ملحق معالجة البيانات التكميلية DocuSign

كيفية تنفيذ ملحق حماية البيانات هذا

1. يتكون ملحق DPA التكميلي من جزأين: النص الرئيسي لاتفاقية DPA التكميلية، والجداول 1 و2 و3 و4 و5.
2. لقد تم التوقيع مسبقًا على ملحق DPA التكميلي هذا بالنيابة عن Own.
3. لإكمال ملحق DPA التكميلي هذا، يجب على العميل:
   a. أكمل قسم اسم العميل وعنوان العميل.
   b. أكمل البيانات في خانة التوقيع وقم بالتوقيع.
   c. تأكد من أن المعلومات الواردة في الجدول 3 ("تفاصيل المعالجة") تعكس بدقة موضوعات وفئات البيانات المطلوب معالجتها.
   d. أرسل ملحق DPA التكميلي المكتمل والموقع إلى الخاص على Privacy@owndata.com.

عند استلام Own لملحق DPA التكميلي المكتمل بشكل صحيح على عنوان البريد الإلكتروني هذا، سيصبح ملحق DPA التكميلي هذا ملزمًا قانونًا.

يعتبر التوقيع على ملحق DPA التكميلي هذا في الصفحة 3 بمثابة توقيع وقبول للبنود التعاقدية القياسية (بما في ذلك ملاحقها) وملحق المملكة المتحدة، وكلاهما مدمج هنا كمرجع.

كيفية تطبيق ملحق DPA هذا

إذا كان كيان العميل الذي يوقع على ملحق DPA التكميلي هذا طرفًا في الاتفاقية، فإن ملحق DPA التكميلي هذا هو ملحق للاتفاقية أو ملحق DPA الحالي ويشكل جزءًا منها. في مثل هذه الحالة، يكون الكيان الخاص الذي هو طرف في الاتفاقية أو ملحق DPA الحالي طرفًا في ملحق DPA هذا.

إذا كان كيان العميل الذي يوقع على ملحق DPA التكميلي هذا قد نفذ نموذج طلب مع نفسه أو شركة تابعة له بموجب الاتفاقية أو DPA الحالي، ولكنه ليس في حد ذاته طرفًا في الاتفاقية أو DPA الحالي، فإن ملحق DPA التكميلي هذا هو ملحق لنموذج الطلب هذا و نماذج طلب التجديد المعمول بها، والكيان الخاص الذي هو طرف في نموذج الطلب هذا هو طرف في ملحق DPA التكميلي هذا.

إذا لم يكن كيان العميل الذي قام بالتوقيع على ملحق DPA التكميلي هذا طرفًا في نموذج الطلب أو الاتفاقية أو ملحق DPA الحالي، فإن ملحق DPA التكميلي هذا غير صالح وغير ملزم قانونًا. ويجب على هذا الكيان أن يطلب من كيان العميل الذي يعد طرفًا في الاتفاقية أو ملحق DPA الحالي تنفيذ ملحق DPA التكميلي هذا.

إذا لم يكن كيان العميل الذي قام بالتوقيع على ملحق DPA التكميلي طرفًا في نموذج طلب أو اتفاقية اشتراك رئيسية أو DPA موجود مباشرةً مع الخاص، ولكنه بدلاً من ذلك عميل بشكل غير مباشر عبر موزع معتمد للخدمات الخاصة، فإن ملحق DPA التكميلي هذا غير صالح وهو غير ملزمة قانونا. ويجب على هذا الكيان الاتصال بالموزع المعتمد لمناقشة ما إذا كان يلزم إجراء تعديل على اتفاقيته مع هذا الموزع.

في حالة وجود أي تعارض أو عدم تناسق بين ملحق DPA التكميلي هذا وأي اتفاقية أخرى بين العميل وOwn (بما في ذلك، على سبيل المثال لا الحصر، الاتفاقية أو ملحق DPA الحالي)، فإن شروط ملحق DPA التكميلي هذا هي التي تسود وتسود.

يشكل ملحق معالجة البيانات التكميلية هذا، بما في ذلك جداوله وملاحقه، ("ملحق DPA التكميلي") جزءًا من ملحق معالجة البيانات الحالي المحدد أعلاه ("ملحق DPA الحالي") بين شركة OwnBackup Inc. ("المملوكة") والعميل. يُشكل دمج ملحق DPA التكميلي هذا وملحق DPA الحالي اتفاقية معالجة البيانات الكاملة ("DPA") لتوثيق اتفاقية الأطراف فيما يتعلق بمعالجة البيانات الشخصية. إذا لم يبرم كيان العميل والكيان الخاص اتفاقية، فإن ملحق DPA هذا يعتبر باطلاً وليس له أي أثر قانوني.

يدخل كيان العميل المذكور أعلاه في ملحق DPA التكميلي هذا بنفسه، وإذا كان أي من الشركات التابعة له يعمل كمتحكم في البيانات الشخصية، نيابةً عن تلك الشركات التابعة المعتمدة. جميع المصطلحات المكتوبة بالأحرف الكبيرة غير المحددة هنا سيكون لها المعنى المنصوص عليه في الاتفاقية.

في سياق تقديم خدمات SaaS للعميل بموجب الاتفاقية، يجوز له معالجة البيانات الشخصية نيابة عن العميل. يوافق الطرفان على الشروط التكميلية التالية فيما يتعلق بهذه المعالجة.

1. التعاريف
   "قانون حماية خصوصية المستهلك في كاليفورنيا" يعني قانون خصوصية المستهلك في كاليفورنيا، Cal. المدنية. الكود § 1798.100 وآخرون. ما يلي، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020 ومع أي لوائح تنفيذية.
   "مراقب" يشير هذا المصطلح إلى الكيان الذي يحدد أغراض ووسائل معالجة البيانات الشخصية ويُعتبر أنه يشير أيضًا إلى "شركة" كما هو محدد في قانون خصوصية المستهلك في كاليفورنيا (CCPA).
   "عميل" يعني الكيان المذكور أعلاه والشركات التابعة له.
   "قوانين ولوائح حماية البيانات" يعني جميع قوانين ولوائح الاتحاد الأوروبي ودوله
   الدول الأعضاء، والمنطقة الاقتصادية الأوروبية ودولها الأعضاء، والمملكة المتحدة، وسويسرا، والولايات المتحدة، وكندا، ونيوزيلندا، وأستراليا، وأقسامها السياسية الفرعية، التي تنطبق على معالجة البيانات الشخصية. وتشمل هذه، على سبيل المثال لا الحصر، ما يلي، إلى الحد الذي ينطبق: اللائحة العامة لحماية البيانات (GDPR)، وقانون حماية البيانات في المملكة المتحدة، وCCPA، وقانون حماية بيانات المستهلك في فرجينيا ("VCDPA")، وقانون خصوصية كولورادو واللوائح ذات الصلة ("CPA" ")، وقانون خصوصية المستهلك في ولاية يوتا ("UCPA")، وقانون كونيتيكت المتعلق بخصوصية البيانات الشخصية والمراقبة عبر الإنترنت ("CPDPA").
   "موضوع البيانات" مصطلح يشير إلى الشخص المحدد أو الذي يمكن تحديد هويته والذي تتعلق به البيانات الشخصية وتتضمنه "مستهلك" كما هو محدد في قوانين ولوائح حماية البيانات. "أوروبا" يعني الاتحاد الأوروبي، والمنطقة الاقتصادية الأوروبية، وسويسرا، والمملكة المتحدة. يتضمن الجدول 5 أحكامًا إضافية تنطبق على عمليات نقل البيانات الشخصية من أوروبا. وفي حالة إزالة الجدول 5، يضمن العميل أنه لن يقوم بمعالجة البيانات الشخصية الخاضعة لقوانين ولوائح حماية البيانات في أوروبا.
   "الناتج المحلي الإجمالي" يُقصد باللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه 95/46 /EC (اللائحة العامة لحماية البيانات).
   "المجموعة الخاصة" مصطلح يشير إلى الشركة والشركات التابعة لها العاملة في معالجة البيانات الشخصية.
   "البيانات الشخصية" مصطلح يشير إلى أي معلومات تتعلق بـ (1) شخص طبيعي محدد أو يمكن تحديد هويته، و(2) كيان قانوني محدد أو يمكن تحديد هويته (حيث تكون هذه المعلومات محمية بشكل مماثل للبيانات الشخصية أو المعلومات الشخصية أو معلومات التعريف الشخصية بموجب قوانين ولوائح حماية البيانات المعمول بها). )، حيث تكون هذه البيانات بالنسبة لكل (i) أو (ii) هي بيانات العميل.
   "خدمات معالجة البيانات الشخصية" مصطلح يشير إلى خدمات SaaS المدرجة في الجدول 2، والتي يجوز لـ Own معالجة البيانات الشخصية لها.
   "معالجة" مصطلح يشير إلى أي عملية أو مجموعة من العمليات يتم إجراؤها على البيانات الشخصية، سواء بوسائل تلقائية أم لا، مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الكشف عن طريق النقل أو النشر أو غير ذلك. الإتاحة أو المحاذاة أو الجمع أو التقييد أو المحو أو التدمير.
   "المعالج" يعني الكيان الذي يعالج البيانات الشخصية نيابة عن المراقب المالي، بما في ذلك، حسب الاقتضاء، أي "مقدم خدمة" كما هو محدد في قانون CCPA.
   "البنود التعاقدية القياسية" يعني ملحق القرار التنفيذي للمفوضية الأوروبية
   (الاتحاد الأوروبي) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) بتاريخ 4 يونيو 2021 بشأن الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى المعالجات المنشأة في دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي ومجلس الاتحاد الأوروبي وتخضع للتعديلات المطلوبة للأمم المتحدة المملكة وسويسرا موضحة بشكل أكبر في الجدول 5.
   "المعالج الفرعي" يعني أي معالج يستخدمه بنفسه أو بواسطة عضو في المجموعة الخاصة أو بواسطة معالج فرعي آخر.
   "السلطة الإشرافية" مصطلح يشير إلى هيئة تنظيمية حكومية أو مفوضة من الحكومة تتمتع بسلطة قانونية ملزمة على العميل.
   "ملحق المملكة المتحدة" مصطلح يشير إلى ملحق النقل الدولي للبيانات في المملكة المتحدة إلى الشروط التعاقدية القياسية لمفوضية الاتحاد الأوروبي (متاح اعتبارًا من 21 مارس 2022 على https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/)، مكتملة كما هو موضح في الجدول 5.
   "قانون حماية البيانات في المملكة المتحدة" يُقصد باللائحة رقم 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات لأنها تشكل جزءًا من قانون إنجلترا وويلز واسكتلندا والشمال أيرلندا بموجب المادة 3 من قانون (الانسحاب) الخاص بالاتحاد الأوروبي لعام 2018، والذي قد يتم تعديله من وقت لآخر بموجب قوانين ولوائح حماية البيانات في المملكة المتحدة.
2. ترتيب الأسبقية
   a. باستثناء البنود التعاقدية القياسية المدرجة هنا، والتي يجب أن تكون لها الأولوية، في حالة وجود أي تعارض بين ملحق DPA التكميلي هذا وملحق DPA الحالي، تسود شروط ملحق DPA الحالي.
3. حدود المسؤولية
   a. إلى الحد الذي تسمح به قوانين ولوائح حماية البيانات، فإن مسؤولية كل طرف وجميع الشركات التابعة له، مجتمعة في المجمل، تنشأ عن أو تتعلق بملحق DPA التكميلي هذا، سواء في العقد أو الضرر أو بموجب أي نظرية أخرى للمسؤولية، يخضع لبنود "حدود المسؤولية"، والبنود الأخرى التي تستبعد المسؤولية أو تحد منها، الواردة في الاتفاقية، وأي إشارة في هذه البنود إلى مسؤولية أحد الطرفين تعني المسؤولية الإجمالية لهذا الطرف وجميع الشركات التابعة له.
4. التغييرات في آليات النقل
   a. في حالة إبطال آلية النقل الحالية التي يعتمد عليها الطرفان لتسهيل عمليات نقل البيانات الشخصية إلى دولة واحدة أو أكثر والتي لا تضمن مستوى مناسبًا من حماية البيانات بالمعنى المقصود في قوانين ولوائح حماية البيانات، يتم تعديلها ، أو أن الأطراف المستبدلة ستعمل بحسن نية على تفعيل آلية النقل البديلة هذه لتمكين المعالجة المستمرة للبيانات الشخصية المنصوص عليها في الاتفاقية. ويجب أن يخضع استخدام آلية النقل البديلة هذه لاستيفاء كل طرف لجميع المتطلبات القانونية لاستخدام آلية النقل هذه.

قام المفوضون بالتوقيع من الأطراف بتنفيذ هذه الاتفاقية على النحو الواجب، بما في ذلك جميع الجداول والملاحق والملاحق المعمول بها والمضمنة هنا.

قائمة الجداول

الجدول 1: قائمة المعالجات الفرعية الحالية
الجدول 2: خدمات SaaS المطبقة على معالجة البيانات الشخصية
الجدول 3: تفاصيل المعالجة
الجدول 4: الضوابط الأمنية الخاصة
الجدول 5: الأحكام الأوروبية

الجدول 1: قائمة المعالجات الفرعية الحالية

اسم المعالج الفرعي	عنوان المعالج الفرعي	طبيعة المعالجة	مدة المعالجة	موقع المعالجة
شركة OwnBackup المحدودة	3 شارع ألوف كالمان ماجن، تل أبيب 6107075، إسرائيل	دعم العملاء والصيانة	لمدة الاتفاقية.	إسرائيل
أمازون Web شركة الخدمات*	410 تيري أفينيو نورث، سياتل، واشنطن 98109، الولايات المتحدة الأمريكية	استضافة التطبيقات وتخزين البيانات	لمدة الاتفاقية.	الولايات المتحدة أو كندا أو ألمانيا أو المملكة المتحدة أو أستراليا
شركة مايكروسوفت (أزور)*	وان مايكروسوفت واي، ريدموند، واشنطن 98052، الولايات المتحدة الأمريكية	استضافة التطبيقات وتخزين البيانات	لمدة الاتفاقية.	هولندا أو الولايات المتحدة
شركة Elasticsearch, Inc.**	800 ويست إل كامينو ريال، جناح 350، الجبل View، كاليفورنيا 94040، الولايات المتحدة الأمريكية	الفهرسة والبحث	لمدة الاتفاقية.	هولندا أو الولايات المتحدة

* يجوز للعميل اختيار إما أمازون Web الخدمات أو Microsoft (Azure) وموقع المعالجة المطلوب أثناء الإعداد الأولي للعميل لخدمات SaaS.
** ينطبق فقط على عملاء الأرشيف الذين يختارون النشر في سحابة Microsoft (Azure).

الجدول 2: خدمات SaaS المطبقة على معالجة البيانات الشخصية

• استرداد للخدمة الآن
• استرداد للديناميكيات
• استرداد ل Salesforce
• الحوكمة الإضافية لـ Salesforce
• أرشيف
• أحضر إدارة المفاتيح الخاصة بك
• تسريع

الجدول 3 تفاصيل المعالجة

مصدر البيانات

الاسم القانوني الكامل: اسم العميل كما هو محدد أعلاه
العنوان الرئيسي: عنوان العميل كما هو محدد أعلاه
اتصال: إذا لم يتم النص على خلاف ذلك، فيجب أن تكون هذه هي جهة الاتصال الأساسية في حساب العميل.
البريد الإلكتروني للتواصل: إذا لم يتم النص على خلاف ذلك، فيجب أن يكون هذا هو عنوان البريد الإلكتروني الرئيسي لجهة الاتصال في حساب العميل.

مستورد البيانات 

الاسم القانوني الكامل: شركة اونباكوب
العنوان الرئيسي: 940 شارع سيلفان، إنجليوود كليفس، نيوجيرسي 07632، الولايات المتحدة الأمريكية
اتصال: مسؤول الخصوصية
البريد الإلكتروني للتواصل: Privacy@owndata.com

طبيعة والغرض من المعالجة

سيقوم Own بمعالجة البيانات الشخصية حسب الضرورة لأداء خدمات SaaS وفقًا للاتفاقية والأوامر، ووفقًا لتعليمات العميل أيضًا عند استخدامه لخدمات SaaS.

مدة المعالجة

ستقوم شركة Own بمعالجة البيانات الشخصية طوال مدة الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابيًا.

حفظ

سيحتفظ Own بالبيانات الشخصية في خدمات SaaS طوال مدة الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابيًا، مع مراعاة الحد الأقصى لفترة الاحتفاظ المحددة في الوثائق.

تردد النقل

وفقًا لما يحدده العميل من خلال استخدامه لخدمات SaaS.

عمليات النقل إلى المعالجات الفرعية 

حسب الضرورة لأداء خدمات SaaS وفقًا للاتفاقية والأوامر، وكما هو موضح في الجدول 1.

فئات موضوعات البيانات

يجوز للعميل إرسال بيانات شخصية إلى خدمات SaaS، التي يحدد العميل نطاقها ويتحكم فيها وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بالفئات التالية من أصحاب البيانات:

• العملاء المحتملون والعملاء وشركاء الأعمال والبائعين التابعين للعميل (الأشخاص الطبيعيين)
• الموظفون أو جهات الاتصال الخاصة بالعملاء المحتملين والعملاء وشركاء الأعمال والبائعين
• الموظفون والوكلاء والمستشارون والموظفون المستقلون التابعون للعميل (وهم أشخاص طبيعيون) ومستخدمو العميل المصرح لهم من قبل العميل باستخدام خدمات SaaS

نوع البيانات الشخصية

يجوز للعميل إرسال بيانات شخصية إلى خدمات SaaS، التي يحدد العميل مداها ويتحكم فيها وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، فئات البيانات الشخصية التالية:

• الاسم الأول والأخير
• عنوان
• موضع
• صاحب العمل
• معلومات الاتصال (الشركة، البريد الإلكتروني، الهاتف، عنوان العمل الفعلي)
• بيانات الهوية
• بيانات الحياة المهنية
• بيانات الحياة الشخصية
• بيانات التوطين

فئات خاصة من البيانات (إذا كان ذلك مناسبًا)

يجوز للعميل تقديم فئات خاصة من البيانات الشخصية إلى خدمات SaaS، والتي يتم تحديد نطاقها والتحكم فيه بواسطة العميل وفقًا لتقديره الخاص، والتي يمكن أن تتضمن، من أجل الوضوح، معالجة البيانات الجينية والبيانات البيومترية لغرض فريد التعرف على شخص طبيعي أو بيانات تتعلق بالصحة. راجع التدابير الواردة في الجدول 4 لمعرفة كيفية حماية Own لفئات خاصة من البيانات والبيانات الشخصية الأخرى.

الجدول 4 الضوابط الأمنية الخاصة 3.3

1. مقدمة
   1. تم تصميم تطبيقات البرامج كخدمة (SaaS Services) منذ البداية مع أخذ الأمان في الاعتبار. تم تصميم خدمات SaaS مع مجموعة متنوعة من الضوابط الأمنية عبر مستويات متعددة لمعالجة مجموعة من المخاطر الأمنية. تخضع ضوابط الأمان هذه للتغيير؛ ومع ذلك، فإن أي تغييرات ستحافظ على الوضع الأمني ​​العام أو تحسنه.
   2. تنطبق أوصاف عناصر التحكم أدناه على تطبيقات خدمة SaaS على كل من Amazon Web منصات الخدمات (AWS) وMicrosoft Azure (Azure) (يُشار إليهما معًا بمقدمي الخدمات السحابية أو CSPs)، باستثناء ما هو محدد في قسم التشفير أدناه. لا تنطبق هذه الأوصاف لعناصر التحكم على برنامج RevCult باستثناء ما هو منصوص عليه ضمن "تطوير البرامج الآمنة" أدناه.
2. عمليات التدقيق والشهادات
   1. تم اعتماد خدمات SaaS بموجب ISO/IEC 27001:2013 (نظام إدارة أمن المعلومات) وISO/IEC 27701:2019 (نظام إدارة معلومات الخصوصية).
   2. يخضع Own لمراجعة SOC2 Type II السنوية بموجب SSAE-18 للتحقق بشكل مستقل من فعالية ممارسات وسياسات وإجراءات وعمليات أمن المعلومات الخاصة به لمعايير خدمات الثقة التالية: الأمان والتوافر والسرية وتكامل المعالجة.
   3. تستخدم Own مناطق CSP العالمية للحوسبة والتخزين لخدمات SaaS. AWS وAzure عبارة عن منشآت من الدرجة الأولى حاصلة على العديد من الاعتمادات، بما في ذلك SOC1 – SSAE-18، وSOC2، وSOC3، وISO 27001، وHIPAA.
3. Web ضوابط أمان التطبيق
   1. يتم وصول العميل إلى خدمات SaaS فقط عبر HTTPS (TLS1.2+)، مما يؤدي إلى تشفير البيانات أثناء النقل بين المستخدم النهائي والتطبيق وبين مصدر بيانات الطرف الثالث (على سبيل المثال، Salesforce).
   2. يمكن لمسؤولي خدمة SaaS لدى العميل توفير مستخدمي خدمة SaaS وإلغاء توفيرهم والوصول المرتبط بها حسب الضرورة.
   3. توفر خدمات SaaS عناصر تحكم في الوصول قائمة على الأدوار لتمكين العملاء من إدارة أذونات المؤسسات المتعددة.
   4. يمكن لمسؤولي خدمة SaaS الخاصة بالعميل الوصول إلى مسارات التدقيق بما في ذلك اسم المستخدم والإجراء والوقتampوحقول عنوان IP المصدر. يمكن أن تكون سجلات التدقيق viewتم تحريرها وتصديرها بواسطة مسؤول خدمة SaaS الخاص بالعميل بتسجيل الدخول إلى خدمات SaaS وكذلك من خلال واجهة برمجة تطبيقات خدمات SaaS.
   5. يمكن تقييد الوصول إلى خدمات SaaS بواسطة عنوان IP المصدر.
   6. تتيح خدمات SaaS للعملاء تمكين المصادقة متعددة العوامل للوصول إلى حسابات خدمة SaaS باستخدام كلمات مرور لمرة واحدة تعتمد على الوقت.
   7. تتيح خدمات SaaS للعملاء تمكين تسجيل الدخول الموحد عبر موفري هوية SAML 2.0.
   8. تتيح خدمات SaaS للعملاء تمكين سياسات كلمات المرور القابلة للتخصيص للمساعدة في مواءمة كلمات مرور خدمة SaaS مع سياسات الشركة.
4. التشفير
   1. يقدم Own خيارات خدمة SaaS التالية لتشفير البيانات أثناء عدم النشاط:
      1. العرض القياسي.
         • يتم تشفير البيانات باستخدام التشفير من جانب الخادم AES-256 عبر نظام إدارة المفاتيح الذي تم التحقق من صحته بموجب FIPS 140-2.
         • يتم استخدام تشفير المغلف بحيث لا يترك المفتاح الرئيسي وحدة أمان الأجهزة (HSM) أبدًا.
         • يتم تدوير مفاتيح التشفير مرة كل عامين على الأقل.
      2. خيار إدارة المفاتيح المتقدمة (AKM).
         • يتم تشفير البيانات في حاوية تخزين كائنات مخصصة باستخدام مفتاح التشفير الرئيسي المقدم من العميل (CMK).
         • يسمح AKM بأرشفة المفتاح في المستقبل وتدويره باستخدام مفتاح تشفير رئيسي آخر.
         • يمكن للعميل إلغاء مفاتيح التشفير الرئيسية، مما يؤدي إلى عدم إمكانية الوصول الفوري إلى البيانات.
      3. إحضار خيار نظام إدارة المفاتيح الخاص بك (KMS) (متوفر على AWS فقط).
         • يتم إنشاء مفاتيح التشفير في حساب العميل الذي تم شراؤه بشكل منفصل باستخدام AWS KMS.
         • يحدد العميل سياسة مفتاح التشفير التي تسمح لحساب خدمة SaaS الخاص بالعميل على AWS بالوصول إلى المفتاح من AWS KMS الخاص بالعميل.
         • يتم تشفير البيانات في حاوية تخزين كائنات مخصصة تتم إدارتها بواسطة Own، ويتم تكوينها لاستخدام مفتاح التشفير الخاص بالعميل.
         • يجوز للعميل إلغاء الوصول إلى البيانات المشفرة على الفور عن طريق إلغاء وصول Own إلى مفتاح التشفير، دون التفاعل مع Own.
         • لا يستطيع الموظفون الوصول إلى مفاتيح التشفير في أي وقت ولا يمكنهم الوصول إلى نظام إدارة المفاتيح مباشرة.
         • يتم تسجيل جميع أنشطة الاستخدام الرئيسية في نظام إدارة المفاتيح (KMS) الخاص بالعميل، بما في ذلك استرجاع المفتاح من خلال وحدة تخزين الكائنات المخصصة.
      4. يستخدم التشفير أثناء النقل بين خدمات SaaS ومصدر بيانات الجهة الخارجية (على سبيل المثال، Salesforce) HTTPS مع TLS 1.2+ وOAuth 2.0.
5. شبكة
   1. تستخدم خدمات SaaS عناصر تحكم شبكة CSP لتقييد دخول الشبكة وخروجها.
   2. يتم استخدام مجموعات الأمان ذات الحالة الخاصة للحد من دخول الشبكة والخروج إلى نقاط النهاية المعتمدة.
   3. تستخدم خدمات SaaS بنية شبكة متعددة المستويات، بما في ذلك سحابات Amazon الافتراضية الخاصة المتعددة (VPCs) المنفصلة منطقيًا أو شبكات Azure الافتراضية (VNets)، مع الاستفادة من المناطق الخاصة والمناطق المجردة من السلاح والمناطق غير الموثوق بها داخل البنية التحتية لمزود الخدمة السحابية (CSP).
   4. في AWS، يتم استخدام قيود VPC S3 Endpoint في كل منطقة للسماح بالوصول فقط من VPCs المعتمدة.
6. المراقبة والتدقيق
   1. تتم مراقبة أنظمة وشبكات خدمة SaaS بحثًا عن الحوادث الأمنية، وصحة النظام، وتشوهات الشبكة، ومدى توفرها.
   2. تستخدم خدمات SaaS نظام كشف التطفل (IDS) لمراقبة نشاط الشبكة والتنبيه بالسلوك المشبوه.
   3. استخدام خدمات SaaS web جدران الحماية التطبيقية (WAFs) للجميع web خدمات.
   4. سجلات خاصة بأحداث التطبيق والشبكة والمستخدم ونظام التشغيل لخادم سجل نظام محلي ومنطقة SIEM محددة. ويتم تحليل هذه السجلات تلقائيًا وإعادةviewإد للأنشطة المشبوهة والتهديدات. يتم تصعيد أي حالات شاذة حسب الاقتضاء.
   5. يستخدم Own أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM) التي توفر تحليلًا أمنيًا مستمرًا لشبكات خدمات SaaS وبيئة الأمان، وتنبيه شذوذ المستخدم، واستطلاع هجوم القيادة والتحكم (C&C)، والكشف الآلي عن التهديدات، والإبلاغ عن مؤشرات التسوية (IOC). ). تتم إدارة كل هذه القدرات من قبل موظفي الأمن والعمليات التابعين لـ Own.
   6. يقوم فريق الاستجابة للحوادث الخاص بمراقبة Security@owndata.com الاسم المستعار ويستجيب وفقًا لخطة الاستجابة للحوادث (IRP) الخاصة بالشركة عند الاقتضاء.
7. العزلة بين الحسابات
   1. تستخدم خدمات SaaS وضع حماية Linux لعزل بيانات حسابات العملاء أثناء المعالجة. وهذا يساعد على التأكد من أن أي شذوذ (على سبيل المثالample، بسبب مشكلة أمنية أو خطأ برمجي) يظل محصوراً في حساب خاص واحد.
   2. يتم التحكم في الوصول إلى بيانات المستأجر من خلال مستخدمي IAM الفريدين الذين لديهم بيانات tagGing الذي لا يسمح للمستخدمين غير المصرح لهم بالوصول إلى بيانات المستأجر.
8. التعافي من الكوارث
   1. يستخدم Own تخزين كائنات CSP لتخزين بيانات العملاء المشفرة عبر مناطق توافر متعددة.
   2. بالنسبة لبيانات العميل المخزنة على وحدة تخزين الكائنات، يستخدم Own إصدار الكائنات مع التقادم التلقائي لدعم التوافق مع سياسات النسخ الاحتياطي والتعافي من الكوارث الخاصة بـ Own. بالنسبة لهذه الكائنات، تم تصميم أنظمة Own لدعم هدف نقطة الاسترداد (RPO) لمدة 0 ساعة (أي القدرة على استعادة أي إصدار لأي كائن كما كان موجودًا في فترة 14 يومًا السابقة).
   3. يتم تحقيق أي استرداد مطلوب لمثيل الحوسبة عن طريق إعادة بناء المثيل استنادًا إلى أتمتة إدارة التكوين الخاصة بـ Own.
   4. تم تصميم خطة التعافي من الكوارث الخاصة بـ Own لدعم هدف وقت التعافي (RTO) وهو 4 ساعات.
9. إدارة الثغرات الأمنية
   1. يؤدي الخاصة بشكل دوري web تقييمات نقاط ضعف التطبيق، وتحليل التعليمات البرمجية الثابتة، والتقييمات الديناميكية الخارجية كجزء من برنامج المراقبة المستمرة الخاص بها للمساعدة في ضمان تطبيق ضوابط أمان التطبيق بشكل صحيح وتشغيلها بفعالية.
   2. على أساس نصف سنوي، تقوم Own بتعيين مختبري اختراق مستقلين من طرف ثالث لإجراء كل من الشبكة و web تقييمات الضعف. يشمل نطاق عمليات التدقيق الخارجية هذه الامتثال لـ Open Web مشروع أمان التطبيقات (OWASP) أعلى 10 Web نقاط الضعف (www.owasp.org).
   3. يتم دمج نتائج تقييم الثغرات الأمنية في دورة حياة تطوير البرمجيات الخاصة (SDLC) لمعالجة الثغرات الأمنية التي تم تحديدها. يتم تحديد أولويات الثغرات الأمنية المحددة وإدخالها في نظام التذاكر الداخلي الخاص لتتبع الحل.
10. الاستجابة للحوادث
    1. في حالة حدوث خرق أمني محتمل، سيقوم فريق الاستجابة للحوادث الخاص بإجراء تقييم للموقف ووضع استراتيجيات التخفيف المناسبة. إذا تم تأكيد الانتهاك المحتمل، فسيعمل Own على الفور على تخفيف الانتهاك والحفاظ على الأدلة الجنائية، وسيقوم بإخطار نقاط الاتصال الأساسية للعملاء المتأثرين دون تأخير لا مبرر له لإطلاعهم على الموقف وتقديم تحديثات حالة الحل.
11. تطوير البرمجيات الآمنة
    1. تستخدم Own ممارسات تطوير آمنة لتطبيقات البرامج الخاصة وRevCult طوال دورة حياة تطوير البرامج. تتضمن هذه الممارسات تحليل التعليمات البرمجية الثابتة وإعادة أمان Salesforceview بالنسبة لتطبيقات RevCult والتطبيقات الخاصة المثبتة في مثيلات Salesforce الخاصة بالعملاء، فإن Peer review تغييرات التعليمات البرمجية، وتقييد الوصول إلى مستودع التعليمات البرمجية المصدر على أساس مبدأ الامتيازات الأقل، وتسجيل الوصول إلى مستودع التعليمات البرمجية المصدر والتغييرات.
12. فريق أمني متخصص
    1. لدى Own فريق أمني متخصص يتمتع بخبرة تزيد عن 100 عام في مجال أمن المعلومات متعددة الأوجه. بالإضافة إلى ذلك، يحتفظ أعضاء الفريق بعدد من الشهادات المعترف بها في الصناعة، بما في ذلك على سبيل المثال لا الحصر، CISM وCISSP وISO 27001 Lead Auditors.
13. الخصوصية وحماية البيانات
    1. يوفر Own دعمًا أصليًا لطلبات الوصول إلى أصحاب البيانات، مثل الحق في المحو (الحق في النسيان) وإخفاء الهوية، لدعم الامتثال للوائح خصوصية البيانات، بما في ذلك اللائحة العامة لحماية البيانات (GDPR)، وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، وقانون خصوصية المستهلك في كاليفورنيا (CCPA). توفر Own أيضًا ملحقًا لمعالجة البيانات لمعالجة قوانين الخصوصية وحماية البيانات، بما في ذلك المتطلبات القانونية لعمليات نقل البيانات الدولية.
14. التحقق من الخلفية
    1. تقوم Own بإجراء مجموعة من عمليات فحص الخلفية، بما في ذلك عمليات فحص الخلفية الجنائية، لموظفيها الذين قد يكون لديهم حق الوصول إلى بيانات العملاء، استنادًا إلى السلطات القضائية التي يقيم بها الموظف خلال السنوات السبع السابقة، وفقًا للقانون المعمول به.
15. تأمين
    تحتفظ شركة Own، على الأقل، بالتغطية التأمينية التالية: (أ) تأمين تعويضات العمال وفقًا لجميع القوانين المعمول بها؛ (ب) التأمين ضد مسؤولية السيارات للمركبات غير المملوكة والمستأجرة، بحد أقصى إجمالي قدره 1,000,000 دولار؛ (ج) تأمين المسؤولية العامة التجارية (المسؤولية العامة) بتغطية ذات حد واحد تبلغ 1,000,000 دولار أمريكي لكل حالة وتغطية إجمالية عامة بقيمة 2,000,000 دولار أمريكي؛ (د) التأمين على الأخطاء والسهو (التعويض المهني) بحد أقصى 20,000,000 دولار أمريكي لكل حدث و20,000,000 دولار أمريكي إجماليًا، بما في ذلك الطبقات الأساسية والزائدة، بما في ذلك المسؤولية السيبرانية، والتكنولوجيا والخدمات المهنية، ومنتجات التكنولوجيا، وأمن البيانات والشبكات، والاستجابة للانتهاكات، والمتطلبات التنظيمية الدفاع والعقوبات، والابتزاز السيبراني ومسؤوليات استعادة البيانات؛ و(هـ) التأمين ضد خيانة الأمانة/الجريمة للموظفين بتغطية قدرها 5,000,000 دولار. سوف يقدم Own للعميل دليلاً على هذا التأمين عند الطلب.

الجدول 5 الأحكام الأوروبية

ينطبق هذا الجدول فقط على عمليات نقل البيانات الشخصية (بما في ذلك عمليات النقل اللاحقة) من أوروبا والتي، في حالة عدم تطبيق هذه الأحكام، قد تتسبب في انتهاك العميل أو الخاص لقوانين ولوائح حماية البيانات المعمول بها.

1. آلية نقل البيانات.
   a) تنطبق الشروط التعاقدية القياسية على أي عمليات نقل للبيانات الشخصية بموجب ملحق DPA التكميلي هذا من أوروبا إلى البلدان التي لا تضمن مستوى مناسبًا من حماية البيانات بالمعنى المقصود في قوانين ولوائح حماية البيانات في هذه الأقاليم، إلى الحد الذي تخضع فيه عمليات النقل هذه لقوانين ولوائح حماية البيانات. يدخل في الشروط التعاقدية القياسية كمستورد للبيانات. تنطبق الشروط الإضافية في هذا الجدول أيضًا على عمليات نقل البيانات هذه.
2. التحويلات تخضع للبنود التعاقدية القياسية.
   a) العملاء المشمولون بالبنود التعاقدية القياسية. تنطبق البنود التعاقدية القياسية والشروط الإضافية المحددة في هذا الجدول على (1) العميل، إلى الحد الذي يخضع فيه العميل لقوانين ولوائح حماية البيانات في أوروبا و(2) الشركات التابعة المعتمدة له. ولأغراض البنود التعاقدية القياسية وهذا الجدول، تعتبر هذه الكيانات "مصدري البيانات".
   b) وحدات. يتفق الطرفان على أنه حيثما يجوز تطبيق الوحدات الاختيارية ضمن الشروط التعاقدية القياسية، فإنه سيتم تطبيق فقط تلك التي تحمل عنوان "الوحدة الثانية: نقل وحدة التحكم إلى المعالج".
   c) تعليمات. يتفق الطرفان على أن استخدام العميل لخدمات معالجة البيانات الشخصية وفقًا للاتفاقية وملحق DPA الحالي يعتبر بمثابة تعليمات من العميل لمعالجة البيانات الشخصية لأغراض البند 8.1 من البنود التعاقدية القياسية.
   d) تعيين المعالجين الفرعيين الجدد وقائمة المعالجين الفرعيين الحاليين. بموجب الخيار 2 للبند 9 (أ) من الشروط التعاقدية القياسية، يوافق العميل على أنه يجوز له استخدام معالجين فرعيين جدد كما هو موضح في ملحق DPA الحالي وأنه يجوز الاحتفاظ بالشركات التابعة له كمعالجين من الباطن، ويجوز له والشركات التابعة له إشراك المعالجون الفرعيون التابعون لجهات خارجية فيما يتعلق بتوفير خدمات معالجة البيانات. القائمة الحالية للمعالجين الفرعيين كما هي مرفقة في الجدول 1.
   e) اتفاقيات المعالجات الفرعية. يتفق الطرفان على أن عمليات نقل البيانات إلى المعالجين الفرعيين قد تعتمد على آلية نقل بخلاف البنود التعاقدية القياسية (على سبيل المثالample، قواعد الشركة الملزمة)، وبالتالي فإن اتفاقيات الشركة مع هؤلاء المعالجين الفرعيين قد لا تتضمن أو تعكس الشروط التعاقدية القياسية، بغض النظر عن أي شيء يتعارض مع ذلك في البند 9 (ب) من الشروط التعاقدية القياسية. ومع ذلك، فإن أي اتفاقية من هذا القبيل مع معالج فرعي يجب أن تحتوي على التزامات حماية البيانات لا تقل حماية عن تلك الواردة في ملحق DPA التكميلي هذا فيما يتعلق بحماية بيانات العميل، إلى الحد الذي ينطبق على الخدمات التي يقدمها هذا المعالج الفرعي. سيتم توفير نسخ من اتفاقيات المعالج الفرعي التي يجب تقديمها للعميل وفقًا للبند 9 (ج) من البنود التعاقدية القياسية فقط بناءً على طلب كتابي من العميل وقد تحتوي على جميع المعلومات التجارية أو البنود غير المرتبطة بـ تمت إزالة الشروط التعاقدية القياسية أو ما يعادلها مسبقًا.
   f) عمليات التدقيق والشهادات. يتفق الطرفان على أن عمليات التدقيق الموضحة في البند 8.9 والبند 13 (ب) من البنود التعاقدية القياسية يجب أن تتم وفقًا لشروط اتفاق DPA الحالي.
   g) محو البيانات. يتفق الطرفان على أن مسح أو إعادة البيانات المنصوص عليها في البند 8.5 أو البند 16 (د) من البنود التعاقدية القياسية يجب أن يتم وفقًا لشروط ملحق DPA الحالي ويجب تقديم أي شهادة بالحذف بواسطة Own فقط بناءً على موافقة العميل. طلب.
   h) المستفيدون من الطرف الثالث. يتفق الطرفان على أنه بناءً على طبيعة خدمات SaaS، يجب على العميل تقديم كل المساعدة المطلوبة للسماح لـ Own بالوفاء بالتزاماته تجاه أصحاب البيانات بموجب البند 3 من البنود التعاقدية القياسية.
   i) تقييم الاثر. وفقًا للبند 14 من الشروط التعاقدية القياسية، أجرى الطرفان تحليلًا، في سياق الظروف المحددة للنقل، لقوانين وممارسات بلد الوجهة، بالإضافة إلى الشروط التعاقدية والتنظيمية والفنية التكميلية المحددة. الضمانات المطبقة، واستنادًا إلى المعلومات المعروفة لهم بشكل معقول في ذلك الوقت، قرروا أن قوانين وممارسات بلد الوجهة لا تمنع الأطراف من الوفاء بالتزامات كل طرف بموجب الشروط التعاقدية القياسية.
   j) القانون الحاكم والمنتدى. يتفق الطرفان، فيما يتعلق بالخيار 2 للبند 17، على أنه في حالة عدم سماح الدولة العضو في الاتحاد الأوروبي التي تم إنشاء جهة تصدير البيانات فيها بحقوق المستفيد الخارجية، فإن البنود التعاقدية القياسية تخضع لقانون أيرلندا. وفقًا للبند 18، يتم حل النزاعات المرتبطة بالبنود التعاقدية القياسية من خلال المحاكم المحددة في الاتفاقية، ما لم تكن هذه المحكمة موجودة في إحدى الدول الأعضاء في الاتحاد الأوروبي، وفي هذه الحالة يكون منتدى هذه النزاعات هو محاكم أيرلندا. .
   k) المرفقات. لأغراض تنفيذ الشروط التعاقدية القياسية، الجدول 3: يجب دمج تفاصيل المعالجة في الملحق IA وIB، الجدول 4: ضوابط الأمان الخاصة (والتي قد يتم تحديثها من وقت لآخر في https://www.owndata.com/trust/) في الملحق الثاني والجدول 1: قائمة المعالجات الفرعية الحالية (كما قد يتم تحديثها من وقت لآخر في  https://www.owndata.com/legal/sub-p/) في الملحق الثالث.
   l) تفسير. تهدف شروط هذا الجدول إلى توضيح الشروط التعاقدية القياسية وليس تعديلها. في حالة وجود أي تعارض أو عدم تناسق بين نص هذا الجدول والبنود التعاقدية القياسية، تسود البنود التعاقدية القياسية.
3. الأحكام المطبقة على التحويلات من سويسرا يتفق الطرفان على أنه لأغراض تطبيق البنود التعاقدية القياسية لتسهيل عمليات نقل البيانات الشخصية من سويسرا، يجب تطبيق الأحكام الإضافية التالية: (2016) يجب تفسير أي إشارات إلى اللائحة (الاتحاد الأوروبي) 679/XNUMX على أنها تشير إلى الأحكام المقابلة. من القانون الفيدرالي السويسري بشأن حماية البيانات وقوانين حماية البيانات الأخرى في سويسرا ("قوانين حماية البيانات السويسرية")، (XNUMX) يجب تفسير أي إشارات إلى "دولة عضو" أو "دولة عضو في الاتحاد الأوروبي" أو "الاتحاد الأوروبي" على أنها إشارة إلى سويسرا. و (XNUMX) يجب تفسير أي إشارات إلى السلطة الإشرافية على أنها تشير إلى المفوض الفيدرالي السويسري لحماية البيانات والمعلومات.
4. a) الجدول 1: الأطراف وتفاصيلهم وجهات الاتصال الخاصة بهم هي تلك المنصوص عليها في الجدول 3.
   b) الجدول 2: "الشروط التعاقدية القياسية المعتمدة في الاتحاد الأوروبي" هي الشروط التعاقدية القياسية على النحو المنصوص عليه في هذا الجدول 5.
   c) الجدول 3: تم إكمال المرفقات الأول (أ)، الأول (ب)، والثاني على النحو المبين في القسم 2 (ك) من الجدول 5 هذا.
   d) الجدول 4: يجوز له ممارسة حق الإنهاء المبكر الاختياري الموضح في المادة 19 من ملحق المملكة المتحدة.

المستندات / الموارد

ملحق معالجة البيانات التكميلية DocuSign [بي دي اف] تعليمات ملحق معالجة البيانات التكميلية، ملحق معالجة البيانات، ملحق المعالجة، ملحق

مراجع

• دليل المستخدم