תאריך השינוי האחרון: 2 בנובמבר 2020
Jibe והצד השני שהסכים לנספח הזה ("החברה") חתמו על הסכם לאספקת שירותי מעבד המידע (כפי שיעודכנו מעת לעת, "ההסכם").
הנספח הזה לעיבוד נתונים (כולל הנספחים, "נספח לעיבוד נתונים") נערך על ידי Jibe ו-Company ומשלים את ההסכם. הנספח לעיבוד הנתונים יהיה תקף ויחליף את התנאים החלים בעבר בנוגע לנושא הנדון (כולל תנאי עיבוד הנתונים ותנאי האבטחה הקשורים לשירותי מעבד המידע), החל ממועד כניסתם של התנאים לתוקף.
אישור הנספח לעיבוד הנתונים מטעם החברה מהווה הצהרה כי: (א) יש לך סמכות משפטית מלאה לתת בשם החברה נספח זה לעיבוד הנתונים; (ב) קראת והבנת את הנספח הזה לעיבוד נתונים; וכן (ג) את/ה מסכים/ה, בשם החברה, לנספח זה על עיבוד הנתונים. אם אין בידך הסמכות החוקית לחייב את החברה, אין לאשר את הנספח לעיבוד הנתונים.
1. מבוא
הנספח הזה לעיבוד נתונים משקף את ההסכם בין הצדדים לתנאים החלים על העיבוד והאבטחה של מידע אישי של החברה בהקשר לחקיקה האירופית להגנה על מידע ולחקיקה מסוימת להגנה על המידע שאינו מאירופה.
2. הגדרות ופרשנות
2.1 בנספח הזה לעיבוד נתונים:
"מוצר נוסף" פירושו מוצר, שירות או אפליקציה שמסופק על ידי Jibe או צד שלישי אשר (א) אינו חלק משירותי המעבד; וכן (ב) נגיש לשימוש בממשק המשתמש של שירותי מעבד המידע או משולב בדרך אחרת עם שירותי מעבד המידע.
"תנאים נוספים לחקיקה להגנה על מידע שאינו מאירופה" הם התנאים הנוספים שמופיעים בנספח 3, המשקפים את ההסכם של הצדדים בנוגע לתנאים המסדירים עיבוד של נתונים מסוימים בהקשר לחקיקה מסוימת להגנה על המידע שאינו מאירופה.
"שותף עצמאי" פירושו ישות השולטת או נשלטת באופן ישיר או עקיף על ידי צד כלשהו, או שקיימת שליטה משותפת בשניהם.
"מידע אישי של החברה" פירושו מידע אישי שמעובד על ידי Jibe מטעם החברה באספקת שירותי מעבד המידע על ידי Jibe.
"אירוע נתונים" פירושו הפרה של אבטחה של Jibe, שמובילה להרס, אובדן, שינוי, חשיפה בלתי מורשית או גישה לא מורשית למידע אישי של החברה במערכות המנוהלות על ידי Jibe או שנשלטות על ידי גורם אחר. "תקריות אבטחת מידע" לא יכללו ניסיונות כושלים או פעילויות שלא פוגעות באבטחה של מידע אישי של החברה, כולל ניסיונות התחברות כושלים, פינגים, סריקות יציאה, מתקפות מניעת שירות והתקפות אחרות על הרשת בחומות אש או ברשתות.
"חקיקה להגנה על המידע" פירושה, לפי ההקשר: (א) החקיקה האירופית להגנה על המידע; ו/או (ב) החקיקה האירופית להגנה על מידע.
"כלי לנושא הנתונים" הוא כלי (אם יש כזה) שזמין על ידי ישות Jibe לנושאי נתונים ומאפשר ל-Jibe להגיב ישירות ובאופן סטנדרטי לבקשות מסוימות מאנשים שאליהם מתייחס המידע, ביחס למידע אישי של החברה (לדוגמה, פלאגין לביטול הסכמה לשימוש בדפדפן).
"EEA הוא האזור הכלכלי האירופי.
"ה-GDPR של האיחוד האירופי" פירושו תקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה האירופית שנכנסה לתוקף ב-27 באפריל 2016, המסדירה את ההגנה על אנשים פרטיים בכל הנוגע לעיבוד מידע אישי ולתנועה החופשית של מידע מסוג זה, והמבטלת את דירקטיבה 95/46/EC.
"החקיקה האירופית להגנה על נתונים" פירושה, לפי ההקשר: (א) ה-GDPR; ו/או (ב) החוק הפדרלי להגנה על המידע מיום 19 ביוני 1992 (שווייץ).
"חוקי האיחוד האירופי או החוקים הלאומיים" פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של חברה); ו/או (ב) החוק של בריטניה או חלק מבריטניה (אם ה-GDPR של בריטניה חל על עיבוד המידע האישי של החברה).
"GDPR" פירושו, לפי ההקשר: (א) ה-GDPR של האיחוד האירופי ו/או (ב) ה-GDPR של בריטניה.
"Jibe" פירושו ישות ה-Jibe שהיא צד בהסכם.
"מעבדי המשנה של Jibe Affiliate" יקבלו את המשמעות שניתנה להם בסעיף 11.1 (הסכמה לאינטראקציה של מעבדי משנה).
"Jibe Entity" פירושו Jibe Mobile Inc, Jibe Mobile Limited או כל שותפה עצמאית אחרת של Jibe Mobile Inc.
"אישור ISO 27001" פירושו אישור ISO/IEC 27001:2013 או אישור דומה לשירותי מעבד המידע.
"חקיקה שאינה אירופית להגנה על נתונים" פירושה חוקי הגנה על נתונים או חוקי פרטיות שחלים מחוץ ל-EEA, לשווייץ ולבריטניה.
"כתובת אימייל להודעות" היא כתובת האימייל (אם יש כזו): (i) שסופקה על ידי החברה ל-Jibe או (ii) שמציינת החברה דרך ממשק המשתמש של שירותי עיבוד המידע, או אמצעים אחרים ש-Jibe מספקת, כדי לקבל הודעות מסוימות מ-Jibe הקשורות לנספח זה לעיבוד הנתונים. לשם הבהרה, באחריות החברה לספק ל-Jibe כתובת אימייל להודעות, ולהודיע ל-Jibe על כל עדכון בכתובת האימייל לקבלת התראות.
"שירותי מעבד מידע" פירושם שירותי RCS Business Messaging (כמתואר בכתובת https://developers.google.com/business-communications/rcs-business-messaging)
"מסמכי התיעוד לאבטחה" פירושם אישור ISO 27001 וכל אישור או מסמך אבטחה אחר שעשוי להיות זמין בהקשר של שירותי מעבד המידע.
"אמצעי האבטחה" מוגדרים בסעיף 7.1.1 (אמצעי האבטחה של Jibe).
"סעיפים חוזיים סטנדרטיים" הם הסעיפים החוזיים הסטנדרטיים של הנציבות האירופית בכתובת https://privacy.google.com/businesses/gdprprocessorterms/sccs, שהם תנאים סטנדרטיים להגנה על נתונים להעברת מידע, למעבדי מידע במדינות צד שלישי שאינן מבטיחות רמה הולמת של הגנה על נתונים, כפי שמתואר בסעיף 46 של תקנת ה-GDPR באיחוד האירופי.
"מעבדי משנה" פירושם צדדים שלישיים המורשים על פי נספח זה לעיבוד נתונים, לקבל גישה לוגית לעיבוד מידע אישי של החברה ולעבד אותו על מנת לספק חלקים משירותי מעבד המידע ותמיכה טכנית דומה.
"רשות מפקחת" פירושה, (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הנציבות" כפי שמוגדר ב-GDPR הבריטי.
"תקופת ההסכם" פירושה התקופה החל ממועד הכניסה לתוקף של התנאים, ועד לסיום מתן שירותי מעבד המידע על ידי ג'יבה, במסגרת ההסכם.
"מועד כניסתם של התנאים לתוקף" פירושו מועד הכניסה לתוקף של ההסכם.
"מעבדי משנה של צד שלישי" יפורשו בהתאם לאמור בסעיף 11.1 ('הסכמה לאינטראקציה שלהם עם מעבדי משנה').
"ה-GDPR של בריטניה" פירושו ה-GDPR של האיחוד האירופי כפי שתוקן והותאם לחוק הבריטי בהתאם לחוק UK European Union (Withdrawal) Act 2018 (הפרישה של בריטניה מהאיחוד האירופי), אם הוא בתוקף.
2.2 המונחים "נאמן מידע", "האדם שאליו מתייחס המידע", "מידע אישי", "עיבוד מידע" ו"מעבד מידע" משמשים בנספח זה לעיבוד נתונים, כשמשמעותם זהה ב-GDPR, והמשמעויות של המונחים "מייבא מידע" ו"מייצא מידע" מפורטות בסעיפים החוזיים הסטנדרטיים (SCC).
2.3 המונחים "כולל", "כלול" או כל ביטוי דומה זה ייחשבו להמחשה בלבד, ולא יגבילו את תחושת המילים שקדמו למונחים האלה. כל הדוגמאות בנספח לעיבוד הנתונים נועדו להמחשה בלבד, ואינן הדוגמאות היחידות לרעיונות שהן ממחישות.
2.4 כל התייחסות להסדר משפטי, לחוק או לחקיקה אחרת היא התייחסות להסדר, לחוק או לחקיקה אלו כפי שיתוקנו, יורחבו או ייחקקו מחדש מעת לעת.
2.5 אם התנאים האלה לעיבוד מידע מתורגמים לכל שפה אחרת, וקיימת אי התאמה בין הטקסט באנגלית לבין הטקסט המתורגם, הטקסט באנגלית הוא הקובע.
3. משך הזמן של נספח זה לעיבוד נתונים
הנספח הזה לעיבוד נתונים ייכנס לתוקף במועד כניסתם של התנאים לתוקף, וללא קשר לשאלה אם תוקף ההסכם פג, ותוקפו יפוג עד לפקיעת התוקף של המחיקה של כל המידע האישי של החברה על ידי Jibe, כפי שמתואר בנספח זה לעיבוד הנתונים.
4. תחולתם של נספח זה לעיבוד נתונים
4.1 החלת החקיקה האירופית להגנה על מידע. סעיפים 5 (עיבוד נתונים) עד 12 (פנייה אל Jibe; רשומות עיבוד) (כולל) יחולו רק במידה שהחקיקה האירופית להגנה על מידע חלה על עיבוד מידע אישי של חברה, לרבות במקרים הבאים:
(א) העיבוד מתבצע בהקשר לפעילויות של הקמת חברה באזור הכלכלי האירופי (EEA) או בבריטניה; ו/או
(ב) מידע אישי של חברה הוא מידע אישי הנוגע לאנשים שאליהם מתייחס המידע, הנמצאים באזור הכלכלי האירופי או בבריטניה. העיבוד מתבצע בהקשר של מוצרים ושירותים או מעקב אחר התנהגותם באזור הכלכלי האירופי או בבריטניה.
4.2 בקשה לשירותי מעבד. נספח זה לעיבוד נתונים יחול רק על שירותי מעבד המידע שבגינם הסכימו הצדדים לנספח זה לעיבוד נתונים (למשל: (א) שירותי מעבד המידע שעבורם החברה לחצו כדי לאשר את נספח עיבוד הנתונים; או (ב) אם ההסכם כולל את הנספח לעיבוד הנתונים בכפוף להתייחסות, את שירותי מעבד המידע שחלים על ההסכם).
4.3 שילוב של תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע. התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע הם תוספת לתנאים האלה לעיבוד נתונים.
5. עיבוד נתונים
5.1 תפקידים ועמידה בתקנות; הרשאה.
5.1.1 תחומי האחריות של המעבד והבקר. הצדדים מסכימים ומסכימים כי:
(א) נספח 1 מתאר את הנושא ואת הפרטים של עיבוד המידע האישי של החברה;
(ב) Jibe הוא מעבד מידע אישי של חברה בכפוף לחקיקה האירופית להגנה על מידע.
(ג) החברה היא נאמן מידע או מעבד מידע, לפי העניין, של מידע אישי של החברה בכפוף לחקיקה האירופית להגנה על מידע; וכן
(ד) כל צד יעמוד בהתחייבויות החלות עליו בכפוף לחקיקה האירופית להגנה על מידע בכל הנוגע לעיבוד המידע האישי של החברה.
5.1.2 מתן הרשאה לנאמני מידע מצד שלישי. אם החברה היא מעבד מידע, החברה מתחייבת ל-Jibe כי ההוראות והפעולות של החברה בקשר למידע אישי של החברה, כולל מינויה של Jibe כמעבד אחר, אושרו על ידי הבקר הרלוונטי.
5.2 הוראות החברה. בחתימה על הנספח לעיבוד הנתונים, החברה מורה ל-Jibe לעבד את המידע האישי של החברה רק בהתאם לחוק החל: (א) כדי לספק את שירותי המעבד (CPU) וכל תמיכה טכנית שקשורה אליהם; (ב) כפי שמפורט בהמשך בשימוש של החברה בשירותים של מעבד המידע (כולל בהגדרות ובפונקציונליות אחרת של שירותי מעבד המידע) ובתמיכה טכנית קשורה אחרת; (ג) כמפורט במסמך זה לפי ההוראות במסמכים המפורטים במסמך זה, וכן לפי ההוראות במסמך זה, וכן הוראות בנוגע לאותו מסמך, לרבות הוראות אחרות המבוססות על אותו השירות; וגם הוראות השירות שמצאו;
5.3 התאימות של דנה להוראות. Jibe יציית להוראות המתוארות בסעיף 5.2 (הוראות החברה) (כולל ביחס להעברות נתונים), אלא אם החוקים האירופיים או הארציים ש-Jibe כפוף אליהם מחייבים עיבוד אחר של מידע אישי של החברה על ידי Jibe, ובמקרה זה Jibe יידע את החברה (אלא אם חוק כזה אוסר על Jibe לעשות זאת מסיבות חשובות של אינטרס ציבורי).
5.4 מוצרים נוספים. אם החברה משתמשת במוצר נוסף, השירותים של מעבד המידע רשאים לאפשר לאותו מוצר לגשת לנתונים האישיים של החברה כפי שנדרש עבור הפעולה ההדדית של המוצר הנוסף עם שירותי הטיפול. הנספח הזה לעיבוד נתונים לא חל על עיבוד מידע אישי בקשר לאספקת מוצרים נוספים שהחברה משתמשת בהם, לרבות מידע אישי שמועבר לאותו מוצר או ממנו.
6. מחיקת נתונים
6.1 מחיקה במהלך התקופה.
6.1.1 שירותי מעבד מידע עם פונקציונליות מחיקה. במהלך התקופה, אם:
(א) הפונקציונליות של שירותי מעבד המידע כוללת את האפשרות לחברה למחוק את המידע האישי של החברה;
(ב) החברה משתמשת בשירותי מעבד המידע כדי למחוק נתונים אישיים מסוימים של החברה; וכן
(ג) החברה לא יכולה לשחזר את הנתונים האישיים שנמחקו, (למשל, מה"אשפה"),
לאחר מכן, Jibe ימחק את המידע האישי של החברה מהמערכות שלה בהקדם האפשרי, במידת האפשר, אלא אם חוקים של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע.
6.1.2 שירותי עיבוד ללא פונקציונליות מחיקה. במהלך התקופה, אם הפונקציונליות של שירותי המעבד לא כוללת את האפשרות של החברה למחוק נתונים אישיים של החברה, Jibe יציית לכל בקשה סבירה מהחברה כדי להקל על המחיקה, כל עוד הדבר אפשרי עקב אופי המאפיין והפונקציונליות של שירותי מעבד המידע. Jibe עשוי לגבות עמלה (המבוססת על העלויות הסבירות של Jibe) בגין מחיקת נתונים, לפי סעיף 6.1.2 (שירותים של מעבדים ללא פונקציונליות מחיקה). חברת Jibe תספק לחברה פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל מחיקה כזו.
6.2 קיצור זמן התפוגה של המונח. בתום תקופת ההסכם, החברה מורה ל-Jibe למחוק את כל המידע האישי של החברה (כולל עותקים קיימים) ממערכות של Jibe, בהתאם לדין החל. Jibe יציית להוראה זו בהקדם האפשרי הסביר, אלא אם חוקים של האיחוד האירופי או חוקים לאומיים דורשים אחסון.
7. אבטחת נתונים
7.1 אמצעי האבטחה והעזרה של Jibe.
7.1.1 אמצעי האבטחה של Jibe. Jibe יטמיע וייישם אמצעים טכניים וארגוניים כדי להגן על מידע אישי של החברה מפני הרס, אובדן, שינוי, חשיפה או גישה לא מורשית באופן מקרי או לא חוקי, כפי שמתואר בנספח 2 ("אמצעי האבטחה"). ייתכן ש-Jibe יעדכן או ישנה את אמצעי האבטחה מעת לעת, בתנאי שהעדכונים והתיקונים האלה לא יובילו לפגיעה כוללת.
7.1.2 תאימות האבטחה של Jibe Team.Jibe יבטיח שכל האנשים שמורשים לעבד את המידע האישי של החברה התחייבו לשמור על סודיות, או שהמחויבות החוקית שלהם היא סודית.
7.1.3 הסיוע באבטחה של Jibe. החברה מסכימה ש-Jibe יסייע לחברה לעמוד בהתחייבויות של החברה לגבי אבטחת מידע אישי ופרצות מידע אישי (תוך התחשבות באופי העיבוד של המידע האישי של החברה והמידע הזמין ל-Jibe), כולל (אם רלוונטי) המחויבויות של החברה לפי סעיפים 32 עד 34 (כולל) של ה-GDPR על ידי:
(א) הטמעה ותחזוקה של אמצעי האבטחה בהתאם לסעיף 7.1.1 (אמצעי האבטחה של ג'יבה);
(ב) ציות לתנאים בסעיף 7.2 (תקריות נתונים); וכן
(ג) מתן מסמכי התיעוד לחברה בהתאם לסעיף 7.5.1 (סקירה של מסמכי האבטחה) והמידע הכלול בנספח זה לעיבוד הנתונים.
7.2 תקריות נתונים.
7.2.1 הודעה על אירוע. אם ייוודע ל-Jibe על תקרית אבטחת מידע, Jibe: (א) יודיע לחברה על האירוע בהקדם וללא עיכוב בלתי הולם; (ב) ינקוט צעדים סבירים כדי למזער נזקים ואת האבטחה של המידע האישי של החברה.
7.2.2 פרטי האירוע. ההתרעות המפורטות בסעיף 7.2.1 (התראה על אירוע) יתארו, עד כמה שניתן, את פרטי האירוע, כולל פעולות לצמצום הסיכונים הפוטנציאליים והצעדים הנדרשים על ידי ג'ובה להמליץ לחברה לנקוט צעדים כדי לטפל באירוע.
7.2.3 מתן ההתראה.Jibe ימסור את ההתראה שלו על כל נתונים הקשורים לכתובת האימייל של ההתראות, או, לפי שיקול דעתה של Jibe (כולל אם החברה לא סיפקה כתובת אימייל להתראות), באמצעות תקשורת ישירה אחרת (לדוגמה, בשיחת טלפון או בפגישה פנים-אל-פנים). החברה אחראית באופן בלעדי לספק את כתובת האימייל לקבלת הודעות ולוודא שכתובת האימייל להודעות עדכנית ותקפה.
7.2.4 הודעות של צד שלישי. החברה היא האחראית הבלעדית לציות לדיני התראות על אירועים שרלוונטיים לחברה, ולמילוי כל חובות הודעה של צד שלישי הקשורות לאירוע נתונים.
7.2.5 אי הכרה בתקלה על ידי הודעת Jibe.Jibe לגבי אירוע או תגובה לאירוע, במסגרת סעיף 7.2 (תקריות נתונים), לא יפורשו כאישור מצד Jibe לכל כשל או חבות ביחס לאירועי הנתונים.
7.3 האחריות והאבטחה של החברה.
7.3.1 תחומי האבטחה של החברה. החברה מסכימה שבלי לפגוע בהתחייבויות של Jibe בהתאם לסעיפים 7.1 (אמצעי אבטחה וסיוע של Jibe) ו-7.2 (תקריות נתונים):
(א) החברה אחראית לשימוש שלה בשירותי מעבד המידע, כולל:
(i) שימוש הולם בשירותי מעבד המידע כדי להבטיח רמת אבטחה שמתאימה לסיכון של המידע האישי של החברה; וכן
(ii) אבטחת פרטי הכניסה, המערכות והמכשירים לאימות החשבון שבהם החברה משתמשת כדי לגשת לשירותי המעבד; וכן
(ב) ל-Jibe אין כל מחויבות להגן על המידע האישי של החברה כדי לאחסן או להעביר אותו מחוץ למערכות של Jibe ומעבדי המשנה.
7.3.2 הערכת האבטחה של החברה. החברה מסכימה ומאשרת כי (בהתחשב במצב האומנות, בעלויות היישום ובאומנות, ההיקף, ההקשר ומטרות העיבוד של המידע האישי של החברה, כמו גם הסכנות לאנשים פרטיים) אמצעי האבטחה שמוטמעים ומתוחזקים על ידי Jibe בסעיף 7.1.1 (אמצעי האבטחה של Jibe) מספקים רמת אבטחה המתאימה לסיכונים של המידע האישי של החברה.
7.4 אישור אבטחה. כדי להעריך את מידת היעילות המתמשכת של אמצעי האבטחה, וכדי להבטיח את יעילותם, יש לשמור על אישור ISO 27001.
7.5 ביקורות ובדיקות תאימות.
7.5.1 בדיקות של מסמכי אבטחה. כדי להוכיח ציות ל-Jibe בהתחייבויות שלו במסגרת נספח זה לעיבוד נתונים, Jibe יגדיר את מסמכי האבטחה לעיון הלקוח.
7.5.2 זכויות לביקורת על החברה.
(א) Jibe יאפשר לחברה או למבקר מצד שלישי אשר מונה על ידי החברה לערוך ביקורות (כולל בדיקות) כדי לאמת את התאימות של Jibe למחויבות שלה בהתאם לנספח זה לעיבוד נתונים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לביקורת). Jibe יתרום לבדיקות כאלו כפי שמתואר בסעיף 7.4 (אישור אבטחה) ובקטע זה (בדיקה).
(ב) אם הסעיפים החוזיים הסטנדרטיים חלים בהתאם לסעיף 10.2 (העברת נתונים), Jibe יאפשר לחברה או למבקר מצד שלישי שאותו החברה מינתה לערוך ביקורות, כפי שמתואר בסעיפים החוזיים הסטנדרטיים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לביקורת).
(ג) יכול גם לערוך ביקורת כדי לאמת את הציות של Jibe למחויבויות שלו במסגרת נספח זה לעיבוד נתונים, על ידי בדיקת האישור שהונפק על ידי אישור ISO 27001 (שמשקף את התוצאה של ביקורת שעורך צד שלישי ביצע).
7.5.3 תנאים עסקיים נוספים לביקורת.
(א) החברה תשלח אל Gibe כל בקשה לביקורת בהתאם לסעיף 7.5.2(א) או 7.5.2(ב) כפי שמתואר בסעיף 12.1 (יצירת קשר עם Jibe).
(ב) לאחר קבלת Jibe של בקשה בכפוף לסעיף 7.5.3(א), Jibe והחברה ידונו ויסכימו מראש על תאריך התחלה, היקף ומשך סבירים של אמצעי הבקרה לאבטחה ולסודיות, אשר רלוונטיים לכל סעיף 7.5.2(א) או 7.5.2(ב).
(ג) חברת Jibe עשויה לגבות עמלה (המבוססת על העלויות הסבירות של Jibe) בגין כל ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב).Jibe תספק לחברה פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל ביקורת כזו. החברה תהיה אחראית לכל העמלות שגובה כל מבקר מצד שלישי אשר מונה על ידי החברה לביצוע כל ביקורת כזו.
(ד) ג'יב רשאי להתנגד לכל מבקר של צד שלישי שאותו מונה החברה לערוך כל ביקורת לפי סעיף 7.5.2(א) או 7.5.2(ב) אם כותב הביקורת יהיה, לפי שיקול דעתו הסביר, של ג'יבס, מתחרה של Jibe או שאינו מתאים בבירור מסיבה אחרת. התנגדות כזו מצד Jibe תחייב את החברה למנות מבקר אחר או לערוך את הביקורת בעצמה.
(ה) שום דבר בנספח זה לעיבוד נתונים לא יחייב את Jibe לחשוף בפני החברה או המבקר שלה מצד שלישי, או להעניק לחברה או למבקר מצד שלישי גישה:
(i) נתונים של כל לקוח אחר בישות Jibe;
(ii) המידע הפיננסי או הפנימי של ישות Jibe;
(iii) סודות מסחריים כלשהם של ישויות ב-Jibe;
(iv) כל מידע, שלפי שיקול דעתה ההוגן של Jibe, יכול: (א) לסכן את האבטחה של המערכות או סביבות של ישות כלשהי ב-Jibe; או (ב) לגרום לכל ישות של Jibe לפרוץ את ההתחייבויות שלה במסגרת החקיקה להגנה על המידע באירופה או את התחייבויות האבטחה ו/או הפרטיות שלה לחברה או לצד שלישי; או
(v) כל מידע שהחברה או המבקר השלישי שלה מבקשים לגשת אליה מכל סיבה שאינה מימוש בתום לב של התחייבויותיה של החברה במסגרת החקיקה האירופית להגנה על המידע.
7.5.4 אין שינוי בסעיפים החוזיים הסטנדרטיים. אם הסעיפים החוזיים הסטנדרטיים חלים בכפוף לסעיף 10.2 (העברת נתונים), שום דבר בסעיף 7.5 (בדיקות ובדיקות תאימות) לא ישנה או ישנה את הזכויות או ההתחייבויות של החברה או של Jibe בהתאם לסעיפים החוזיים הסטנדרטיים.
8. ייעוץ והערכות השפעה
החברה מסכימה ש-Jibe תעזור לחברה לוודא שהיא עומדת בהתחייבויות של החברה לגבי הערכות ההשפעה של ההגנה על מידע וייעוץ קודם (תוך התחשבות באופי העיבוד ובמידע שזמין ל-Jibe), כולל (אם רלוונטי) המחויבויות של החברה לפי סעיפים 35 ו-36 של חוק ה-GDPR:
(א) מתן מסמכי האבטחה בהתאם לסעיף 7.5.1 (סקירות של מסמכי האבטחה);
(ב) מתן המידע הכלול בנספח זה לעיבוד הנתונים; וכן
(ג) אספקה או הפצה בדרך אחרת, בהתאם לשיטות הרגילות של Jibe, לחומרים אחרים הקשורים לאופי של שירותי מעבד המידע ולעיבוד של מידע אישי של החברה (למשל, חומרים של מרכז העזרה).
9. זכויות של האדם שאליו מתייחס המידע
9.1 תגובות לבקשות של נושא נתונים. אם Jibe מקבל בקשה מנושא נתונים ביחס למידע אישי של חברה, Jibe:
(א) אם הבקשה נשלחת דרך כלי לניהול נתונים, עליכם להגיב ישירות לבקשה של האדם שאליו מתייחס המידע, בהתאם לפונקציונליות הרגילה של אותו כלי נתונים, או
(ב) אם הבקשה לא נשלחת דרך כלי נושא הנתונים, יש לייעץ לנתונים שישלחו את הבקשה לחברה, והחברה תהיה אחראית למענה על בקשות אלו.
9.2 סיוע לבקשת נתונים של דנה. החברה מסכימה ש-Jibe תשתדל לעזור לחברה לעמוד בדרישות של החברה לגבי בקשות למידע על אנשים שאליהם מתייחס המידע (תוך התחשבות באופי עיבוד הנתונים האישיים של החברה, ואם רלוונטי, סעיף 11 של ה-GDPR), כולל (אם רלוונטי) המחויבות של החברה להגיב לבקשות למימוש הזכויות של האדם שאליו מתייחס המידע בפרק 3 של ה-GDPR, באופן הבא:
(א) אספקת הפונקציונליות של שירותי מעבד המידע;
(ב) ציות להתחייבויות בסעיף 9.1 (תגובות לבקשות של אנשים שאליהם מתייחס המידע); וכן
(ג) אם הדבר רלוונטי לשירותי מעבד המידע, כך יהיו כלים זמינים של נושא נתונים.
10. העברת נתונים
10.1 מתקנים לאחסון ולעיבוד נתונים. החברה מסכימה ש-Jibe עשוי, בהתאם לסעיף 10.2 (העברת נתונים), לאחסן ולעבד נתונים אישיים של החברה בכל מדינה שבה מנוהלים מעבדי Jibe או מעבדי המידע המשניים שלה.
10.2 העברות נתונים.
אם האחסון ו/או העיבוד של המידע האישי של החברה כרוך בהעברת מידע אישי של החברה מה-EEA, משווייץ או מבריטניה, למדינה שלישית שכפופה להחלטה בנוגע למידת ההתאמה, במסגרת החקיקה להגנה על המידע באירופה:
(א) חברה (כמייצאת נתונים) תיחשב כמי שחתומה על הסעיפים החוזיים הסטנדרטיים עם Jibe (כמייצאת הנתונים);
(ב) ההעברות יהיו כפופות לסעיפים החוזיים הסטנדרטיים; וכן
(ג) אזכורים ל-Google LLC וללקוח בסעיפים החוזיים הסטנדרטיים יתייחסו ל-Jibe ולחברה, בהתאמה.
10.3 מידע על מרכז הנתונים. מידע על המיקומים של מרכזי נתונים של Google זמין בכתובת www.google.com/about/datacenters/locations/index.html.
11. מעבדי משנה
11.1 הסכמה למעורבות במעבד המידע המשני. החברה מאשרת במפורש את מעורבותם של השותפים העצמאיים של Jibe כמעבדי משנה (להלן: "מעבדי משנה של Jibe"). בנוסף, החברה בדרך כלל מאשרת את המעורבות של גורמי צד שלישי אחרים בתור מעבדי משנה ("מעבדי משנה של צד שלישי"). אם הסעיפים החוזיים הסטנדרטיים חלים בהתאם לסעיף 10.2 (העברת נתונים), ההרשאות שניתנו למעלה מהוות את הסכמת הלקוח המקורית בכתב של החברה.
11.2 מידע על מעבדי משנה. לבקשת החברה, יוסי יספק מידע לגבי מעבדי המשנה והמיקום שלהם. יש לשלוח את הבקשות האלה אל Jibe באמצעות הפרטים ליצירת קשר המפורטים בסעיף 12.1 (יצירת קשר עם Jibe).
11.3 דרישות לגבי מעורבות של מעבדי מידע. כשאתם יוצרים אינטראקציה עם מעבד מידע משני, Jibe:
(א) מבטיחים באמצעות חוזה בכתב כי:
(i) מעבד המידע המשני ניגש למידע אישי של החברה ומשתמש בו רק במידה הנדרשת כדי לבצע את ההתחייבויות שהועברו אליו בחוזה מקוצר, והוא עושה זאת בהתאם להסכם (כולל נספח זה לעיבוד נתונים), ואם רלוונטי, בהתאם לסעיף 10.2 (העברת נתונים), הסעיפים החוזיים הסטנדרטיים, וכן
(ii) אם ה-GDPR חלה על עיבוד מידע אישי של חברה, ההתחייבויות להגנה על נתונים המפורטות בסעיף 28(3) של תקנת ה-GDPR נאכפות במעבד המידע המשני; וכן
(ב) לשאת בחבות מלאה לכל ההתחייבויות שנובעות קבלני המשנה, ולכל הפעולות וההשמטות של מעבד המשנה.
11.4 הזדמנות להתנגד לשינויים של מעבד המידע.
(א) כשמעבד משנה חדש של צד שלישי יעסוק במהלך התקופה, חברת Jibe תיידע את החברה על המעורבות (כולל השם והמיקום של מעבד המשנה הרלוונטי והפעילויות שהוא יבצע) על ידי שליחת אימייל לכתובת האימייל של ההתראות לפחות 30 יום לפני עיבוד המעבד של הצד השלישי החדש למידע אישי של החברה.
(ב) החברה רשאית להתנגד לכל מעבד מידע משני חדש של צד שלישי על ידי סיום ההסכם מיד לאחר מתן הודעה בכתב ל-Jibe, בתנאי שהחברה מספקת הודעה כזו בתוך 90 יום ממועד קבלת ההודעה על מעורבותו של ספק הצד השלישי החדש, כפי שמתואר בסעיף 11.4(א). זכות הסיום הזו היא הסעד היחיד והבלעדי של החברה אם החברה מתנגדת למעבד מידע משני חדש של צד שלישי.
12. יצירת קשר עם Jibe; עיבוד רשומות
12.1 יצירת קשר עם Jibe. החברה עשויה ליצור קשר עם Jibe בקשר לנספח הזה לעיבוד נתונים דרך איש הקשר להגנה על נתונים של jibe. ניתן לפנות אליו בכתובת http://issuetracker.google.com או באמצעים אחרים ש-Jibe עשוי לספק מעת לעת.
12.2 רשומות העיבוד של Jibe. החברה מאשרת ש-Jibe נדרש בכפוף לתקנת ה-GDPR כדי: (א) לאסוף ולתחזק רשומות של מידע מסוים, כולל השם והפרטים ליצירת קשר של כל מעבד מידע ו/או בקר מטעם הנציג של Jibe, וכן (אם רלוונטי) של הנציג המקומי ונאמן המידע של האחראי או נאמן המידע; וכן (ב) להנגיש את המידע הזה לכל רשות מפקחת. לפיכך, במקרים שבהם הדבר רלוונטי וחל, החברה תספק מידע כזה ל-Jibe דרך ממשק המשתמש של שירותי מעבד המידע או באמצעים אחרים שסופקו על ידי Jibe, ותשתמש בממשק משתמש כזה או באמצעים אחרים כדי להבטיח שכל המידע שנמסר יהיה מדויק ועדכני.
13. חבות
13.1 מגבלת חבות. בלי קשר לשום דבר אחר בהסכם, החבות הכוללת של כל צד כלפי הצד השני במסגרת או בקשר לנספח זה לעיבוד הנתונים תוגבל לסכום הכספי המקסימלי או לסכום התשלום שעליו מכסה המכסה של אותו צד במסגרת ההסכם (ולכן כל החרגה של סודיות או שיפוי מברירת המחדל של ההסכם לא תהיה חוקית) סעיף 13 (חבות) לא יחריג או יגביל את החבות של אף אחד מהצדדים למקרים הבאים: (א) מוות או פציעה גופנית כתוצאה מרשלנות שלו או מרשלנות של העובדים או הסוכנים שלו; (ב) הונאה או מצג שווא שקרי; או (ג) עניינים שבגינם אי אפשר להחריג או להגביל את החבות במסגרת החוק החל.
13.2 חבות אם הסעיפים החוזיים הסטנדרטיים חלים. אם הסעיפים החוזיים הסטנדרטיים חלים בכפוף לסעיף 10.2 (העברת נתונים), החבות הכוללת של כל צד והשותפים העצמאיים שלו כלפי הצד האחר והשותפים העצמאיים שלו, במסגרת ההסכם או בקשר לסעיפים החוזיים הסטנדרטיים יחד, תהיה כפופה לסעיף 13.1 (מגבלת חבות).
14. מוטבים מצד שלישי
אם 'שותף עצמאי' של צד הוא צד בסעיפים החוזיים הסטנדרטיים שחלים על סעיף 10.2 ('העברת נתונים'), אזי 'השותף העצמאי' הוא מוטב מצד שלישי של סעיפים 6.2 ('בקשת ביטול', 'תקופת תפוגה'), 7.5 ('בדיקות' בכפוף ל'בקשות', '1-בקשות להגשה'), 'בקשות' (1) 'בקשות' (בקשות 1)) אם סעיף 14 (מוטבים מצד שלישי) מתנגש או לא תואם לכל סעיף אחר בהסכם, סעיף 14 (מוטבים מצד שלישי) יחול.
15. ההשפעה של נספח זה לעיבוד נתונים
אם יש סתירה או חוסר עקביות בסעיפים החוזיים הסטנדרטיים, בתנאים הנוספים של החקיקה להגנה על המידע שאינו מאירופה, בנספח הזה לעיבוד הנתונים ובשאר ההסכם, סדר הקדימות הבא יחול:
(א) הסעיפים החוזיים הסטנדרטיים;
(ב) התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע;
(ג) את שאר התנאים לעיבוד מידע; וכן
(ד) המשך ההסכם.
אם ההסכם הזה (כולל כל נספח אחר) מתורגם לשפה אחרת כלשהי, והטקסט המתורגם מתנגש או לא תואם לטקסט באנגלית, הטקסט באנגלית הוא הקובע.
בכפוף לתיקונים המפורטים בנספח הזה לעיבוד נתונים, ההסכם יישאר בתוקף ויחול במלואו.
16. שינויים בנספח הזה לעיבוד נתונים
16.1 שינויים בכתובות URL מעת לעת, Jibe רשאי לשנות כל כתובת URL שצוינה בנספח זה לעיבוד הנתונים ואת התוכן בכל כתובת URL כזו, פרט לכך ש-Jibe יכולה לשנות רק את הסעיפים החוזיים הסטנדרטיים בהתאם לסעיפים 16.2(b) עד 16.2(d) (שינויים בתנאים לעיבוד מידע) או לשילוב כל גרסה חוזית רגילה של המחבר
16.2 שינויים בתנאים לעיבוד מידע (DPT). Jibe עשוי לשנות את הנספח לעיבוד הנתונים אם השינוי:
(א) מותר במפורש בנספח עיבוד הנתונים, לרבות כמתואר בסעיף 16.1 (שינויים בכתובות URL);
(ב) משקף שינוי בשם או בצורה של ישות משפטית;
(ג) הכרחי כדי לציית לדין החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית; או
(ד) לא גורם (i) לפגיעה באבטחה הכוללת של שירותי מעבד המידע; (ii) הרחבת ההיקף של ההגבלות או הסרתן, (x) במקרה של התנאים הנוספים להגנה על נתונים שאינם אירופיים לחקיקה, הזכויות של Jibe להשתמש או לעבד את הנתונים באופן אחר במסגרת החקיקה להגנה על נתונים שלא באירופה, המושג כמפורט בחוק עבור אותו עסק באותו יום או לצורך
16.3 הודעה על שינויים. אם בכוונתה של Jibe לשנות נספח זה לעיבוד נתונים בהתאם לסעיף 16.2(ג) או (ד), Jibe תיידע את החברה על כך לפחות 30 יום (או פרק זמן קצר יותר כפי שיידרש על מנת לציית לחוק החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית), לפני שהשינוי ייכנס לתוקף על ידי: (א) ההתראה שתישלח באימייל למשתמש באמצעות (ו) ההתראה באמצעות אם החברה מתנגדת לשינויים כאלה, החברה רשאית לסיים את ההסכם על ידי מתן הודעה בכתב ל-Jibe תוך 90 יום ממועד קבלת ההודעה על ידי Jibe.
נספח 1: העניין והפרטים של עיבוד הנתונים
נושא חשוב
אספקת שירותי מעבד המידע של Gibe ותמיכה טכנית טכנית לחברה.
משך העיבוד
תקופת ההסכם בתוספת התקופה מתפוגת התקופה עד למחיקת כל הנתונים האישיים של החברה על ידי Jibe, בהתאם לנספח זה לעיבוד הנתונים.
האופי והמטרה של העיבוד
Jibe יעבד מידע אישי של החברה כדי לספק ל'שירותי עיבוד' ולתמיכה הטכנית הרלוונטית את החברה בהתאם לנספח זה לעיבוד נתונים (לרבות, בהתאם לשירותים ולמעבדות ההוראות המפורטים בסעיף 5.2 (הוראות החברה), איסוף, הקלטה, ארגון, בנייה, אחסון, שינוי, אחזור, שימוש, חשיפת, שילוב, מחיקה אישי ומחיקת חברות).
סוגים של מידע אישי
מידע אישי הקשור לאנשים פרטיים שמסופקים ל-Jibe דרך שירותי העיבוד, על ידי החברה (או החברה עצמה) או על ידי משתמשי קצה של החברה.
קטגוריות של נושאי נתונים
האנשים שאליהם מתייחס המידע כוללים את האנשים שלגביהם הנתונים מסופקים ל-Jibe דרך שירותי העיבוד על ידי החברה (או אנשי המקצוע) או משתמשי הקצה של החברה.
נספח 2: אמצעי אבטחה
החל מתאריך כניסתם של התנאים לתוקף, Jibe יטמיע ויחזק את אמצעי האבטחה בנספח 2 הזה. Jibe עשוי לעדכן או לשנות את אמצעי האבטחה האלה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא פוגעים באבטחה הכוללת של שירותי מעבד המידע.
1. Data Security ו-Network Security
(א) מרכזי נתונים.
תשתית. ל-Jibe יש מרכזי נתונים הפזורים במיקומים גיאוגרפיים שונים. Jibe מאחסן את כל נתוני הייצור במרכזי נתונים המאובטחים פיזית.
יתירות. מערכות התשתית תוכננו לבטל נקודות כשל בודדות ולמזער את ההשפעה של הסיכונים הסביבתיים הצפויים. מעגלים, מתגים, רשתות או מכשירים דרושים אחרים עוזרים לספק את היתירות הזו. שירותי מעבד המידע מיועדים לאפשר ל-Jibe לבצע סוגים מסוימים של תחזוקה מונעת ומתוקנת ללא הפרעה. כל הציוד הסביבתי והמתקנים המתועדים מתעדים הליכי תחזוקה מונעת שמפרטים את התהליך ואת תדירות הביצועים, בהתאם למפרט היצרן או הפנימי. כדי למנוע תחזוקה מונעת של ציוד במרכז הנתונים, יש לבצע תהליך סטנדרטי בהתאם להליכים המתועדים.
הפעלה. מערכות החשמל החשמליות במרכזי הנתונים הן יתירות ותחזוקה, ללא השפעה על פעולות שוטפות, 24 שעות ביממה ו-7 ימים בשבוע. ברוב המקרים, ספק עיקרי ומקור כוח חלופי, שכל אחד מהם מכיל קיבולת זהה, מסופק עבור רכיבי התשתית הקריטיים במרכז הנתונים. כוח הגיבוי מסופק על ידי מנגנונים שונים, כמו סוללות לספקים ללא הפסקות (UPS), שמספקות הגנה רציפה על חשמל בזמן הפסקות חשמל, תקלות, הפסקות חשמל, מתח גבוה מדי, מתח נמוך ותנאים של חוסר סובלנות. אם יש הפרעה באספקת החשמל, כוח הגיבוי נועד לספק אספקת חשמל למרכז הנתונים, בקיבולת מלאה, למשך 10 דקות לכל היותר, עד שמערכות סולר המנוע יתחילו לפעול. גנרטורים דיזל יכולים להתחיל לפעול באופן אוטומטי תוך שניות, והם מספקים מספיק אספקת חשמל לשעת חירום כדי להפעיל את מרכז הנתונים בקיבולת מלאה, בדרך כלל לפרק זמן של ימים.
מערכות הפעלה של השרת. שרתי Jibe משתמשים במערכות הפעלה מוקשחות, שהותאמו במיוחד לצורכי השרת הייחודיים של העסק. הנתונים מאוחסנים באמצעות אלגוריתמים קנייניים כדי לשפר את אבטחת הנתונים ואת יתירות הנתונים. Jibe משתמש בתהליך לבדיקת קוד כדי להגביר את האבטחה של הקוד המשמש לאספקת שירותי הפיתוח ולשפר את מוצרי האבטחה בסביבות הייצור.
המשכיות עסקית. Jibe משכפל נתונים במספר מערכות כדי להגן מפני הרס או אובדן מקריים. ג'יבה תכננה ובודקת על בסיס קבוע את התוכניות שלה לתכנון המשכיות עסקית/לתוכנית התאוששות מאסון.
(ב) רשתות ושידור.
העברת נתונים. בדרך כלל, מרכזי הנתונים מחוברים באמצעות קישורים פרטיים מהירים, כדי לאפשר העברה מאובטחת ומהירה של נתונים בין מרכזי נתונים. היא נועדה למנוע קריאה, העתקה, שינוי או הסרה של נתונים ללא אישור במהלך העברה או העברה אלקטרונית של קבצים, וגם במהלך התיעוד שלהם במדיה לאחסון נתונים. Jibe מעביר נתונים באמצעות פרוטוקולים סטנדרטיים של אינטרנט.
משטח התקפה חיצוני. Jibe משתמש במספר שכבות של מכשירי רשת וזיהוי פריצות, כדי להגן על משטח התקיפה החיצוני שלו. Jibe לוקח בחשבון וקטורים של התקפות פוטנציאליות, ומשלב טכנולוגיות מתאימות מובנות במערכות חיצוניות.
זיהוי הפרעות. זיהוי פריצות נועד לספק תובנות על פעולות מתמשכות מתמשכות ולספק מידע מספיק כדי להגיב לאירועים. זיהוי ההפרעות של Jibe כולל את הפרטים הבאים:
בקרה קפדנית על הגודל והאיפור של משטח ההתקפה של ג'יבה בעזרת אמצעי מניעה;
שימוש במנגנוני זיהוי חכמים בנקודות כניסה של נתונים; וכן
שימוש בטכנולוגיות שמטפלות באופן אוטומטי במצבים מסוכנים מסוימים.
תגובה לאירועים. Jibe עוקב אחרי מגוון ערוצי תקשורת כדי לאתר אירועי אבטחה, וצוות האבטחה של Jibe מגיב באופן מיידי לאירועים ידועים.
טכנולוגיות הצפנה. Jibe מאפשר הצפנת HTTPS (נקרא גם חיבור SSL או TLS). שרתי Jibe תומכים בעקומה אליפטית זמנית. המפתח להצפנה קריפטוגרפית נחתם על ידי דיפי הלמן ב-RSA וב-ECDSA. שיטות הסודיות המשופרת (PFS) עוזרות להגן על התנועה ולמזער את ההשפעה של מפתח שנפרץ, או על פריצת דרך קריפטוגרפית.
2. אמצעי בקרה על הגישה ועל אתרים
(א) פקדי אתר.
פעולת אבטחה של מרכז נתונים באתר. מרכזי הנתונים של Jibe שומרים על פעולת אבטחה באתר שאחראית לכל פונקציות האבטחה של מרכז הנתונים הפיזיים 24 שעות ביממה, 7 ימים בשבוע. אנשי תפעול האבטחה במקום עוקבים אחרי מצלמות במעגל סגור (CCTV") ובמערכות אחרות. עובדי תפעול האבטחה במקום מבצעים סיורים פנימיים וחיצוניים במרכז הנתונים באופן קבוע.
נוהלי גישה למרכז הנתונים. ל-Jibe יש נוהלי גישה רשמיים המאפשרים גישה פיזית למרכזי הנתונים. מרכזי הנתונים ממוקמים במתקנים שנדרשת אליהם גישה של כרטיס אלקטרוני, עם התראות שמקושרות לפעולת האבטחה במקום. כל הנרשמים למרכז הנתונים נדרשים להזדהות וגם להוכיח הוכחת זהות לפעולות האבטחה באתר. רק עובדים, קבלנים ומבקרים מורשים מורשים להיכנס למרכזי הנתונים. רק עובדים וקבלנים מורשים רשאים לבקש גישה למפתחות אלקטרוניים במתקנים האלה. בקשות גישה למפתחות אלקטרוניים של מרכז נתונים צריכות להתבצע מראש ובכתב, וצריך לקבל אישור מהמנהל של הגורם המבקש וממנהל מרכזי הנתונים. כל שאר המשתתפים שצריכים גישה למרכז הנתונים הזמני חייבים: (א) לקבל אישור מראש מהמנהלים של מרכז הנתונים והאזורים הפנימיים שבהם הם רוצים לבקר; (ב) להיכנס לחשבון בתפעול האבטחה באתר, ו-(ג) להפנות לרשומת גישה מאושרת למרכז הנתונים שמזהה את האדם מאושר.
מכשירי אבטחה של מרכז נתונים באתר. במרכזי הנתונים של Jibe יש מפתח כרטיס אלקטרוני ומערכת בקרת גישה ביומטרית, שמקושרת להתראה של המערכת. מערכת בקרת הגישה עוקבת אחרי המפתח של הכרטיס האלקטרוני של כל אחד מהם ומתעדת אותו וכשנכנסים לדלתות היקפיות, למשלוחים ולקבלות, וגם לאזורים חיוניים אחרים. פעילויות לא מורשות וניסיונות גישה שנכשלו מתועדים על ידי מערכת בקרת הגישה ונבדקים, לפי הצורך. הגישה המורשית לפעילות העסקית ולמרכזי הנתונים מוגבלת בהתאם לאזורים ולחובות העבודה של אותו אדם. דלתות הדלת במרכזי הנתונים מזעזעות. מצלמות CCTV פועלות בתוך ומחוץ למרכזי הנתונים. המיקום של המצלמות עוצב עבור אזורים אסטרטגיים, כולל, בין היתר, ההיקף, הדלתות אל בניין מרכז הנתונים והמשלוח/הקבלה. העובדים בתפעול האבטחה באתר מנהלים את ציוד המעקב, ההקלטה והבקרה של CCTV. כבלים מאובטחים בכל מרכזי הנתונים מחברים את הציוד לטלוויזיות מחוברות. המצלמות מקליטות באתר באמצעות מכשירי וידאו דיגיטליים – 24 שעות ביממה, 7 ימים בשבוע. רשומות המעקב נשמרות למשך 7 ימים לפחות על סמך הפעילות.
(ב) בקרת גישה.
אנשי אבטחת תשתיות. לג'יבה יש מדיניות אבטחה ולתחזקת אותה עבור העובדים, ודרושה הכשרה בנושא אבטחה כחלק מחבילת ההכשרה של אנשי הצוות. צוות אבטחת התשתית של ג'יבה אחראי על המעקב המתמשך של תשתית האבטחה של Jibe, על בדיקת השירותים של מעבדי המידע ועל תגובה לאירועי אבטחה.
בקרת הרשאות וניהול הרשאות. האדמינים והמשתמשים צריכים לאמת את עצמם באמצעות מערכת אימות מרכזית או באמצעות מערכת כניסה יחידה כדי להשתמש בשירותי מעבד המידע.
תהליכים ומדיניות גישה לנתונים פנימיים – מדיניות גישה. התהליכים והמדיניות של Jibe הפנימיים לגישה לנתונים, נועדו למנוע מאנשים או ממערכות שאינם מורשים לקבל גישה למערכות המשמשות לעיבוד מידע אישי. המטרה של Jibe היא לתכנן את המערכות שלה כך: (i) לאפשר רק לאנשים מורשים לגשת לנתונים שיש להם הרשאת גישה אליהם; וכן (ii) לוודא שלא ניתן לקרוא, להעתיק, לשנות או להסיר מידע אישי ללא הרשאה במהלך העיבוד, השימוש ולאחר ההקלטה. המערכות מתוכננות לזיהוי כל גישה לא הולמת. ל-Jibe יש מערכת מרכזית לניהול גישה ששולטת בגישה של אנשים לשרתי הייצור, ומספקת גישה למספר מוגבל של עובדים מורשים. LDAP, Kerberos ומערכת קניינית שמשתמשת באישורי SSH מיועדים לספק ל-Jibe מנגנוני גישה מאובטחים וגמישים. המנגנונים האלה תוכננו להעניק רק הרשאות גישה שאושרו למארחי אתרים, ליומנים, לנתונים ולפרטי תצורה. כדי להשתמש ב-Jibe, צריך להשתמש במזהי משתמשים ייחודיים, בסיסמאות חזקות, באימות דו-שלבי וברשימות גישה עם מעקב קפדני, כדי לצמצם את הפוטנציאל לשימוש לא מורשה בחשבון. היכולת להעניק או לשנות זכויות גישה מבוססת על: תחומי האחריות של האנשים המורשים, דרישות התפקיד הנדרשות לביצוע משימות מורשות, ועל סמך הצורך לדעת. הענקת הרשאות גישה או שינוי שלהן חייבים להתבצע בהתאם למדיניות ולהדרכה הפנימיות של Gibe לגבי גישה לנתונים. האישורים מנוהלים באמצעות כלים של תהליכי עבודה שמתעדים ביקורות לגבי כל שינוי. הגישה למערכות מתועדת כדי ליצור נתיב ביקורתיות. בכל סיסמה שנעשה בה שימוש בסיסמאות לצורך אימות (למשל התחברות לתחנות עבודה), מוטמעת מדיניות סיסמאות שמבוססת על שיטות סטנדרטיות בתחום לפחות. על פי הסטנדרטים האלה, יש הגבלות על שימוש חוזר בסיסמאות ועל חוזק סיסמה מספיק.
3. נתונים
(א) אחסון נתונים, בידוד ואימות.
Jibe מאחסן נתונים בסביבה מרובת-דיירים בשרתים שבבעלות Jibe. הנתונים, מסד הנתונים של שירותי העיבוד וארכיטקטורת מערכות הקבצים משוכפלים בין מספר מרכזי נתונים המפוזרים גיאוגרפית. Jibe מבודד באופן הגיוני לנתונים של כל לקוח. בכל שירותי המעבד נעשה שימוש במערכת אימות מרכזית כדי להגביר את אבטחת הנתונים.
(ב) הנחיות להוצאת דיסקים ולהסרת דיסקים.
בדיסקים מסוימים שמכילים נתונים עלולות להיות בעיות בביצועים, שגיאות או כשלי חומרה שיובילו להוצאה משימוש ("דיסק עם הוצאה משימוש"). כל דיסק שהוצא משימוש כפוף לסדרה של תהליכי השמדת נתונים ("ההנחיות בנושא השמדת נתונים") לפני שעוזבים את מתקן של ג'יבה לשימוש חוזר או להשמדה. הדיסקים שהוצאו משימוש נמחקים בתהליך רב-שלבי ומאומתים על ידי שני מאמתים עצמאיים לפחות. תוצאות המחיקה נרשמות לפי המספר הסידורי של הדיסק שיצא משימוש לצורך מעקב. לבסוף, הדיסק שנמחק שהוצא משימוש יצא לשוק לשימוש חוזר ולפריסה מחדש. אם עקב כשל בחומרה לא ניתן למחוק את הדיסק שהוצא משימוש, הוא מאוחסן באופן מאובטח עד להשמדתו. כל מתקן נבדק באופן קבוע כדי לוודא שהוא עומד בהנחיות להשמדת נתונים.
4. אבטחת כוח אדם
העובדים ב-Jibe נדרשים לפעול על פי ההנחיות של החברה בקשר לסודיות, אתיקה עסקית, שימוש הולם וסטנדרטים מקצועיים. חברת Jibe מבצעת בדיקות רקע הולמות במידה מתקבלת על המידה המותרת על פי חוק, ובהתאם לחוק העבודה המקומי ולתקנות המשפטיות הרלוונטיות.
העובדים נדרשים לחתום על הסכם סודיות, ועליהם לאשר את מדיניות הסודיות והפרטיות של Gibe. העובדים מקבלים הכשרה בנושא אבטחה. עובדים נדרשים לטפל במידע האישי של החברה כדי למלא את הדרישות הנוספות המתאימות לתפקיד שלהם. העובדים של Jibe לא יעבדו את המידע האישי של החברה ללא הרשאתם
5. אבטחת מעבדי מידע
לפני הצירוף של מעבדי המשנה, Jibe מבצע ביקורת על נוהלי האבטחה והפרטיות של מעבדי המשנה, כדי לוודא שמעבדי המשנה מספקים רמת אבטחה ופרטיות שמתאימה לגישה לנתונים ולהיקף השירותים שהם נדרשים לספק. לאחר ש-Jibe העריך את הסיכונים שמיוצגים על ידי מעבד המידע המשני, בכפוף תמיד לדרישות בקטע 11.3 (דרישות למעורבות של מעבדי משנה), מעבד המשנה נדרש לחתום על תנאי סודיות מתאימים של אבטחה, סודיות ופרטיות.
נספח 3: תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע
התנאים הנוספים הבאים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לתנאים האלה לעיבוד נתונים:
- נספח לספקי CCPA בכתובת privacy.google.com/businesses/gdprprocessorterms/ccpa (מ-27 באוגוסט 2020)
- נספח בנושא מעבד LGPD בכתובת privacy.google.com/businesses/gdprprocessorrterms/lgpd (מ-27 באוגוסט 2020)
התנאים לעיבוד מידע (DPT) של Jibe, גרסה 2.0
27 באוגוסט 2020