تاريخ آخر تعديل: 2 تشرين الثاني (نوفمبر) 2020
دخل "جيبي" والطرف المقابل الذي يوافق على هذا الملحق ("الشركة") في اتفاقية لتوفير خدمات "المعالج" (بصيغتها المعدلة من وقت لآخر، "الاتفاقية").
تم إبرام ملحق معالجة البيانات هذا (بما في ذلك المُلحقات، "ملحق معالجة البيانات") من خلال Jibe and Company ويكمّل الاتفاقية. سيكون "ملحق معالجة البيانات" هذا ساريًا ويحل محل أي بنود سارية سابقًا مرتبطة بالموضوع محل البحث (بما في ذلك أي بنود لمعالجة البيانات وشروط الأمان ذات صلة بخدمات "معالج البيانات")، بدءًا من "تاريخ سريان البنود".
وفي حال قبولك لملحق معالجة البيانات هذا نيابةً عن الشركة، أنت تضمن ما يلي: (أ) أن لديك السلطة القانونية الكاملة لإلزام الشركة بملحق معالجة البيانات هذا، و(ب) أنك قرأت ملحق معالجة البيانات هذا وفهمته، و (ج) توافق، نيابةً عن الشركة، على ملحق معالجة البيانات هذا. وإذا لم تكن لديك السلطة القانونية لإلزام الشركة، يُرجى عدم قبول ملحق معالجة البيانات هذا.
1- المقدمة
يوضح ملحق معالجة البيانات هذا الاتفاق بين الطرفين على البنود التي تحكم معالجة البيانات الشخصية للشركة وأمانها في ما يتعلق بالتشريعات الأوروبية لحماية البيانات وبعض التشريعات غير الأوروبية لحماية البيانات.
2. التعريفات والتفسيرات
2.1 في ملحق معالجة البيانات هذا:
يشير مصطلح "منتج إضافي" إلى منتج أو خدمة أو تطبيق تقدّمه شركة Jibe أو طرف ثالث مما يلي: (أ) ليس جزءًا من خدمات المعالج؛ و (ب) يمكن الوصول إليه للاستخدام ضمن واجهة المستخدم لخدمات "المعالج" أو يكون مدمجًا مع "خدمات المعالج".
"البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات" تعني البنود الإضافية المُشار إليها في الملحق (3)، والتي تعكس اتفاقية الطرفين على البنود التي تحكم معالجة بعض البيانات المرتبطة بتشريع غير أوروبي لحماية البيانات.
"الشركة التابعة" هي كيان يتحكم في أحد الطرفين، أو يتحكم فيه أحد الطرفين، أو يخضع لتحكم مشترك مع أحد الطرفين، سواء بشكل مباشر أو غير مباشر.
"البيانات الشخصية للشركة" هي البيانات الشخصية التي تعالجها Jibe بالنيابة عن توفير شركة Jibe لخدمات معالج البيانات.
"حادثة البيانات" هو خرق أمان Jibe يؤدي إلى الإتلاف غير المقصود أو غير القانوني، أو الفقد، أو التعديل، أو الإفشاء غير المصرح به عن البيانات الشخصية للشركة أو الدخول إليها على الأنظمة التي تديرها Jibe أو التي تتحكم فيها. لن تتضمن "حوادث البيانات" المحاولات أو الأنشطة غير الناجحة التي لا تؤثر سلبًا على أمان البيانات الشخصية للشركة، بما في ذلك محاولات تسجيل الدخول، وإشعارات، وعمليات فحص المنافذ، وهجمات رفض الخدمة، وغير ذلك من هجمات الشبكة على الجدران النارية أو الأنظمة المتصلة بالشبكة.
"تشريع حماية البيانات" يعني، حسب مقتضى الحال: (أ) التشريعات الأوروبية لحماية البيانات و/أو (ب) التشريع غير الأوروبي لحماية البيانات.
"أداة صاحب البيانات" تعني الأداة (إن وجدت) التي يوفرها كيان Jibe لأصحاب البيانات التي تمكّن Jibe من الرد مباشرة وبطريقة قياسية على طلبات معينة من أصحاب البيانات في ما يتعلق بالبيانات الشخصية للشركة (على سبيل المثال، مكون إضافي لتعطيل المتصفح).
"EEA تعني المنطقة الاقتصادية الأوروبية.
"اللائحة العامة لحماية البيانات في الاتحاد الأوروبي" تعني اللائحة (بالاتحاد الأوروبي) رقم 2016/679 للبرلمان الأوروبي والمجلس الصادرة في 27 نيسان (أبريل) 2016 بشأن حماية الأشخاص الطبيعيين في ما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات، علاوةً على إلغاء التوجيه 95/46/EC.
"التشريعات الأوروبية لحماية البيانات" تعني، حسب مقتضى الحال: (أ) اللائحة العامة لحماية البيانات؛ و/أو (ب) القانون الفيدرالي لحماية البيانات الصادر في 19 حزيران (يونيو) 1992 (سويسرا).
"القوانين الأوروبية أو الوطنية" تعني، حسبما يقتضيه الحال: (أ) قانون الاتحاد الأوروبي أو دولة عضو في الاتحاد الأوروبي (إذا كانت اللائحة العامة لحماية البيانات تسري على معالجة البيانات الشخصية للشركة) و/أو (ب) قانون المملكة المتحدة أو جزء من المملكة المتحدة (إذا كانت اللائحة العامة لحماية البيانات في المملكة المتحدة تنطبق على معالجة البيانات الشخصية للشركة).
"اللائحة العامة لحماية البيانات" تعني، حسبما يقتضيه الحال: (أ) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي؛ و/أو (ب) اللائحة العامة لحماية البيانات في المملكة المتحدة.
"Jibe" يعني كيان Jibe طرف في الاتفاقية.
"الجهات الفرعية لمعالجة البيانات الفرعية في Jibe" تحمل المعنى الموضح في الفقرة 11.1 (الموافقة على تفاعل المعالج الفرعي).
"Jibe Entity" تعني Jibe Mobile Inc أو Jibe Mobile Limited أو أي شركة تابعة أخرى لشركة Jibe Mobile Inc.
"شهادة ISO 27001" تعني شهادة ISO/IEC 27001:2013 أو شهادة مماثلة لخدمات المعالج.
"التشريعات غير الأوروبية لحماية البيانات" تعني قوانين حماية البيانات أو قوانين الخصوصية السارية خارج المنطقة الاقتصادية الأوروبية وسويسرا والمملكة المتحدة.
يشير "عنوان البريد الإلكتروني الخاص بالإشعار" إلى عنوان البريد الإلكتروني (إن وُجِد): (1) الذي وفّرته الشركة لـ Jibe أو (2) حدّدته الشركة من خلال واجهة المستخدم لخدمات "معالج البيانات" أو أي وسيلة أخرى توفّرها Jibe لتلقّي إشعارات معيّنة من Jibe بشأن "ملحق معالجة البيانات" هذا. وللتوضيح، تقع على عاتق الشركة مسؤولية تزويد Jibe بعنوان بريد إلكتروني للإشعار وإبلاغ Jibe بأية تحديثات يتم إجراؤها على عنوان البريد الإلكتروني لتلقِّي الإشعارات.
"خدمات معالج البيانات" تعني خدمات المراسلة للأنشطة التجارية من خلال خدمات الاتصالات التفاعلية (RCS) (كما هو موضّح في https://developers.google.com/business-communications/rcs-business-messaging)
يشير مصطلح "مستندات الأمان" إلى شهادة ISO 27001 وأي شهادات أو وثائق أمان أخرى قد توفّرها Jibe في ما يتعلّق بالاتصال بخدمات المعالج.
"الإجراءات الأمنية" لها المعنى الموضح في القسم 7.1.1 (الإجراءات الأمنية من Jibe).
"البنود التعاقدية النموذجية": تعني البنود التعاقدية النموذجية الصادرة عن المفوضية الأوروبية على الرابط https://privacy.google.com/businesses/gdprwizardterms/sccs، وهي بنود قياسية لحماية البيانات لنقل البيانات الشخصية إلى معالِجات تم إنشاؤها في بلدان أخرى ولا تضمن توفير مستوى كافٍ من الحماية للبيانات، كما هو موضّح في المادة 46 من "اللائحة العامة لحماية البيانات" في الاتحاد الأوروبي.
"الجهات الفرعية لمعالجة البيانات" يُقصد بها الجهات الخارجية المصرّح لها بموجب ملحق معالجة البيانات هذا بأن لها حق الوصول المنطقي إلى البيانات الشخصية للشركة ومعالجتها من أجل توفير أجزاء من خدمات معالج البيانات وأي دعم فني ذي صلة.
"السلطة الإشرافية" تعني، حسب مقتضى الحال: (أ) "سلطة إشرافية" على النحو المحدّد في اللائحة العامة لحماية البيانات في الاتحاد الأوروبي؛ و/أو (ب) "المفوّض" كما هو محدّد في اللائحة العامة لحماية البيانات في المملكة المتحدة.
تشير "المدة" إلى الفترة من تاريخ سريان البنود حتى نهاية توفير Jibe لخدمات معالج البيانات بموجب الاتفاقية.
يشير مصطلح "تاريخ سريان البنود" إلى تاريخ سريان الاتفاقية.
"الجهات الفرعية لمعالجة البيانات التابعة لجهات خارجية" لها المعنى الموضح في الفقرة 11.1 (الموافقة على مشاركة المعالجات الفرعية).
"اللائحة العامة لحماية البيانات في المملكة المتحدة" تعني اللائحة العامة لحماية البيانات في الاتحاد الأوروبي بنسختها المعدّلة والمضمنة في قانون المملكة المتحدة بموجب قانون (انسحاب) المملكة المتحدة من الاتحاد الأوروبي لعام 2018، إذا كان ساري المفعول.
2.2 المصطلحات التالية: "مسؤول التحكّم بالبيانات" و"صاحب البيانات" و"البيانات الشخصية" و"المعالجة" و"معالج البيانات" الواردة في ملحق معالجة البيانات، تحمل المعاني المنسوبة إليها في اللائحة العامة لحماية البيانات، كما تحمل البنود "مستورِد البيانات" و"جهة تصدير البيانات" المعاني الواردة في البنود التعاقدية النموذجية.
2.3 سيتم تفسير عبارات "بما في ذلك" أو "تضمين" أو أي تعبير مشابه على أنها توضيحية ولن تحد من معنى الكلمات التي تسبق تلك العبارات. تعتبر أي أمثلة في ملحق معالجة البيانات هذا مثالاً توضيحيًا وليست الأمثلة الوحيدة لمفهوم معين.
2.4 تُعد أية إشارة إلى إطار عمل قانوني أو قانون أو مرسوم تشريعي آخر بمثابة إشارة إليه بصيغتها المعدلة أو التي تتم إعادة سنها من حين لآخر.
2.5 إذا تمت ترجمة بنود معالجة البيانات هذه إلى أي لغة أخرى، وكان هناك تناقض بين النص باللغة الإنجليزية والنص المترجم، فسيتم الاحتكام إلى النص الإنجليزي.
3- مدة ملحق معالجة البيانات هذا
يسري "ملحق معالجة البيانات" هذا اعتبارًا من "تاريخ سريان البنود"، وبصرف النظر عما إذا كانت "المدة" قد انتهت صلاحيتها أم لا، سيظل ساريًا إلى أن يُحذف تلقائيًا كل البيانات الشخصية للشركة المقدَّمة من Jibe كما هو موضّح في "ملحق معالجة البيانات" هذا.
4. تطبيق ملحق معالجة البيانات هذا
4-1 تطبيق التشريعات الأوروبية لحماية البيانات. الفقرات 5 (معالجة البيانات) إلى 12 (الاتصال بـ Jibe، سجلات المعالجة) (شاملة) تنطبق فقط إلى الحد الذي تسري فيه التشريعات الأوروبية لحماية البيانات على معالجة البيانات الشخصية للشركة، بما في ذلك إذا:
(أ) تتم المعالجة في سياق أنشطة مؤسسة تابعة للشركة في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة و/أو
(ب) البيانات الشخصية للشركة هي بيانات شخصية تتعلق بأصحاب البيانات الموجودين في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة، وترتبط المعالجة بعرض السلع أو الخدمات لهم أو بمراقبة سلوكهم في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة.
4-2 تطبيق خدمات معالج البيانات. لا يسري "ملحق معالجة البيانات" هذا إلا على "خدمات معالج البيانات" التي وافق عليها الطرفان في "ملحق معالجة البيانات" هذا (مثلاً: (أ) خدمات "معالج البيانات" التي نقرت الشركة عليها لقبول "ملحق معالجة البيانات")، أو (ب) إذا كانت الاتفاقية تتضمّن "ملحق معالجة البيانات" هذا كمرجع، وخدمات "معالج البيانات" موضوع الاتفاقية.
4-3 إدراج بنود إضافية للتشريعات غير الأوروبية لحماية البيانات . تُكمِّل البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات بنود معالجة البيانات هذه.
5. معالجة البيانات
5-1 الأدوار والامتثال التنظيمي؛ التفويض.
5.1.1 مسؤوليات معالج البيانات ومسؤول التحكّم بالبيانات. يقرّ الطرفان ويوافقان على ما يلي:
(أ) يصف الملحق (1) موضوع وتفاصيل معالجة البيانات الشخصية للشركة؛
(ب) أنّ شركة Jibe هي جهة تعالج البيانات الشخصية للشركة بموجب التشريعات الأوروبية لحماية البيانات
(ج) أن تكون الشركة مسؤول التحكّم بالبيانات أو معالجها، حسب الاقتضاء، في البيانات الشخصية للشركة بموجب التشريعات الأوروبية لحماية البيانات؛
(د) يلتزم كل طرف بالالتزامات السارية عليه بموجب التشريعات الأوروبية لحماية البيانات في ما يتعلق بمعالجة البيانات الشخصية للشركة.
5.1.2 التفويض بواسطة مسؤول التحكّم بالبيانات لدى طرف ثالث. إذا كانت الشركة تمثل مُعالِج بيانات، فإن الشركة تؤكد لـ Jibe أن تعليماتها وإجراءاتها في ما يتعلق بالبيانات الشخصية للشركة، بما في ذلك تعيينها لـ Jibe كمعالج آخر، قد تم التصريح بذلك من قِبل مسؤول التحكّم بالبيانات ذي الصلة.
5-2 إرشادات الشركة. من خلال الدخول في ملحق معالجة البيانات هذا، فإن الشركة توجِّه Jibe إلى معالجة البيانات الشخصية للشركة وفقًا للقانون الساري فقط: (أ) توفير خدمات المعالج وأي دعم فني ذي صلة؛ (ب) كما هو محدَّد بشكل أكبر من خلال استخدام الشركة لخدمات معالج البيانات (بما في ذلك في الإعدادات والوظائف الأخرى لخدمات معالج البيانات) وأي دعم فني، بما في ذلك التعليمات المُوثَّقة في صياغة التعليمات، كما يؤكّد ذلك على توثيق البيانات (وفقًا للوثائق المُوثَّقة (كما هو مُوضَّح في المستندات التي وردت في التعليمات)
5.3 امتثال Jibe للإرشادات. ستلتزم Jibe بالتعليمات الموضحة في القسم 5.2 (تعليمات الشركة) (بما في ذلك ما يتعلق بنقل البيانات) ما لم تتطلب القوانين الأوروبية أو الوطنية التي تخضع لها Jibe معالجة أخرى للبيانات الشخصية للشركة من قبل Jibe، وفي هذه الحالة، ستخبرها Jibe الشركة (ما لم يحظر أي من هذه القوانين إجراء Jibe لهذا على أساس مصلحة مهمة).
5-4 المنتجات الإضافية. إذا كانت الشركة تستخدم أي منتج إضافي، فإن خدمات معالج البيانات قد تسمح لهذا المنتج الإضافي بالوصول إلى البيانات الشخصية للشركة على النحو المطلوب للتشغيل التفاعلي للمنتج الإضافي مع خدمات معالج البيانات. لا يسري ملحق معالجة البيانات هذا على معالجة البيانات الشخصية في ما يتعلق بتوفير أي منتج إضافي تستخدمه الشركة، بما في ذلك البيانات الشخصية التي يتم نقلها من هذا المنتج الإضافي أو إليه.
6. حذف البيانات
6-1 الحذف خلال مدة الاتفاقية.
6.1.1 خدمات المعالج مع وظيفة الحذف. خلال مدة الاتفاقية إذا كانت:
(أ) تتضمن وظائف خدمات المعالج خيارًا أمام الشركة لحذف البيانات الشخصية للشركة؛
(ب) تستخدم الشركة "خدمات معالج البيانات" لحذف بيانات شخصية معيّنة منها.
(ج) لا يمكن للشركة استعادة البيانات الشخصية المحذوفة للشركة (على سبيل المثال، من "المهملات")
ستحذف Jibe هذه البيانات الشخصية للشركة من أنظمتها في أقرب وقت ممكن عمليًا، ما لم تتطلب القوانين الأوروبية أو الوطنية التخزين.
6.1.2 خدمات المعالجات دون حذف وظائفها. وخلال المدة، إذا لم تتضمن وظائف خدمات المعالج خيار حذف الشركة للبيانات الشخصية للشركة، ستلتزم Jibe بأي طلب معقول من الشركة لتسهيل هذا الحذف، طالما كان ذلك ممكنًا مع مراعاة طبيعة خدمات معالج البيانات ووظائفها. ويجوز لشركة Jibe فرض رسوم (استنادًا إلى التكاليف المعقولة التي تفرضها Jibe) لأي حذف للبيانات بموجب الفقرة 6.1.2 (خدمات معالج البيانات دون حذف الوظيفة). وستقدم Jibe للشركة تفاصيل إضافية عن أي رسوم سارية وأساس حسابها قبل حذف أي بيانات.
6-2 الحذف عند انتهاء الصلاحية. بعد انتهاء المدة، ترشد الشركة شركة Jibe لحذف جميع البيانات الشخصية للشركة (بما في ذلك النسخ الحالية) من أنظمة جيبي وفقًا للقانون الساري. وستلتزم Jibe بهذه التعليمات في أقرب وقت ممكن عمليًا ما لم تتطلب القوانين الأوروبية أو الوطنية التخزين.
7. أمان البيانات
7.1 إجراءات وتعليمات أمان Jibe.
7.1.1 التدابير الأمنية في Jibe. ستطبّق Jibe تدابير فنية وتنظيمية لحماية البيانات الشخصية للشركة من التدمير غير المقصود أو غير القانوني، أو فقدها، أو تعديلها، أو إفشائها أو الوصول إليها بشكل غير مصرح به كما هو موضّح في الملحق (2) الإجراءات الأمنية). ويجوز لشركة Jibe تحديث الإجراءات الأمنية أو تعديلها من وقت لآخر، شريطة ألا تؤدي مثل هذه التحديثات والتعديلات إلى تدهور إجراءات الأمان بشكل عام.
7.1.2 الامتثال الأمني من قِبل Jibe الموظفين.
7.1.3 المساعدة الأمنية من Jibe. توافق الشركة على أن تساعد شركة Jibe الشركة في ضمان الالتزام بأي التزامات للشركة في ما يتعلق بأمان البيانات الشخصية وخرق البيانات الشخصية (مع مراعاة طبيعة معالجة البيانات الشخصية للشركة والمعلومات المتاحة لشركة Jibe)، بما في ذلك (إن أمكن) التزامات الشركة بموجب المواد 32 إلى 34 (بما يشمل) اللائحة العامة لحماية البيانات، من خلال:
(أ) تنفيذ الإجراءات الأمنية والحفاظ عليها وفقًا للفقرة 7.1.1 (الإجراءات الأمنية من Jibe)،
(ب) الالتزام ببنود الفقرة 7.2 (حوادث البيانات)؛ و
(ج) تزويد الشركة بوثائق الأمان وفقًا للقسم 7.5.1 (مراجعات وثائق الأمان) والمعلومات الواردة في ملحق معالجة البيانات هذا.
7-2 حوادث البيانات.
7.2.1 إشعار الحوادث. في حال علمت شركة Jibe بوجود حادثة بيانات، عليها: (أ) إبلاغ الشركة بحادث البيانات فورًا وبدون أي تأخير غير مبرر، و (ب) اتخاذ خطوات معقولة على الفور للحد من الضرر وتأمين البيانات الشخصية للشركة.
7.2.2 تفاصيل حادثة البيانات. ستوضح الإشعارات التي تم إجراؤها بموجب الفقرة 7.2.1 (إشعار الحادث) تفاصيل حادثة البيانات، إن أمكن، بما في ذلك الخطوات التي تم اتخاذها للتخفيف من المخاطر المحتملة والخطوات التي تنصح بها الشركة لمعالجة الحادث.
7.2.3 تسليم الإشعار.تُسلِّم شركة Jibe إشعارها بأي بيانات تحدث على عنوان البريد الإلكتروني لتلقِّي الإشعارات، أو وفقًا لتقدير Jibe (بما في ذلك إذا لم تقدم الشركة عنوان بريد إلكتروني للإشعار)، من خلال اتصال مباشر آخر (على سبيل المثال، من خلال مكالمة هاتفية أو اجتماع شخصي). تتحمّل الشركة وحدها مسؤولية توفير عنوان البريد الإلكتروني لتلقّي الإشعارات وضمان أنّ عنوان البريد الإلكتروني لتلقّي الإشعارات محدّث وصالح.
7.2.4 إشعارات الجهات الخارجية. تتحمّل الشركة وحدها مسؤولية الامتثال لقوانين إشعارات الحوادث السارية على الشركة والوفاء بأي التزامات للإشعارات من أطراف ثالثة في ما يتعلّق بأي حادثة بيانات.
7.2.5 لن يتم تفسير أي إقرار بخطأ من قِبل Jibe.Jibe أو الاستجابة لحادث بيانات بموجب الفقرة 7.2 (حوادث البيانات) على أنه إقرار من قبل Jibe بأي خطأ أو مسؤولية تتعلق بحدث البيانات.
7-3 مسؤوليات الشركة وتقييم الأمان.
7.3.1 مسؤوليات الأمان للشركة. كما توافق الشركة على أنه، مع عدم الإخلال بالتزامات "جيبي" بموجب الفقرة 7.1 (إجراءات الأمان والمساعدة في Jibe) و7.2 (حوادث البيانات):
(أ) تتحمل الشركة مسؤولية استخدامها لخدمات معالج البيانات، بما في ذلك:
(1) الاستفادة من خدمات معالج البيانات بشكل مناسب لضمان مستوى أمان ملائم للمخاطر التي تهدد البيانات الشخصية للشركة؛
و(2) تأمين بيانات اعتماد وأنظمة مصادقة الحساب والحساب التي تستخدمها الشركة للدخول إلى خدمات معالج البيانات؛
(ب) لا تلتزم Jibe بحماية البيانات الشخصية التي تختارها الشركة للنقل خارج أنظمة Jibe والجهات الفرعية لمعالجة البيانات أو نقلها.
7-3-2 التقييم الأمني للشركة. تقر الشركة وتوافق على أن (المعايير المتقدّمة، وتكاليف التنفيذ، وطبيعة النطاق، وسياقه، وأغراض معالجته للبيانات الشخصية للشركة، إضافة إلى المخاطر التي يتعرض لها الأفراد)، تُقرّ بالإجراءات الأمنية التي تم تنفيذها والحفاظ عليها بواسطة Jibe في القسم 7.1.1 (الإجراءات الأمنية من Jibe) توفير مستوى من الأمان الشخصي ضد المخاطر
7-4 شهادة الأمان. لتقييم مستوى التدابير الأمنية وضمان فعاليتها المستمرة، ستحافظ Jibe على شهادة ISO 27001.
7-5 مراجعات وتدقيق الامتثال.
7.5.1 مراجعات الوثائق الأمنية. ولتوضيح امتثال Jibe لالتزاماتها بموجب ملحق معالجة البيانات هذا، ستوفّر Jibe مستندات الأمان للمراجعة من قِبل العميل.
7.5.2 حقوق تدقيق الشركة.
(أ) ستسمح Jibe للشركة أو مدقق تابع لجهة خارجية عيّنته الشركة بإجراء عمليات تدقيق (بما في ذلك عمليات التفتيش) للتحقق من امتثال Jibe لالتزاماتها بموجب ملحق معالجة البيانات هذا وفقًا للفقرة 7.5.3 (بنود النشاط التجاري الإضافية لعمليات التدقيق). وستساهم Jibe في عمليات التدقيق هذه كما هو موضح في الفقرة 7.4 (عمليات التدقيق في الأمان) وهذا البند 7.
(ب) في حال سريان البنود التعاقدية القياسية بموجب الفقرة 10.2 (عمليات نقل البيانات)، ستسمح Jibe للشركة أو مدقق خارجي معين من قبل الشركة بإجراء عمليات التدقيق كما هو موضّح في البنود التعاقدية القياسية وفقًا للفقرة 7.5.3 (بنود النشاط التجاري الإضافية لعمليات التدقيق).
(جـ) إجراء تدقيق للتحقّق من امتثال Jibe لالتزاماتها بموجب ملحق معالجة البيانات هذا من خلال مراجعة الشهادة الصادرة لشهادة ISO 27001 (التي تعكس نتائج التدقيق التي أجراها مدقق تابع لجهة خارجية).
7.5.3 بنود عمل إضافية لعمليات التدقيق.
(أ) ترسل الشركة أي طلب لإجراء تدقيق بموجب القسم 7.5.2(أ) أو 7.5.2(ب) إلى Jibe على النحو الموضح في الفقرة 12.1 (التواصل مع Jibe).
(ب) بعد استلام "جيبي" لطلب بموجب الفقرة 7.5.3(أ)، ستناقش "جيبي" و"الشركة" وتوافقان مسبقًا على تاريخ البدء المعقول ونطاق ومدة عناصر التحكم في الأمان والسرية السارية على أي تدقيق بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب).
(ج) يجوز لشركة Jibe فرض رسوم (استنادًا إلى التكاليف المعقولة التي تفرضها Jibe) لأي عملية تدقيق بموجب البند 7.5.2(أ) أو 7.5.2(ب).وتوفِّر Jibe للشركة المزيد من التفاصيل عن أي رسوم سارية وأساس حسابها، قبل إجراء أي عملية تدقيق. وتتحمل الشركة مسؤولية أي رسوم يفرضها أي مدقق خارجي عيّنته الشركة لإجراء مثل هذا التدقيق.
(د) يجوز لشركة Jibe الاعتراض على أي مدقق خارجي عيّنته الشركة لإجراء أي تدقيق بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب) إذا رأى المدقق، بشكل معقول، أنه غير منافس أو مؤهل بشكل غير مناسب لشركة Jibe، أو بمعنى آخر غير ملائم بشكل واضح. ويتطلب أي اعتراض من جانب Jibe على الشركة تعيين مدقق آخر أو إجراء التدقيق نفسه.
(هـ) لا يستلزم أي من ملحق معالجة البيانات هذا أن يكشف جيبي إما للشركة أو مدقق الجهة الخارجية التابع لها، أو للسماح للشركة أو مدقق الجهة الخارجية بالدخول إلى:
(1) أي بيانات لأي عميل آخر لكيان Jibe؛
(2) أي معلومات محاسبية أو مالية لكيان Jibe؛
(3) أي من الأسرار التجارية لكيان Jibe؛
أو (4) أي معلومات تعتقد، وفقًا لـ Jibe بشكل معقول، أن: (أ) قد تشكل خطرًا على أمان أنظمة أو مقرات كيان Jibe، أو (ب) التسبب في خرق أي من كيانات Jibe لالتزاماتها بموجب التشريعات الأوروبية لحماية البيانات أو التزاماتها المتعلقة بالأمان و/أو الخصوصية للشركة أو أي طرف ثالث
(5) أي معلومات تسعى الشركة أو مدقق الجهة الخارجية إلى الوصول إليها لأي سبب آخر غير تلبية طلبات الشركة بحسن نية بموجب التشريعات الأوروبية لحماية البيانات.
7.5.4 عدم تعديل البنود التعاقدية القياسية. في حال تطبيق البنود التعاقدية النموذجية بموجب الفقرة 10.2 (عمليات نقل البيانات)، لا تختلف أي من الأحكام الواردة في الفقرة 7.5 هذه (المراجعات وعمليات التدقيق في الامتثال) عن أي حقوق أو التزامات للشركة أو Jibe بموجب البنود التعاقدية النموذجية.
8. استشارات وتقييمات التأثير
توافق الشركة على أن تساعد شركة Jibe الشركة في ضمان الالتزام بأي التزامات للشركة في ما يتعلق بتقييمات تأثير حماية البيانات والاستشارة السابقة (مع مراعاة طبيعة المعالجة والمعلومات المتاحة لشركة Jibe)، بما في ذلك (إن أمكن) التزامات الشركة بموجب المادتين 35 و36 من اللائحة العامة لحماية البيانات، من خلال:
(أ) توفير وثائق الأمان وفقًا للفقرة 7.5.1 (مراجعات لوثائق الأمان)؛
و(ب) تقديم المعلومات الواردة في ملحق معالجة البيانات هذا و
(جـ) توفير المواد الأخرى المتعلقة بطبيعة خدمات معالج البيانات ومعالجتها للبيانات الشخصية للشركة (على سبيل المثال، مواد مركز المساعدة) أو وفقًا للممارسات القياسية المتبعة في Jibe.
9. حقوق صاحب البيانات
9-1 الردود على طلبات أصحاب البيانات. في حال تلقّي Jibe طلبًا من صاحب بيانات في ما يتعلق بالبيانات الشخصية للشركة، ستلتزم بما يلي:
(أ) إذا تم تقديم الطلب من خلال أداة صاحب البيانات، يمكنك الرد مباشرةً على طلب صاحب البيانات وفقًا للوظيفة القياسية لأداة أداة البيانات هذه، أو
(ب) إذا لم يتم تقديم الطلب من خلال أداة صاحب البيانات، فأبلغ البيانات الخاضعة لإرسال طلبها إلى الشركة، وستكون الشركة مسؤولة عن الرد على هذا الطلب.
9.2 مساعدة طلب صاحب البيانات لدى Jibe. توافق الشركة على أن تساعد شركة Jibe الشركة في الوفاء بأي التزام تلتزم به الشركة في الرد على الطلبات المقدمة من أصحاب البيانات (مع الأخذ في الاعتبار طبيعة معالجة البيانات الشخصية للشركة، وإن أمكن، المادة 11 من اللائحة العامة لحماية البيانات)، بما في ذلك (إن أمكن) التزام الشركة بالرد على طلبات ممارسة حقوق صاحب البيانات في الفصل الثالث من اللائحة العامة لحماية البيانات، وذلك عن طريق:
(أ) توفير وظائف خدمات معالج البيانات،
(ب) الالتزام بالالتزامات الواردة في الفقرة 9.1 (الردود على طلبات أصحاب البيانات)
(جـ) توفير أدوات موضوع البيانات إذا كانت منطبقة على خدمات معالج البيانات.
10. عمليات نقل البيانات
10-1 منشآت تخزين البيانات ومعالجتها. وتوافق الشركة على أنه يجوز لـ Jibe، بموجب القسم 10.2 (عمليات نقل البيانات)، تخزين البيانات الشخصية للشركة ومعالجتها في أي بلد تمتلك فيه Jibe أو أي من الجهات الفرعية لمعالجة البيانات التابعة لها.
10-2 عمليات نقل البيانات.
إذا كان تخزين البيانات الشخصية للشركة و/أو معالجتها يتضمن نقل البيانات الشخصية للشركة من المنطقة الاقتصادية الأوروبية أو سويسرا أو المملكة المتحدة إلى أي بلد ثالث لا يخضع لقرار مدى الملاءمة بموجب التشريعات الأوروبية لحماية البيانات:
(أ) اعتبار الشركة (كجهة تصدير البيانات) متعاقدة مع Jibe (كجهة استيراد البيانات) كبنود تعاقدية قياسية
(ب) ستخضع عمليات النقل لبنود تعاقدية قياسية؛
(ج) ستتم الإشارة إلى Google LLC والعميل في البنود التعاقدية النموذجية على شركة Jibe والشركة على التوالي.
10-3 معلومات مركز البيانات. وتتوفر معلومات حول مواقع مراكز بيانات Google على www.google.com/about/datacenters/locations/index.html.
11- المعالجات الفرعية
11-1 الموافقة على تفاعل المعالج الفرعي. تسمح الشركة على وجه الخصوص بمشاركة الجهات التابعة لشركة Jibe كمعالجين فرعيين ("Jibe Affiliate SubProcessers"). بالإضافة إلى ذلك، تسمح الشركة بشكل عام بمشاركة أي جهات خارجية أخرى كمعالجين فرعيين ("الجهات الفرعية لمعالجة البيانات الفرعية").
11-2 معلومات عن المعالجات الفرعية. وبناءً على طلب كتابي من الشركة، ستقدم "جيبي" معلومات بشأن المعالجات الفرعية ومواقعها. ويجب إرسال هذه الطلبات إلى Jibe باستخدام تفاصيل الاتصال الموضَّحة في الفقرة 12.1 (التواصل مع Jibe).
11-3 متطلبات مشاركة المعالجات الفرعية. عند الاستعانة بأي معالج فرعي، ستعمل Jibe على:
(أ) ضمان ما يلي من خلال عقد مكتوب:
(1) وصول المعالج الفرعي إلى البيانات الشخصية للشركة واستخدامها فقط إلى الحد المطلوب لتنفيذ الالتزامات التي تم التعاقد عليها من الباطن، وذلك وفقًا للاتفاقية (بما في ذلك ملحق معالجة البيانات هذا) - وإن أمكن - بموجب الفقرة 10.2 (عمليات نقل البيانات)، والبنود التعاقدية النموذجية،
و(ب) في حال كانت "اللائحة العامة لحماية البيانات" تسري على معالجة البيانات الشخصية للشركة، يتم فرض التزامات حماية البيانات الواردة في المادة 28(3) من "اللائحة العامة لحماية البيانات" على المعالج الفرعي.
(ب) يظل مسؤولاً بشكل كامل عن جميع الالتزامات التي تم التعاقد عليها من الباطن، وجميع أفعال وإغفال المعالج الفرعي.
11-4 فرصة الاعتراض على تغييرات المعالجات الفرعية.
(أ) عندما يتم استخدام أي معالج فرعي تابع لجهة خارجية خلال المدة المُحدَّدة، ستُعلِم شركة Jibe الشركة بعملية التفاعل (بما في ذلك اسم وموقع المعالج الفرعي ذي الصلة والأنشطة التي ستؤديها) عن طريق إرسال رسالة إلكترونية إلى عنوان البريد الإلكتروني لتلقِّي الإشعارات قبل 30 يومًا على الأقل من معالجة المعالج الفرعي للجهة الخارجية لأي بيانات شخصية للشركة.
(ب) يجوز للشركة الاعتراض على أي معالج فرعي تابع لجهة خارجية من خلال إنهاء الاتفاقية فورًا بموجب إشعار كتابي مُرسل إلى شركة Jibe، شرط أن تقدم الشركة هذا الإشعار في غضون 90 يومًا من تاريخ إبلاغها بمشاركة المعالج الفرعي الفرعي الجديد كما هو موضح في الفقرة 11.4(أ). ويُعتبر حق الإنهاء هذا بمثابة التعويض الوحيد والحصري للشركة إذا اعترضت الشركة على أي معالج فرعي فرعي جديد.
12- التواصل مع Jibe ومعالجة السجلات
12-1 التواصل مع Jibe. يجوز للشركة الاتصال بـ Jibe في ما يتعلق بملحق معالجة البيانات هذا عبر جهة اتصال حماية بيانات RCS من Jibe التي يمكن الوصول إليها من خلال http://issuetracker.google.com أو من خلال الوسائل الأخرى التي قد توفرها Jibe من وقت لآخر.
12-2 سجلات معالجة Jibe. تقر الشركة بأنّ Jibe مطالبة بموجب اللائحة العامة لحماية البيانات (GDPR) بإجراء ما يلي: (أ) جمع سجلات معلومات معيّنة وصيانتها، بما في ذلك اسم كل جهة معالجة و/أو مسؤول تحكّم بالبيانات و/أو جهة اتصال تتصرف نيابة عنها، ومثل (إن أمكن) الممثل المحلي لمثل هذا المعالج أو مسؤول التحكّم بالبيانات و(ب) إتاحة هذه المعلومات لأي هيئة إشرافية. وبناءً على ذلك، عندما تطلب الشركة ذلك وتطبّق تلك المعلومات، فإنها ستقدم هذه المعلومات إلى Jibe من خلال واجهة المستخدم لخدمات المعالج أو من خلال أي وسيلة أخرى قد توفرها Jibe، وستستخدم واجهة المستخدم هذه أو وسائل أخرى لضمان الحفاظ على دقة جميع المعلومات المقدمة وتحديثها باستمرار.
13- المسؤولية
13-1 الحد الأقصى للمسؤولية. بصرف النظر عن أي شيء آخر في الاتفاقية، فإن إجمالي مسؤولية أي من الطرفين تجاه الطرف الآخر بموجب ملحق معالجة البيانات هذا أو في ما يتعلق به سيكون مقيدًا بأقصى مبلغ نقدي أو مستند إلى الدفع يتم تحديده كمسؤولية لهذا الطرف بموجب الاتفاقية (وبالتالي لا يسري أي استبعاد للسرية أو التعويضات في ما يتعلق بتحديد المسؤولية المتعلقة بعدم الأمان على البيانات في ما يتعلق بحماية هذه البيانات من خلال مسؤولية الحفاظ على البيانات في ما يتعلق بحماية هذه البيانات من خلال مسؤولية الحفاظ على البيانات من خلال مسؤولية الحفاظ على البيانات من خلال مسؤولية الحفاظ على البيانات). لا شيء في هذه المادة 13 (المسؤولية) تستثني أو تحدد مسؤولية أي طرف من الطرفين في ما يلي: (أ) الوفاة أو الإصابة الشخصية الناتجة عن إهماله أو إهمال موظفيه أو وكلائه أو (ب) الاحتيال أو تقديم بيانات كاذبة بغرض الاحتيال أو (ج) المسائل التي لا يمكن استبعاد المسؤولية بشأنها أو تقييدها بموجب القانون الساري.
13-2 المسؤولية إذا انطبقت البنود التعاقدية القياسية. في حال سريان البنود التعاقدية النموذجية بموجب الفقرة 10.2 (عمليات نقل البيانات)، ستخضع المسؤولية المجمّعة لكل طرف والجهات التابعة له تجاه الطرف الآخر والشركات التابعة له بموجب الاتفاقية أو في ما يتعلّق بالبنود التعاقدية النموذجية الواردة في الفقرة 13.1 (الحدّ الأقصى للمسؤولية).
14- الأطراف الثالثة المستفيدة
إذا كانت الشركة التابعة لأحد الطرفين طرفًا في البنود التعاقدية القياسية التي تنطبق بموجب الفقرة 10.2 (عمليات نقل البيانات)، فستكون تلك الجهة التابعة جهة خارجية مستفيدة من الفقرات 6.2 (حذف عند انتهاء مدة الاتفاقية) و7.5 (المراجعات والتعديلات من 1 إلى 5) و13. إلى الحد الذي تتعارض فيه الفقرة 14 هذه (الأطراف الخارجية) أو لا تتوافق مع أي بند آخر في الاتفاقية، يتم تطبيق الفقرة 14 هذه (الأطراف الخارجية).
15- تأثير ملحق معالجة البيانات هذا
في حال وجود أي تعارض أو تناقض بين البنود التعاقدية النموذجية والبنود الإضافية للتشريعات غير الأوروبية لحماية البيانات وملحق معالجة البيانات هذا وباقي الاتفاقية، يُطبق ترتيب الأولوية التالي:
(أ) البنود التعاقدية القياسية؛
(ب) البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات
و(ج) بقية بنود معالجة البيانات؛ و
(د) ما تبقى من الاتفاقية.
إذا تمت ترجمة هذه الاتفاقية (بما في ذلك أي ملحق) إلى أي لغة أخرى، وحدث تعارض مع النص المترجم أو كان غير متسق مع النص الإنجليزي، فسيتم الاحتكام إلى النص الإنجليزي.
ووفقًا للتعديلات الواردة في "ملحق معالجة البيانات" هذا، تظل الاتفاقية تامة السريان والتنفيذ.
16. التغييرات على ملحق معالجة البيانات هذا
16.1 تغييرات عناوين URL:
16-2 تغييرات بنود معالجة البيانات. يجوز لـ Jibe تغيير ملحق معالجة البيانات هذا إذا كان التغيير:
(أ) يسمح صراحةً بملحق معالجة البيانات هذا، بما في ذلك الفقرات رقم 16.1 (التغييرات على عناوين URL)
(ب) تعكس تغيير اسم كيان قانوني أو شكله؛
(ج) مطلوب للالتزام بالقانون الساري أو اللوائح السارية أو أمر محكمة أو توجيه صادر من جهة تنظيمية أو وكالة حكومية.
(د) لا ينتج عنه (1) تدهور في الأمن العام لخدمات معالج البيانات، أو (2) توسيع نطاق أي قيود على الخدمات غير الأوروبية أو إزالتها، أو (س) في حالة البنود الإضافية لحماية البيانات غير الأوروبية، أو حقوق شركة Jibe في استخدام البيانات أو معالجتها في غير ذلك من البنود الإضافية التي تنص عليها سياسة "المعالجة البديلة للبيانات"
16-3 الإشعار بالتغييرات. في حال أرادت شركة Jibe تغيير ملحق معالجة البيانات هذا بموجب الفقرة 16.2 (ج) أو (د)، ستخبر شركة جيبي الشركة ما لا يقل عن 30 يومًا (أو الفترة القصيرة التي قد يُطلَب فيها الالتزام بالقانون الساري أو اللوائح السارية أو أمر المحكمة أو توجيه صادر عن جهة حكومية أو هيئة حكومية) قبل تفعيل التغيير، وذلك من خلال أحد الخيارين التاليين: (أ) إرسال رسالة إلكترونية إلى واجهة المستخدم الخاصة بالإشعارات. وفي حال اعتراض الشركة على أي تغيير من هذا القبيل، يجوز للشركة إنهاء الاتفاقية بتقديم إشعار كتابي إلى Jibe في غضون 90 يومًا من إبلاغها بالتغيير.
الملحق 1: مسألة الموضوع وتفاصيل معالجة البيانات
أهمية الموضوع
توفير Jibe لخدمات معالج البيانات وأي دعم فني ذي صلة بالشركة.
مدة المعالجة
المدة بالإضافة إلى الفترة من انتهاء المدة إلى حذف جميع البيانات الشخصية للشركة من قبل Jibe وفقًا لملحق معالجة البيانات هذا.
طبيعة العملية والغرض منها
ستعالج Jibe البيانات الشخصية للشركة بغرض توفير خدمات المعالج وأي دعم فني مرتبط بها وفقًا لملحق معالجة البيانات هذا (بما في ذلك، وفقًا لما هو سارٍ على خدمات معالج البيانات والتعليمات الموضحة في الفقرة 5.2 (تعليمات الشركة)، وجمع البيانات وتسجيلها وتنظيمها وهيكلها وتخزينها وتغييرها واسترجاعها واستخدامها والإفصاح عنها ودمجها ومحوها ومسحها وأي بيانات أخرى).
أنواع البيانات الشخصية
البيانات الشخصية المتعلقة بالأفراد الذين يتم تقديمهم إلى Jibe عبر "خدمات المعالجة" من قِبل (أو من قِبل) الشركة أو المستخدمين النهائيين.
فئات مواضيع البيانات
وتشمل مواضيع البيانات الأفراد الذين يتم تقديم البيانات لهم إلى Jibe عبر خدمات المعالجة من قِبل (أو من قِبل) الشركة أو المستخدمين النهائيين.
الملحق 2: الإجراءات الأمنية
واعتبارًا من "تاريخ سريان البنود"، ستطبّق "جيبي" الإجراءات الأمنية وتحافظ عليها في هذا الملحق 2. يجوز لشركة Jibe تحديث إجراءات الأمان هذه أو تعديلها من وقت لآخر، شريطة ألا تؤدي مثل هذه التحديثات والتعديلات إلى تدهور الأمان العام لخدمات معالج البيانات.
1. مركز البيانات وأمن الشبكة
(أ) مراكز البيانات:
البنية الأساسية. تمتلك شركة Jibe مراكز بيانات موزّعة جغرافيًا. تخزّن Jibe كل بيانات الإنتاج في مراكز بيانات آمنة فعليًا.
التكرار تم تصميم أنظمة البنية التحتية للقضاء على نقاط الإخفاق الفردية والحد من تأثير المخاطر البيئية المتوقعة. وتساعد الدوائر المزدوجة أو مفاتيح التبديل أو الشبكات أو غيرها من الأجهزة الضرورية في توفير هذا التكرار. تم تصميم خدمات "المعالج" للسماح لشركة Jibe بإجراء أنواع معيّنة من أعمال الصيانة الوقائية والتصحيحية بدون انقطاع. لقد وثّقت جميع المعدات والمرافق البيئية إجراءات الصيانة الوقائية التي تفصّل عملية الأداء ومعدل تكراره وفقًا لمواصفات الشركة المصنّعة أو المواصفات الداخلية. وتتم جدولة الصيانة الوقائية والتصحيحية لمعدات مركز البيانات من خلال عملية قياسية وفقًا للإجراءات الموثقة.
الطاقة. تم تصميم أنظمة الطاقة الكهربائية في مركز البيانات لتكون متكررة ويمكن الحفاظ عليها بدون التأثير في العمليات المستمرة، 24 ساعة في اليوم، و7 أيام في الأسبوع. في معظم الحالات، يتم توفير مصدر طاقة أساسي ومصدر طاقة بديل، كل منهما بسعة متساوية، لمكونات البنية التحتية المهمة في مركز البيانات. يتم توفير الطاقة الاحتياطية من خلال آليات متنوعة مثل بطاريات مزوّدة بالطاقة (UPS) لا ينقطع، والتي توفر باستمرار حماية طاقة موثوق بها أثناء انقطاع التيار الكهربائي للمرافق، وانقطاع التيار الكهربائي، وفوط الجهد، والجهد الكهربي، وطاقة الترددات. في حالة انقطاع التيار الكهربائي، يتم تصميم الطاقة الاحتياطية لتوفير طاقة انتقالية إلى مركز البيانات، بكامل طاقته، لمدة تصل إلى 10 دقائق حتى تستولِي أنظمة مولّد الديزل. تستطيع مولدات الديزل بدء التشغيل تلقائيًا في غضون ثوانٍ لتوفير ما يكفي من الطاقة الكهربائية في حالات الطوارئ لتشغيل مركز البيانات بكامل طاقته عادة لمدة أيام.
أنظمة تشغيل الخوادم. تستخدم خوادم Jibe أنظمة تشغيل قوية ومخصصة لتلبية احتياجات الخادم الفريدة للمؤسسة. يتم تخزين البيانات باستخدام خوارزميات خاصة لتعزيز أمان البيانات وتكرارها. تستخدم Jibe عملية مراجعة للرمز لزيادة أمان الرمز المستخدَم لتوفير "خدمات المعالج" وتحسين منتجات الأمان في بيئات الإنتاج.
استمرارية الأنشطة التجارية. تنسخ Jibe البيانات عبر أنظمة متعددة للمساعدة في الحماية من التلف أو الفقد غير المقصود. صممت Jibe وخطط بشكل منتظم لبرامج استمرارية أعمالها/التخطيط للكوارث.
(ب) الشبكات ونقل البيانات.
نقل البيانات. عادة ما يتم ربط مراكز البيانات عبر روابط خاصة عالية السرعة لتوفير نقل البيانات بشكل آمن وسريع بين مراكز البيانات. وقد تم تصميم هذا الإجراء لمنع قراءة البيانات أو نسخها أو تعديلها أو إزالتها بدون الحصول على إذن أثناء النقل الإلكتروني أو النقل أو أثناء تسجيلها على وسائط تخزين البيانات. تنقل Jibe البيانات عبر بروتوكولات الإنترنت القياسية.
سطح الهجوم الخارجي. يستخدم Jibe طبقات متعددة من أجهزة الشبكة واكتشاف التسلل لحماية سطح الهجوم الخارجي. تفحص Jibe موجهات الهجمات المحتملة وتضمن التقنيات المناسبة المصممة لغرض محدد في الأنظمة الخارجية.
اكتشاف التسلل. والهدف من اكتشاف التسلل هو تقديم إحصاءات حول نشاط الهجوم المستمر وتوفير معلومات كافية للاستجابة للحوادث. يتضمن كشف التسلل من Jibe ما يلي:
التحكّم بإحكام في حجم الهجوم الذي تتعرض له Jibe ومكوّناته من خلال إجراءات وقائية
استخدام عناصر التحكّم في الرصد الذكي عند نقاط إدخال البيانات
استخدام تقنيات تعالج تلقائيًا حالات خطيرة.
الاستجابة للحوادث. تراقب Jibe مجموعة متنوعة من قنوات الاتصال للتأكد من عدم وجود حوادث أمنية، وسيستجيب موظفو أمن Jibe فورًا للحوادث المعروفة.
تقنيات التشفير. يجعل Jibe تشفير HTTPS (يُشار إليه أيضًا باتصال طبقة المقابس الآمنة أو طبقة النقل الآمنة). تتوافق خوادم Jibe مع المنحوتات البيضاوية المؤقتة الزوايا التبادل المشفر لمفاتيح Diffie Hellman الموقّعة مع RSA وECDSA. وتساعد طرق "السرية التامة لمفاتيح الجلسات المستقبلية" (PFS) على حماية حركة المرور وتقليل تأثير أي مفتاح مُختَرق أو اختراق التشفير.
2- عناصر التحكُّم في الوصول والموقع الإلكتروني
(أ) عناصر التحكم في الموقع.
عملية أمان داخل مركز البيانات بالموقع. تُحافظ مراكز البيانات في Jibe على إجراء عملية أمنية في الموقع مسؤولة عن جميع وظائف أمان مراكز البيانات الفعلية على مدار الساعة طوال أيام الأسبوع. ويعمل موظفو العمليات الأمنية في الموقع على مراقبة كاميرات المراقبة المغلقة ("CCTV") وجميع أنظمة الإنذار. ينفّذ أفراد العمليات الأمنية في الموقع دوريات داخلية وخارجية لمركز البيانات.
إجراءات الوصول إلى مركز البيانات. وتحتفظ Jibe بإجراءات الوصول الرسمية للسماح بالوصول الفعلي إلى مراكز البيانات. توجد مراكز البيانات في مرافق تتطلب الوصول عبر مفتاح بطاقة إلكترونية، مع منبّهات مرتبطة بعملية الأمان في الموقع. على جميع المشتركين في مركز البيانات تعريف أنفسهم وتقديم إثبات الهوية للعمليات الأمنية على الموقع. لا يُسمح إلا للموظفين والمتعاقدين والزائرين المصرح لهم بالدخول إلى مراكز البيانات. لا يُسمح إلا للموظفين والمتعاقدين المصرح لهم فقط بطلب الوصول إلى البطاقة الإلكترونية عبر هذه المرافق. يجب تقديم طلبات الوصول إلى مفتاح البطاقة الإلكترونية لمركز البيانات مسبقًا وكتابةً، وتتطلب موافقة مدير مقدِّم الطلب ومدير مركز البيانات. يتعيّن على جميع المشاركين الآخرين الذين يحتاجون إلى الدخول إلى مركز البيانات مؤقتًا: (1) الحصول على موافقة مسبقة من مديري مراكز البيانات للمراكز المحددة والمناطق الداخلية التي يرغبون في زيارتها؛ و(2) تسجيل الدخول في عمليات الأمان في الموقع؛ و (3) الإشارة إلى سجل دخول معتمد إلى مركز البيانات يحدد هوية الشخص على أنه تمت الموافقة عليه.
أجهزة أمان مركز البيانات في الموقع. تستخدم مراكز بيانات Jibe مفتاحًا إلكترونيًا للبطاقة ونظامًا للتحكم في الوصول بالمقاييس الحيوية مرتبطًا بتنبيه النظام. يراقب نظام التحكم في الدخول مفتاح البطاقة الإلكترونية لكل فرد ويسجّله، وعندما يدخل إلى الأبواب المحيطة والشحن والاستلام وغير ذلك من المناطق المهمة. يسجل نظام التحكم في الدخول النشاط غير المصرح به ومحاولات الدخول الفاشلة ويجري التحقيق فيه على النحو المناسب. يتم تقييد الوصول غير المصرح به عبر العمليات التجارية ومراكز البيانات استنادًا إلى المناطق والمسؤوليات الوظيفية للفرد. إنّ أبواب الحرائق في مراكز البيانات تُصدر إنذارًا. تعمل كاميرات المراقبة من داخل مراكز البيانات وخارجها. تم تصميم موضع الكاميرات لتغطية المناطق الإستراتيجية بما في ذلك، من بين مناطق أخرى، المحيط وأبواب مبنى مركز البيانات، والشحن/الاستلام. يدير موظفو العمليات الأمنية في الموقع أجهزة المراقبة والتسجيل والمراقبة في كاميرا CCTV. تربط الكابلات الآمنة في جميع مراكز البيانات معدات CCTV. تسجّل الكاميرات في الموقع عبر مسجلات الفيديو الرقمية على مدار الساعة طوال أيام الأسبوع. يتم الاحتفاظ بسجلات المراقبة لمدة 7 أيام على الأقل استنادًا إلى النشاط.
(ب) التحكم في الدخول.
موظفو أمن البنية الأساسية. تمتلك جيبي سياسة أمان لموظفيها وتحافظ عليها، كما تتطلب تدريبًا أمنيًا كجزء من حزمة تدريب موظفيها. ويكون موظفو أمان البنية التحتية في Jibe مسؤولين عن المراقبة المستمرة للبنية الأساسية للأمان في Jibe، ومراجعة خدمات المعالج، والرد على الحوادث الأمنية.
التحكم في الدخول وإدارة الامتيازات. على مشرفي ومستخدمي الشركة مصادقة أنفسهم من خلال نظام مصادقة مركزي أو من خلال تسجيل دخول واحد على النظام من أجل استخدام خدمات "المعالج".
العمليات والسياسات الداخلية للوصول إلى البيانات – سياسة الوصول. تم تصميم عمليات وسياسات الوصول الداخلية إلى البيانات في Jibe لمنع الأشخاص و/أو الأنظمة غير المصرح لهم من الدخول إلى الأنظمة المستخدمة لمعالجة البيانات الشخصية. تهدف Jibe إلى تصميم أنظمتها من أجل: (1) السماح فقط للأشخاص المصرح لهم بالدخول إلى البيانات المصرح لهم بالدخول إليها، و (2) ضمان عدم إمكانية قراءة البيانات الشخصية أو نسخها أو تغييرها أو إزالتها بدون الحصول على إذن أثناء المعالجة واستخدامها وبعد التسجيل. تم تصميم الأنظمة للكشف عن أي وصول غير ملائم. تستخدم Jibe نظامًا مركزيًا لإدارة الوصول للتحكم في وصول الموظفين إلى خوادم الإنتاج، ولا توفر سوى إمكانية الدخول إلى عدد محدود من الموظفين المصرح لهم. تم تصميم LDAP و Kerberos ونظام مملوك يستخدم شهادات SSH لتزويد Jibe بآليات دخول آمنة ومرنة. هذه الآليات مصممة لمنح حقوق الوصول المعتمدة فقط لمضيفي المواقع والسجلات والبيانات ومعلومات التهيئة. يتطلب Jibe استخدام أرقام تعريف فريدة للمستخدمين، وكلمات مرور قوية، والمصادقة الثنائية، وقوائم الدخول التي تتم مراقبتها بعناية للحد من احتمالية استخدام الحساب بشكل غير مصرح به. يستند منح حقوق الوصول أو تعديلها إلى: مسؤوليات وظيفتَي الموظفين المعتمَدين، ومتطلّبات واجبات العمل اللازمة لأداء المهام المرخَّصة، والحاجة إلى معرفة. ويجب أيضًا أن يكون منح حقوق الوصول أو تعديلها وفقًا للسياسات الداخلية لتدريب Jibe على الوصول إلى البيانات وتدريبها. تتم إدارة الموافقات من خلال أدوات سير العمل التي تحتفظ بسجلات تدقيق لجميع التغييرات. يتم تسجيل الدخول إلى الأنظمة لإنشاء مسار تدقيق للمساءلة. عند استخدام كلمات المرور للمصادقة (مثل تسجيل الدخول إلى محطات العمل)، يتم تطبيق سياسات كلمات المرور التي تتبع على الأقل الممارسات القياسية في المجال. وتشمل هذه المعايير قيودًا على إعادة استخدام كلمة المرور ومدى قوة كلمة المرور الكافية.
3- البيانات
(أ) تخزين البيانات، والعزل والمصادقة.
تخزّن Jibe البيانات في بيئة متعددة العملاء على خوادم تملكها شركة Jibe. البيانات وقاعدة بيانات خدمات المعالج وبنية نظام الملفات يتم نسخها بين عدة مراكز بيانات موزعة جغرافيًا. تعمل Jibe على عزل بيانات كل عميل على نحو منطقي. يتم استخدام نظام مصادقة مركزي في جميع "خدمات معالج البيانات" لزيادة مستوى أمان البيانات بشكل مُوحَّد.
(ب) إرشادات حول كيفية التخلص من الأقراص والتخلص منها.
قد تواجه بعض الأقراص التي تحتوي على بيانات مشاكل في الأداء أو أخطاء أو إخفاق في الأجهزة، ما يؤدي إلى إيقافها ("قرص تم إيقافه"). ويخضع كل قرص تم إيقاف تشغيله لسلسلة من عمليات تدمير البيانات ("إرشادات تدمير البيانات") قبل مغادرة مباني Jibe إما لإعادة الاستخدام أو الإتلاف. يتم مسح الأقراص التي لم تعد متاحة في عملية متعددة الخطوات ويتم التحقق منها من قبل مدققين مستقلين على الأقل. ويتم تسجيل نتائج المحو النهائي باستخدام الرقم التسلسلي للتتبُّع على القرص الذي يتم إلغاء ربطه. وأخيرًا، يتم إصدار القرص الذي تم محو بياناته من القرص للمستودع لإعادة استخدامه وإعادة نشره. إذا تعذّر محو القرص الذي تم إخراجه بسبب تعطل الأجهزة، يتم تخزينه بشكل آمن حتى يمكن تدميره. تتم مراجعة كل منشأة بانتظام لمراقبة امتثالها لإرشادات إتلاف البيانات.
4- أمن الموظفين
يتعين على موظفي Jibe التصرف وفقًا لإرشادات الشركة بشأن السرية، وأخلاقيات العمل، والاستخدام المناسب، والمعايير المهنية. يُجري جيبي عمليات فحص أمني مناسبة إلى الحد الذي يسمح به القانون وبما يتفق مع قانون العمل المحلي واللوائح القانونية السارية.
ويُطلب من الموظفين تنفيذ اتفاقية السرية ويجب أن يتلقّوا الإقرار بسرية وخصوصية سياسات Jibe والامتثال لها. يتم تزويد الموظفين بتدريب أمني. الموظفون الذين يتعاملون مع الموظفين يجب تقديم البيانات الشخصية للشركة لاستيفاء متطلبات إضافية مناسبة لأدوارهم الوظيفية. لن يعالج موظفو Jibe البيانات الشخصية للشركة بدون إذن
5- أمان المعالجات الفرعية
قبل إعداد الجهات الفرعية لمعالجة البيانات، تُجري Jibe تدقيقًا لممارسات الأمان والخصوصية لدى الجهات الفرعية لمعالجة البيانات لضمان توفير مستوى أمان وخصوصية مناسبَين لوصول الجهات الفرعية إلى البيانات ونطاق الخدمات التي تعمل الشركة على توفيرها. بعد تقييم Jibe للمخاطر التي يمثلها المعالج الفرعي، وفقًا للمتطلبات الواردة في القسم 11.3 (متطلبات مشاركة المعالجات الفرعية)، يُطلب من المعالج الفرعي الالتزام ببنود الأمان والسرية وعقد العقد المناسبة.
الملحق 3: البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات
تُكمِّل البنود الإضافية التالية للتشريعات غير الأوروبية لحماية البيانات بنود معالجة البيانات هذه:
- ملحق مقدّم الخدمة لقانون خصوصية المستهلك في كاليفورنيا (CCPA) على privacy.google.com/businesses/gdprwizardterms/ccpa (بتاريخ 27 آب (أغسطس) 2020)
- ملحق معالجات قانون LGPD على الرابط privacy.google.com/businesses/gdprwizardrterms/lgpd (بتاريخ 27 آب (أغسطس) 2020)
بنود معالجة بيانات Jibe، الإصدار 2.0
27 آب (أغسطس) 2020