ملحق معالجة البيانات

2.3 سيتم تفسير المصطلحات "بما في ذلك" أو "تشمل" أو أي تعبير مشابه ككلمات توضيحية، ولن تحدّ من معنى الكلمات التي تسبق هذه المصطلحات. إنّ أيّ أمثلة واردة في "ملحق معالجة البيانات" هذا هي أمثلة توضيحية وليست الوحيدة لمفهوم معيّن.

2.4 إنّ أي إشارة إلى إطار عمل قانوني أو قانون أو مرسوم تشريعي آخر تعبِّر عنه بصيغته المعدَّلة أو المُعاد سنّها من حين لآخر.

2.5 في حال تُرجمت "بنود معالجة البيانات" هذه إلى أي لغة أخرى، وإذا كان هناك تناقض بين النص الإنجليزي والنص المترجَم، يتم الاحتكام إلى النص الإنجليزي.

3- مدة "ملحق معالجة البيانات" هذا

سيسري "ملحق معالجة البيانات" هذا في "تاريخ سريان البنود"، وبغض النظر عمّا إذا انتهت "المدّة"، سيظل ساريًا إلى أن تحذف "جيبيه" كل "البيانات الشخصية للشركة"، وسيتم إنهاء سريان هذا "الملحق" تلقائيًا عند حذف هذه البيانات، كما هو описан في "ملحق معالجة البيانات" هذا.

4. تطبيق "ملحق معالجة البيانات" هذا

4.1 سريان التشريعات الأوروبية لحماية البيانات لن تسري الأقسام من 5 (معالجة البيانات) إلى 12 (التواصل مع Jibe ومعالجة السجلّات) (شاملة) إلا إلى حدّ سريان "التشريعات الأوروبية لحماية البيانات" على معالجة "البيانات الشخصية للشركة"، بما في ذلك في الحالات التالية:

(أ) تتم المعالجة في سياق أنشطة مؤسسة الشركة في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة؛ و/أو

(2) "البيانات الشخصية للشركة" هي بيانات شخصية تتعلق بأصحاب البيانات المقيمين في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة، وترتبط المعالجة بعرض سلع أو خدمات عليهم أو بمراقبة سلوكهم في المنطقة الاقتصادية الأوروبية أو المملكة المتحدة.

4.2 تطبيق "خدمات المعالج": لن ينطبق "ملحق معالجة البيانات" هذا إلا على "خدمات المعالجة" التي وافق الطرفان على "ملحق معالجة البيانات" هذا بشأنها (على سبيل المثال: (أ) "خدمات المعالجة" التي نقرت "الشركة" على قبول "ملحق معالجة البيانات" بشأنها، أو (ب) إذا كانت "الاتّفاقية" تدمج "ملحق معالجة البيانات" هذا بالإشارة إليه، "خدمات المعالجة" التي تكون موضوع "الاتّفاقية").

4.3 دمج "البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات" تُكمِّل "البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات" "بنود معالجة البيانات" هذه.

5- معالجة البيانات

5.1 الأدوار والامتثال للّوائح التنظيمية؛ التفويض

5.1.1 مسؤوليات معالجي البيانات ومسؤولي التحكّم بالبيانات: يقرّ الطرفان ويوافقان على ما يلي:

(أ) يوضّح "الملحق 1" الموضوع محلّ الاتفاقية وتفاصيل معالجة "البيانات الشخصية للشركة".

(ب) "جيبيه" هي معالج "البيانات الشخصية للشركة" بموجب "التشريعات الأوروبية لحماية البيانات".

(ج) "الشركة" هي مسؤول التحكّم بالبيانات أو معالج البيانات، حسبما ينطبق، "للبيانات الشخصية الخاصة بالشركة" بموجب "التشريعات الأوروبية لحماية البيانات".

(د) سيلتزم كل طرف بالالتزامات السارية عليه بموجب "التشريعات الأوروبية لحماية البيانات" في ما يتعلق بمعالجة "البيانات الشخصية للشركة".

5.1.2 التفويض من قِبل مسؤول التحكّم بالبيانات التابع لجهة خارجية إذا كانت "الشركة" جهة معالجة، تعهد "الشركة" لـ "جيبيه" بأنّ تعليمات "الشركة" وإجراءاتها بشأن "البيانات الشخصية للشركة"، بما في ذلك تعيين "جيبيه" كجهة معالجة أخرى، قد تمّ تفويضها من قِبل مسؤول التحكّم بالبيانات ذي الصلة.

5.2 تعليمات الشركة: من خلال إبرام "ملحق معالجة البيانات" هذا، تُوجّه "الشركة" "جيبيه" بمعالجة "البيانات الشخصية للشركة" بما يتوافق مع القانون الساري فقط: (أ) لتقديم "خدمات معالج البيانات" وأي دعم فني ذي صلة، (ب) على النحو المحدّد بشكل أكبر من خلال استخدام "الشركة" لـ "خدمات معالج البيانات" (بما في ذلك الإعدادات والوظائف الأخرى لـ "خدمات معالج البيانات") وأي دعم فني ذي صلة، (ج) على النحو المُسجَّل في نموذج "الاتّفاقية"، بما في ذلك "ملحق معالجة البيانات" هذا، و (د) على النحو المُسجَّل بشكلٍ أكبر في أي تعليمات مكتوبة أخرى تقدّمها "الشركة" وتقرّ "جيبيه" بأنّها تشكّل تعليمات لأغراض "ملحق معالجة البيانات" هذا.

5.3 التزام Jibe بالتعليمات: ستلتزم "جي بي" بالتعليمات الموضّحة في الفقرة 5.2 ("تعليمات الشركة") (بما في ذلك ما يتعلق بنقل البيانات) ما لم تتطلّب القوانين الأوروبية أو الوطنية التي تخضع لها "جي بي" معالجة أخرى "للبيانات الشخصية للشركة" من قِبل "جي بي"، وفي هذه الحالة ستُعلم "جي بي" "الشركة" (ما لم يحظِر أي قانون من هذا القبيل على "جي بي" إجراء ذلك لأسباب مهمة تتعلق بالمصلحة العامة).

5.4 المنتجات الإضافية: إذا كانت "الشركة" تستخدم أي "منتج إضافي"، قد تسمح "خدمات المعالج" لهذا "المنتج الإضافي" بالوصول إلى "البيانات الشخصية" الخاصة بـ "الشركة" على النحو المطلوب لعمل "المنتج الإضافي" مع "خدمات المعالج". لا ينطبق "ملحق معالجة البيانات" هذا على معالجة البيانات الشخصية في ما يتعلّق بتوفير أي منتج إضافي يستخدمه "الشركة"، بما في ذلك البيانات الشخصية التي يتم نقلها من "المنتج الإضافي" أو إليه.

6- حذف البيانات

6.1 الحذف أثناء الفترة:

6.1.1 خدمات جهات المعالجة التي تتضمّن وظيفة حذف البيانات خلال مدة الترخيص، إذا:

(أ) تتضمّن وظيفة "خدمات معالِج البيانات" خيارًا متاحًا للشركة لحذف "البيانات الشخصية للشركة".

(ب) تستخدم "الشركة" "خدمات الجهات المسؤولة عن معالجة البيانات" لحذف "بيانات شخصية" معيّنة تابعة لـ "الشركة".

(ج) لا يمكن للشركة استرداد "البيانات الشخصية للشركة" المحذوفة (مثلاً، من "المهملات")

عندئذٍ، ستحذف Jibe هذه البيانات الشخصية للشركة من أنظمتها في أقرب وقت ممكن عمليًا، ما لم تتطلب القوانين الأوروبية أو الوطنية تخزين هذه البيانات.

6.1.2 خدمات معالج البيانات التي لا تتضمّن وظيفة الحذف خلال "المدّة"، إذا كانت وظائف "خدمات المعالج" لا تتضمّن خيارًا لـ "الشركة" لحذف "البيانات الشخصية للشركة"، ستلتزم "جيبيه" بأي طلب معقول من "الشركة" لتسهيل هذا الحذف، ما دام ذلك ممكنًا مع الأخذ في الاعتبار طبيعة "خدمات المعالج" ووظائفها. يجوز لشركة Jibe فرض رسوم (استنادًا إلى التكاليف المعقولة المعلَن عنها من Jibe) مقابل أي عملية تتم فيها إزالة data بموجب هذا القسم 6.1.2 (خدمات المعالج بدون إزالة الوظيفة). ستقدِّم "جيبيه" لـ "الشركة" تفاصيل إضافية عن أي رسوم سارية وأساس حسابها، قبل إجراء أي عملية مماثلة لحذف البيانات.

6.2 الحذف عند انتهاء المدّة: عند انتهاء "المدّة"، تطلب "الشركة" من "جيبيه" حذف جميع "البيانات الشخصية للشركة" (بما في ذلك النُسخ الحالية) من أنظمة "جيبيه" وفقًا للقانون الساري. ستلتزم شركة Jibe بهذه التعليمات في أقرب وقت ممكن عمليًا ما لم تتطلب القوانين الأوروبية أو الوطنية الاحتفاظ بهذه البيانات.

7- أمان البيانات

7.1 المساعدة وإجراءات الأمان في Jibe

7.1.1 إجراءات الأمان في Jibe ستنفّذ "جي بي" وتحافظ على التدابير الفنية والتنظيمية لحماية "البيانات الشخصية للشركة" من الفقد أو التعديل أو الوصول غير المصرّح به أو المحو العرضي أو غير القانوني، وذلك على النحو الموضّح في "الملحق 2" ("إجراءات الأمان"). يجوز لشركة "جي بي" تعديل "إجراءات الأمان" أو تغييرها من حين لآخر، ما دامت هذه التعديلات والتغييرات لن تؤدّي إلى خفض مستوى أمان "خدمات المعالج" بشكلٍ عام.

7.1.2 امتثال فريق Jibe للأمان: تضمن Jibe أنّ جميع الأشخاص المفوّضين بمعالجة "البيانات الشخصية للشركة" قد التزموا بالالتزام بالسرية أو أنّهم يخضعون لالتزام تشريعي مناسب في ما يتعلّق بالالتزام بالسرية.

7.1.3 المساعدة بشأن الأمان في Jibe توافق "الشركة" على أنّ "جيبيه" ستساعد "الشركة" في ضمان الالتزام بأي التزامات على "الشركة" بشأن أمان البيانات الشخصية وانتهاكات البيانات الشخصية (مع مراعاة طبيعة معالجة "البيانات الشخصية للشركة" والمعلومات المتاحة لشركة "جيبيه")، بما في ذلك (إن وُجدت) التزامات "الشركة" بموجب المواد 32 إلى 34 (شاملة) من "اللائحة العامة لحماية البيانات"، وذلك من خلال:

(أ) تنفيذ "إجراءات الأمان" والحفاظ على تنفيذها وفقًا للفقرة 7.1.1 ("إجراءات الأمان" في Jibe)

(ب) الامتثال لأحكام الفقرة 7.2 (الحوادث المتعلّقة بالبيانات)

(ج) تزويد "الشركة" بمستندات "الأمان" بما يتوافق مع الفقرة 7.5.1 ("مراجعات مستندات الأمان") والمعلومات الواردة في "ملحق معالجة البيانات" هذا.

7.2 الحوادث المتعلّقة بالبيانات:

7.2.1 الإشعار بالحوادث: إذا علمت "جيبيه" بحادثة متعلقة بالبيانات، ستنفذ "جيبيه" ما يلي: (أ) إعلام "الشركة" بالحادثة المتعلقة بالبيانات على الفور وبدون تأخير غير مبرر، و (ب) اتّخاذ خطوات معقولة على الفور لتقليل الضرر وتأمين "بيانات الشركة الشخصية".

7.2.2 تفاصيل الحادثة المتعلّقة بالبيانات الإشعارات التي يتم إرسالها بموجب الفقرة 7.2.1 (إشعار بالحادثة) ستصف، إلى أقصى حد ممكن، تفاصيل الحادثة المتعلّقة بالبيانات، بما في ذلك الخطوات التي تم اتخاذها للتخفيف من المخاطر المحتملة والخطوات التي ينصح "جيبيه" "الشركة" باتخاذها لحلّ "الحادثة المتعلّقة بالبيانات".

7.2.3 إرسال الإشعار: سترسل شركة Jibe إشعارًا بشأن أي "مخالفة بيانات" إلى عنوان البريد الإلكتروني المخصّص للإشعارات، أو سترسله من خلال وسيلة تواصل مباشرة أخرى (مثل مكالمة هاتفية أو اجتماع شخصي) حسب تقدير شركة Jibe (بما في ذلك في حال عدم تقديم "الشركة" لعنوان البريد الإلكتروني المخصّص للإشعارات). يتحمّل "الشركة" وحدها مسؤولية تقديم "عنوان البريد الإلكتروني المخصّص للإشعارات" والتأكّد من أنّه سارٍ وصالح.

7.2.4 الإشعارات الموجَّهة إلى الجهات الخارجية: تتحمّل "الشركة" وحدها مسؤولية الامتثال لقوانين الإشعار بالحوادث المطبّقة عليها والوفاء بأي التزامات تخصّ توجيه إشعارات إلى الطرف الثالث بشأن أيّ "حادثة متعلّقة بالبيانات".

7.2.5 عدم إقرار Jibe بأي خطأ: لن يتم تفسير الإشعارات التي ترسلها Jibe بشأن "الحادثة المتعلّقة بالبيانات" أو استجابةً لها بموجب "الفقرة 7.2" (الحوادث المتعلّقة بالبيانات) على أنّها إقرار من Jibe بأي خطأ أو مسؤولية في ما يتعلّق بـ "الحادثة المتعلّقة بالبيانات".

7.3 مسؤوليات "الشركة" المتعلّقة بالأمان وتقييمها للأمان:

7.3.1 مسؤوليات "الشركة" المتعلّقة بالأمان: توافق "الشركة" على ما يلي، وذلك بدون الإخلال بالتزامات "جيبيه" بموجب القسمَين 7.1 ("إجراءات الأمان والمساعدة" التي تتّخذها "جيبيه") و7.2 ("الحوادث المتعلّقة بالبيانات"):

(أ) تتحمّل "الشركة" مسؤولية استخدام "خدمات المعالج"، بما في ذلك:

(1) استخدام "خدمات المعالج" على النحو المناسب لضمان مستوى أمان مناسب لمخاطر "البيانات الشخصية للشركة"

(2) تأمين بيانات اعتماد مصادقة الحساب والأنظمة والأجهزة التي تستخدمها "الشركة" للوصول إلى "خدمات المعالج"

(ب) لا تلتزم "جيبيه" بحماية "البيانات الشخصية للشركة" التي تختارها "الشركة" لتخزينها أو نقلها خارج أنظمة "جيبيه" و"المعالجين الفرعيين" التابعين لها.

7.3.2 تقييم الأمان في الشركة: تقرّ "الشركة" وتوافق على أنّه (مع الأخذ في الاعتبار أحدث التقنيات وتكاليف التنفيذ وطبيعة "البيانات الشخصية للشركة" ونطاقها وسياقها وأغراض معالجتها، بالإضافة إلى المخاطر التي تواجه الأفراد) توفّر "إجراءات الأمان" التي تنفّذها "جيبيه" وتديرها في "الفقرة 7.1.1" ("إجراءات الأمان في جيبيه") مستوى أمانًا مناسبًا للمخاطر التي تواجه "البيانات الشخصية للشركة".

7.4 شهادة الأمان: لتقييم فعالية تدابير الأمان والمساعدة في ضمان استمرارها، ستحافظ Jibe على شهادة ISO 27001.

7.5 مراجعات وعمليات تدقيق الامتثال

7.5.1 مراجعات مستندات الأمان لإثبات امتثال "جيبيه" لالتزاماتها بموجب "ملحق معالجة البيانات" هذا، ستوفّر "جيبيه" مستندات الأمان لمراجعتها من قِبل "العميل".

7.5.2 حقوق الشركة المتعلّقة بالتدقيق:

(أ) ستسمح "جيبيه" لشركة "جوجل" أو مدقق خارجي تعيّنه "جوجل" بإجراء عمليات تدقيق (بما في ذلك عمليات الفحص) للتحقّق من امتثال "جيبيه" لالتزاماتها بموجب ملحق معالجة البيانات هذا وفقًا للفقرة 7.5.3 (أحكام إضافية متعلقة بالأعمال للتدقيق).وستساهم "جيبيه" في عمليات التدقيق هذه على النحو الموضّح في الفقرة 7.4 (شهادة الأمان) وفي الفقرة 7.5 (المراجعات والتدقيقات المتعلّقة بالامتثال).

(ب) في حال سريان "البنود التعاقدية العادية" بموجب "الفقرة 10.2" ("عمليات نقل البيانات")، ستسمح "جيبيه" لـ "الشركة" أو مدقق خارجي تعيّنه "الشركة" بإجراء عمليات التدقيق على النحو الموضّح في "البنود التعاقدية العادية" وفقًا لـ "الفقرة 7.5.3" ("أحكام إضافية متعلقة بالأنشطة التجارية للتدقيق").

(ج) يجوز أيضًا إجراء تدقيق للتحقّق من امتثال "جيبيه" لالتزاماتها بموجب "ملحق معالجة البيانات" هذا من خلال مراجعة الشهادة الصادرة لشهادة ISO 27001 (التي تعكس نتيجة تدقيق أجراه مدقّق تابع لجهة خارجية).

7.5.3 بنود إضافية للأنشطة التجارية في عمليات التدقيق

(أ) سترسل الشركة أي طلب للتدقيق بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب) إلى Jibe على النحو الموضّح في الفقرة 12.1 (التواصل مع Jibe).

(ب) بعد أن تتلقّى شركة Jibe طلبًا بموجب الفقرة 7.5.3(أ)، ستتناقش كلٌّ من شركة Jibe و"الشركة" وتتفقان مسبقًا على تاريخ البدء المعقول لأي عملية تدقيق بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب)، وكذلك نطاق عملية التدقيق ومدتها وضوابط الأمان والسريّة السارية عليها.

(ج) يحقّ لشركة Jibe فرض رسوم (استنادًا إلى التكاليف المعقولة المعلَن عنها من Jibe) مقابل أي عملية تدقيق تتم بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب).وستقدِّم Jibe للشركة تفاصيل إضافية عن أي رسوم سارية والأساس المستخدَم لاحتساب هذه الرسوم قبل إجراء أي عملية تدقيق مماثلة. تتحمّل "الشركة" أي رسوم يفرضها أي مدقّق تابع لطرف ثالث يعيّنه "الشركة" لتنفيذ أي عملية تدقيق مماثلة.

(د) يجوز لشركة Jibe الاعتراض على أي مدقق خارجي تعيّنه الشركة لإجراء أي تدقيق بموجب الفقرة 7.5.2(أ) أو 7.5.2(ب) إذا كان المدقق، وفقًا لرأي شركة Jibe المعقول، غير مؤهَّل أو مستقل بشكل مناسب، أو كان منافسًا لشركة Jibe أو غير مناسب بشكل واضح. وسيقتضي أي اعتراض من جانب "جيبيه" على ذلك أن تعيّن "الشركة" مدقّقًا آخر أو أن تُجري عملية التدقيق بنفسها.

(هـ) ليس هناك نصّ في "ملحق معالجة البيانات" هذا يفرض على "جيب" الإفصاح لـ "الشركة" أو المدقّق التابع لطرف ثالث المعيّن من قِبلها، أو السماح لـ "الشركة" أو المدقّق التابع لطرف ثالث المعيّن من قِبلها بالوصول إلى:

(1) أي بيانات لأي عميل آخر لدى "كيان Jibe"

(2) أي معلومات محاسبية أو مالية داخلية تخصّ "كيان Jibe"

(3) أيٌّ من الأسرار التجارية التي تخصّ "جهة تتبع Jibe"

(4) أي معلومات يمكن أن تؤدي، وفقًا لرأي "جيبيه" المعقول، إلى: (أ) اختراق أمان أي من أنظمة "كيان جيبيه" أو أماكنه أو (ب) أن تتسبب في أن ينتهك أي "كيان جيبيه" التزاماته بموجب "التشريع الأوروبي لحماية البيانات" أو التزاماته المتعلقة بالأمان و/أو الخصوصية تجاه "الشركة" أو أي طرف ثالث

(5) أي معلومات تسعى "الشركة" أو المدقّق التابع لطرف ثالث المعيّن من قِبلها إلى الوصول إليها لأي سبب بخلاف الوفاء بحسن نية بالتزامات "الشركة" بموجب التشريعات الأوروبية لحماية البيانات

7.5.4 عدم تعديل البنود التعاقدية النموذجية إذا كانت "البنود التعاقدية النموذجية" تنطبق بموجب "الفقرة 10.2 (عمليات نقل البيانات)"، لا يغيّر أيّ نص في "هذه الفقرة 7.5 (مراجعات وعمليات تدقيق الامتثال)" أو يعدّل أيًّا من حقوق "الشركة" أو "جيبيه" أو التزاماتها بموجب "البنود التعاقدية النموذجية".

8. تقييمات الأثر والاستشارات

توافق "الشركة" على أنّ "جي بي" ستساعد "الشركة" في ضمان الالتزام بأيّ التزامات "للشركة" بشأن تقييمات تأثير حماية البيانات والحصول على موافقة مسبقة (مع مراعاة طبيعة المعالجة والاطلاع على المعلومات المتاحة لشركة "جي بي")، بما في ذلك (إن وُجدت) التزامات "الشركة" بموجب المادتين 35 و36 من "اللائحة العامة لحماية البيانات"، وذلك من خلال:

(أ) تقديم "مستندات الأمان" وفقًا للفقرة 7.5.1 (مراجعات "مستندات الأمان")

(ب) تقديم المعلومات الواردة في "ملحق معالجة البيانات" هذا

(ج) توفير مواد أخرى متعلّقة بطبيعة "خدمات المعالج" ومعالجة "البيانات الشخصية للشركة" (على سبيل المثال، مواد مركز المساعدة)، أو إتاحة هذه المواد بأي شكل آخر، وفقًا لممارسات Jibe العادية

9. حقوق صاحب البيانات

9.1 الردّ على طلبات "أصحاب البيانات": إذا تلقّت شركة Jibe طلبًا من أحد أصحاب البيانات في ما يتعلّق "بالبيانات الشخصية للشركة"، ستتّخذ شركة Jibe الإجراءات التالية:

(أ) في حال تقديم الطلب من خلال "أداة أصحاب البيانات"، يجب الردّ مباشرةً على طلب صاحب البيانات وفقًا للوظيفة العادية لتلك "أداة أصحاب البيانات".

(ب) في حال عدم تقديم الطلب من خلال "أداة أصحاب البيانات"، يجب إعلام صاحب البيانات بإرسال طلبه إلى "الشركة"، وستكون "الشركة" مسؤولة عن الردّ على هذا الطلب.

9.2 المساعدة بشأن طلبات "أصحاب البيانات" في Jibe: توافق "الشركة" على أنّ "جيبيه" ستقدم لها الدعم في الوفاء بأي التزام على "الشركة" بالردّ على طلبات أصحاب البيانات (مع مراعاة طبيعة معالجة "الشركة" لـ "البيانات الشخصية"، وإذا كان ذلك منطبقًا، "المادة 11" من "اللائحة العامة لحماية البيانات")، بما في ذلك (إذا كان ذلك منطبقًا) التزام "الشركة" بالردّ على طلبات ممارسة صاحب البيانات لحقوقه الواردة في "الفصل الثالث" من "اللائحة العامة لحماية البيانات"، وذلك من خلال:

(أ) توفير وظائف "خدمات الجهات المسؤولة عن معالجة البيانات"

(ب) الامتثال للالتزامات الواردة في القسم 9.1 (عمليات الردّ على طلبات "أصحاب البيانات")

(ج) إتاحة "أدوات أصحاب البيانات" إذا كان ذلك منطبقًا على "خدمات المعالج"

10. عمليات نقل البيانات

10.1 مرافق تخزين البيانات ومعالجتها: توافق "الشركة" على أنّه يجوز لشركة "جيبيه"، باستثناء "الفقرة 10.2" ("عمليات نقل البيانات")، تخزين "البيانات الشخصية" الخاصة بـ "الشركة" ومعالجتها في أي بلد تمتلك فيه "جيبيه" أو أي من "جهات المعالجة الفرعية" التابعة لها مرافق.

10.2 عمليات نقل البيانات:

إذا كان تخزين و/أو معالجة "البيانات الشخصية للشركة" ينطوي على عمليات نقل "البيانات الشخصية للشركة" من المنطقة الاقتصادية الأوروبية أو سويسرا أو المملكة المتحدة إلى أي بلد ثالث لا يخضع لقرار بشأن مدى الملاءمة بموجب "التشريعات الأوروبية لحماية البيانات":

(أ) سيتم اعتبار "الشركة" (بصفتها جهة تصدير البيانات) قد أبرمت "البنود التعاقدية النموذجية" مع "جيبيه" (بصفتها جهة استيراد البيانات).

(ب) ستخضع عمليات النقل للبنود التعاقدية النموذجية.

(ج) إنّ الإشارة إلى "Google LLC" وإلى "العميل" في "الأحكام التعاقدية العادية" ستشير إلى "Jibe" و"الشركة" على التوالي.

10.3 معلومات مركز البيانات: يمكنك الاطّلاع على معلومات عن المواقع الجغرافية لمراكز data Google على الرابط www.google.com/about/datacenters/locations/index.html.

11. الجهات الفرعية لمعالجة البيانات

11.1 الموافقة على مشاركة الجهة الفرعية لمعالجة البيانات: تفوّض "الشركة" على وجه التحديد استخدام "الشركات التابعة لشركة Jibe" كمعالِجين ثانويين ("الشركات التابعة لشركة Jibe المعالِجون الثانويون"). بالإضافة إلى ذلك، تفوّض "الشركة" بشكل عام استخدام أي أطراف ثالثة أخرى كمعالِجين ثانويين ("المعالجون الثانويون التابعون لجهات خارجية"). إذا كانت "الأحكام التعاقدية العادية" تنطبق بموجب الفقرة 10.2 ("عمليات نقل البيانات")، تشكل الأذونات المذكورة أعلاه موافقة "الشركة" المكتوبة مسبقًا على "التعاقد الثانوي" الذي تُجريه "شركة Jibe" لمعالجة "البيانات الشخصية للشركة".

11.2 معلومات عن الجهات الفرعية لمعالجة البيانات: بناءً على طلب مكتوب من "الشركة"، ستقدّم "جيبيه" معلومات عن "المعالجين الفرعيين" ومواقعهم الجغرافية. يجب إرسال أي طلبات من هذا النوع إلى Jibe باستخدام تفاصيل الاتصال الموضّحة في القسم 12.1 (التواصل مع Jibe).

11.3 متطلبات مشاركة المعالج الفرعي: في حال الاستعانة بأيّ معالج فرعي، ستنفّذ Jibe ما يلي:

(أ) التأكّد من خلال عقد مكتوب من أنّه:

(1) لا يصل "المعالج الفرعي" إلى "البيانات الشخصية للشركة" ولا يستخدمها إلا بالقدر المطلوب لتنفيذ الالتزامات المتعاقد عليها معه، ويعمل على ذلك بموجب "الاتّفاقية" (بما في ذلك "ملحق معالجة البيانات" هذا) و"الأحكام العقدية النموذجية"، إذا كانت سارية بموجب "الفقرة 10.2" ("عمليات نقل البيانات").

(2) إذا كانت "اللائحة العامة لحماية البيانات" تسري على معالجة "البيانات الشخصية للشركة"، يتم فرض التزامات حماية البيانات الواردة في المادة 28(3) من "اللائحة العامة لحماية البيانات" على "المعالج الفرعي".

(ب) ستظلّ مسؤولة بشكل كامل عن جميع الالتزامات التي تمّ التعاقد بشأنها مع "المعالج الثانوي"، إضافةً إلى كلّ أفعاله وتقصيره.

11.4 فرصة الاعتراض على تغييرات الجهة الفرعية لمعالجة البيانات:

(أ) عند الاستعانة بأي "معالج ثانوي تابع لجهة خارجية" جديد خلال "المدّة"، ستقوم "جيبيه" بإبلاغ "الشركة" بالاستعانة به (بما في ذلك اسم "المعالج الثانوي" المعنيّ وموقعه الجغرافي والأنشطة التي سينفذها) من خلال إرسال رسالة إلكترونية إلى "عنوان البريد الإلكتروني المخصّص للإشعارات" قبل 30 يومًا على الأقل من معالجة "المعالج الثانوي التابع لجهة خارجية" الجديد لأي "بيانات شخصية للشركة".

(ب) يجوز للشركة الاعتراض على أي "معالج فرعي" جديد تابع لجهة خارجية من خلال إنهاء "الاتّفاقية" على الفور بعد إرسال إشعار كتابي إلى "جيبيه"، بشرط أن تقدّم "الشركة" هذا الإشعار في غضون 90 يومًا من إبلاغها ببدء عمل "المعالج الفرعي" الجديد التابع لجهة خارجية على النحو الموضّح في الفقرة 11.4(أ). يشكّل حق إنهاء العقد هذا التعويض الوحيد والحصري لـ "الشركة" في حال اعتراضها على أي "جهة معالجة بيانات تابعة لجهة خارجية" جديدة.

12. التواصل مع Jibe ومعالجة السجلّات

12.1 التواصل مع Jibe: يحقّ للشركة التواصل مع Jibe في ما يتعلّق بهذا "الملحق الخاص بمعالجة البيانات" من خلال جهة التواصل المسؤولة عن حماية البيانات في Jibe التي يمكن التواصل معها من خلال http://issuetracker.google.com، أو من خلال الوسائل الأخرى التي قد تقدّمها Jibe من حين لآخر.

12.2 سجلّات معالجة البيانات في Jibe: تقرّ الشركة بأنّه على شركة Jibe تنفيذ ما يلي بموجب "اللائحة العامة لحماية البيانات": (أ) جمع سجلّات لمعلومات معيّنة وتدوينها، بما في ذلك اسم وتفاصيل الاتصال بكل جهة معالجة و/أو جهة تحكّم تتصرّف نيابةً عن شركة Jibe و (إن وُجد) ممثل جهة المعالجة أو جهة التحكّم المحلي ومسؤول حماية البيانات، و (ب) إتاحة هذه المعلومات لأي هيئة إشرافية. وفقًا لذلك، ستقدِّم "الشركة" هذه المعلومات إلى "جيبيه"، عند طلبها وحسب الاقتضاء، من خلال واجهة مستخدم "خدمات المعالج" أو من خلال وسائل أخرى قد تقدّمها "جيبيه"، وستستخدِم واجهة المستخدم هذه أو وسائل أخرى لضمان الحفاظ على دقة جميع المعلومات المقدَّمة وحداثتها.

13. المسؤولية

13.1 الحدّ الأقصى للمسؤولية: بغض النظر عن أيّ شيء آخر في "الاتّفاقية"، سيتمّ الحدّ من إجمالي مسؤولية أيّ من الطرفَين تجاه الطرف الآخر بموجب "ملحق معالجة البيانات" هذا أو في ما يتعلّق به، وذلك إلى الحدّ الأقصى من المبلغ النقدي أو المبلغ المستنِد إلى الدفعات الذي يتمّ تحديد مسؤولية هذا الطرف بموجبه في "الاتّفاقية" (وبالتالي، لن ينطبق أيّ استثناء لطلبات التعويض عن السرية أو التعويض من "الحدّ الأقصى للمسؤولية" في "الاتّفاقية" على الطلبات بموجب "الاتّفاقية" ذات الصلة بـ "التشريع الأوروبي لحماية البيانات" أو "التشريع غير الأوروبي لحماية البيانات"). لا ينصّ أيٌّ ممّا ورد في "الفقرة 13" (المسؤولية) على استبعاد أو تقييد مسؤولية أيّ من الطرفَين عن: (أ) الوفاة أو الإصابات الشخصية الناجمة عن إهماله أو إهمال موظفيه أو وكلائه، أو (ب) الاحتيال أو تقديم وصف مضلّل بغرض الاحتيال، أو (ج) المسائل التي لا يمكن استبعاد المسؤولية عنها أو تقييدها بموجب القانون الساري.

13.2 المسؤولية في حال سريان "البنود التعاقدية النموذجية" إذا تم تطبيق "البنود التعاقدية" العادية بموجب الفقرة 10.2 ("عمليات نقل البيانات")، فإنّ المسؤولية الكاملة المشترَكة لكل طرف وشركائه التابعين تجاه الطرف الآخر وشركائه التابعين بموجب "الاتّفاقية" و"البنود التعاقدية" العادية مجتمعة أو في ما يتعلّق بها ستخضع للفقرة 13.1 ("الحدّ الأقصى للمسؤولية").

14. الأطراف الثالثة المستفيدة

إذا كان "الشريك التابع" لأحد الطرفين طرفًا في "البنود التعاقدية النموذجية" التي تنطبق بموجب "الفقرة 10.2 (عمليات نقل البيانات)"، سيكون "الشريك التابع" طرفًا خارجيًا مستفيدًا من "الفقرات 6.2 (الحذف عند انتهاء المدة)" و"الفقرة 7.5 (مراجعات وتدقيقات الامتثال)" و"الفقرة 9.1 (الردّ على طلبات أصحاب البيانات)" و"الفقرة 10.2 (عمليات نقل البيانات)" و"الفقرة 11.1 (الموافقة على الاستعانة بمعالج فرعي)" و"الفقرة 13.2 (المسؤولية في حال تطبيق "البنود التعاقدية النموذجية")". في حال تعارض أو تناقض الفقرة 14 ("الأطراف الثالثة المستفيدة") مع أي بند آخر في "الاتّفاقية"، ستسري الفقرة 14 ("الأطراف الثالثة المستفيدة").

15. تأثير "ملحق معالجة البيانات" هذا

في حال حدوث أي تعارض أو تناقض بين "البنود التعاقدية النموذجية"، و"البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات"، و"ملحق معالجة البيانات" هذا، وباقي أحكام "الاتّفاقية"، سيتمّ تطبيق الترتيب التالي للّوائح:

(أ) "البنود التعاقدية النموذجية"

(ب) "البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات"

(ج) أحكام "بنود معالجة البيانات" المتبقية

(د) ما تبقى من "الاتّفاقية".

في حال تُرجمت هذه "الاتّفاقية" (بما في ذلك أيّ "ملحق") إلى أيّ لغة أخرى، وإذا كان النص المترجَم يتعارض مع النص باللغة الإنجليزية أو غير متوافق معه، يتمّ الاحتكام إلى النص باللغة الإنجليزية.

وفقًا للتعديلات الواردة في "ملحق معالجة البيانات" هذا، تظلّ "الاتّفاقية" تامّة السريان والتنفيذ.

16. التغييرات على "ملحق معالجة البيانات" هذا

16.1 التغييرات على عناوين URL: يجوز لشركة Jibe من حين لآخر تغيير أي عنوان URL تتم الإشارة إليه في "ملحق معالجة البيانات" هذا والمحتوى المتوفّر في أي عنوان URL من هذا القبيل، باستثناء أنّه لا يجوز لشركة Jibe تغيير "البنود التعاقدية النموذجية" إلا وفقًا للفقرات 16.2(ب) إلى 16.2(د) (التغييرات على بنود معالجة البيانات) أو دمج أي إصدار جديد من "البنود التعاقدية النموذجية" التي يمكن اعتمادها بموجب "قانون حماية البيانات الأوروبي"، وذلك في كل حالة بطريقة لا أثر لها في صلاحية "البنود التعاقدية النموذجية" بموجب "قانون حماية البيانات الأوروبي".

16.2 التغييرات على بنود معالجة البيانات: يجوز لشركة Jibe تغيير "تعديل معالجة البيانات" هذا في أي من الحالات التالية:

(أ) مسموح به صراحةً بموجب "ملحق معالجة البيانات" هذا، بما في ذلك على النحو описан في الفقرة 16.1 ("التغييرات على عناوين URL")

(ب) يعكس تغييرًا في اسم كيان قانوني أو شكله

(ج) مطلوبًا للامتثال للقانون الساري أو التشريع الساري أو أمر محكمة أو توجيه صادر من جهة تنظيمية أو وكالة حكومية، أو

(د) ألّا تؤدي (1) إلى خفض مستوى الأمان العام لخدمات "المعالج"، أو (2) إلى توسيع نطاق أي قيود مفروضة على معالجة "جيبيه" لـ "البيانات الشخصية للشركة" أو إزالتها، أو (3) إلى التأثير بشكل سلبي في حقوق "الشركة" بموجب "ملحق معالجة البيانات" هذا، على النحو الذي تحدّده "جيبيه" بشكل معقول

16.3 الإشعار بالتغييرات: إذا أرادت "جي بي" تغيير "ملحق معالجة البيانات" هذا بموجب الفقرة 16.2(ج) أو (د)، ستُعلم "جي بي" "الشركة" قبل 30 يومًا على الأقل (أو الفترة الأقصر التي قد تكون مطلوبة للامتثال للقانون الساري أو اللوائح التنظيمية السارية أو أمر محكمة أو إرشادات صادرة عن هيئة أو جهة تنظيمية حكومية) من سريان التغيير من خلال: (أ) إرسال رسالة إلكترونية إلى عنوان البريد الإلكتروني المخصّص للإشعارات، أو (ب) تنبيه "الشركة" من خلال واجهة مستخدم "خدمات الجهات المسؤولة عن المعالجة". إذا اعترضت "الشركة" على أي تغيير من هذا النوع، يجوز لها إنهاء "الاتّفاقية" من خلال تقديم إشعار كتابي إلى "جيبيه" في غضون 90 يومًا من إبلاغها من قِبل "جيبيه" بالتغيير.

الملحق 1: الموضوع محلّ الاتفاقية وتفاصيل معالجة البيانات

موضوع المحتوى

توفير "جيبيه" "خدمات معالج البيانات" وأي دعم فني ذي صلة لـ "الشركة"

مدّة معالجة البيانات

المدة بالإضافة إلى الفترة من انتهاء المدة حتى حذف "جيبيه" لكل "بيانات الشركة الشخصية" وفقًا "لملحق معالجة البيانات" هذا

طبيعة معالجة البيانات والغرض منها

ستعالج "جي بي" "البيانات الشخصية للشركة" بغرض تقديم "خدمات معالِج البيانات" وأي دعم فني ذي صلة لـ "الشركة" بما يتوافق مع "ملحق معالجة البيانات" هذا (بما في ذلك، حسبما ينطبق على "خدمات معالِج البيانات" والتعليمات الموضّحة في الفقرة 5.2 ("تعليمات الشركة")، جمع "البيانات الشخصية للشركة" وتسجيلها وتنظيمها وتنظيمها وتخزينها وتغييرها واستردادها واستخدامها وكشفها ودمجها ومحوها وإتلافها).

أنواع البيانات الشخصية

البيانات الشخصية المتعلّقة بالأفراد التي يتم تقديمها إلى Jibe من خلال "خدمات المعالجة"، أو التي تقدّمها "الشركة" (أو بتوجيه منها) أو يوفّرها المستخدمون النهائيون في "الشركة"

فئات "أصحاب البيانات"

تشمل "أصحاب البيانات" الأفراد الذين يتم تقديم بياناتهم إلى "جيبيه" من خلال "خدمات المعالجة" من قِبل "الشركة" (أو بتوجيه منها) أو من قِبل مستخدمي "الشركة" النهائيين.

الملحق 2: إجراءات الأمان

اعتبارًا من "تاريخ سريان البنود"، ستنفّذ شركة Jibe "إجراءات الأمان" الواردة في "الملحق 2" وتحافظ عليها. يجوز لشركة Jibe تعديل "إجراءات الأمان" هذه أو تغييرها من حين لآخر، شرط ألا تؤدي هذه التعديلات والتغييرات إلى خفض مستوى الأمان المتوفّر لـ "خدمات الجهات المسؤولة عن المعالجة" بشكل عام.

1. أمان مراكز البيانات والشبكات

(أ) مراكز البيانات

البنية الأساسية تدير Jibe مراكز بيانات موزّعة جغرافيًا. تخزِّن Jibe جميع بيانات الإنتاج في مراكز بيانات آمنة من الناحية المادية.

التكرار تم تصميم أنظمة البنية الأساسية للقضاء على نقاط الصعوبة المفردة والحد من تأثير المخاطر البيئية المتوقّعة. تساعد الدوائر الكهربائية المزدوجة أو المحوِّلات أو الشبكات أو الأجهزة الأخرى اللازمة في توفير هذه الازدواجية. تم تصميم "خدمات المعالج" للسماح لشركة Jibe بإجراء أنواع معيّنة من الصيانة الوقائية والتصحيحية بدون انقطاع. تم توثيق إجراءات الصيانة الوقائية لجميع المعدات والمرافق البيئية، والتي توضّح بالتفصيل عملية الصيانة ومعدّل تكرارها وفقًا للمواصفات الداخلية أو الخاصة بالشركة المصنّعة. يتم تحديد موعد الصيانة الوقائية والتصحيحية لمعدات مركز البيانات من خلال عملية عادية وفقًا للإجراءات الموثَّقة.

الطاقة تم تصميم أنظمة الطاقة الكهربائية في مركز البيانات بحيث تكون احتياطية ويمكن صيانتها بدون التأثير في العمليات المستمرة على مدار 24 ساعة في اليوم و7 أيام في الأسبوع. في معظم الحالات، يتم توفير مصدر طاقة أساسي وبديل، كل منهما بسعة متساوية، لمكوّنات البنية الأساسية المهمة في مركز البيانات. يتم توفير الطاقة الاحتياطية من خلال آليات مختلفة، مثل بطاريات مزوّدة بمزود طاقة لا يقطع (UPS)، والتي توفّر باستمرار حماية موثوقة للطاقة أثناء انقطاع التيار الكهربائي أو انقطاعه أو ارتفاع الجهد الكهربي أو انخفاضه أو ظروف التردد خارج حدود التحمل. في حال انقطاع طاقة المرافق، تم تصميم الطاقة الاحتياطية لتزويد مركز البيانات بالطاقة المؤقتة بكامل طاقته لمدة تصل إلى 10 دقائق إلى أن تتولى أنظمة مولد الديزل عملية تزويد المركز بالطاقة. يمكن لمولدات الديزل بدء العمل تلقائيًا في غضون ثوانٍ لتوفير طاقة كهربائية كافية في حالات الطوارئ لتشغيل مركز البيانات بكامل طاقته عادةً لمدة أيام.

أنظمة تشغيل الخادم تستخدم خوادم Jibe أنظمة تشغيل مُعدَّلة ومخصَّصة لتلبية احتياجات الخادم الفريدة للنشاط التجاري. يتم تخزين البيانات باستخدام خوارزميات خاصة لتعزيز أمان البيانات وتعزيز التكرار. تطبّق Jibe عملية مراجعة للرموز تهدف إلى زيادة أمان الرمز المستخدَم في تقديم خدمات المعالج وتعزيز منتجات الأمان في بيئات الإنتاج.

استمرارية الأنشطة التجارية تنسخ Jibe البيانات على أنظمة متعددة للمساعدة في الحماية من التلف أو الفقدان غير المقصودَين. صمّمت شركة Jibe خططًا لاستمرارية الأعمال/برامج التعافي من الكوارث واختبرت هذه الخطط بانتظام.

(ب) الشبكات ونقل البيانات

نقل البيانات: يتم عادةً ربط مراكز البيانات من خلال روابط خاصة عالية السرعة لتوفير نقل بيانات آمن وسريع بين مراكز البيانات. تم تصميم هذا الإجراء لمنع قراءة البيانات أو نسخها أو تغييرها أو إزالتها بدون إذن أثناء النقل الإلكتروني أو النقل أو أثناء تسجيلها على وسائط تخزين البيانات. تنقل Jibe البيانات عبر بروتوكولات الإنترنت العادية.

مساحة الهجوم الخارجية تستخدم Jibe طبقات متعدّدة من أجهزة الشبكة و أنظمة رصد الاختراقات لحماية سطح الهجوم الخارجي. تأخذ Jibe في الاعتبار اتجاهات الهجوم المحتملة وتدمج تقنيات مناسبة ومصمّمة لهذا الغرض في الأنظمة الموجّهة للجهات الخارجية.

رصد التسلّل يهدف الكشف عن التسلل إلى تقديم إحصاءات عن أنشطة الهجوم الجارية وتقديم معلومات كافية للردّ على الوقائع. تشمل ميزة رصد التسلّل في Jibe ما يلي:

1. التحكّم بشكلٍ دقيق في حجم فرص تعرُّض Jibe للهجوم وتركيبتها من خلال التدابير الوقائية

2. استخدام عناصر التحكّم الذكية في رصد نقاط إدخال البيانات

3. استخدام تكنولوجيات تعالج تلقائيًا بعض المواقف الخطيرة

الاستجابة للحوادث تتتبّع شركة Jibe مجموعة متنوعة من قنوات الاتّصال المتعلّقة بمحاولات الاختراق الأمني، وسيتجاوب موظفو الأمان في Jibe على الفور مع الحوادث المعروفة.

تقنيات التشفير توفّر Jibe تشفير HTTPS (المعروف أيضًا باسم اتصال SSL أو بروتوكول أمان طبقة النقل). تتوافق خوادم Jibe مع تبادل مفاتيح التشفير باستخدام منحنى إهليجي دوار Diffie Hellman مؤقت وموقَّع باستخدام RSA وECDSA. تساعد هذه الmethoden في الحفاظ على سرية المعلومات المستقبلية (PFS) وحماية الزيارات والحد من تأثير مفتاح تم اختراقه أو اختراق التشفير.

2- عناصر التحكّم في الوصول إلى الموقع الإلكتروني

(أ) عناصر التحكّم في الموقع الإلكتروني

عملية أمان مركز البيانات على الموقع تحافظ مراكز بيانات Jibe على عملية أمان على الموقع تتحمل مسؤولية جميع وظائف أمان مركز البيانات المادي على مدار الساعة وطيلة أيام الأسبوع. يرصد موظفو عمليات الأمان على الموقع الإلكتروني كاميرات CCTV وجميع أنظمة الإنذار. يُجري موظفو عمليات أمان الموقع بدوريات داخلية وخارجية في مركز البيانات بانتظام.

إجراءات الوصول إلى مركز البيانات تحافظ شركة Jibe على إجراءات الوصول الرسمية للسماح بالوصول المادي إلى مراكز البيانات. تقع مراكز البيانات في مرافق تتطلب الوصول إليها باستخدام مفتاح بطاقة إلكتروني، مع أنظمة إنذار مرتبطة بعملية الأمان على الموقع. على جميع الداخلين إلى مركز البيانات إثبات هويتهم، بالإضافة إلى إبراز مستند إثبات الهوية لفريق أمان الموقع. لا يُسمح سوى للموظفين والمتعاقدين والزوّار المعتمَدين بدخول مراكز البيانات. يُسمح فقط للموظفين والمتعاقدين المعتمَدين بطلب استخدام مفتاح البطاقة الإلكترونية للوصول إلى هذه المرافق. يجب تقديم طلبات الوصول إلى مفاتيح البطاقة الإلكترونية في "مركز التحكّم بالبيانات" مسبقًا وبخطٍ رسمي، ويجب الحصول على موافقة مدير مقدم الطلب ومدير "مركز التحكّم بالبيانات". على جميع الأشخاص الآخرين الذين يحتاجون إلى إذن بالوصول المؤقت إلى مركز البيانات: (1) الحصول على موافقة مسبقة من مدراء مركز البيانات بشأن مركز البيانات والمناطق الداخلية المحددة التي يريدون زيارتها، و(2) تسجيل الدخول في عمليات الأمان على الموقع، و (3) الإشارة إلى سجلّ موافقة بالوصول إلى مركز البيانات يحدد هوية الشخص الذي تمت الموافقة عليه.

أجهزة أمان مركز البيانات على الموقع تستخدم مراكز بيانات Jibe مفتاح بطاقة إلكترونيًا ونظامًا للتحكم في الوصول بالاستناد إلى المقاييس الحيوية ومرتبطًا بجهاز إنذار للنظام. يرصد نظام التحكّم في الوصول ويُسجِّل مفتاح البطاقة الإلكترونية الخاصة بكل فرد، ووقت وصوله إلى أبواب المحيط والشحن والاستقبال وغيرها من المناطق الحسّاسة. يسجِّل نظام التحكّم في الوصول النشاط غير المصرّح به ومحاولات الوصول غير الناجحة ويحقّق منها حسب الاقتضاء. يتم تحديد الوصول المصرّح به في جميع عمليات النشاط التجاري ومراكز البيانات استنادًا إلى المناطق ومسؤوليات الوظيفة الخاصة بالفرد. تم تفعيل ميزة التنبيه في بوابات مكافحة الحريق في مراكز البيانات. تعمل كاميرات CCTV في كلٍّ من داخل مراكز البيانات وخارجها. تم تحديد مواضع الكاميرات لتغطية المناطق الاستراتيجية، بما في ذلك المحيط والأبواب المؤدية إلى مبنى مركز البيانات وأماكن الشحن/الاستلام، وغيرها. يدير موظفو عمليات أمان الموقع المعدات اللازمة لرصد وتسجيل ومراقبة كاميرات المراقبة. تربط الكابلات الآمنة في مراكز البيانات معدات كاميرات المراقبة. تسجّل الكاميرات على الموقع باستخدام مسجلات الفيديو الرقمية على مدار الساعة وطيلة أيام الأسبوع. يتم الاحتفاظ بسجلّات المراقبة لمدة 7 أيام على الأقل استنادًا إلى النشاط.

(ب) التحكّم في الوصول:

موظفو أمان البنية الأساسية لدى شركة Jibe سياسة أمان تلتزم بها لموظفيها، وتشترط تدريبهم على الأمان كجزء من حزمة التدريب لموظفيها. يتحمّل موظفو أمان البنية الأساسية في Jibe مسؤولية المراقبة المستمرة للبنية الأساسية للأمان في Jibe، و مراجعة "خدمات المعالج"، والاستجابة لحوادث الأمان.

التحكّم في الوصول وإدارة الأذونات على مشرفي الشركة ومستخدميها مصادقة أنفسهم من خلال نظام مصادقة مركزي أو من خلال نظام تسجيل الدخول المُوحَّد لاستخدام "خدمات المعالج".

عمليات الوصول إلى البيانات الداخلية وسياساتها: سياسة الوصول تم تصميم عمليات الوصول إلى البيانات وسياساتها الداخلية في Jibe لمنع الأشخاص و/أو الأنظمة غير المصرّح بها من الوصول إلى الأنظمة المستخدَمة لمعالجة البيانات الشخصية. تهدف Jibe إلى تصميم أنظمتها من أجل: (1) السماح للأشخاص المعتمَدين فقط بالوصول إلى البيانات التي يُسمح لهم بالوصول إليها، و (2) التأكّد من أنّه لا يمكن قراءة البيانات الشخصية أو نسخها أو تغييرها أو إزالتها بدون إذن أثناء المعالجة وبعد الاستخدام. تم تصميم الأنظمة لرصد أي محاولة غير ملائمة للوصول إلى البيانات. تستخدم Jibe نظامًا مركزيًا لإدارة الوصول للتحكّم في إمكانية وصول الموظفين إلى خوادم الإنتاج، ولا توفّر إمكانية الوصول إلا لعدد محدود من الموظفين المعتمَدين. تم تصميم بروتوكول LDAP وKerberos ونظام مُملوك يستخدم شهادات بروتوكول النقل الآمن (SSH) لتزويد Jibe بآليات وصول آمنة ومرنة. تم تصميم هذه الآليات لمنح حقوق الوصول الموافَق عليها فقط لمضيفي المواقع الإلكترونية والسجلات والبيانات ومعلومات الضبط. تتطلّب منصة Jibe استخدام أرقام تعريف مستخدمين فريدة وكلمات مرور قوية ومصادقة باستخدام عاملين وقوائم وصول خاضعة للتتبّع بعناية للحدّ من احتمال استخدام الحساب بدون إذن. يستند منح حقوق الوصول أو تعديلها إلى: مسؤوليات الموظفين المعتمَدين في وظائفهم ومتطلبات واجبات الوظيفة اللازمة لتنفيذ المهام المعتمَدة، وقاعدة الحاجة إلى المعرفة. يجب أيضًا أن يكون منح أذونات الوصول أو تعديلها متوافقًا مع سياسات الوصول إلى البيانات الداخلية في Jibe والتدريبات المتعلّقة بها. تتم إدارة الموافقات من خلال أدوات سير العمل التي تحتفظ بسجلّات التدقيق لجميع التغييرات. يتم تسجيل عمليات الوصول إلى الأنظمة لإنشاء سجلّ تدقيق للتأكّد من المساءلة. في الحالات التي يتم فيها استخدام كلمات المرور للمصادقة (مثل تسجيل الدخول إلى محطات العمل)، يتم تنفيذ سياسات كلمات المرور التي تلتزم على الأقل بالممارسات العادية في المجال. وتشمل هذه المعايير قيودًا على إعادة استخدام كلمة المرور وقوة كلمة المرور الكافية.

3. البيانات

(أ) تخزين البيانات وعزل البيانات والمصادقة عليها

تخزِّن Jibe البيانات في بيئة متعدّدة المستأجرين على خوادم تملكها Jibe. يتم نسخ البيانات وقاعدة بيانات "خدمات المعالج" والبنية الهندسية لنظام الملفات بين عدة مراكز بيانات موزّعة جغرافيًا. تعزل Jibe بيانات كل عميل بشكل منطقي. يتم استخدام نظام مصادقة مركزي في جميع خدمات "المعالج" لتعزيز أمان البيانات بشكل موحّد.

(ب) إرشادات حول الأقراص التي تم إيقاف استخدامها وتدميرها

قد تواجه بعض الأقراص التي تحتوي على بيانات مشاكل في الأداء أو أخطاء أو تعطُّلًا في الأجهزة يؤدي إلى إيقافها نهائيًا (يُشار إليها باسم "القرص الذي تم إيقافه نهائيًا"). يخضع كل قرص تم إيقافه نهائيًا لمجموعة من عمليات تدمير البيانات (يُشار إليها باسم "إرشادات تدمير البيانات") قبل مغادرته مبنى شركة Jibe إما لإعادة استخدامه أو تدميره. يتم محو الأقراص التي تم إيقافها نهائيًا في عملية تتم على عدة مراحل، ويتم التحقّق من اكتمالها من خلال اثنين على الأقل من أدوات التحقّق المستقلة. يتم تسجيل نتائج المحو حسب الرقم التسلسلي للقرص الذي تم إيقافه نهائيًا للتتبّع. أخيرًا، يتم إعادة القرص الذي تم إيقافه نهائيًا إلى المستودع لإعادة استخدامه وإعادة نشره. إذا تعذّر محو "القرص الذي تم إيقافه نهائيًا" بسبب عطل في الجهاز، يتم تخزينه بأمان إلى أن يصبح بإمكاننا jegoدمانه. تخضع كل منشأة للتدقيق بانتظام لمراقبة الامتثال لmegled إرشادات تدمير البيانات.

4. أمان الموظفين

على موظفي Jibe اتّباع سلوكيات متوافقة مع إرشادات الشركة بشأن السرية وأخلاقيات العمل والاستخدام الملائم والمعايير المهنية. تُجري شركة Jibe عمليات فحص أمني معقولة وملائمة إلى الحدّ المسموح به قانونيًا وبموجب قانون العمل المحلي الساري واللوائح التنظيمية.

على الموظفين تنفيذ اتفاقية سرية، ويجب أن يعترفوا باستلامهم لسياسات السرية والخصوصية في Jibe والالتزام بها. يتم تدريب الموظفين على إجراءات الأمان. على الموظفين الذين يتعاملون مع البيانات الشخصية للشركة إكمال متطلبات إضافية مناسبة لدورهم. لن يعالج موظفو Jibe "البيانات الشخصية للشركة" بدون إذن.

5- أمان الجهات الفرعية لمعالجة البيانات

قبل بدء استخدام "الجهات الفرعية لمعالجة البيانات"، تُجري Jibe عملية تدقيق في ممارسات الأمان والخصوصية لدى "الجهات الفرعية لمعالجة البيانات" لضمان أنّها توفّر مستوىً من الأمان والخصوصية مناسبًا للوصول إلى البيانات ونطاق الخدمات التي يتم التعاقد معها لتقديمها. بعد أن تقيّم شركة Jibe المخاطر التي يمثّلها "المعالج الفرعي"، على "المعالج الفرعي" إبرام بنود تعاقدية مناسبة للأمان والسرية والخصوصية، وذلك وفقًا للمتطلبات الواردة في "الفقرة 11.3" (متطلبات مشاركة "المعالج الفرعي").

الملحق 3: البنود الإضافية للتشريعات غير الأوروبية لحماية البيانات

تُكمِّل "البنود الإضافية التالية للتشريعات غير الأوروبية لحماية البيانات" "بنود معالجة البيانات" هذه:

• ملحق مقدّم الخدمة بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA) على الرابط التالي: privacy.google.com/businesses/gdprprocessorterms/ccpa (تاريخه 27 آب (أغسطس) 2020)
• ملحق المعالج بموجب قانون LGPD على الرابط privacy.google.com/businesses/gdprprocessorrterms/lgpd (تاريخه 27 آب (أغسطس) 2020)

الإصدار 2.0 من بنود معالجة البيانات في Jibe

27 آب (أغسطس) 2020