Dodatek o zpracování dodatečných dat DocuSign

JAK PROVÁDĚT TENTO DPA

1. Tento dodatečný DPA se skládá ze dvou částí: hlavní část doplňkového DPA a plány 1, 2, 3, 4 a 5.
2. Tato dodatečná DPA byla předem podepsána jménem Own.
3. K vyplnění tohoto doplňkového DPA musí zákazník:
   a. Vyplňte část Jméno a adresa zákazníka.
   b. Vyplňte údaje do pole pro podpis a podepište se.
   c. Ověřte, že informace v Příloze 3 („Podrobnosti o zpracování“) přesně odrážejí subjekty a kategorie údajů, které mají být zpracovány.
   d. Vyplněnou a podepsanou doplňkovou DPA zašlete vlastníkovi na adresu privacy@owndata.com.

Jakmile vlastník obdrží na tuto e-mailovou adresu platně vyplněnou doplňkovou DPA, stane se tato doplňková DPA právně závaznou.

Podpis tohoto Doplňkového DPA na straně 3 bude považován za podpis a přijetí Standardních smluvních doložek (včetně jejich Dodatků) a Dodatku pro Spojené království, které jsou zde oba zahrnuty formou odkazu.

JAK PLATÍ TENTO DPA

Pokud je smluvní stranou této smlouvy zákaznický subjekt podepisující tuto doplňkovou DPA, je tato doplňková DPA dodatkem a tvoří součást smlouvy nebo existující DPA. V takovém případě je vlastní subjekt, který je stranou Dohody nebo Stávající DPA, stranou této DPA.

Pokud zákaznický subjekt podepisující tento dodatečný DPA vyplnil formulář objednávky s vlastním nebo jeho přidruženým subjektem v souladu se smlouvou nebo stávajícím DPA, ale sám není stranou smlouvy nebo existujícího DPA, je tento dodatečný DPA dodatkem k tomuto formuláři objednávky a příslušné formuláře objednávky pro obnovení a Vlastní subjekt, který je stranou takového formuláře objednávky, je stranou tohoto doplňkového DPA.

Pokud subjekt zákazníka podepisující tuto doplňkovou DPA není ani stranou formuláře objednávky ani smlouvy nebo existující DPA, tato doplňková DPA není platná a není právně závazná. Takový subjekt by měl požádat subjekt zákazníka, který je stranou smlouvy nebo stávajícího DPA, aby provedl tento dodatečný DPA.

Pokud subjekt zákazníka podepisující doplňkovou DPA není stranou formuláře objednávky ani rámcové smlouvy o předplatném nebo existující DPA přímo s Own, ale je zákazníkem nepřímo prostřednictvím autorizovaného prodejce vlastních služeb, tato doplňková DPA není platná a je není právně závazný. Takový subjekt by měl kontaktovat autorizovaného prodejce a projednat, zda je potřeba dodatek k jeho smlouvě s tímto prodejcem.

V případě jakéhokoli konfliktu nebo nesouladu mezi tímto dodatečným DPA a jakoukoli jinou dohodou mezi zákazníkem a vlastní (včetně, bez omezení, smlouvy nebo stávajícího DPA), budou mít přednost a přednost podmínky tohoto doplňkového DPA.

Tento dodatek o zpracování dodatečných údajů, včetně jeho plánů a dodatků (dále jen „dodatečný dodatek o zpracování dat“), tvoří součást stávajícího dodatku o zpracování dat uvedeného výše (dále jen „stávající dodatek o zpracování dat“) mezi společností OwnBackup Inc. (dále jen „vlastní“) a zákazníkem. Kombinace tohoto Doplňkového DPA a Stávající DPA tvoří úplnou smlouvu o zpracování údajů (dále jen „DPA“), která dokumentuje dohodu stran ohledně zpracování osobních údajů. Pokud takový Zákazník a Vlastník neuzavřeli Smlouvu, pak je tato DPA neplatná a bez právního účinku.

Výše uvedený zákaznický subjekt uzavře tento dodatečný DPA za sebe, a pokud některá z jeho přidružených společností jedná jako správce osobních údajů, jménem těchto oprávněných přidružených subjektů. Všechny pojmy, které zde nejsou definovány, mají význam uvedený ve smlouvě.

V průběhu poskytování služeb SaaS zákazníkovi na základě smlouvy může Own zpracovávat osobní údaje jménem zákazníka. Strany souhlasí s následujícími doplňujícími podmínkami týkajícími se takového Zpracování.

1. DEFINICE
   „CCPA“ znamená kalifornský zákon na ochranu soukromí spotřebitelů, Cal. Civ. zákoníku § 1798.100 et. násl., ve znění kalifornského zákona o ochraně osobních údajů z roku 2020 a spolu s případnými prováděcími předpisy.
   "Ovladač" znamená subjekt, který určuje účely a prostředky Zpracování osobních údajů a je považován také za „podnikání“, jak je definováno v CCPA.
   "Zákazník" znamená výše uvedený subjekt a jeho přidružené společnosti.
   "Zákony a předpisy na ochranu údajů" rozumí všechny zákony a předpisy Evropské unie a její
   členskými státy, Evropským hospodářským prostorem a jeho členskými státy, Spojeným královstvím, Švýcarskem, Spojenými státy, Kanadou, Novým Zélandem a Austrálií a jejich příslušnými politickými podskupinami, které se vztahují na Zpracování osobních údajů. Mezi ně patří, ale nejsou omezeny na následující, v příslušném rozsahu: GDPR, britský zákon o ochraně osobních údajů, CCPA, Virginský zákon o ochraně spotřebitelských dat („VCDPA“), Colorado Privacy Act a související předpisy („CPA“) “), zákon Utah Consumer Privacy Act („UCPA“) a Connecticutský zákon o ochraně osobních údajů a online monitorování („CPDPA“).
   "Předmět údajů" znamená identifikovanou nebo identifikovatelnou osobu, které se Osobní údaje týkají a zahrnují "spotřebitel" jak je definováno v zákonech a nařízeních o ochraně osobních údajů. "Evropa" znamená Evropskou unii, Evropský hospodářský prostor, Švýcarsko a Spojené království. Další ustanovení platná pro přenosy Osobních údajů z Evropy jsou obsažena v Příloze 5. V případě, že Příloha 5 bude odstraněna, Zákazník zaručuje, že nebude zpracovávat Osobní údaje v souladu s evropskými zákony a nařízeními o ochraně údajů.
   „HDP“ se rozumí nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 /EC (General Data Protection Regulation).
   “Vlastní skupina” znamená Vlastní a její přidružené společnosti zabývající se zpracováním osobních údajů.
   "Osobní údaje" znamená jakékoli informace týkající se (i) identifikované nebo identifikovatelné fyzické osoby a (ii) identifikované nebo identifikovatelné právnické osoby (pokud jsou takové informace chráněny podobně jako osobní údaje, osobní údaje nebo osobně identifikovatelné informace podle platných zákonů a nařízení o ochraně osobních údajů ), kde pro každý bod (i) nebo (ii) jsou těmito údaji zákaznická data.
   "Služby zpracování osobních údajů" znamená Služby SaaS uvedené v Příloze 2, pro které může Own zpracovávat Osobní údaje.
   "Zpracovává se" znamená jakoukoli operaci nebo soubor operací, které jsou prováděny s osobními údaji, ať už automatickými prostředky či nikoli, jako je shromažďování, zaznamenávání, organizace, strukturování, ukládání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, zpřístupnění přenosem, šířením nebo jiným způsobem zpřístupnění, zarovnání nebo kombinace, omezení, vymazání nebo zničení.
   „Zpracovatel“ znamená subjekt, který zpracovává osobní údaje jménem správce, včetně případného „poskytovatele služeb“, jak je tento termín definován v CCPA.
   "Standardní smluvní doložky" rozumí příloha prováděcího rozhodnutí Evropské komise
   (EU) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle nařízení Evropského parlamentu a Rady Evropské unie (EU) 2016/679 a s výhradou požadovaných změn pro Spojené státy Království a Švýcarsko dále popsáno v Dodatku 5.
   „Součástí zpracovatele“ se rozumí jakýkoli zpracovatel zaměstnaný Vlastním, členem Vlastní skupiny nebo jiným dílčím zpracovatelem.
   „Dozorový úřad“ znamená vládní nebo vládou zřízený regulační orgán, který má závaznou právní pravomoc nad Zákazníkem.
   "Dodatek pro Spojené království" znamená Dodatek pro mezinárodní přenos dat Spojeného království ke standardním smluvním doložkám Komise EU (k dispozici od 21. března 2022 na adrese https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), dokončeno podle popisu v Příloze 5.
   „Zákon Spojeného království o ochraně osobních údajů“ se rozumí nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, neboť tvoří součást práva Anglie a Walesu, Skotska a Severního Irsko na základě oddílu 3 zákona Evropské unie (Stažení) z roku 2018, který může být čas od času pozměněn zákony a předpisy Spojeného království o ochraně údajů.
2. OBJEDNÁVKA PŘEDCHOZÍ
   a. S výjimkou zde začleněných standardních smluvních doložek, které mají přednost, v případě jakéhokoli rozporu mezi tímto dodatečným DPA a Stávajícím DPA mají přednost podmínky Stávající DPA.
3. OMEZENÍ ODPOVĚDNOSTI
   a. V rozsahu povoleném zákony a nařízeními o ochraně osobních údajů, odpovědnost každé strany a všech jejích přidružených společností, společně v souhrnu, vyplývající nebo související s tímto dodatečným DPA, ať už ve smlouvě, přečinu nebo na základě jakékoli jiné teorie odpovědnosti, podléhá ustanovením „Limit odpovědnosti“ a dalším ustanovením Smlouvy, která vylučují nebo omezují odpovědnost, a jakýkoli odkaz v takových ustanoveních na odpovědnost strany znamená souhrnnou odpovědnost této strany a všech jejích přidružených společností.
4. ZMĚNY PŘENOSOVÝCH MECHANISMŮ
   a. V případě, že stávající mechanismus předávání, na který se strany spoléhají při usnadnění předávání osobních údajů do jedné nebo více zemí, které nezajišťují odpovídající úroveň ochrany údajů ve smyslu zákonů a nařízení o ochraně údajů, bude pozměněn , nebo nahradí strany, budou v dobré víře pracovat na zavedení takového alternativního mechanismu přenosu, aby bylo možné pokračovat ve Zpracování osobních údajů, jak je uvažováno ve Smlouvě. Použití takového alternativního převodního mechanismu je podmíněno splněním všech zákonných požadavků pro použití takového převodního mechanismu každou stranou.

Oprávnění signatáři smluvních stran řádně podepsali tuto smlouvu, včetně všech příslušných příloh, příloh a dodatků, které jsou zde začleněny.

Seznam jízdních řádů

Rozpis 1: Aktuální seznam sub-procesorů
Rozpis 2: Služby SaaS použitelné pro zpracování osobních údajů
Rozpis 3: Podrobnosti o zpracování
Rozpis 4: Vlastní bezpečnostní kontroly
Rozpis 5: Evropská ustanovení

PLÁN 1 Aktuální seznam sub-procesorů

Název dílčího procesoru	Adresa podprocesoru	Povaha zpracování	Doba zpracování	Místo zpracování
OwnBackup Limited	3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Izrael	Zákaznická podpora a údržba	Po dobu trvání Smlouvy.	Izrael
Amazonka Web Services, Inc.*	410 Terry Avenue North, Seattle, Washington 98109, USA	Hosting aplikací a ukládání dat	Po dobu trvání Smlouvy.	Spojené státy, Kanada, Německo, Velká Británie nebo Austrálie
Microsoft Corporation (Azure)*	One Microsoft Way, Redmond, Washington 98052, USA	Hosting aplikací a ukládání dat	Po dobu trvání Smlouvy.	Nizozemsko nebo Spojené státy americké
Elasticsearch, Inc.**	800 West El Camino Real, Suite 350, Mountain View, Kalifornie 94040, USA	Indexování a vyhledávání	Po dobu trvání Smlouvy.	Nizozemsko nebo Spojené státy americké

* Zákazník si může vybrat buď Amazon Web Services nebo Microsoft (Azure) a její požadované umístění zpracování během počátečního nastavení služeb SaaS Zákazníkem.
** Platí pouze pro zákazníky služby Archive, kteří se rozhodnou pro nasazení v cloudu Microsoft (Azure).

PLÁN 2 Služby SaaS použitelné pro zpracování osobních údajů

• Obnovit pro ServiceNow
• Recover for Dynamics
• Obnovit pro Salesforce
• Governance Plus pro Salesforce
• Archiv
• Přineste si vlastní správu klíčů
• Urychlit

PLÁN 3 Podrobnosti o zpracování

Exportér dat

Celé jméno: Jméno zákazníka, jak je uvedeno výše
Hlavní adresa: Adresa zákazníka, jak je uvedeno výše
Kontakt: Pokud není uvedeno jinak, jedná se o primární kontakt na zákaznickém účtu.
Kontaktní email: Pokud není uvedeno jinak, jedná se o primární kontaktní e-mailovou adresu v zákaznickém účtu.

Importér dat 

Celé jméno: OwnBackup Inc.
Hlavní adresa: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
Kontakt: Pověřenec pro ochranu osobních údajů
Kontaktní email: privacy@owndata.com

Povaha a účel zpracování

Společnost Own bude zpracovávat osobní údaje podle potřeby k provádění služeb SaaS podle smlouvy a objednávek a podle dalších pokynů zákazníka ohledně používání služeb SaaS.

Doba zpracování

Osobní údaje bude zpracovávat po dobu trvání smlouvy, nebude-li písemně dohodnuto jinak.

Udržení

Vlastní bude uchovávat osobní údaje ve službách SaaS po dobu trvání smlouvy, pokud nebude písemně dohodnuto jinak, s výhradou maximální doby uchovávání uvedené v dokumentaci.

Frekvence přenosu

Jak určí zákazník při používání služeb SaaS.

Převody na dílčího zpracovatele 

Podle potřeby k provádění Služeb SaaS podle Smlouvy a Objednávek a jak je dále popsáno v Příloze 1.

Kategorie subjektů údajů

Zákazník může poskytnout osobní údaje službám SaaS, jejichž rozsah určuje a řídí zákazník podle vlastního uvážení a které mohou mimo jiné zahrnovat osobní údaje týkající se následujících kategorií subjektů údajů:

• Zájemci, zákazníci, obchodní partneři a prodejci zákazníka (což jsou fyzické osoby)
• Zaměstnanci nebo kontaktní osoby potenciálních zákazníků, zákazníků, obchodních partnerů a prodejců
• Zaměstnanci, agenti, poradci, nezávislí pracovníci Zákazníka (kteří jsou fyzickými osobami) Uživatelé Zákazníka oprávnění Zákazníka používat Služby SaaS

Typ osobních údajů

Zákazník může do Služeb SaaS odeslat Osobní údaje, jejichž rozsah určuje a řídí Zákazník podle vlastního uvážení a které mohou mimo jiné zahrnovat následující kategorie Osobních údajů:

• Jméno a příjmení
• Titul
• Pozice
• Zaměstnavatel
• Kontaktní údaje (firma, email, telefon, fyzická adresa firmy)
• identifikační údaje
• Údaje o profesním životě
• Údaje o osobním životě
• Lokalizační údaje

Zvláštní kategorie údajů (pokud jsou vhodné)

Zákazník může Službám SaaS předkládat zvláštní kategorie Osobních údajů, jejichž rozsah určuje a kontroluje Zákazník podle vlastního uvážení a které by v zájmu jasnosti mohly zahrnovat zpracování genetických údajů, biometrických údajů za účelem jedinečného identifikaci fyzické osoby nebo údaje týkající se zdraví. Jak Own chrání zvláštní kategorie údajů a další osobní údaje, viz opatření v Příloze 4.

PLÁN 4 Vlastní bezpečnostní kontroly 3.3

1. Zavedení
   1. Vlastní aplikace typu software-as-a-service (SaaS Services) byly od začátku navrhovány s ohledem na bezpečnost. Služby SaaS jsou navrženy s řadou bezpečnostních ovládacích prvků na více úrovních, aby se zabývaly řadou bezpečnostních rizik. Tyto bezpečnostní kontroly se mohou změnit; jakékoli změny však zachovají nebo zlepší celkový stav zabezpečení.
   2. Níže uvedené popisy ovládacích prvků se vztahují na implementace služby SaaS na obou serverech Amazon Web Platformy služeb (AWS) a Microsoft Azure (Azure) (společně označované jako naši poskytovatelé cloudových služeb nebo CSP), s výjimkou případů uvedených v části Šifrování níže. Tyto popisy ovládacích prvků se nevztahují na software RevCult s výjimkou případů uvedených v části „Vývoj bezpečného softwaru“ níže.
2. Audity a certifikace
   1. Služby SaaS jsou certifikovány podle ISO/IEC 27001:2013 (systém řízení bezpečnosti informací) a ISO/IEC 27701:2019 (systém řízení informací o soukromí).
   2. Společnost Own prochází každoročním auditem SOC2 typu II podle SSAE-18, aby nezávisle ověřila účinnost svých praktik, zásad, postupů a operací v oblasti bezpečnosti informací pro následující kritéria důvěryhodných služeb: bezpečnost, dostupnost, důvěrnost a integrita zpracování.
   3. Own využívá globální regiony CSP pro své výpočty a úložiště pro služby SaaS. AWS a Azure jsou špičková zařízení s několika akreditacemi, včetně SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 a HIPAA.
3. Web Ovládací prvky zabezpečení aplikací
   1. Zákaznický přístup ke Službám SaaS je pouze přes HTTPS (TLS1.2+), který zajišťuje šifrování dat při přenosu mezi koncovým uživatelem a aplikací a mezi Vlastním a zdrojem dat třetí strany (např. Salesforce).
   2. Správci služby SaaS zákazníka mohou podle potřeby zřizovat a zrušit poskytování uživatelů služby SaaS a souvisejícího přístupu.
   3. Služby SaaS poskytují řízení přístupu na základě rolí, která zákazníkům umožňují spravovat oprávnění pro více organizací.
   4. Správci služby SaaS zákazníka mají přístup k auditním záznamům včetně uživatelského jména, akce a časuampa pole zdrojové IP adresy. Auditní protokoly mohou být viewed a exportovány administrátorem služby SaaS zákazníka přihlášeným do služeb SaaS a také prostřednictvím rozhraní API služeb SaaS.
   5. Přístup ke službám SaaS může být omezen zdrojovou IP adresou.
   6. Služby SaaS umožňují zákazníkům povolit vícefaktorovou autentizaci pro přístup k účtům služby SaaS pomocí časově založených jednorázových hesel.
   7. Služby SaaS umožňují zákazníkům povolit jednotné přihlašování prostřednictvím poskytovatelů identity SAML 2.0.
   8. Služby SaaS umožňují zákazníkům povolit přizpůsobitelné zásady hesel, které pomohou sladit hesla služby SaaS s firemními zásadami.
4. Šifrování
   1. Vlastní nabízí následující možnosti služby SaaS pro šifrování dat v klidu:
      1. Standardní nabídka.
         • Data jsou šifrována pomocí šifrování AES-256 na straně serveru prostřednictvím systému správy klíčů ověřeného podle FIPS 140-2.
         • Šifrování obálky se používá tak, že hlavní klíč nikdy neopustí hardwarový bezpečnostní modul (HSM).
         • Šifrovací klíče se obměňují minimálně každé dva roky.
      2. Možnost pokročilé správy klíčů (AKM).
         • Data jsou šifrována ve vyhrazeném kontejneru pro ukládání objektů pomocí zákazníkem poskytnutého hlavního šifrovacího klíče (CMK).
         • AKM umožňuje budoucí archivaci klíče a jeho rotaci s jiným hlavním šifrovacím klíčem.
         • Zákazník může zrušit hlavní šifrovací klíče, což má za následek okamžitou nepřístupnost dat.
      3. Možnost Bring Your Own Key Management System (KMS) (k dispozici pouze na AWS).
         • Šifrovací klíče jsou vytvářeny ve vlastním, samostatně zakoupeném účtu zákazníka pomocí AWS KMS.
         • Zákazník definuje zásady šifrovacího klíče, které povolují zákaznickému účtu služby SaaS na AWS přístup ke klíči z vlastního AWS KMS zákazníka.
         • Data jsou šifrována ve vyhrazeném kontejneru úložiště objektů spravovaném Own a konfigurovaném pro použití šifrovacího klíče zákazníka.
         • Zákazník může okamžitě zrušit přístup k zašifrovaným datům zrušením přístupu Own k šifrovacímu klíči, aniž by s Own interagoval.
         • Vlastní zaměstnanci nemají kdykoli přístup k šifrovacím klíčům a nemají přístup přímo do KMS.
         • Všechny klíčové aktivity související s používáním jsou protokolovány v KMS zákazníka, včetně načítání klíčů ve vyhrazeném úložišti objektů.
      4. Šifrování při přenosu mezi službami SaaS a zdrojem dat třetí strany (např. Salesforce) využívá HTTPS s TLS 1.2+ a OAuth 2.0.
5. Síť
   1. Služby SaaS využívají síťové kontroly CSP k omezení vstupu a výstupu ze sítě.
   2. Stavové bezpečnostní skupiny se používají k omezení vstupu a výstupu sítě do autorizovaných koncových bodů.
   3. Služby SaaS využívají vícevrstvou síťovou architekturu, včetně více, logicky oddělených virtuálních privátních cloudů Amazon (VPC) nebo Azure Virtual Networks (VNets), které využívají privátní, DMZ a nedůvěryhodné zóny v rámci infrastruktury CSP.
   4. V AWS se v každé oblasti používají omezení VPC S3 Endpoint k povolení přístupu pouze z autorizovaných VPC.
6. Monitorování a auditování
   1. Systémy a sítě SaaS Service jsou monitorovány z hlediska bezpečnostních incidentů, stavu systému, abnormalit sítě a dostupnosti.
   2. Služby SaaS využívají systém detekce narušení (IDS) ke sledování síťové aktivity a upozornění Own na podezřelé chování.
   3. Používání služeb SaaS web aplikační firewally (WAF) pro celou veřejnost web služby.
   4. Vlastní zaznamenává události aplikace, sítě, uživatele a operačního systému na místní server syslog a SIEM pro konkrétní oblast. Tyto protokoly jsou automaticky analyzovány a znovuviewza podezřelou činnost a hrozby. Jakékoli anomálie jsou podle potřeby eskalovány.
   5. Vlastní využívá systémy správy bezpečnostních informací a událostí (SIEM), které poskytují nepřetržitou bezpečnostní analýzu sítí a bezpečnostního prostředí SaaS Services, upozornění na anomálie uživatelů, průzkum útoků velení a řízení (C&C), automatickou detekci hrozeb a hlášení indikátorů kompromitace (IOC). ). Všechny tyto schopnosti jsou spravovány bezpečnostním a provozním personálem společnosti Own.
   6. Vlastní tým reakce na incidenty monitoruje security@owndata.com alias a v případě potřeby reaguje podle plánu reakce na incidenty (IRP) společnosti.
7. Izolace mezi účty
   1. Služby SaaS využívají linuxový sandboxing k izolaci dat zákaznických účtů během zpracování. To pomáhá zajistit, že jakákoliv anomálie (napřample, kvůli bezpečnostnímu problému nebo softwarové chybě) zůstává omezena na jeden vlastní účet.
   2. Přístup k datům nájemců je řízen prostřednictvím jedinečných uživatelů IAM s daty tagging, který znemožňuje neoprávněným uživatelům přístup k datům tenanta.
8. Obnova po havárii
   1. Own využívá úložiště objektů CSP k ukládání zašifrovaných zákaznických dat v několika zónách dostupnosti.
   2. Pro zákaznická data uložená na objektovém úložišti používá Own verzování objektů s automatickým stárnutím, aby byla podpořena shoda se zásadami obnovy a zálohování po havárii Own. Pro tyto objekty jsou systémy Own navrženy tak, aby podporovaly cíl bodu obnovy (RPO) v délce 0 hodin (to znamená schopnost obnovit na jakoukoli verzi libovolného objektu, jak existoval v předchozích 14 dnech).
   3. Jakékoli požadované obnovení výpočetní instance je dosaženo přebudováním instance na základě automatizace správy konfigurace Own.
   4. Own's Disaster Recovery Plan je navržen tak, aby podporoval 4hodinový cíl doby zotavení (RTO).
9. Správa zranitelnosti
   1. Vlastní provádí periodicky web hodnocení zranitelnosti aplikací, analýza statického kódu a externí dynamická hodnocení jako součást jeho programu nepřetržitého monitorování, které pomáhají zajistit, aby byly ovládací prvky zabezpečení aplikací správně aplikovány a efektivně fungovaly.
   2. Na půlroční bázi si Own najímá nezávislé penetrační testery třetích stran, aby provedli jak síť, tak web hodnocení zranitelnosti. Rozsah těchto externích auditů zahrnuje shodu s Open Web Projekt zabezpečení aplikací (OWASP) Top 10 Web Chyby zabezpečení (www.owasp.org).
   3. Výsledky posouzení zranitelnosti jsou začleněny do životního cyklu vlastního vývoje softwaru (SDLC) k nápravě zjištěných zranitelností. Konkrétní zranitelnosti jsou upřednostňovány a zadávány do vlastního interního systému lístků pro sledování prostřednictvím řešení.
10. Odezva na incident
    1. V případě potenciálního narušení bezpečnosti provede vlastní tým pro reakci na incidenty vyhodnocení situace a vypracuje vhodné strategie zmírnění. Pokud se potenciální porušení potvrdí, společnost Own okamžitě zasáhne, aby narušení zmírnila a zachovala forenzní důkazy, a bez zbytečného prodlení uvědomí primární kontaktní místa dotčených zákazníků, aby je informovala o situaci a poskytla aktualizace stavu řešení.
11. Zabezpečený vývoj softwaru
    1. Own využívá bezpečné vývojové postupy pro softwarové aplikace Own a RevCult po celou dobu životního cyklu vývoje softwaru. Tyto postupy zahrnují analýzu statického kódu, zabezpečení Salesforceview pro aplikace RevCult a pro vlastní aplikace nainstalované v zákaznických instancích Salesforce, peer review změn kódu, omezení přístupu k úložišti zdrojového kódu na základě principu nejmenších oprávnění a protokolování přístupu a změn do úložiště zdrojového kódu.
12. Vyhrazený bezpečnostní tým
    1. Own má specializovaný bezpečnostní tým s více než 100 lety kombinovaných mnohostranných zkušeností s informační bezpečností. Členové týmu navíc udržují řadu uznávaných certifikací, včetně, ale nejen, CISM, CISSP a ISO 27001 vedoucích auditorů.
13. Ochrana soukromí a dat
    1. Own poskytuje nativní podporu pro žádosti subjektu údajů o přístup, jako je právo na vymazání (právo být zapomenut) a anonymizaci, na podporu dodržování předpisů o ochraně osobních údajů, včetně obecného nařízení o ochraně osobních údajů (GDPR), zákona o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) a kalifornského zákona o ochraně soukromí spotřebitelů (CCPA). Own také poskytuje dodatek o zpracování dat, který řeší zákony na ochranu soukromí a dat, včetně právních požadavků na mezinárodní přenosy dat.
14. Prověrky pozadí
    1. Společnost Own provádí panel prověrek, včetně prověrek v trestních věcech, u svých zaměstnanců, kteří mohou mít přístup k údajům zákazníků, na základě jurisdikce bydliště zaměstnance za posledních sedm let, v souladu s platnými zákony.
15. Pojištění
    Own udržuje minimálně následující pojistné krytí: (a) pojištění odškodnění pracovníků v souladu se všemi platnými zákony; (b) pojištění odpovědnosti za motorová vozidla pro nevlastněná a pronajatá vozidla s kombinovaným jediným limitem 1,000,000 1,000,000 2,000,000 $; (c) pojištění obecné odpovědnosti za škodu (veřejnou odpovědnost) s jediným limitním krytím ve výši 20,000,000 20,000,000 5,000,000 USD za událost a obecným souhrnným krytím XNUMX XNUMX XNUMX USD; (d) pojištění chyb a opomenutí (odškodnění při výkonu povolání) s limitem XNUMX XNUMX XNUMX USD na událost a úhrnem XNUMX XNUMX XNUMX USD, včetně primárních a nadbytečných vrstev, včetně kybernetické odpovědnosti, technologických a profesionálních služeb, technologických produktů, zabezpečení dat a sítí, reakce na porušení, regulační odpovědnost za obranu a sankce, kybernetické vydírání a obnovu dat; a (e) pojištění pro nepoctivost/zločin zaměstnance s krytím XNUMX XNUMX XNUMX USD. Na vyžádání poskytne Zákazníkovi doklad o takovém pojištění.

PŘÍLOHA 5 Evropská ustanovení

Tento harmonogram se vztahuje pouze na přenosy Osobních údajů (včetně dalších přenosů) z Evropy, které by v případě nepoužití těchto ustanovení způsobily, že by zákazník nebo Vlastník porušili platné zákony a nařízení o ochraně údajů.

1. Přenosový mechanismus pro přenosy dat.
   a) Standardní smluvní doložky se vztahují na jakékoli přenosy osobních údajů podle této doplňkové DPA z Evropy do zemí, které nezajišťují odpovídající úroveň ochrany údajů ve smyslu zákonů a nařízení o ochraně údajů těchto území, v rozsahu, v jakém takové přenosy podléhají k těmto zákonům a nařízením o ochraně osobních údajů. Vlastní vstupuje do Standardních smluvních doložek jako importér dat. Na takovéto datové přenosy se rovněž vztahují dodatečné podmínky v této Příloze.
2. Převody V souladu se standardními smluvními ustanoveními.
   a) Zákazníci, na které se vztahují Standardní smluvní doložky. Standardní smluvní doložky a dodatečné podmínky uvedené v této Příloze se vztahují na (i) Zákazníka v rozsahu, v jakém Zákazník podléhá zákonům a nařízením o ochraně údajů v Evropě, a (ii) jeho Autorizované přidružené společnosti. Pro účely Standardních smluvních doložek a této přílohy jsou takové subjekty „vývozci údajů“.
   b) Moduly. Strany se dohodly, že tam, kde lze v rámci Standardních smluvních doložek použít volitelné moduly, se použijí pouze ty, které jsou označeny „MODUL DRUHÝ: Přenést správce na zpracovatele“.
   c) Instrukce. Strany souhlasí s tím, že používání služeb zpracování osobních údajů zákazníkem v souladu se smlouvou a stávajícím DPA se považuje za pokyny zákazníka ke zpracování osobních údajů pro účely článku 8.1 standardních smluvních doložek.
   d) Jmenování nových dílčích zpracovatelů a seznam současných dílčích zpracovatelů. V souladu s MOŽNOSTÍ 2 k článku 9(a) Standardních smluvních doložek Zákazník souhlasí s tím, že Vlastní může zapojit nové dílčí zpracovatele, jak je popsáno ve Stávající DPA, a že Vlastní přidružené společnosti mohou být ponechány jako dílčí zpracovatelé a Vlastní a vlastní přidružené společnosti mohou zapojit Dílčí zpracovatelé třetích stran v souvislosti s poskytováním Služeb zpracování dat. Aktuální seznam dílčích zpracovatelů, který je připojen jako příloha 1.
   e) Subdodavatelské smlouvy. Strany se dohodly, že předávání údajů dílčím zpracovatelům se může opírat o jiný mechanismus přenosu, než jsou standardní smluvní doložky (např.ample, závazná podniková pravidla) a že dohody Own s takovými dílčími zpracovateli proto nemohou zahrnovat nebo odrážet Standardní smluvní doložky, bez ohledu na cokoli opačného v ustanovení 9(b) Standardních smluvních doložek. Jakákoli taková smlouva s dílčím zpracovatelem však bude obsahovat povinnosti týkající se ochrany údajů, které nebudou méně chránit než povinnosti uvedené v tomto doplňkovém DPA týkající se ochrany zákaznických údajů, a to v rozsahu použitelném pro služby poskytované tímto dílčím zpracovatelem. Kopie subzpracovatelských smluv, které musí Zákazník poskytnout Vlastník podle článku 9(c) Standardních smluvních doložek, poskytne Vlastník pouze na písemnou žádost Zákazníka a mohou obsahovat veškeré obchodní informace nebo ustanovení, která se nevztahují na Standardní smluvní doložky nebo jejich ekvivalent, které Vlastník předem odstraní.
   f) Audity a certifikace. Strany souhlasí s tím, že audity popsané v článku 8.9 a článku 13(b) standardních smluvních ustanovení budou prováděny v souladu s podmínkami stávajícího DPA.
   g) Vymazání dat. Strany se dohodly, že vymazání nebo vrácení dat podle článku 8.5 nebo článku 16(d) Standardních smluvních ustanovení bude provedeno v souladu s podmínkami Stávající DPA a jakékoli potvrzení o vymazání bude poskytnuto Vlastním pouze na základě Zákazníkova rozhodnutí. žádost.
   h) Příjemci třetích stran. Strany se dohodly, že na základě povahy služeb SaaS poskytne Zákazník veškerou potřebnou pomoc, aby umožnil společnosti Own dostát svým závazkům vůči subjektům údajů podle článku 3 Standardních smluvních doložek.
   i) Posouzení dopadů. V souladu s článkem 14 standardních smluvních doložek strany provedly analýzu v kontextu konkrétních okolností převodu, zákonů a zvyklostí cílové země, jakož i konkrétní doplňkové smluvní, organizační a technické ochranná opatření, která se uplatňují, a na základě informací, které jim v té době přiměřeně byly známy, určily, že zákony a praxe země určení nebrání stranám v plnění závazků každé strany podle Standardních smluvních doložek.
   j) Rozhodující právo a fórum. Strany se s ohledem na MOŽNOST 2 k článku 17 dohodly, že v případě, že členský stát EU, ve kterém je vývozce údajů usazen, nepřipouští práva oprávněných třetích stran, budou se Standardní smluvní doložky řídit právem Irsko. V souladu s článkem 18 budou spory spojené se Standardními smluvními doložkami řešeny soudy uvedenými ve Smlouvě, pokud se takový soud nenachází v členském státě EU, v takovém případě budou fórem pro takové spory soudy v Irsku. .
   k) přílohy. Pro účely plnění Standardních smluvních doložek bude příloha 3: Podrobnosti o zpracování začleněna jako PŘÍLOHA IA a IB, příloha 4: Vlastní bezpečnostní kontroly (která může být čas od času aktualizována na https://www.owndata.com/trust/) bude začleněna jako PŘÍLOHA II a Plán 1: Aktuální seznam dílčích procesorů (může být čas od času aktualizován na  https://www.owndata.com/legal/sub-p/) se začlení jako PŘÍLOHA III.
   l) Výklad. Účelem podmínek této přílohy je objasnit a nikoli upravit Standardní smluvní doložky. V případě jakéhokoli rozporu nebo nesouladu mezi obsahem této přílohy a Standardními smluvními doložkami mají přednost Standardní smluvní doložky.
3. Ustanovení platná pro transfery ze Švýcarska Strany se dohodly, že pro účely použitelnosti Standardních smluvních doložek pro usnadnění předávání Osobních údajů ze Švýcarska se použijí následující dodatečná ustanovení: (i) Veškeré odkazy na nařízení (EU) 2016/679 se vykládají tak, že odkazují na odpovídající ustanovení švýcarského federálního zákona o ochraně údajů a dalších zákonů Švýcarska na ochranu údajů („švýcarské zákony na ochranu údajů“), (ii) Veškeré odkazy na „členský stát“ nebo „členský stát EU“ nebo „EU“ se vykládají tak, že odkazují na Švýcarsko a (iii) Veškeré odkazy na dozorčí úřad se vykládají tak, že odkazují na švýcarského federálního komisaře pro ochranu údajů a informací.
4. a) Tabulka 1: Strany, jejich podrobnosti a kontakty jsou uvedeny v příloze 3.
   b) Tabulka 2: „Schválené standardní smluvní doložky EU“ jsou standardními smluvními doložkami, jak je uvedeno v této příloze 5.
   c) Tabulka 3: Přílohy I(A), I(B) a II jsou vyplněny tak, jak je uvedeno v části 2(k) této přílohy 5.
   d) Tabulka 4: Vlastní může uplatnit volitelné právo na předčasné ukončení popsané v části 19 dodatku pro Spojené království.

Dokumenty / zdroje

Dodatek o zpracování dodatečných dat DocuSign [pdfPokyny Dodatek o zpracování dodatečných dat, dodatek o zpracování dat, dodatek o zpracování, dodatek

Reference

• Uživatelská příručka