  • "נושא מידע" פירושו האדם המזוהה או הניתן לזיהוי שאליו מתייחסים נתונים אישיים וכולל "צרכן" כהגדרתו בחוקים ובתקנות הגנת מידע.
  • "אירופה" פירושה האיחוד האירופי, האזור הכלכלי האירופי, שוויץ ובריטניה. הוראות נוספות החלות על העברות של נתונים אישיים מאירופה כלולות בנספח 5. במקרה שנספח 5 יוסר, הלקוח מתחייב כי הוא לא יעבד נתונים אישיים בכפוף לחוקי הגנת הנתונים ולתקנות של אירופה.
  • "GDPR" פירושו תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מ-27 באפריל 2016 על הגנת אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ועל התנועה החופשית של נתונים כאלה, וביטול ההנחיה 95/46/EC (תקנת הגנת מידע כללית).
  • "קבוצת OwnBackup" פירושה OwnBackup ושותפיה העוסקים בעיבוד נתונים אישיים.
  • "נתונים אישיים" פירושם כל מידע הנוגע ל-(i) אדם טבעי מזוהה או מזוהה, ו-(ii) ישות משפטית מזוהה או ניתנת לזיהוי (כאשר מידע כזה מוגן בדומה לנתונים אישיים, מידע אישי או מידע אישי המאפשר זיהוי לפי הנתונים הרלוונטיים חוקי הגנה ותקנות), כאשר עבור כל (i) או (ii), נתונים כאלה הם נתוני לקוחות.
  • "שירותי עיבוד נתונים אישיים" פירושם שירותי SaaS המפורטים בנספח 2, שעבורם OwnBackup עשויה לעבד נתונים אישיים.
  • "עיבוד" פירושו כל פעולה או קבוצה של פעולות המתבצעות על נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לא, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, אחזור, ייעוץ, שימוש, חשיפה בשידור, הפצה או מתן זמין בדרך אחרת, יישור השילוב, ההגבלה, המחיקה או ההרס שלך.
  • "מעבד" פירושו הישות המעבדת נתונים אישיים מטעם הפיקוח, לרבות לפי העניין כל "ספק שירות" כפי שהמונח הזה מוגדר על ידי ה-CCPA.
  • "סעיפים חוזיים סטנדרטיים" פירושם הנספח להחלטת היישום של הנציבות האירופית (EU) 2021/914 https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) מ-4 ביוני 2021 על סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למעבדים הממוקמים במדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל מועצת האיחוד האירופי ובכפוף לתיקונים הנדרשים עבור האיחוד האירופי. הממלכה ושוויץ מתוארות עוד בתוספת 5.
  • "מעבד משנה" פירושו כל מעבד המועסק על ידי OwnBackup, על ידי חבר בקבוצת OwnBackup או על ידי מעבד משנה אחר.
  • "רשות מפקחת" פירושה גוף רגולטורי ממשלתי או ממשלתי בעל סמכות משפטית מחייבת על הלקוח.
  • "נספח בריטניה" פירושו נספח העברת הנתונים הבינלאומית של בריטניה לסעיפי החוזים הסטנדרטיים של נציבות האיחוד האירופי (זמין החל מה-21 במרץ 2022 בכתובת https://ico.org.uk/for-organisations/guide-to-data-protection/ guide -to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), הושלם כמתואר בתוספת 5.
  • "חוק הגנת מידע בבריטניה" פירושו תקנה 2016/679 של הפרלמנט האירופי ושל המועצה על הגנת אנשים טבעיים בכל הקשור לעיבוד נתונים אישיים ועל התנועה החופשית של נתונים כאלה כפי שהם חלק מהחוק של אנגליה ווילס, סקוטלנד וצפון אירלנד מכוח סעיף 3 של חוק האיחוד האירופי (נסיגה) 2018, כפי שעשוי להשתנות מעת לעת על ידי החוקים והתקנות להגנה על נתונים של בריטניה.

צו קיום

  • א. למעט הסעיפים החוזיים האחידים המשולבים כאן, אשר יקבלו עדיפות, במקרה של אי התאמה כלשהי בין ה-DPA המשלים הזה לבין ה-DPA הקיים, תנאי ה-DPA הקיימים יגברו.

הגבלת אחריות

  • א. ככל שמתירים חוקים ותקנות הגנת המידע, החבות של כל צד ושל כל השותפים שלו, ביחד במצטבר, הנובעת או קשורה ל-DPA משלים זה, בין אם בחוזה, בנזיקין או לפי כל תיאוריה אחרת של אחריות, כפוף לסעיפי "מגבלת החבות", ולסעיפים אחרים שמוציאים או מגבילים אחריות, של ההסכם, וכל התייחסות בסעיפים כאלה לאחריות של צד פירושה החבות המצרפית של אותו צד ושל כל השותפים המסונפים לו.

שינויים במנגנוני ההעברה

  • א. במקרה שבו מנגנון העברה שוטף שעליו מסתמכים הצדדים לצורך הקלת העברות של נתונים אישיים למדינה אחת או יותר שאינן מבטיחות רמה נאותה של הגנה על מידע במשמעות החוקים והתקנות להגנת המידע, יתוקן , או שהוחלפו הצדדים יפעלו בתום לב כדי לחוקק מנגנון העברה חלופי כזה כדי לאפשר את המשך עיבוד הנתונים האישיים הנחשבים בהסכם. השימוש במנגנון העברה חלופי כזה יהיה כפוף למילוי של כל צד את כל הדרישות החוקיות לשימוש במנגנון העברה כזה.

מורשי החתימה של הצדדים ביצעו הסכם זה כדין, לרבות כל לוחות הזמנים הרלוונטיים, הנספחים והנספחים המשולבים בה.

Ownbackup-Supplemental-Data Processing-Addendum-FIG-1

רשימת לוחות זמנים

  • לוח 1: רשימת תת-מעבדים נוכחית
  • לוח זמנים 2: שירותי SaaS החלים על עיבוד נתונים אישיים
  • לוח 3: פרטי העיבוד
  • לוח זמנים 4: בקרות אבטחה של OwnBackup
  • לוח 5: הוראות אירופיות

תכנית 1

רשימת תת-מעבדים נוכחית

מעבד משנה שֵׁם כתובת מעבד משנה אופי העיבוד משך העיבוד מיקום העיבוד
OwnBackup מוגבל אלוף קלמן מגן StZ 3, תל אביב 6107075, ישראל תמיכת לקוחות ותחזוקה לתקופת ההסכם. יִשְׂרָאֵל
אֲמָזוֹנָה Web Services, Inc.* 410 Terry Avenue North, סיאטל, וושינגטון 98109, ארה"ב אירוח אפליקציות ואחסון נתונים לתקופת ההסכם. ארצות הברית, קנדה, גרמניה, בריטניה או אוסטרליה
Microsoft Corporation (Azure)* One Microsoft Way, רדמונד, וושינגטון 98052, ארה"ב אירוח אפליקציות ואחסון נתונים לתקופת ההסכם. הולנד או ארצות הברית
Elasticsearch, Inc.**  

800 West El Camino Real, Suite 350, Mountain View, קליפורניה 94040, ארה"ב

 יצירת אינדקס וחיפוש לתקופת ההסכם. הולנד או ארצות הברית
  • הלקוח יכול לבחור באמזון Web שירותים או Microsoft (Azure) ומיקום העיבוד הרצוי שלה במהלך ההגדרה הראשונית של הלקוח של שירותי SaaS.
  • חל רק על לקוחות OwnBackup Archive שבוחרים לפרוס בענן Microsoft (Azure).

תכנית 2

שירותי SaaS החלים על עיבוד נתונים אישיים

  • OwnBackup Enterprise עבור Salesforce
  • OwnBackup Unlimited עבור Salesforce
  • OwnBackup Governance Plus עבור Salesforce
  • OwnBackup Archive
  • תביא ניהול מפתח משלך
  • זריעת ארגז חול

תכנית 3

פרטי העיבוד

ייצואן נתונים

  • שם משפטי מלא: שם הלקוח כמפורט לעיל
  • כתובת ראשית: כתובת לקוח כמפורט לעיל
  • איש קשר: אם לא צוין אחרת, זה יהיה איש הקשר הראשי בחשבון הלקוח.
  • דוא"ל ליצירת קשר: אם לא צוין אחרת, זו תהיה כתובת הדוא"ל הראשית ליצירת קשר בחשבון הלקוח.

יבואן נתונים

  • שם משפטי מלא: OwnBackup Inc.
  • כתובת ראשית: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
  • איש קשר: קצין הפרטיות
  • אימייל ליצירת קשר: privacy@ownbackup.com

אופי ומטרת העיבוד

  • OwnBackup תעבד נתונים אישיים לפי הצורך לביצוע שירותי SaaS בהתאם להסכם ולהזמנות, ובהתאם להנחיה נוספת של הלקוח בשימוש שלו בשירותי SaaS.

משך העיבוד

  • OwnBackup תעבד נתונים אישיים למשך כל תקופת ההסכם, אלא אם הוסכם אחרת בכתב.

הַחזָקָה

  • OwnBackup ישמור נתונים אישיים בשירותי SaaS למשך ההסכם, אלא אם כן הוסכם אחרת בכתב, בכפוף לתקופת השמירה המרבית המצוינת בתיעוד.

תדירות ההעברה

  • כפי שנקבע על ידי הלקוח באמצעות השימוש שלו בשירותי SaaS.

העברות למעבדי משנה

  • לפי הצורך כדי לבצע את שירותי ה-SaaS בהתאם להסכם ולהזמנות, וכפי שמתואר בהמשך בנספח 1.

קטגוריות של נושאי נתונים
הלקוח רשאי לשלוח נתונים אישיים לשירותי ה-SaaS, שהיקף שלהם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול, אך לא מוגבל לנתונים אישיים הקשורים לקטגוריות הבאות של נושאי מידע:

  • לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח (שהם אנשים טבעיים)
  • עובדים או אנשי קשר של לקוחות פוטנציאליים, לקוחות, שותפים עסקיים וספקים של הלקוח
  • עובדים, סוכנים, יועצים, פרילנסרים של הלקוח (שהם אנשים טבעיים) משתמשי הלקוח המורשים על ידי הלקוח להשתמש בשירותי SaaS

סוג הנתונים האישיים
הלקוח רשאי לשלוח נתונים אישיים לשירותי SaaS, אשר היקף זה נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר עשוי לכלול אך לא מוגבל לקטגוריות הבאות של נתונים אישיים:

  • שם פרטי ושם משפחה
  • כּוֹתֶרֶת
  • מַצָב
  • מַעֲסִיק
  • פרטי יצירת קשר (חברה, אימייל, טלפון, כתובת עסקית פיזית)
  • נתוני תעודת זהות
  • נתוני חיים מקצועיים
  • נתוני חיים אישיים
  • נתוני לוקליזציה

קטגוריות מיוחדות של נתונים (אם מתאים)
הלקוח רשאי להגיש קטגוריות מיוחדות של נתונים אישיים לשירותי ה-SaaS, אשר היקפם נקבע ונשלט על ידי הלקוח לפי שיקול דעתו הבלעדי, ואשר למען הבהירות יכולים לכלול עיבוד נתונים גנטיים, נתונים ביומטריים למטרות ייחודיות זיהוי אדם טבעי או נתונים הנוגעים לבריאות. ראה את האמצעים בלוח הזמנים 4 כיצד OwnBackup מגן על קטגוריות מיוחדות של נתונים ונתונים אישיים אחרים

תכנית 4

בקרות אבטחה של OwnBackup 3.3

מָבוֹא

  • יישומי OwnBackup תוכנה כשירות (SaaS Services) תוכננו מההתחלה מתוך מחשבה על אבטחה. שירותי ה-SaaS מעוצבים עם מגוון בקרות אבטחה על פני מספר רבדים כדי לתת מענה למגוון סיכוני אבטחה. בקרות אבטחה אלו כפופות לשינויים; עם זאת, כל שינוי ישמור או ישפר את מצב האבטחה הכולל.
  • תיאורי הפקדים שלהלן חלים על הטמעות של שירות SaaS ב-Amazon Web פלטפורמות שירותים (AWS) ו-Microsoft Azure (Azure) (המכונה ביחד ספקי שירותי הענן שלנו, או CSPs), למעט כפי שצוין בסעיף ההצפנה שלהלן. תיאורים אלה של פקדים אינם חלים על תוכנת RevCult למעט כפי שצוין תחת "פיתוח תוכנה מאובטח" להלן.

ביקורות והסמכות

  • שירותי SaaS מוסמכים לפי ISO/IEC 27001:2013 (מערכת ניהול אבטחת מידע) ו-ISO/IEC 27701:2019 (מערכת ניהול מידע פרטיות).
  • OwnBackup עוברת ביקורת שנתית של SOC2 Type II תחת SSAE-18 כדי לוודא באופן עצמאי את האפקטיביות של נוהלי אבטחת המידע, המדיניות, הנהלים והפעולות שלה עבור הקריטריונים הבאים של שירותי אמון: אבטחה, זמינות, סודיות ושלמות עיבוד.
  • OwnBackup משתמש באזורי CSP גלובליים עבור המחשוב והאחסון עבור שירותי SaaS. AWS ו-Azure הם מתקנים מהשורה הראשונה עם מספר הסמכות, כולל SOC1 - SSAE-18, SOC2, SOC3, ISO 27001 ו-HIPAA.

Web בקרות אבטחת יישומים

  • גישת הלקוח לשירותי SaaS היא רק באמצעות HTTPS (+TLS1.2), ומבססת את ההצפנה של הנתונים במעבר בין משתמש הקצה לאפליקציה ובין OwnBackup למקור הנתונים של צד שלישי (למשל, Salesforce).
  • מנהלי SaaS Service של הלקוח יכולים לספק ולבטל את האספקה ​​של משתמשי SaaS Service וגישה משויכת לפי הצורך.
  • שירותי SaaS מספקים בקרות גישה מבוססות תפקידים כדי לאפשר ללקוחות לנהל הרשאות ריבוי ארגונים.
  • מנהלי SaaS Service של הלקוח יכולים לגשת למסלולי ביקורת כולל שם משתמש, פעולה, זמןamp, ושדות כתובת IP מקור. יומני ביקורת יכולים להיות viewעורך ומיוצא על ידי מנהל SaaS Service של הלקוח המחובר לשירותי SaaS וכן דרך ממשק ה-API של שירותי SaaS.
  • ניתן להגביל את הגישה לשירותי SaaS על ידי כתובת ה-IP של המקור.
  • שירותי SaaS מאפשרים ללקוחות לאפשר אימות רב-גורמי לגישה לחשבונות SaaS Service תוך שימוש בסיסמאות חד פעמיות מבוססות זמן.
  • שירותי SaaS מאפשרים ללקוחות לאפשר כניסה יחידה באמצעות ספקי זהות SAML 2.0.
  • שירותי SaaS מאפשרים ללקוחות להפעיל מדיניות סיסמאות הניתנת להתאמה אישית כדי לעזור ליישר סיסמאות של שירות SaaS למדיניות הארגונית.

הצפנה
OwnBackup מציע את האפשרויות הבאות של שירות SaaS להצפנת נתונים במצב מנוחה:
היצע סטנדרטי.

  • הנתונים מוצפנים באמצעות הצפנת AES-256 בצד השרת באמצעות מערכת ניהול מפתחות מאומתת לפי FIPS 140-2.
  • הצפנת מעטפה מנוצלת כך שהמפתח הראשי לא יוצא ממודול אבטחת החומרה (HSM).
  • מפתחות הצפנה מסובבים לא פחות משנתיים.

אפשרות ניהול מפתח מתקדם (AKM).

  • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים עם מפתח הצפנה ראשי (CMK) שסופק על ידי הלקוח.
  • AKM מאפשר אחסון עתידי של המפתח וסיבובו עם מפתח הצפנה ראשי אחר.
  • הלקוח יכול לבטל מפתחות הצפנה ראשיים, וכתוצאה מכך חוסר נגישות מיידי של הנתונים.

אפשרות להביא את מערכת ניהול המפתחות שלך (KMS) (זמינה ב-AWS בלבד).

  • מפתחות הצפנה נוצרים בחשבון הלקוח שלו, שנרכש בנפרד, תוך שימוש ב-AWS KMS.
  • הלקוח מגדיר את מדיניות מפתח ההצפנה המאפשרת לחשבון SaaS Service של הלקוח ב-AWS לגשת למפתח מה-AWS KMS של הלקוח עצמו.
  • הנתונים מוצפנים במיכל ייעודי לאחסון אובייקטים המנוהל על ידי OwnBackup, ומוגדר לשימוש במפתח ההצפנה של הלקוח.
  • הלקוח רשאי לבטל גישה מיידית לנתונים המוצפנים על ידי ביטול הגישה של OwnBackup למפתח ההצפנה, ללא אינטראקציה עם OwnBackup.
  • לעובדי OwnBackup אין גישה למפתחות ההצפנה בכל עת ואינם ניגשים ישירות ל-KMS.
  • כל פעילויות השימוש במפתח נרשמות ב-KMS של הלקוח, כולל שליפת מפתחות על ידי אחסון האובייקטים הייעודי.

הצפנה במעבר בין שירותי SaaS ומקור הנתונים של צד שלישי (למשל, Salesforce) משתמשת ב-HTTPS עם TLS 1.2+ ו-OAuth 2.0.

רֶשֶׁת

  • שירותי SaaS משתמשים בבקרות רשת CSP כדי להגביל כניסה ויציאה מרשת.
  • קבוצות אבטחה ממלכתיות מועסקות כדי להגביל כניסה ויציאה לרשת לנקודות קצה מורשות.
  • שירותי ה-SaaS משתמשים בארכיטקטורת רשת מרובת שכבות, כולל מספר רב של עננים פרטיים וירטואליים של Amazon (VPCs) מופרדים באופן הגיוני או Azure Virtual Networks (VNets), תוך מינוף פרטי, DMZs ואזורים לא מהימנים בתוך תשתית ה-CSP.
  •  ב-AWS, נעשה שימוש בהגבלות של VPC S3 Endpoint בכל אזור כדי לאפשר גישה רק מה-VPCs המורשים.

ניטור וביקורת

  • המערכות והרשתות של שירות SaaS מנוטרות לאיתור תקריות אבטחה, תקינות המערכת, חריגות ברשת וזמינות.
  • שירותי SaaS משתמשים במערכת זיהוי חדירה (IDS) כדי לנטר את פעילות הרשת ולהתריע על OwnBackup על התנהגות חשודה.
  • השימוש בשירותי SaaS web חומות אש של יישומים (WAFs) לכל הציבור web שירותים.
  • OwnBackup רושם אירועי יישומים, רשת, משתמשים ומערכת הפעלה לשרת syslog מקומי ול-SIEM ספציפי לאזור. יומנים אלו מנותחים אוטומטית וחוזריםviewed עבור פעילות חשודה ואיומים. כל חריגות מוסלמות בהתאם לצורך.
  • OwnBackup משתמש במערכות מידע אבטחה וניהול אירועים (SIEM) המספקות ניתוח אבטחה רציף של הרשתות וסביבת האבטחה של שירותי SaaS, התרעות על חריגות משתמשים, סיור התקפות פיקוד ובקרה (C&C), זיהוי אוטומטי של איומים ודיווח על אינדיקטורים של פשרה (IOC). ). כל היכולות הללו מנוהלות על ידי צוות האבטחה והתפעול של OwnBackup.
  • צוות התגובה לאירועים של OwnBackup עוקב אחר הכינוי security@ownbackup.com ומגיב בהתאם לתוכנית התגובה לאירועים (IRP) של החברה כאשר הדבר מתאים.

בידוד בין חשבונות

  • שירותי SaaS משתמשים בארגז חול של Linux כדי לבודד את נתוני חשבונות הלקוחות במהלך העיבוד. זה עוזר להבטיח שכל חריגה (למשלample, עקב בעיית אבטחה או באג בתוכנה) נשאר מוגבל לחשבון OwnBackup יחיד.
  • הגישה לנתוני דיירים נשלטת באמצעות משתמשי IAM ייחודיים עם נתונים tagging שמונע ממשתמשים לא מורשים לגשת לנתוני הדיירים.

התאוששות מאסון

  • OwnBackup משתמש באחסון אובייקטים של CSP כדי לאחסן נתוני לקוחות מוצפנים על פני מספר אזורי זמינות.
  • עבור נתוני לקוחות המאוחסנים באחסון אובייקטים, OwnBackup משתמש בניהול גרסאות של אובייקטים עם הזדקנות אוטומטית כדי לתמוך בעמידה במדיניות השחזור והגיבוי מאסון של OwnBackup. עבור אובייקטים אלה, המערכות של OwnBackup מתוכננות לתמוך ביעד נקודת התאוששות (RPO) של 0 שעות (כלומר, היכולת לשחזר לכל גרסה של כל אובייקט כפי שהיה קיים בתקופה של 14 הימים הקודמים).
  • כל שחזור נדרש של מופע מחשוב מתבצע על ידי בנייה מחדש של המופע בהתבסס על האוטומציה של ניהול התצורה של OwnBackup.
  • תוכנית ההתאוששות מאסון של OwnBackup נועדה לתמוך ביעד זמן התאוששות של 4 שעות (RTO).

ניהול פגיעות

  • OwnBackup מבצע תקופתי web הערכות פגיעות יישומים, ניתוח קוד סטטי והערכות דינמיות חיצוניות כחלק מתוכנית הניטור הרציף שלה כדי להבטיח שבקרות אבטחת יישומים מיושמות כהלכה ופועלות ביעילות.
  • על בסיס חצי שנתי, OwnBackup שוכרת בודקי חדירה עצמאיים של צד שלישי לביצוע הן ברשת והן web הערכות פגיעות. היקף הביקורות החיצוניות הללו כולל ציות ל- Open Web פרויקט אבטחת יישומים (OWASP) 10 המובילים Web פגיעויות (www.owasp.org).
  • תוצאות הערכת הפגיעות משולבות במחזור החיים של פיתוח תוכנה OwnBackup (SDLC) כדי לתקן פגיעויות שזוהו. פרצות ספציפיות מקבלות עדיפות ומוכנסות למערכת הכרטיסים הפנימית של OwnBackup לצורך מעקב דרך פתרון.

תגובה לאירוע

  • במקרה של פרצת אבטחה אפשרית, צוות התגובה לאירועים של OwnBackup יבצע הערכת המצב ויפתח אסטרטגיות הפחתה מתאימות. אם תאושר הפרה פוטנציאלית, OwnBackup תפעל באופן מיידי לצמצום ההפרה ולשימור ראיות פורנזיות, ותודיע לנקודות המגע העיקריות של הלקוחות המושפעים ללא דיחוי מיותר כדי לתדרך אותם על המצב ולספק עדכוני סטטוס פתרון.

פיתוח תוכנה מאובטח

  • OwnBackup מפעילה שיטות פיתוח מאובטחות עבור יישומי תוכנה OwnBackup ו-RevCult לאורך כל מחזור החיים של פיתוח התוכנה. פרקטיקות אלה כוללות ניתוח קוד סטטי, אבטחה של Salesforceview עבור יישומי RevCult ועבור יישומי OwnBackup המותקנים במופעי Salesforce של לקוחות, עמיתיםview של שינויי קוד, הגבלת גישה למאגר קוד המקור בהתבסס על העיקרון של מינימום הרשאות, ורישום גישה למאגר קוד מקור ושינויים.

צוות אבטחה ייעודי

  • ל- OwnBackup צוות אבטחה ייעודי עם למעלה מ-100 שנות ניסיון משולב באבטחת מידע רב-פנים. בנוסף, חברי הצוות מקיימים מספר הסמכות מוכרות בתעשייה, כולל אך לא רק CISM, CISSP ו-ISO 27001 מבקרים מובילים.

פרטיות והגנה על נתונים

  • OwnBackup מספקת תמיכה מקורית לבקשות גישה של נושא נתונים, כגון הזכות למחיקה (הזכות להישכח) ואנונימיזציה, כדי לתמוך בעמידה בתקנות פרטיות הנתונים, לרבות תקנת הגנת המידע הכללית (GDPR), חוק הניידות והאחריות של ביטוח בריאות. (HIPAA), וחוק פרטיות הצרכן של קליפורניה (CCPA). OwnBackup מספקת גם נספח לעיבוד נתונים כדי לטפל בחוקי הפרטיות והגנת נתונים, כולל דרישות משפטיות להעברות נתונים בינלאומיות.

בדיקות רקע

  •  OwnBackup מבצעת פאנל של בדיקות רקע, לרבות בדיקות רקע פליליות, של אנשיה שעשויים לקבל גישה לנתוני הלקוחות, בהתבסס על סמכויות מגוריו של העובד במהלך שבע השנים הקודמות, בכפוף לחוק החל.

ביטוח
OwnBackup מקיימת, לכל הפחות, את הכיסויים הביטוחיים הבאים: (א) ביטוח פיצויי עובדים בהתאם לכל הדין החל; (ב) ביטוח אחריות לרכב לכלי רכב שאינם בבעלותם ושכירים, עם הגבלה בודדת משולבת של $1,000,000; (ג) ביטוח אחריות כללית מסחרית (אחריות ציבורית) עם כיסוי מגבלה יחיד של $1,000,000 לכל אירוע וכיסוי כללי מצטבר של $2,000,000; (ד) ביטוח טעויות והשמטות (שיפוי מקצועי) עם מגבלה של $20,000,000 לאירוע ומצטבר של $20,000,000, כולל שכבות ראשוניות ושכבות עודפות, לרבות אחריות סייבר, טכנולוגיה ושירותים מקצועיים, מוצרים טכנולוגיים, אבטחת נתונים ורשתות, תגובה להפרה, רגולציה הגנה ועונשים, סחיטת סייבר והתחייבויות לשחזור נתונים; וכן (ה) ביטוח חוסר יושר/פשע של עובדים עם כיסוי של $5,000,000. OwnBackup תספק ללקוח ראיות לביטוח כזה לפי בקשה.

תכנית 5

הוראות אירופיות

לוח זמנים זה יחול רק על העברות של נתונים אישיים (כולל העברות הלאה) מאירופה, שבהיעדר יישום של הוראות אלה, יגרמו ללקוח או ל- OwnBackup להפר את החוקים והתקנות להגנת המידע החלים.

מנגנון העברה להעברת נתונים.

  • א) הסעיפים החוזיים הסטנדרטיים חלים על כל העברות של נתונים אישיים במסגרת ה-DPA המשלים הזה מאירופה למדינות שאינן מבטיחות רמה נאותה של הגנת מידע במשמעות החוקים והתקנות להגנת המידע של טריטוריות כאלה, במידה והעברות כאלה. כפופים לחוקים ולתקנות הגנת מידע כאמור. OwnBackup נכנסת לסעיפים החוזיים הסטנדרטיים כייבוא ​​נתונים. התנאים הנוספים בתוספת זו חלים גם על העברות נתונים כאלה.

העברות בכפוף לסעיפים החוזיים הסטנדרטיים.

  • א) לקוחות המכוסים בסעיפים החוזיים האחידים. הסעיפים החוזיים הסטנדרטיים והתנאים הנוספים המפורטים בתוספת זו חלים על (i) הלקוח, ככל שהלקוח כפוף לחוקי הגנת הנתונים ולתקנות של אירופה, ו- (ii) השותפים המורשים שלו. לצורך הסעיפים החוזיים הסטנדרטיים ובתוספת זו, ישויות כאלה הן "יצואניות נתונים".
  • ב) מודולים. הצדדים מסכימים שכאשר ניתן להחיל מודולים אופציונליים במסגרת הסעיפים החוזים הסטנדרטיים, יחולו רק אלה המסומנים "מודול שני: העברת בקר למעבד".
  • ג) הוראות. הצדדים מסכימים כי השימוש של הלקוח בשירותי עיבוד הנתונים האישיים בהתאם להסכם ול-DPA הקיים ייחשב כהוראה של הלקוח לעבד נתונים אישיים למטרות סעיף 8.1 בסעיפים החוזיים האחידים.
  • ד) מינוי מעבדי משנה חדשים ורשימת מעבדי משנה נוכחיים. בהתאם לאופציה 2 לסעיף 9(א) בסעיפים החוזיים הסטנדרטיים, הלקוח מסכים ש-OwnBackup עשויה לערב מעבדי משנה חדשים כמתואר ב-DPA הקיים וכי השותפים העצמאיים של OwnBackup עשויים להישמר כמעבדי משנה, והשותפים העצמאיים של OwnBackup ו-OwnBackup עשויים לעסוק מעבדי משנה בקשר עם אספקת שירותי עיבוד הנתונים. הרשימה הנוכחית של מעבדי המשנה כפי שמצורפת כנספח 1.
  • הסכמי מעבד משנה. הצדדים מסכימים שהעברת נתונים למעבדי משנה עשויה להסתמך על מנגנון העברה אחר מלבד הסעיפים החוזיים הסטנדרטיים (למשלample, כללים תאגידיים מחייבים), וכי ההסכמים של OwnBackup עם מעבדי משנה כאלה אינם רשאים לכלול או לשקף את הסעיפים החוזיים הסטנדרטיים, על אף כל דבר אחר בסעיף 9(ב) של סעיפי החוזה האחיד. עם זאת, כל הסכם שכזה עם מעבד משנה יכיל התחייבויות הגנת מידע לא פחות מגנות מאלו המופיעות ב-DPA משלים זה לגבי הגנה על נתוני לקוחות, ככל שיחול על השירותים הניתנים על ידי מעבד משנה זה. עותקים של הסכמי מעבד המשנה שחייבים להיות מסופקים על ידי OwnBackup ללקוח בהתאם לסעיף 9(ג) בסעיפים החוזיים הסטנדרטיים יסופקו על ידי OwnBackup רק על פי בקשה בכתב של הלקוח וייתכן שיהיו לו כל המידע המסחרי, או סעיפים שאינם קשורים ל הסעיפים החוזיים הסטנדרטיים או המקבילים להם, הוסרו על ידי OwnBackup מראש.
  • ו) ביקורות והסמכות. הצדדים מסכימים כי הביקורות המתוארות בסעיף 8.9 וסעיף 13(ב) של סעיפי החוזה האחיד יבוצעו בהתאם לתנאי ה-DPA הקיים.
  • ז) מחיקת נתונים. הצדדים מסכימים כי המחיקה או החזרה של נתונים הנדונים בסעיף 8.5 או בסעיף 16(ד) של סעיפי החוזה האחידים ייעשו בהתאם לתנאי ה-DPA הקיים וכל אישור מחיקה יסופק על ידי OwnBackup רק עם הלקוח בַּקָשָׁה.
  • ח) מוטבים של צד שלישי. הצדדים מסכימים כי בהתבסס על אופי שירותי ה-SaaS, הלקוח יספק את כל הסיוע הנדרש כדי לאפשר ל-OwnBackup לעמוד בהתחייבויותיו כלפי נושאי מידע לפי סעיף 3 בסעיפים החוזים הסטנדרטיים.
  • הערכת השפעה. בהתאם לסעיף 14 בסעיפים החוזיים האחידים, הצדדים ערכו ניתוח, בהקשר של הנסיבות הספציפיות של ההעברה, של החוקים והנהלים של מדינת היעד, כמו גם השלמות החוזיות, הארגוניות והטכניות הספציפיות. אמצעי ההגנה החלים, ובהתבסס על מידע שידוע להם באופן סביר באותה עת, קבעו כי החוקים והנהלים של מדינת היעד אינם מונעים מהצדדים למלא את התחייבויותיו של כל צד על פי סעיפי החוזים האחידים.
  • י) חוק ופורום חלים. הצדדים מסכימים, ביחס לאופציה 2 לסעיף 17, שבמקרה שהמדינה החברות באיחוד האירופי שבה פועל יצואן הנתונים אינה מאפשרת זכויות מוטבים של צד שלישי, הסעיפים החוזיים הסטנדרטיים יהיו כפופים לחוק של אירלנד. בהתאם לסעיף 18, מחלוקות הקשורות לסעיפים החוזיים הסטנדרטיים ייפתרו על ידי בתי המשפט המפורטים בהסכם, אלא אם כן בית משפט זה אינו ממוקם במדינה חברה באיחוד האירופי, ובמקרה זה הפורום למחלוקות מסוג זה יהיו בתי המשפט של אירלנד. .
  • יא) נספחים. למטרות ביצוע הסעיפים החוזיים הסטנדרטיים, נספח 3: פרטי העיבוד ישולבו כנספח IA ו-IB, נספח 4: בקרות אבטחה OwnBackup (אשר עשויות להתעדכן מעת לעת ב- https://www.ownbackup.com/trust/) ישולבו כנספח II, ותוספת 1: רשימת מעבדי משנה נוכחית (כפי שעשוי להתעדכן מעת לעת ב- https://www.ownbackup.com/legal/sub-p/) ישולבו כנספח III.
  • יב) פרשנות. התנאים של תוספת זו נועדו להבהיר ולא לשנות את הסעיפים החוזיים הסטנדרטיים. במקרה של סתירה או חוסר התאמה בין גוף תוספת זו לבין הסעיפים החוזיים הסטנדרטיים, הסעיפים החוזים הסטנדרטיים יגברו.

הוראות החלות על העברות משוויץ
הצדדים מסכימים כי למטרות תחולתם של סעיפי החוזים האחידים כדי להקל על העברות של נתונים אישיים משוויץ יחולו ההוראות הנוספות הבאות: (i) כל הפניות לתקנה (EU) 2016/679 יפורש כהתייחסות להוראות המתאימות של החוק הפדרלי של שוויץ להגנה על מידע וחוקי הגנת מידע אחרים של שוויץ ("חוקי הגנת מידע בשוויץ"), (ii) כל הפניות ל"מדינה חברה" או "מדינה חברה באיחוד האירופי" או "האיחוד האירופי" יתפרשו כהתייחסות לשוויץ, וכן (iii) כל התייחסות לרשות הפיקוח תתפרש כמתייחסת לממונה על הגנת המידע והמידע הפדרלי של שוויץ.

הוראות החלות העברות מבריטניה.
הצדדים מסכימים שהנספח של בריטניה חל על העברות של נתונים אישיים הנשלטים על ידי חוק הגנת הנתונים של בריטניה וייחשב שהושלם כדלקמן (עם מונחים באותיות רישיות שלא הוגדרו במקומות אחרים בהגדרה שנקבעה בנספח בריטניה):

  • א) טבלה 1: הצדדים, פרטיהם ואנשי הקשר שלהם הם אלה המפורטים בנספח 3.
  • ב) טבלה 2: "הסעיפים החוזים הסטנדרטיים המאושרים של האיחוד האירופי" יהיו הסעיפים החוזיים הסטנדרטיים כמפורט בתוספת 5 זו.
  • ג) טבלה 3: נספחים I(A), I(B) ו-II הושלמו כמפורט בסעיף 2(ק) לתוספת 5 זו.
  • ד) טבלה 4: OwnBackup רשאית לממש את זכות הסיום המוקדמת האופציונלית המתוארת בסעיף 19 של הנספח הבריטי.

מסמכים / משאבים

PDF thumbnailנספח משלים לעיבוד נתונים
Instructions · Supplemental Data Processing Addendum, Data Processing Addendum, Addendum

הפניות

Published: August 12, 2023
עדכון: 5 באפריל, 2026

שאל שאלה

Use this section to ask about setup, compatibility, troubleshooting, or anything missing from this manual.

שאל שאלה

Ask a question about setup, compatibility, troubleshooting, or anything missing from this manual.

הוראות תוספת לעיבוד נתונים בגיבוי עצמי
12 באוגוסט 2023