ملحق معالجة بيانات Ownbackup

كيفية تنفيذ ملحق حماية البيانات هذا

1. يتكون اتفاق سلام دارفور من جزأين: النص الرئيسي لاتفاق السلام الشامل، والجداول 1 و2 و3 و4 و5.
2. لقد تم توقيع ملحق DPA هذا مسبقًا بالنيابة عن OwnBackup.
3. لإكمال ملحق DPA هذا، يجب على العميل:
   1. أكمل قسم اسم العميل وعنوان العميل في الصفحة 2.
   2. أكمل البيانات الموجودة في خانة التوقيع وقم بالتسجيل في الصفحة 6.
   3. تأكد من أن المعلومات الواردة في الجدول 3 ("تفاصيل المعالجة") تعكس بدقة موضوعات وفئات البيانات المطلوب معالجتها.
   4. أرسل DPA المكتمل والموقع إلى OwnBackup على Privacy@ownbackup.com.

عند استلام OwnBackup لملحق DPA المكتمل بشكل صحيح على عنوان البريد الإلكتروني هذا، سيصبح DPA ملزمًا قانونًا.
يعتبر التوقيع على ملحق DPA هذا في الصفحة 6 بمثابة توقيع وقبول للبنود التعاقدية القياسية (بما في ذلك ملاحقها) وملحق المملكة المتحدة، وكلاهما مدمج هنا كمرجع.

كيفية تطبيق ملحق DPA هذا

• إذا كان كيان العميل الموقع على ملحق DPA هذا طرفًا في الاتفاقية، فإن ملحق DPA هذا يعد ملحقًا للاتفاقية ويشكل جزءًا منها. وفي مثل هذه الحالة، يكون كيان OwnBackup الذي يعد طرفًا في الاتفاقية طرفًا في ملحق DPA هذا.
• إذا كان كيان العميل الموقع على ملحق DPA هذا قد نفذ نموذج طلب مع OwnBackup أو الشركة التابعة لها بموجب الاتفاقية، ولكنه ليس هو نفسه طرفًا في الاتفاقية، فإن ملحق DPA هذا هو ملحق لنموذج الطلب هذا ونماذج طلب التجديد المعمول بها، وOwnBackup الكيان الذي يكون طرفًا في نموذج الطلب هذا يكون طرفًا في ملحق DPA هذا.
• إذا لم يكن كيان العميل الذي قام بالتوقيع على ملحق DPA هذا طرفًا في نموذج الطلب أو الاتفاقية، فإن ملحق DPA هذا غير صالح وغير ملزم قانونًا. ويجب على هذا الكيان أن يطلب من كيان العميل الذي يعد طرفًا في الاتفاقية تنفيذ ملحق DPA هذا.
• إذا لم يكن كيان العميل الذي قام بالتوقيع على ملحق DPA طرفًا في نموذج طلب ولا اتفاقية اشتراك رئيسية مباشرة مع OwnBackup ولكنه بدلاً من ذلك عميل بشكل غير مباشر عبر موزع معتمد لخدمات OwnBackup، فإن ملحق DPA هذا غير صالح وغير ملزم قانونًا. ويجب على هذا الكيان الاتصال بالموزع المعتمد لمناقشة ما إذا كان يلزم إجراء تعديل على اتفاقيته مع ذلك الموزع.
• في حالة وجود أي تعارض أو عدم تناسق بين ملحق DPA هذا وأي اتفاقية أخرى بين العميل وOwnBackup (بما في ذلك، على سبيل المثال لا الحصر، الاتفاقية أو أي ملحق لمعالجة البيانات في الاتفاقية)، فإن شروط DPA هذه هي التي تسود وتسود.

يشكل ملحق معالجة البيانات هذا، بما في ذلك جداوله وملاحقه ("DPA") جزءًا من اتفاقية الاشتراك الرئيسية أو أي اتفاقية مكتوبة أو إلكترونية أخرى بين شركة OwnBackup Inc. ("OwnBackup") وكيان العميل المذكور أعلاه لشراء الخدمات عبر الإنترنت من OwnBackup ("الاتفاقية") لتوثيق اتفاقية الأطراف فيما يتعلق بمعالجة البيانات الشخصية. إذا لم يقم كيان العميل هذا وOwnBackup بإبرام اتفاقية، فإن ملحق DPA هذا يعتبر باطلاً وليس له أي أثر قانوني.
يدخل كيان العميل المذكور أعلاه في ملحق DPA هذا بنفسه، وإذا كان أي من الشركات التابعة له يعمل كمتحكم في البيانات الشخصية، نيابةً عن تلك الشركات التابعة المعتمدة. جميع المصطلحات المكتوبة بالأحرف الكبيرة غير المحددة هنا سيكون لها المعنى المنصوص عليه في الاتفاقية.
في سياق تقديم خدمات SaaS للعميل بموجب الاتفاقية، يجوز لشركة OwnBackup معالجة البيانات الشخصية نيابة عن العميل. يتفق الطرفان على الشروط التالية فيما يتعلق بهذه المعالجة.

التعاريف

• "CCPA" يعني قانون خصوصية المستهلك في كاليفورنيا، Cal. المدنية. الكود § 1798.100 وآخرون. ما يلي، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020 ومع أي لوائح تنفيذية. "المراقب" يعني الكيان الذي يحدد أغراض ووسائل معالجة البيانات الشخصية ويُعتبر أنه يشير أيضًا إلى "الشركة" كما هو محدد في قانون CCPA.
• "العميل" يعني الكيان المذكور أعلاه والشركات التابعة له.
• "قوانين ولوائح حماية البيانات" تعني جميع القوانين واللوائح الخاصة بالاتحاد الأوروبي ودوله الأعضاء، والمنطقة الاقتصادية الأوروبية ودولها الأعضاء، والمملكة المتحدة، وسويسرا، والولايات المتحدة، وكندا، ونيوزيلندا، وأستراليا، وقوانينها ولوائحها. التقسيمات الفرعية السياسية المعنية، والتي تنطبق على معالجة البيانات الشخصية. وتشمل هذه، على سبيل المثال لا الحصر، ما يلي، إلى الحد الذي ينطبق: اللائحة العامة لحماية البيانات (GDPR)، وقانون حماية البيانات في المملكة المتحدة، وCCPA، وقانون حماية بيانات المستهلك في فرجينيا ("VCDPA")، وقانون خصوصية كولورادو واللوائح ذات الصلة ("CPA" ")، وقانون خصوصية المستهلك في ولاية يوتا ("UCPA")، وقانون كونيتيكت المتعلق بخصوصية البيانات الشخصية والمراقبة عبر الإنترنت ("CPDPA"). "صاحب البيانات" يعني الشخص المحدد أو الذي يمكن تحديد هويته والذي تتعلق به البيانات الشخصية ويشمل "المستهلك" كما هو محدد في قوانين ولوائح حماية البيانات. "أوروبا" تعني الاتحاد الأوروبي، والمنطقة الاقتصادية الأوروبية، وسويسرا، والمملكة المتحدة.
• يتضمن الجدول 5 أحكامًا إضافية تنطبق على عمليات نقل البيانات الشخصية من أوروبا. وفي حالة إزالة الجدول 5، يضمن العميل أنه لن يقوم بمعالجة البيانات الشخصية الخاضعة لقوانين ولوائح حماية البيانات في أوروبا.
• "GDPR" يعني اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات).
• "مجموعة OwnBackup" تعني OwnBackup والشركات التابعة لها المشاركة في معالجة البيانات الشخصية.
• "البيانات الشخصية" تعني أي معلومات تتعلق بـ (XNUMX) شخص طبيعي محدد أو يمكن تحديد هويته، و(XNUMX) كيان قانوني محدد أو يمكن تحديد هويته (حيث تكون هذه المعلومات محمية بشكل مماثل للبيانات الشخصية أو المعلومات الشخصية أو معلومات التعريف الشخصية بموجب البيانات المعمول بها قوانين ولوائح الحماية)، حيث تكون هذه البيانات لكل (XNUMX) أو (XNUMX) بيانات العميل.
• "خدمات معالجة البيانات الشخصية" تعني خدمات SaaS المدرجة في الجدول 2، والتي قد تقوم OwnBackup بمعالجة البيانات الشخصية لها.
• "المعالجة" تعني أي عملية أو مجموعة من العمليات التي يتم إجراؤها على البيانات الشخصية، سواء بوسائل تلقائية أم لا، مثل التجميع أو التسجيل أو التنظيم أو الهيكلة أو التخزين أو التكيف أو التغيير أو الاسترجاع أو الاستشارة أو الاستخدام أو الكشف عن طريق الإرسال، النشر أو الإتاحة بطريقة أخرى، أو المحاذاة أو الجمع، أو التقييد، أو المحو، أو التدمير. "المعالج" يعني الكيان الذي يعالج البيانات الشخصية نيابة عن المراقب المالي، بما في ذلك، حسب الاقتضاء، أي "مقدم خدمة" كما هو محدد في قانون CCPA.
• "الشروط التعاقدية القياسية" تعني ملحق القرار التنفيذي للمفوضية الأوروبية (الاتحاد الأوروبي) 2021/914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) المؤرخ 4 يونيو 2021 بشأن الشروط التعاقدية القياسية لنقل البيانات الشخصية إلى المعالجات المنشأة في بلدان ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي ومجلس الاتحاد الأوروبي وتخضع للتعديلات المطلوبة لسويسرا الموضحة بشكل أكبر في الجدول 5.
• "المعالج الفرعي" يعني أي معالج يستخدمه OwnBackup أو أحد أعضاء مجموعة OwnBackup أو معالج فرعي آخر.
• "الهيئة الإشرافية" تعني هيئة تنظيمية حكومية أو مفوضة من الحكومة تتمتع بسلطة قانونية ملزمة على العميل.
• "ملحق المملكة المتحدة" يعني ملحق نقل البيانات الدولي في المملكة المتحدة إلى الشروط التعاقدية القياسية لمفوضية الاتحاد الأوروبي (متاح اعتبارًا من 21 مارس 2022 على https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/)، مكتملة كما هو موضح في الجدول 5.
• "قانون حماية البيانات في المملكة المتحدة" يعني اللائحة رقم 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات لأنها تشكل جزءًا من قانون إنجلترا وويلز واسكتلندا وأيرلندا الشمالية بموجب المادة 3 من قانون (الانسحاب) للاتحاد الأوروبي لعام 2018، والذي قد يتم تعديله من وقت لآخر بموجب قوانين ولوائح حماية البيانات في المملكة المتحدة

معالجة البيانات الشخصية

• نِطَاق. يتفق الطرفان على أن ملحق DPA هذا ينطبق فقط على معالجة البيانات الشخصية ضمن خدمات معالجة البيانات الشخصية.
• أدوار الأطراف. يتفق الطرفان على أنه فيما يتعلق بمعالجة البيانات الشخصية، فإن العميل هو المتحكم وOwnBackup هو المعالج.
• معالجة OwnBackup للبيانات الشخصية. يجب على OwnBackup التعامل مع البيانات الشخصية على أنها معلومات سرية، ويجب عليها معالجة البيانات الشخصية نيابةً عن تعليمات العميل الموثقة ووفقًا لها فقط للأغراض التالية: (XNUMX) المعالجة وفقًا للاتفاقية والأوامر المعمول بها؛ (XNUMX) المعالجة التي يبدأها موظفو العميل أثناء استخدامهم لخدمات SaaS؛ و(XNUMX) المعالجة للامتثال للتعليمات المعقولة الموثقة الأخرى المقدمة من العميل (على سبيل المثال، عبر البريد الإلكتروني) حيث تتوافق هذه التعليمات مع شروط الاتفاقية.
• قيود المعالجة. لا يجوز لشركة OwnBackup القيام بما يلي: (XNUMX) "بيع" أو "مشاركة" البيانات الشخصية، كما هو محدد في قوانين ولوائح حماية البيانات؛ (XNUMX) الاحتفاظ بالبيانات الشخصية أو استخدامها أو الكشف عنها أو معالجتها لأي غرض تجاري أو أي غرض آخر بخلاف أداء خدمات SaaS؛ أو (XNUMX) الاحتفاظ بالبيانات الشخصية أو استخدامها أو الكشف عنها خارج علاقة العمل المباشرة بين العميل وOwnBackup. يجب أن تمتثل OwnBackup للقيود المعمول بها بموجب قوانين ولوائح حماية البيانات بشأن دمج البيانات الشخصية مع البيانات الشخصية التي تتلقاها OwnBackup من أو نيابة عن شخص أو أشخاص آخرين، أو التي تجمعها OwnBackup من أي تفاعل بينها وبين أي فرد.
• الإخطار بالتعليمات غير القانونية؛ المعالجة غير المصرح بها. يجب على OwnBackup إبلاغ العميل على الفور، في رأيها، إذا كانت التعليمات الصادرة عن العميل تنتهك أي قانون أو لائحة لحماية البيانات. يحتفظ العميل، بعد تقديم إشعار، بالحق في اتخاذ خطوات معقولة ومناسبة لإيقاف ومعالجة الاستخدام غير المصرح به للبيانات الشخصية، بما في ذلك استخدامات البيانات الشخصية غير المصرح بها في ملحق DPA هذا.
• تفاصيل المعالجة. موضوع معالجة البيانات الشخصية بواسطة OwnBackup هو أداء خدمات SaaS وفقًا للاتفاقية. يتم تحديد مدة المعالجة وطبيعة المعالجة والغرض منها وأنواع البيانات الشخصية وفئات أصحاب البيانات الذين تتم معالجتهم بموجب ملحق DPA هذا بشكل أكبر في الجدول 3 (تفاصيل المعالجة).
• تقييم تأثير حماية البيانات. بناءً على طلب العميل، يجب على OwnBackup مساعدة العميل بشكل معقول في الوفاء بالتزام العميل بموجب قوانين ولوائح حماية البيانات لإجراء تقييم تأثير حماية البيانات المتعلق باستخدام العميل لخدمات SaaS، إلى الحد الذي لا يستطيع فيه العميل الوصول إلى المعلومات ذات الصلة و هذه المعلومات متاحة لـ OwnBackup. يجب على OwnBackup مساعدة العميل بشكل معقول في تعاونه أو التشاور المسبق مع هيئة إشرافية فيما يتعلق بأي تقييم لتأثير حماية البيانات إلى الحد المطلوب بموجب قوانين ولوائح حماية البيانات المعمول بها.
• التزامات العميل فيما يتعلق بالبيانات الشخصية. عند استخدامه لخدمات SaaS، يلتزم العميل بقوانين ولوائح حماية البيانات، بما في ذلك أي متطلبات معمول بها لتقديم إشعار و/أو الحصول على موافقة من أصحاب البيانات للمعالجة بواسطة OwnBackup. يجب على العميل التأكد من أن تعليماته الخاصة بمعالجة البيانات الشخصية تتوافق مع قوانين ولوائح حماية البيانات.
• يتحمل العميل وحده المسؤولية عن دقة البيانات الشخصية وجودتها ومشروعيتها والوسائل التي حصل بها العميل على البيانات الشخصية. يجب على العميل التأكد من أن استخدامه لخدمات SaaS لن ينتهك حقوق أي صاحب بيانات قام بإلغاء الاشتراك في المبيعات أو المشاركة أو الإفصاحات الأخرى عن البيانات الشخصية، إلى الحد الذي ينطبق. يجب على العميل التأكد من أن بياناته لا تحتوي على أي بيانات مؤهلة كبيانات صحية شخصية محمية بموجب المادة L.1111-8 من قانون الصحة العامة الفرنسي

طلبات بيانات العملاء

• الطلبات المقدمة من أصحاب البيانات. يجب على OwnBackup، إلى الحد المسموح به قانونًا، إخطار العميل على الفور إذا تلقت OwnBackup طلبًا من صاحب البيانات لممارسة حق صاحب البيانات في الوصول، وحق التصحيح، والحق في تقييد المعالجة، وحق المحو ("الحق في النسيان") أو الحق في نقل البيانات أو الحق في الاعتراض على المعالجة أو الحق في عدم الخضوع لعملية اتخاذ القرار الفردي الآلي، حيث يعتبر كل طلب من هذا القبيل "طلب موضوع البيانات". مع الأخذ في الاعتبار طبيعة المعالجة، يجب على OwnBackup مساعدة العميل من خلال التدابير الفنية والتنظيمية المناسبة، بقدر ما يكون ذلك ممكنًا، للوفاء بالتزام العميل بالرد على طلب صاحب البيانات بموجب قوانين ولوائح حماية البيانات. بالإضافة إلى ذلك، إلى الحد الذي لا يتمتع فيه العميل، أثناء استخدامه لخدمات SaaS، بالقدرة على معالجة طلب صاحب البيانات، يجب على OwnBackup، بناءً على طلب العميل، بذل جهود معقولة تجاريًا لمساعدة العميل في الاستجابة لطلب صاحب البيانات هذا، إلى إلى الحد الذي يُسمح فيه قانونًا لـ OwnBackup بالقيام بذلك ويكون الرد على طلب موضوع البيانات هذا مطلوبًا بموجب قوانين ولوائح حماية البيانات. عندما تتجاوز هذه المساعدة نطاق خدمات SaaS المتعاقد عليها، وإلى الحد المسموح به قانونًا، سيكون العميل مسؤولاً عن أي تكاليف إضافية تنشأ عن المساعدة.
• الطلبات المقدمة من أطراف ثالثة أخرى. إذا تلقت OwnBackup طلبًا من طرف ثالث غير صاحب البيانات (بما في ذلك، على سبيل المثال لا الحصر، وكالة حكومية) للحصول على بيانات العميل، فيجب على OwnBackup، حيثما يسمح القانون، توجيه الطرف الطالب إلى العميل وإخطار العميل بالطلب على الفور. عندما لا يسمح القانون لـ OwnBackup بإخطار العميل بالطلب، يجب على OwnBackup الاستجابة للطرف الطالب فقط إذا كان القانون يتطلب ذلك، وسوف تبذل جهودًا معقولة للعمل مع الطرف الطالب لتضييق نطاق طلب بيانات العميل .

الموظفين الاحتياطيين

• سرية. يجب على OwnBackup التأكد من أن موظفيها المشاركين في معالجة البيانات الشخصية على علم بالطبيعة السرية للبيانات الشخصية، وأنهم تلقوا التدريب المناسب على مسؤولياتهم ونفذوا اتفاقيات سرية مكتوبة. يجب على OwnBackup التأكد من أن التزامات السرية هذه تظل سارية بعد إنهاء مشاركة الموظفين.
• مصداقية. يجب على OwnBackup اتخاذ خطوات معقولة تجاريًا لضمان موثوقية أي من موظفي OwnBackup المشاركين في معالجة البيانات الشخصية.
• تقييد الوصول. يجب على OwnBackup التأكد من أن وصول OwnBackup إلى البيانات الشخصية يقتصر على الموظفين الذين يحتاجون إلى هذا الوصول لأداء خدمات SaaS وفقًا للاتفاقية.
• مسؤول حماية البيانات. سيقوم أعضاء مجموعة OwnBackup بتعيين مسؤول لحماية البيانات عندما يكون هذا التعيين مطلوبًا بموجب قوانين ولوائح حماية البيانات. يمكن الوصول إلى الشخص المعين على Privacy@ownbackup.com.

المعالجات الفرعية

• تعيين المعالجين الفرعيين. يمنح العميل OwnBackup ترخيصًا عامًا لتعيين معالجين فرعيين من جهات خارجية فيما يتعلق بخدمات SaaS، وفقًا للإجراءات الموضحة
  في اتفاق السلام الشامل هذا. أبرمت شركة OwnBackup أو إحدى الشركات التابعة لها اتفاقية مكتوبة مع كل معالج فرعي تحتوي على التزامات حماية البيانات لا تقل حماية عن تلك الواردة في ملحق DPA هذا فيما يتعلق بـ
  حماية بيانات العميل، إلى الحد الذي ينطبق على الخدمات التي يقدمها هذا المعالج الفرعي.
• المعالجات الفرعية الحالية وإخطار المعالجات الفرعية الجديدة. تم إرفاق قائمة بالمعالجين الفرعيين لخدمات SaaS، اعتبارًا من تاريخ تنفيذ ملحق DPA هذا، في الجدول 1. ويجب على OwnBackup إخطار العميل كتابيًا بأي معالج فرعي جديد قبل تفويض هذا المعالج الفرعي الجديد لمعالجة البيانات الشخصية.
• حق الاعتراض على المعالجات الفرعية الجديدة. يجوز للعميل الاعتراض على استخدام OwnBackup لمعالج فرعي جديد عن طريق إخطار OwnBackup كتابيًا خلال 30 يومًا بعد استلام الإشعار الموضح في الفقرة السابقة. إذا اعترض العميل على معالج فرعي جديد كما هو مسموح به في الجملة السابقة، فسوف يستخدم OwnBackup جهودًا معقولة تجاريًا لإتاحة تغيير في خدمات SaaS للعميل أو التوصية بتغيير في تكوين العميل أو استخدام خدمات SaaS، لتجنب المعالجة البيانات الشخصية من قبل المعالج الفرعي الجديد المعترض عليه دون تحميل العميل أعباء غير معقولة. إذا لم يتمكن OwnBackup من توفير هذا التغيير في خدمة SaaS، أو التوصية بهذا التغيير في تكوين العميل أو استخدام خدمات SaaS الذي يرضي العميل، خلال فترة زمنية معقولة (والتي يجب ألا تتجاوز بأي حال من الأحوال 30 يومًا) )، يجوز للعميل إنهاء نموذج (نماذج) الطلب المعمول به من خلال تقديم إشعار كتابي إلى OwnBackup. في مثل هذه الحالة، ستقوم OwnBackup برد أي رسوم مدفوعة مسبقًا إلى العميل تغطي الفترة المتبقية من مدة نموذج (نماذج) الطلب بعد التاريخ الفعلي للإنهاء، دون فرض عقوبة على العميل مقابل هذا الإنهاء.
• المسؤولية عن المعالجات الفرعية. تكون شركة OwnBackup مسؤولة عن أفعال وإغفالات معالجيها الفرعيين بنفس القدر الذي تتحمل فيه OwnBackup المسؤولية في حالة أداء خدمات كل معالج فرعي مباشرةً بموجب شروط ملحق DPA هذا.

حماية

• ضوابط حماية بيانات العملاء. يجب على OwnBackup الحفاظ على التدابير المادية والفنية والتنظيمية المناسبة لحماية الأمن (بما في ذلك الحماية ضد المعالجة غير المصرح بها أو غير القانونية وضد التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الضرر، أو الكشف غير المصرح به عن بيانات العميل أو الوصول إليها)، والسرية و سلامة بيانات العميل، بما في ذلك البيانات الشخصية، وفقًا للجدول 4 (عناصر التحكم في أمان OwnBackup). لن يؤدي OwnBackup إلى تقليل الأمان العام لخدمات SaaS بشكل كبير خلال فترة الاشتراك.
• تقارير وشهادات تدقيق الطرف الثالث. بناءً على طلب كتابي من العميل على فترات زمنية معقولة، ومع مراعاة التزامات السرية الواردة في الاتفاقية، يجب على OwnBackup أن توفر للعميل نسخة من تقرير تدقيق SOC 2 الأحدث الخاص بطرف ثالث، وأي تقارير تدقيق وشهادات أخرى يتم إتاحة OwnBackup للعملاء، بشرط ألا يكون العميل منافسًا لـ OwnBackup.

إدارة حوادث بيانات العملاء والإخطار بها

تحتفظ OwnBackup بسياسات وإجراءات إدارة الحوادث الأمنية ويجب عليها إخطار العميل دون تأخير لا مبرر له بعد أن تصبح على علم بالتدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به عن بيانات العميل أو الوصول إليها، بما في ذلك البيانات الشخصية، أو نقلها أو تخزينها أو معالجتها بطريقة أخرى بواسطة OwnBackup أو معالجاتها الفرعية التي علمت بها OwnBackup ("حادثة بيانات العميل"). يجب على OwnBackup بذل جهود معقولة لتحديد سبب حادثة بيانات العميل هذه واتخاذ الخطوات التي تراها OwnBackup ضرورية ومعقولة لمعالجة سبب حادثة بيانات العميل هذه إلى الحد الذي يكون فيه العلاج ضمن سيطرة OwnBackup المعقولة. لا تنطبق الالتزامات الواردة هنا على الحوادث التي يتسبب فيها العميل أو موظفوه.

إرجاع وحذف بيانات العملاء
يجب على OwnBackup إعادة بيانات العميل إلى العميل، وإلى الحد الذي يسمح به القانون المعمول به، وحذف بيانات العميل وفقًا للإجراءات والأطر الزمنية المحددة في الاتفاقية.

مراجعة

بناءً على طلب العميل، ومع مراعاة التزامات السرية الواردة في الاتفاقية، يجب على OwnBackup أن توفر للعميل (أو مدقق الطرف الثالث التابع للعميل والذي وقع اتفاقية عدم إفشاء مقبولة بشكل معقول لدى OwnBackup) المعلومات اللازمة لإثبات امتثال مجموعة OwnBackup للالتزامات المنصوص عليه في ملحق DPA هذا والتزاماته كمعالج بموجب قوانين ولوائح حماية البيانات في شكل استبيانات أمان موحدة مكتملة من OwnBackup وشهادات الطرف الثالث وتقارير التدقيق (على سبيل المثال، جمع المعلومات الموحدة المكتملة (SIG) وإجماع تحالف Cloud Security Alliance استبيانات مبادرة التقييمات (CSA CAIQ)، وتقرير SOC 2 وتقارير اختبار الاختراق الموجزة)، وبالنسبة للمعالجين الفرعيين، شهادات الطرف الثالث وتقارير التدقيق التي توفرها. بعد أي إشعار من OwnBackup إلى العميل بشأن الكشف الفعلي أو المشكوك فيه بشكل معقول عن البيانات الشخصية بشكل غير مصرح به، بناءً على اعتقاد العميل المعقول بأن OwnBackup ينتهك التزامات حماية البيانات الشخصية بموجب ملحق DPA هذا، أو إذا كانت الهيئة الإشرافية التابعة للعميل قد طلبت هذا التدقيق، فإن العميل يجوز لها الاتصال بـ OwnBackup لطلب مراجعة الإجراءات ذات الصلة بحماية البيانات الشخصية. يجب إجراء أي تدقيق من هذا القبيل عن بعد، باستثناء أنه يجوز للعميل و/أو الهيئة الإشرافية التابعة له إجراء تدقيق في الموقع في مقر OwnBackup إذا كان ذلك مطلوبًا بموجب قوانين ولوائح حماية البيانات. ولا يجوز تقديم أي طلب من هذا القبيل أكثر من مرة واحدة سنويًا، إلا في حالة الوصول غير المصرح به فعليًا أو مشتبه به بشكل معقول إلى البيانات الشخصية. قبل بدء أي عملية تدقيق، يجب على العميل وOwnBackup الاتفاق بشكل متبادل على نطاق التدقيق وتوقيته ومدته. لن يتم بأي حال من الأحوال إجراء أي تدقيق للمعالج الفرعي، بما يتجاوز إعادةview التقارير والشهادات والوثائق التي يوفرها المعالج الفرعي، مسموح بها دون موافقة المعالج الفرعي.

الشركات التابعة

• العلاقة التعاقدية. يقوم كيان العميل الذي يوقع على ملحق DPA هذا بنفسه، وحسب الاقتضاء، باسم وبالنيابة عن الشركات التابعة له، وبالتالي إنشاء ملحق DPA منفصل بين OwnBackup وكل شركة تابعة تخضع لأحكام الاتفاقية وهذا البند 10 والبند. 11 أدناه. يوافق كل شركة تابعة على الالتزام بالالتزامات بموجب ملحق DPA هذا، وإلى الحد الذي ينطبق، الاتفاقية. ولتجنب الشك، فإن هؤلاء الشركات التابعة ليسوا ولن يصبحوا أطرافًا في الاتفاقية، وهم فقط أطراف في ملحق DPA هذا. يجب أن يتوافق كل وصول إلى خدمات SaaS واستخدامها من قبل هذه الشركات التابعة مع الاتفاقية، ويعتبر أي خرق للاتفاقية من قبل شركة تابعة خرقًا من قبل العميل.
• تواصل. يظل كيان العميل الذي يوقع على ملحق DPA هذا مسؤولاً عن تنسيق جميع الاتصالات مع OwnBackup بموجب ملحق DPA هذا ويحق له إجراء وتلقي أي اتصالات فيما يتعلق بملحق DPA هذا نيابة عن الشركات التابعة له.
• حقوق الشركات التابعة للعملاء. عندما يصبح العميل التابع طرفًا في ملحق DPA هذا مع OwnBackup، يحق له، إلى الحد الذي تقتضيه قوانين ولوائح حماية البيانات المعمول بها، ممارسة الحقوق وطلب التعويضات بموجب ملحق DPA هذا، مع مراعاة ما يلي:
• باستثناء الحالات التي تتطلب فيها قوانين ولوائح حماية البيانات المعمول بها من الشركة التابعة للعميل ممارسة حق أو طلب أي تعويض بموجب ملحق DPA هذا ضد OwnBackup مباشرةً، يوافق الطرفان على ما يلي:
  • يجب على كيان العميل الذي وقع على ملحق DPA هذا فقط ممارسة أي حق من هذا القبيل أو طلب أي تعويض من هذا القبيل نيابة عن الشركة التابعة للعميل، و(XNUMX) يجب على كيان العميل الذي يوقع على DPA هذا ممارسة أي حقوق بموجب ملحق DPA هذا ليس بشكل منفصل لكل شركة تابعة على حدة ولكن بطريقة مجمعة لنفسها ولجميع الشركات التابعة لها معًا (كما هو منصوص عليه، على سبيل المثالample، في البند 10.3.2 أدناه).
  • يجب على كيان العميل الذي يوقع على ملحق DPA هذا، عند إجراء التدقيق المسموح به للإجراءات ذات الصلة بحماية البيانات الشخصية، اتخاذ جميع التدابير المعقولة للحد من أي تأثير على OwnBackup ومعالجيها الفرعيين من خلال الجمع، إلى الحد الممكن بشكل معقول، بين عدة يتم تنفيذ طلبات التدقيق بالنيابة عنها وعن جميع الشركات التابعة لها في عملية تدقيق واحدة.

حدود المسؤولية

• إلى الحد الذي تسمح به قوانين ولوائح حماية البيانات، فإن مسؤولية كل طرف وجميع الشركات التابعة له، مجتمعة في المجمل، والتي تنشأ عن أو تتعلق بملحق DPA هذا، سواء في العقد أو الضرر أو بموجب أي نظرية أخرى للمسؤولية، تعتبر مع مراعاة بنود "حد المسؤولية"، والبنود الأخرى التي تستبعد المسؤولية أو تحد منها، الواردة في الاتفاقية، وأي إشارة في هذه البنود إلى مسؤولية أحد الطرفين تعني المسؤولية الإجمالية لهذا الطرف وجميع الشركات التابعة له.

التغييرات في آليات النقل

• في حالة إبطال آلية النقل الحالية التي يعتمد عليها الطرفان لتسهيل عمليات نقل البيانات الشخصية إلى دولة واحدة أو أكثر والتي لا تضمن مستوى مناسبًا من حماية البيانات بالمعنى المقصود في قوانين ولوائح حماية البيانات، يتم تعديلها ، أو أن الأطراف المستبدلة ستعمل بحسن نية على تفعيل آلية النقل البديلة هذه لتمكين المعالجة المستمرة للبيانات الشخصية المنصوص عليها في الاتفاقية. ويجب أن يخضع استخدام آلية النقل البديلة هذه لاستيفاء كل طرف لجميع المتطلبات القانونية لاستخدام آلية النقل هذه.

قام المفوضون بالتوقيع من الأطراف بتنفيذ هذه الاتفاقية على النحو الواجب، بما في ذلك جميع الجداول والملاحق والملاحق المعمول بها المدرجة هنا

عميل 

• تم التوقيع:
• اسم:
• عنوان:
• تاريخ:

قائمة الجداول

• الجدول 1: قائمة المعالجات الفرعية الحالية
• الجدول 2: خدمات SaaS المطبقة على معالجة البيانات الشخصية
• الجدول 3: تفاصيل المعالجة
• الجدول 4: ضوابط أمان OwnBackup
• الجدول 5: الأحكام الأوروبية

قائمة المعالجات الفرعية الحالية

يمكن للعميل اختيار إما أمازون Web الخدمات أو Microsoft (Azure) وموقع المعالجة المطلوب أثناء الإعداد الأولي للعميل لخدمات SaaS.
ينطبق فقط على عملاء OAwnBackup Archive الذين يختارون النشر في Microsoft (Azure) Cloud.

خدمات Saas المطبقة على معالجة البيانات الشخصية

• مؤسسة OwnBackup لـ Salesforce
• OwnBackup غير محدود لـ Salesforce
• OwnBackup Governance Plus لـ Salesforce
• أرشيف النسخ الاحتياطي الخاص
• أحضر إدارة المفاتيح الخاصة بك
• زرع رمل

تفاصيل المعالجة

مصدر البيانات

• الاسم القانوني الكامل: اسم العميل كما هو محدد أعلاه
• العنوان الرئيسي: عنوان العميل كما هو محدد أعلاه
• اتصال: إذا لم يتم النص على خلاف ذلك، فيجب أن تكون هذه هي جهة الاتصال الأساسية في حساب العميل.
• البريد الإلكتروني للتواصل: إذا لم يتم النص على خلاف ذلك، فيجب أن يكون هذا هو عنوان البريد الإلكتروني الرئيسي لجهة الاتصال في حساب العميل.

مستورد البيانات

• الاسم القانوني الكامل: شركة أونباك أب
• العنوان الرئيسي: 940 شارع سيلفان، إنجلوود كليفس، نيوجيرسي 07632، الولايات المتحدة الأمريكية
• اتصال: مسؤول الخصوصية
• البريد الإلكتروني للتواصل: Privacy@ownbackup.com

طبيعة والغرض من المعالجة

• ستقوم OwnBackup بمعالجة البيانات الشخصية حسب الضرورة لأداء خدمات Saa وفقًا لـ
• الاتفاقية والأوامر، ووفقًا لتعليمات العميل أيضًا عند استخدامه لخدمات SaaS.

مدة المعالجة

ستقوم OwnBackup بمعالجة البيانات الشخصية طوال مدة الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابيًا.

حفظ
ستحتفظ OwnBackup بالبيانات الشخصية في خدمات SaaS طوال مدة الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابيًا، مع مراعاة الحد الأقصى لفترة الاحتفاظ المحددة في الوثائق.

تردد النقل
وفقًا لما يحدده العميل من خلال استخدامه لخدمات SaaS.

التحويلات إلى المعالجات الفرعية
حسب الضرورة لأداء خدمات SaaS وفقًا للاتفاقية والأوامر، وكما هو موضح في الجدول 1.

فئات موضوعات البيانات
يجوز للعميل إرسال بيانات شخصية إلى خدمات SaaS، التي يحدد العميل نطاقها ويتحكم فيها وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، البيانات الشخصية المتعلقة بالفئات التالية من أصحاب البيانات:

• العملاء المحتملون والعملاء وشركاء الأعمال والبائعين التابعين للعميل (الأشخاص الطبيعيين)
• الموظفون أو جهات الاتصال الخاصة بالعملاء المحتملين والعملاء وشركاء الأعمال والبائعين
• الموظفون والوكلاء والمستشارون والمستقلون لدى العميل (الأشخاص الطبيعيون)
• المستخدمون التابعون للعميل والمصرح لهم من قبل العميل باستخدام خدمات SaaS

نوع البيانات الشخصية
يجوز للعميل إرسال بيانات شخصية إلى خدمات SaaS، والتي يتم تحديد نطاقها والتحكم فيه بواسطة العميل وفقًا لتقديره الخاص، والتي قد تشمل، على سبيل المثال لا الحصر، الفئات التالية من

البيانات الشخصية:

• الاسم الأول والأخير
• عنوان
• موضع
• صاحب العمل
• بيانات الهوية
• بيانات الحياة المهنية
• معلومات الاتصال (الشركة، البريد الإلكتروني، الهاتف، عنوان العمل الفعلي)
• بيانات الحياة الشخصية
• بيانات التوطين

فئات خاصة من البيانات (إذا كان ذلك مناسبًا)
يجوز للعميل تقديم فئات خاصة من البيانات الشخصية إلى خدمات SaaS، والتي يتم تحديد نطاقها والتحكم فيه بواسطة العميل وفقًا لتقديره الخاص، والتي يمكن أن تتضمن، من أجل الوضوح، معالجة البيانات الجينية والبيانات البيومترية لغرض فريد التعرف على شخص طبيعي أو بيانات تتعلق بالصحة. راجع التدابير الواردة في الجدول 4 لمعرفة كيفية حماية OwnBackup لفئات خاصة من البيانات والبيانات الشخصية الأخرى.

مقدمة

1. تم تصميم تطبيقات برنامج OwnBackup كخدمة (SaaS Services) منذ البداية مع أخذ الأمان في الاعتبار. تم تصميم خدمات SaaS مع مجموعة متنوعة من الضوابط الأمنية عبر مستويات متعددة لمعالجة مجموعة من المخاطر الأمنية. تخضع ضوابط الأمان هذه للتغيير؛ ومع ذلك، فإن أي تغييرات ستحافظ على الوضع الأمني ​​العام أو تحسنه.
2. تنطبق أوصاف عناصر التحكم أدناه على تطبيقات خدمة SaaS على كل من Amazon Web منصات الخدمات (AWS) وMicrosoft Azure (Azure) (يُشار إليهما معًا بمقدمي الخدمات السحابية أو CSPs)، باستثناء ما هو محدد في قسم التشفير أدناه. لا تنطبق هذه الأوصاف لعناصر التحكم على برنامج RevCult باستثناء ما هو منصوص عليه ضمن "تطوير البرامج الآمنة" أدناه.

Web ضوابط أمان التطبيق

• يتم وصول العميل إلى خدمات SaaS فقط عبر HTTPS (TLS1.2+)، مما يؤدي إلى تشفير البيانات أثناء النقل بين المستخدم النهائي والتطبيق وبين OwnBackup ومصدر بيانات الطرف الثالث (على سبيل المثال، Salesforce).
• يمكن لمسؤولي خدمة SaaS لدى العميل توفير مستخدمي خدمة SaaS وإلغاء توفيرهم والوصول المرتبط بها حسب الضرورة.
• توفر خدمات SaaS عناصر تحكم في الوصول قائمة على الأدوار لتمكين العملاء من إدارة أذونات المؤسسات المتعددة.
• يمكن لمسؤولي خدمة SaaS الخاصة بالعميل الوصول إلى مسارات التدقيق بما في ذلك اسم المستخدم والإجراء والوقتampوحقول عنوان IP المصدر. يمكن أن تكون سجلات التدقيق viewتم تحريرها وتصديرها بواسطة مسؤول خدمة SaaS الخاص بالعميل بتسجيل الدخول إلى خدمات SaaS وكذلك من خلال واجهة برمجة تطبيقات خدمات SaaS.
• يمكن تقييد الوصول إلى خدمات SaaS بواسطة عنوان IP المصدر.
• تتيح خدمات SaaS للعملاء تمكين المصادقة متعددة العوامل للوصول إلى حسابات خدمة SaaS باستخدام كلمات مرور لمرة واحدة تعتمد على الوقت.
• تتيح خدمات SaaS للعملاء تمكين تسجيل الدخول الموحد عبر موفري هوية SAML 2.0.
• تتيح خدمات SaaS للعملاء تمكين سياسات كلمات المرور القابلة للتخصيص للمساعدة في مواءمة كلمات مرور خدمة SaaS مع سياسات الشركة.

التشفير

• يقدم OwnBackup خيارات خدمة SaaS التالية لتشفير البيانات أثناء عدم النشاط:
  • العرض القياسي.
    • يتم تشفير البيانات باستخدام التشفير من جانب الخادم AES-256 عبر نظام إدارة المفاتيح الذي تم التحقق من صحته بموجب FIPS 140-2.
    • يتم استخدام تشفير المغلف بحيث لا يترك المفتاح الرئيسي وحدة أمان الأجهزة (HSM) أبدًا.
    • يتم تدوير مفاتيح التشفير مرة كل عامين على الأقل.
  • خيار إدارة المفاتيح المتقدمة (AKM).
    • يتم تشفير البيانات في حاوية تخزين كائنات مخصصة باستخدام مفتاح التشفير الرئيسي المقدم من العميل (CMK).
    • يسمح AKM بأرشفة المفتاح في المستقبل وتدويره باستخدام مفتاح تشفير رئيسي آخر.
    • يمكن للعميل إلغاء مفاتيح التشفير الرئيسية، مما يؤدي إلى عدم إمكانية الوصول الفوري إلى البيانات.
  • إحضار خيار نظام إدارة المفاتيح الخاص بك (KMS) (متوفر على AWS فقط).
    • يتم إنشاء مفاتيح التشفير في حساب العميل الذي تم شراؤه بشكل منفصل باستخدام AWS KMS.
    • يحدد العميل سياسة مفتاح التشفير التي تسمح لحساب خدمة SaaS الخاص بالعميل على AWS بالوصول إلى المفتاح من AWS KMS الخاص بالعميل.
    • يتم تشفير البيانات في حاوية تخزين كائنات مخصصة تتم إدارتها بواسطة OwnBackup، ويتم تكوينها لاستخدام مفتاح التشفير الخاص بالعميل.
    • يجوز للعميل إلغاء الوصول إلى البيانات المشفرة على الفور عن طريق إلغاء وصول OwnBackup إلى مفتاح التشفير، دون التفاعل مع OwnBackup.
    • لا يستطيع موظفو OwnBackup الوصول إلى مفاتيح التشفير في أي وقت ولا يمكنهم الوصول إلى KMS مباشرة.
    • يتم تسجيل جميع أنشطة الاستخدام الرئيسية في نظام إدارة المفاتيح (KMS) الخاص بالعميل، بما في ذلك استرجاع المفتاح من خلال وحدة تخزين الكائنات المخصصة.
• يستخدم التشفير أثناء النقل بين خدمات SaaS ومصدر بيانات الجهة الخارجية (على سبيل المثال، Salesforce) HTTPS مع TLS 1.2+ وOAuth 2.0.

شبكة

• تستخدم خدمات SaaS عناصر تحكم شبكة CSP لتقييد دخول الشبكة وخروجها.
• يتم استخدام مجموعات الأمان ذات الحالة الخاصة للحد من دخول الشبكة والخروج إلى نقاط النهاية المعتمدة.
• تستخدم خدمات SaaS بنية شبكة متعددة المستويات، بما في ذلك سحابات Amazon الافتراضية الخاصة المتعددة (VPCs) المنفصلة منطقيًا أو شبكات Azure الافتراضية (VNets)، مع الاستفادة من المناطق الخاصة والمناطق المجردة من السلاح والمناطق غير الموثوق بها داخل البنية التحتية لمزود الخدمة السحابية (CSP).
• في AWS، يتم استخدام قيود VPC S3 Endpoint في كل منطقة للسماح بالوصول فقط من VPCs المعتمدة.

المراقبة والتدقيق

• تتم مراقبة أنظمة وشبكات خدمة SaaS بحثًا عن الحوادث الأمنية، وصحة النظام، وتشوهات الشبكة، ومدى توفرها.
• تستخدم خدمات SaaS نظام كشف التطفل (IDS) لمراقبة نشاط الشبكة وتنبيه OwnBackup بالسلوك المشبوه.
• استخدام خدمات SaaS web جدران الحماية التطبيقية (WAFs) للجميع web خدمات.
• يقوم OwnBackup بتسجيل أحداث التطبيق والشبكة والمستخدم ونظام التشغيل إلى خادم سجل نظام محلي ونظام SIEM الخاص بالمنطقة. ويتم تحليل هذه السجلات تلقائيًا وإعادةviewإد للأنشطة المشبوهة والتهديدات. يتم تصعيد أي حالات شاذة حسب الاقتضاء.
• يستخدم OwnBackup أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM) التي توفر تحليلًا أمنيًا مستمرًا لشبكات خدمات SaaS وبيئة الأمان، وتنبيه شذوذ المستخدم، واستطلاع هجمات القيادة والتحكم (C&C)، والكشف الآلي عن التهديدات، والإبلاغ عن مؤشرات التسوية (IOC). ). تتم إدارة كل هذه الإمكانات بواسطة موظفي الأمن والعمليات في OwnBackup.
• يقوم فريق الاستجابة للحوادث في OwnBackup بمراقبة الاسم المستعار Security@ownbackup.com ويستجيب وفقًا لخطة الاستجابة للحوادث (IRP) الخاصة بالشركة عندما يكون ذلك مناسبًا.

العزلة بين الحسابات

• تستخدم خدمات SaaS وضع حماية Linux لعزل بيانات حسابات العملاء أثناء المعالجة. وهذا يساعد على التأكد من أن أي شذوذ (على سبيل المثالample، بسبب مشكلة أمنية أو خطأ برمجي) يظل محصوراً في حساب OwnBackup واحد.
• يتم التحكم في الوصول إلى بيانات المستأجر من خلال مستخدمي IAM الفريدين الذين لديهم بيانات tagGing الذي لا يسمح للمستخدمين غير المصرح لهم بالوصول إلى بيانات المستأجر.

التعافي من الكوارث

• يستخدم OwnBackup تخزين كائنات CSP لتخزين بيانات العملاء المشفرة عبر مناطق توافر متعددة.
• بالنسبة لبيانات العميل المخزنة على وحدة تخزين الكائنات، يستخدم OwnBackup إصدار الكائنات مع التقادم التلقائي لدعم الامتثال لسياسات النسخ الاحتياطي والتعافي من الكوارث الخاصة بـ OwnBackup. بالنسبة لهذه الكائنات، تم تصميم أنظمة OwnBackup لدعم هدف نقطة الاسترداد (RPO) لمدة 0 ساعة (أي القدرة على استعادة أي إصدار لأي كائن كما كان موجودًا في فترة الـ 14 يومًا السابقة).
• يتم تحقيق أي استرداد مطلوب لمثيل الحوسبة عن طريق إعادة بناء المثيل استنادًا إلى أتمتة إدارة تكوين OwnBackup.
• تم تصميم خطة التعافي من الكوارث الخاصة بـ OwnBackup لدعم هدف وقت الاسترداد (RTO) وهو 4 ساعات.

إدارة الثغرات الأمنية

• يتم تنفيذ OwnBackup بشكل دوري web تقييمات نقاط ضعف التطبيق، وتحليل التعليمات البرمجية الثابتة، والتقييمات الديناميكية الخارجية كجزء من برنامج المراقبة المستمرة الخاص بها للمساعدة في ضمان تطبيق ضوابط أمان التطبيق بشكل صحيح وتشغيلها بفعالية.
• على أساس نصف سنوي، تقوم OwnBackup بتعيين مختبري اختراق مستقلين من طرف ثالث لإجراء كل من الشبكة و web تقييمات الضعف. يشمل نطاق عمليات التدقيق الخارجية هذه الامتثال لـ Open Web مشروع أمان التطبيقات (OWASP) أعلى 10 Web نقاط الضعف (www.owasp.org).
• يتم دمج نتائج تقييم الثغرات الأمنية في دورة حياة تطوير برامج OwnBackup (SDLC) لمعالجة نقاط الضعف المحددة. يتم تحديد أولويات الثغرات الأمنية المحددة وإدخالها في نظام التذاكر الداخلي OwnBackup لتتبع الحل.

الاستجابة للحوادث

في حالة حدوث خرق أمني محتمل، سيقوم فريق الاستجابة لحوادث OwnBackup بإجراء تقييم للموقف ووضع استراتيجيات التخفيف المناسبة. إذا تم تأكيد الانتهاك المحتمل، فسوف تعمل OwnBackup على الفور على تخفيف الانتهاك والحفاظ على الأدلة الجنائية، وسوف تقوم بإخطار نقاط الاتصال الأساسية للعملاء المتأثرين دون تأخير لا مبرر له لإطلاعهم على الموقف وتقديم تحديثات حالة الحل

تطوير البرمجيات الآمنة

تستخدم OwnBackup ممارسات تطوير آمنة لتطبيقات برامج OwnBackup وRevCult طوال دورة حياة تطوير البرامج. تتضمن هذه الممارسات تحليل التعليمات البرمجية الثابتة وإعادة أمان Salesforceview بالنسبة لتطبيقات RevCult وتطبيقات OwnBackup المثبتة في مثيلات Salesforce الخاصة بالعملاء، فإن Peer review تغييرات التعليمات البرمجية، وتقييد الوصول إلى مستودع التعليمات البرمجية المصدر على أساس مبدأ الامتيازات الأقل، وتسجيل الوصول إلى مستودع التعليمات البرمجية المصدر والتغييرات.

فريق أمني متخصص

لدى OwnBackup فريق أمني متخصص يتمتع بخبرة تزيد عن 100 عام في مجال أمن المعلومات متعددة الأوجه. بالإضافة إلى ذلك، يحتفظ أعضاء الفريق بعدد من الشهادات المعترف بها في الصناعة، بما في ذلك على سبيل المثال لا الحصر، CISM وCISSP وISO 27001 Lead Auditors.

الخصوصية وحماية البيانات
يوفر OwnBackup دعمًا أصليًا لطلبات الوصول إلى أصحاب البيانات، مثل الحق في المحو (الحق في النسيان) وإخفاء الهوية، لدعم الامتثال للوائح خصوصية البيانات، بما في ذلك اللائحة العامة لحماية البيانات (GDPR)، وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، وقانون خصوصية المستهلك في كاليفورنيا (CCPA). يوفر OwnBackup أيضًا ملحقًا لمعالجة البيانات لمعالجة قوانين الخصوصية وحماية البيانات، بما في ذلك المتطلبات القانونية لعمليات نقل البيانات الدولية.

التحقق من الخلفية

تقوم OwnBackup بإجراء مجموعة من عمليات فحص الخلفية، بما في ذلك عمليات فحص الخلفية الجنائية، لموظفيها الذين قد يكون لديهم حق الوصول إلى بيانات العملاء، استنادًا إلى السلطات القضائية التي يقيم بها الموظف خلال السنوات السبع السابقة، وفقًا للقانون المعمول به.

تأمين

تحتفظ OwnBackup، على الأقل، بالتغطية التأمينية التالية: (أ) تأمين تعويضات العمال وفقًا لجميع القوانين المعمول بها؛ (ب) التأمين ضد مسؤولية السيارات للمركبات غير المملوكة والمستأجرة، بحد أقصى إجمالي قدره 1,000,000 دولار؛ (ج) تأمين المسؤولية العامة التجارية (المسؤولية العامة) بتغطية ذات حد واحد تبلغ 1,000,000 دولار أمريكي لكل حالة وتغطية إجمالية عامة بقيمة 2,000,000 دولار أمريكي؛ (د) التأمين على الأخطاء والسهو (التعويض المهني) بحد أقصى 20,000,000 دولار أمريكي لكل حدث و20,000,000 دولار أمريكي إجماليًا، بما في ذلك الطبقات الأساسية والزائدة، بما في ذلك المسؤولية السيبرانية، والتكنولوجيا والخدمات المهنية، ومنتجات التكنولوجيا، وأمن البيانات والشبكات، والاستجابة للانتهاكات، والمتطلبات التنظيمية الدفاع والعقوبات، والابتزاز السيبراني ومسؤوليات استعادة البيانات؛ و(هـ) التأمين ضد خيانة الأمانة/الجريمة للموظفين بتغطية قدرها 5,000,000 دولار. وسوف تقوم شركة OwnBackup بتزويد العميل بدليل على هذا التأمين عند الطلب.

الأحكام الأوروبية

ينطبق هذا الجدول فقط على عمليات نقل البيانات الشخصية (بما في ذلك عمليات النقل اللاحقة) من أوروبا والتي، في حالة عدم تطبيق هذه الأحكام، قد تتسبب في انتهاك العميل أو OwnBackup لقوانين ولوائح حماية البيانات المعمول بها.

آلية نقل البيانات.
تنطبق البنود التعاقدية القياسية على أي عمليات نقل للبيانات الشخصية بموجب ملحق DPA هذا من أوروبا إلى البلدان التي لا تضمن مستوى مناسبًا من حماية البيانات بالمعنى المقصود في قوانين ولوائح حماية البيانات في هذه الأقاليم، إلى الحد الذي تخضع فيه عمليات النقل هذه لـ مثل قوانين ولوائح حماية البيانات. يدخل OwnBackup في الشروط التعاقدية القياسية كمستورد للبيانات. تنطبق الشروط الإضافية في هذا الجدول أيضًا على عمليات نقل البيانات هذه.

التحويلات تخضع للبنود التعاقدية القياسية.

• العملاء المشمولون بالبنود التعاقدية القياسية. تنطبق البنود التعاقدية القياسية والشروط الإضافية المحددة في هذا الجدول على (XNUMX) العميل، إلى الحد الذي يخضع فيه العميل لقوانين ولوائح حماية البيانات في أوروبا و(XNUMX) الشركات التابعة المعتمدة له. ولأغراض البنود التعاقدية القياسية وهذا الجدول، تعتبر هذه الكيانات "مصدري البيانات".
• وحدات. يتفق الطرفان على أنه حيثما يجوز تطبيق الوحدات الاختيارية ضمن الشروط التعاقدية القياسية، فإنه سيتم تطبيق فقط تلك التي تحمل عنوان "الوحدة الثانية: نقل وحدة التحكم إلى المعالج".
• تعليمات. تعتبر التعليمات الموضحة في البند 2 أعلاه بمثابة تعليمات من العميل لمعالجة البيانات الشخصية لأغراض البند 8.1 من البنود التعاقدية القياسية.
• تعيين المعالجين الفرعيين الجدد وقائمة المعالجين الفرعيين الحاليين. بموجب الخيار 2 للبند 9(أ) من الشروط التعاقدية القياسية، يوافق العميل على أنه يجوز لشركة OwnBackup إشراك معالجين فرعيين جدد كما هو موضح في البنود 5.1 و5.ب و5.ج أعلاه، وأنه يجوز الاحتفاظ بالشركات التابعة لـ OwnBackup كمعالجين فرعيين. - المعالجون، وOwnBackup والشركات التابعة لها يجوز لهم إشراك معالجين فرعيين تابعين لجهات خارجية فيما يتعلق بتوفير خدمات معالجة البيانات. القائمة الحالية للمعالجين الفرعيين كما هي مرفقة في الجدول 1.
• اتفاقيات المعالجات الفرعية. يتفق الطرفان على أن عمليات نقل البيانات إلى المعالجين الفرعيين قد تعتمد على آلية نقل بخلاف البنود التعاقدية القياسية (على سبيل المثالample، قواعد الشركة الملزمة)، وأن اتفاقيات OwnBackup مع هؤلاء المعالجين الفرعيين قد لا تتضمن أو تعكس البنود التعاقدية القياسية، بغض النظر عن أي شيء يتعارض مع ذلك في البند 9 (ب) من البنود التعاقدية القياسية. ومع ذلك، يجب أن تحتوي أي اتفاقية من هذا القبيل مع معالج فرعي على التزامات حماية البيانات لا تقل حماية عن تلك الواردة في ملحق DPA هذا فيما يتعلق بحماية بيانات العميل، إلى الحد الذي ينطبق على الخدمات التي يقدمها هذا المعالج الفرعي. سيتم توفير نسخ من اتفاقيات المعالج الفرعي التي يجب أن تقدمها OwnBackup إلى العميل وفقًا للبند 9 (ج) من الشروط التعاقدية القياسية بواسطة OwnBackup فقط بناءً على طلب كتابي من العميل وقد تحتوي على جميع المعلومات التجارية أو البنود غير المرتبطة بـ الشروط التعاقدية القياسية أو ما يعادلها، والتي تمت إزالتها بواسطة OwnBackup مسبقًا.
• عمليات التدقيق والشهادات. يتفق الطرفان على أن عمليات التدقيق الموضحة في البند 8.9 والبند 13 (ب) من البنود التعاقدية القياسية يجب أن تتم وفقًا للبند 9 أعلاه.
• محو البيانات. يتفق الطرفان على أن مسح أو إعادة البيانات المنصوص عليها في البند 8.5 أو البند 16 (د) من البنود التعاقدية القياسية يجب أن يتم وفقًا للبند 8 أعلاه، ويجب أن يتم تقديم أي شهادة بالحذف بواسطة OwnBackup فقط بناءً على طلب العميل.
• المستفيدون من الطرف الثالث. يتفق الطرفان على أنه بناءً على طبيعة خدمات SaaS، يجب على العميل تقديم كل المساعدة المطلوبة للسماح لـ OwnBackup بالوفاء بالتزاماته تجاه أصحاب البيانات بموجب البند 3 من البنود التعاقدية القياسية.
• تقييم الاثر. وفقًا للبند 14 من الشروط التعاقدية القياسية، أجرى الطرفان تحليلًا، في سياق الظروف المحددة للنقل، لقوانين وممارسات بلد الوجهة، بالإضافة إلى الشروط التعاقدية والتنظيمية والفنية التكميلية المحددة. الضمانات المطبقة، واستنادًا إلى المعلومات المعروفة لهم بشكل معقول في ذلك الوقت، قرروا أن قوانين وممارسات بلد المقصد لا تمنع الأطراف من الوفاء بالتزامات كل طرف بموجب الشروط التعاقدية القياسية
• القانون الحاكم والمنتدى. يتفق الطرفان، فيما يتعلق بالخيار 2 للبند 17، على أنه في حالة عدم سماح الدولة العضو في الاتحاد الأوروبي التي تم إنشاء جهة تصدير البيانات فيها بحقوق المستفيد الخارجية، فإن البنود التعاقدية القياسية تخضع لقانون أيرلندا. وفقًا للبند 18، يتم حل النزاعات المرتبطة بالبنود التعاقدية القياسية من خلال المحاكم المحددة في الاتفاقية، ما لم تكن هذه المحكمة موجودة في إحدى الدول الأعضاء في الاتحاد الأوروبي، وفي هذه الحالة يكون منتدى هذه النزاعات هو محاكم أيرلندا. .
• المرفقات. لأغراض تنفيذ الشروط التعاقدية القياسية، الجدول 3: يجب دمج تفاصيل المعالجة في الملحق IA وIB، الجدول 4: ضوابط أمان OwnBackup (والتي قد يتم تحديثها من وقت لآخر في https://www.ownbackup.com/trust/) في الملحق الثاني والجدول 1: قائمة المعالجات الفرعية الحالية (كما قد يتم تحديثها من وقت لآخر في https://www.ownbackup.com/legal/sub-p/) في الملحق الثالث.
• تفسير. تهدف شروط هذا الجدول إلى توضيح الشروط التعاقدية القياسية وليس تعديلها. في حالة وجود أي تعارض أو عدم تناسق بين نص هذا الجدول والبنود التعاقدية القياسية، تسود البنود التعاقدية القياسية.

الأحكام المطبقة على التحويلات من سويسرا

يتفق الطرفان على أنه لأغراض تطبيق البنود التعاقدية القياسية لتسهيل عمليات نقل البيانات الشخصية من سويسرا، يجب تطبيق الأحكام الإضافية التالية: (2016) يجب تفسير أي إشارات إلى اللائحة (الاتحاد الأوروبي) 679/XNUMX على أنها تشير إلى الأحكام المقابلة. من القانون الفيدرالي السويسري بشأن حماية البيانات وقوانين حماية البيانات الأخرى في سويسرا ("قوانين حماية البيانات السويسرية")، (XNUMX) يجب تفسير أي إشارات إلى "دولة عضو" أو "دولة عضو في الاتحاد الأوروبي" أو "الاتحاد الأوروبي" على أنها إشارة إلى سويسرا. و (XNUMX) يجب تفسير أي إشارات إلى السلطة الإشرافية على أنها تشير إلى المفوض الفيدرالي السويسري لحماية البيانات والمعلومات.

الأحكام المطبقة على التحويلات من المملكة المتحدة

يتفق الطرفان على أن ملحق المملكة المتحدة ينطبق على عمليات نقل البيانات الشخصية التي يحكمها قانون حماية البيانات في المملكة المتحدة ويجب اعتباره مكتملاً على النحو التالي (مع مصطلحات مكتوبة بأحرف كبيرة لم يتم تعريفها في مكان آخر مع التعريف المنصوص عليه في ملحق المملكة المتحدة):

• الجدول 1: الأطراف وتفاصيلهم وجهات الاتصال الخاصة بهم هي تلك المنصوص عليها في الجدول 3.
• الجدول 2: "الشروط التعاقدية القياسية المعتمدة في الاتحاد الأوروبي" هي الشروط التعاقدية القياسية على النحو المنصوص عليه في هذا الجدول 5.
• الجدول 3: تم إكمال المرفقات الأول (أ)، الأول (ب)، والثاني على النحو المبين في القسم 2 (ك) من الجدول 5 هذا.
• الجدول 4: يجوز لشركة OwnBackup ممارسة حق الإنهاء المبكر الاختياري الموضح في المادة 19 من ملحق المملكة المتحدة.

المستندات / الموارد

ملحق معالجة بيانات Ownbackup [بي دي اف] تعليمات ملحق معالجة البيانات، ملحق المعالجة، ملحق

مراجع

• دليل المستخدم