Terakhir diubah: 2 November 2020
Jibe dan partnernya yang menyetujui adendum ini (“Perusahaan”) telah menyepakati perjanjian penyediaan Layanan Pemroses (sebagaimana diubah dari waktu ke waktu, “Perjanjian”).
Adendum Pemrosesan Data ini (termasuk apendiks, “Adendum Pemrosesan Data”) disepakati oleh Jibe dan Perusahaan serta melengkapi Perjanjian. Adendum Pemrosesan Data ini akan berlaku, dan menggantikan setiap persyaratan yang sebelumnya berlaku terkait dengan materi pokoknya (termasuk semua pemrosesan data dan persyaratan keamanan yang berkaitan dengan Layanan Pemroses), sejak Tanggal Mulai Berlaku Persyaratan.
Jika Anda menyetujui Adendum Pemrosesan Data ini atas nama Perusahaan, Anda menjamin bahwa: (a) Anda memiliki kewenangan hukum penuh untuk mengikat Perusahaan dengan Adendum Pemrosesan Data ini; (b) Anda telah membaca dan memahami Adendum Pemrosesan Data ini; dan (c) Anda menyetujui, atas nama Perusahaan, Adendum Pemrosesan Data ini. Jika Anda tidak memiliki kewenangan hukum untuk mengikat Perusahaan, jangan menyetujui Adendum Pemrosesan Data ini.
1. Pengantar
Adendum Pemrosesan Data ini mencerminkan perjanjian antarpihak terkait persyaratan yang mengatur pemrosesan dan keamanan Data Pribadi Perusahaan sehubungan dengan Legislasi Perlindungan Data Eropa dan Legislasi Perlindungan Data Non-Eropa tertentu.
2. Definisi dan Penafsiran
2.1 Dalam Adendum Pemrosesan Data ini:
“Produk Tambahan” adalah produk, layanan, atau aplikasi yang disediakan oleh Jibe atau pihak ketiga yang: (a) bukan bagian dari Layanan Pemroses; dan (b) dapat diakses untuk digunakan dalam antarmuka pengguna Layanan Pemroses atau terintegrasi dengan Layanan Pemroses.
“Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa” adalah persyaratan tambahan yang dirujuk dalam Lampiran 3, yang mencerminkan perjanjian antarpihak terkait persyaratan yang mengatur pemrosesan data tertentu sehubungan dengan Legislasi Perlindungan Data Non-Eropa tertentu.
“Afiliasi” berarti entitas yang secara langsung atau tidak langsung mengendalikan, dikontrol oleh, atau berada di bawah kendali yang sama dengan, suatu pihak.
“Data Pribadi Perusahaan” berarti data pribadi yang diproses oleh Jibe atas nama Perusahaan dalam penyediaan Layanan Pemroses Jibe.
“Insiden Data” berarti pelanggaran keamanan Jibe yang menyebabkan kerusakan, kehilangan, perubahan, pengungkapan tanpa izin, atau akses ke, Data Pribadi Perusahaan secara tidak sengaja atau yang melanggar hukum, pada sistem yang dikelola atau dikendalikan oleh Jibe. "Insiden Data" tidak akan mencakup upaya atau aktivitas yang gagal yang tidak membahayakan keamanan Data Pribadi Perusahaan, termasuk upaya login yang gagal, ping, pemindaian port, serangan denial of service, dan serangan jaringan lainnya pada firewall atau sistem jaringan.
“Legislasi Perlindungan Data” berarti, sebagaimana berlaku: (a) Legislasi Perlindungan Data Eropa; dan/atau (b) Legislasi Perlindungan Data Non-Eropa.
“Alat Subjek Data” berarti alat (jika ada) yang disediakan oleh Entitas Jibe untuk subjek data yang memungkinkan Jibe merespons secara langsung dan dengan cara yang terstandardisasi terhadap permintaan tertentu dari subjek data sehubungan dengan Data Pribadi Perusahaan (misalnya, plugin browser penyisih).
“EEA berarti Wilayah Ekonomi Eropa.
“GDPR Uni Eropa” berarti Peraturan (Uni Eropa) 2016/679 dari Parlemen dan Dewan Eropa tanggal 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang perpindahan data tersebut secara bebas, dan membatalkan Directive 95/46/EC.
“Legislasi Perlindungan Data Eropa” berarti, sebagaimana berlaku: (a) GDPR; dan/atau (b) Federal Data Protection Act tertanggal 19 Juni 1992 (Swiss).
“Hukum Eropa atau Nasional” berarti, sebagaimana berlaku: (a) hukum Negara Anggota Uni Eropa atau Uni Eropa (jika GDPR Uni Eropa berlaku untuk pemrosesan Data Pribadi Perusahaan); dan/atau (b) hukum Inggris Raya atau bagian dari Inggris Raya (jika GDPR Inggris Raya berlaku untuk pemrosesan Data Pribadi Perusahaan).
“GDPR” berarti, sebagaimana berlaku: (a) GDPR Uni Eropa; dan/atau (b) GDPR Inggris Raya.
“Jibe” adalah Entitas Jibe yang menjadi pihak dalam Perjanjian.
“Subpemroses Afiliasi Jibe” memiliki makna yang dijelaskan dalam Pasal 11.1 (Izin untuk Keterlibatan Subpemroses).
“Entitas Jibe” berarti Jibe Mobile Inc, Jibe Mobile Limited, atau Afiliasi lain dari Jibe Mobile Inc.
“Sertifikasi ISO 27001” berarti sertifikasi ISO/IEC 27001:2013 atau sertifikasi yang sebanding untuk Layanan Pemroses.
“Legislasi Perlindungan Data Non-Eropa” adalah hukum perlindungan atau privasi data yang berlaku di luar EEA, Swiss, dan Inggris Raya.
“Alamat Email Notifikasi” adalah alamat email (jika ada): (i) yang diberikan oleh Perusahaan kepada Jibe atau (ii) yang ditetapkan oleh Perusahaan, melalui antarmuka pengguna Layanan Pemroses atau sarana lain yang disediakan oleh Jibe, untuk menerima notifikasi tertentu dari Jibe yang berkaitan dengan Adendum Pemrosesan Data ini. Agar lebih jelas, Perusahaan bertanggung jawab untuk memberikan Alamat Email Notifikasi kepada Jibe dan untuk memberi tahu Jibe mengenai setiap pembaruan pada Alamat Email Notifikasi.
“Layanan Pemroses” berarti layanan RCS Business Messaging (seperti yang dijelaskan di https://developers.google.com/business-communications/rcs-business-messaging)
“Dokumentasi Keamanan” berarti Sertifikasi ISO 27001 dan sertifikasi atau dokumentasi keamanan lainnya yang mungkin disediakan Jibe sehubungan dengan Layanan Pemroses.
“Prosedur Keamanan” memiliki arti yang diberikan dalam Pasal 7.1.1 (Prosedur Keamanan Jibe).
“Klausul Kontrak Standar” berarti klausul kontraktual standar Komisi Eropa di https://privacy.google.com/businesses/gdprprocessorterms/sccs, yang merupakan persyaratan perlindungan data standar untuk transfer data pribadi ke pemroses yang ditetapkan di negara ketiga yang tidak memastikan tingkat perlindungan data yang memadai, seperti yang dijelaskan dalam Pasal 46 GDPR Uni Eropa.
“Subpemroses” berarti pihak ketiga yang diberi otorisasi berdasarkan Adendum Pemrosesan Data ini untuk memiliki akses logis ke dan memproses Data Pribadi Perusahaan guna menyediakan bagian dari Layanan Pemroses dan dukungan teknis terkait apa pun.
“Otoritas Badan Pengawas” berarti, sebagaimana berlaku: (a) “otoritas badan pengawas” sebagaimana ditetapkan dalam GDPR Uni Eropa; dan/atau (b) “Komisioner” sebagaimana ditetapkan dalam GDPR Inggris Raya.
“Masa Berlaku” berarti periode dari Tanggal Mulai Berlaku Persyaratan hingga akhir penyediaan Layanan Pemroses Jibe berdasarkan Perjanjian.
“Tanggal Mulai Berlaku Persyaratan” berarti tanggal mulai berlaku Perjanjian.
“Subpemroses Pihak Ketiga” memiliki makna yang dijelaskan dalam Pasal 11.1 (Izin untuk Interaksi Subpemroses).
“GDPR Inggris Raya” berarti GDPR Uni Eropa seperti yang diubah dan dimasukkan ke dalam hukum Inggris Raya berdasarkan Uni Eropa (Pembatalan) Inggris Raya 2018, jika berlaku.
2.2 Istilah “pengontrol”, “subjek data”, “data pribadi”, “pemrosesan”, dan “pemroses” seperti yang digunakan dalam Adendum Pemrosesan Data ini memiliki arti yang diberikan dalam GDPR, dan istilah “pengimpor data” serta “pengekspor data” memiliki arti yang diberikan dalam Klausul Kontrak Standar.
2.3 Istilah “termasuk”, “sertakan” atau ekspresi serupa akan ditafsirkan sebagai ilustrasi dan tidak akan membatasi arti kata yang ada sebelum istilah tersebut. Setiap contoh dalam Adendum Pemrosesan Data ini bersifat ilustratif dan bukan satu-satunya contoh untuk konsep tertentu.
2.4 Referensi apa pun ke kerangka hukum, undang-undang, atau berlakunya undang-undang legislatif lainnya adalah referensi untuknya sebagaimana yang diubah atau diperagakan dari waktu ke waktu.
2.5 Jika Persyaratan Pemrosesan Data ini diterjemahkan ke dalam bahasa lain, dan ada perbedaan antara teks bahasa Inggris dan teks terjemahan, teks bahasa Inggris yang akan berlaku.
3. Durasi Adendum Pemrosesan Data ini
Adendum Pemrosesan Data ini akan berlaku pada Tanggal Mulai Berlaku Persyaratan dan, terlepas dari apakah Persyaratan telah berakhir, akan tetap berlaku hingga, dan secara otomatis berakhir pada, penghapusan semua Data Pribadi Perusahaan oleh Jibe seperti yang dijelaskan dalam Adendum Pemrosesan Data ini.
4. Pemberlakuan Adendum Pemrosesan Data ini
4.1 Pemberlakuan Legislasi Perlindungan Data Eropa. Pasal 5 (Pemrosesan Data) hingga 12 (Menghubungi Jibe; Catatan Pemrosesan) (inklusif) hanya akan berlaku sejauh Legislasi Perlindungan Data Eropa berlaku untuk pemrosesan Data Pribadi Perusahaan, termasuk jika:
(a) pemrosesan berada dalam konteks aktivitas pendirian Perusahaan di EEA atau Inggris Raya; dan/atau
(b) Data Pribadi Perusahaan adalah data pribadi terkait subjek data yang berada di EEA atau Inggris Raya dan pemrosesannya terkait dengan penawaran barang atau layanan atau pemantauan perilaku mereka di EEA atau Inggris Raya.
4.2 Aplikasi ke Layanan Pemroses. Adendum Pemrosesan Data ini hanya akan berlaku untuk Layanan Pemroses yang para pihaknya menyetujui Adendum Pemroses Data ini (misalnya: (a) Layanan Pemroses yang diklik Perusahaan untuk menyetujui Adendum Pemrosesan Data ini; atau (b) jika Perjanjian menyertakan Adendum Pemrosesan Data ini dengan merujuk, Pemroses Layanan yang merupakan subjek Perjanjian).
4.3 Pendirian Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa. Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa melengkapi Persyaratan Pemrosesan Data ini.
5. Pemrosesan Data
5.1 Peran dan Kepatuhan terhadap Peraturan; Otorisasi.
5.1.1 Tanggung Jawab Prosesor dan Pengontrol. Para pihak memahami dan menyetujui bahwa:
(a) Lampiran 1 menjelaskan materi pokok dan detail pemrosesan Data Pribadi Perusahaan;
(b) Jibe adalah pemroses Data Pribadi Perusahaan berdasarkan Legislasi Perlindungan Data Eropa;
(c) Perusahaan adalah pengontrol atau pemroses, sebagaimana berlaku, Data Pribadi Perusahaan berdasarkan Legislasi Perlindungan Data Eropa; dan
(d) masing-masing pihak akan memenuhi kewajiban yang berlaku baginya berdasarkan Legislasi Perlindungan Data Eropa sehubungan dengan pemrosesan Data Pribadi Perusahaan.
5.1.2 Otorisasi oleh Pengontrol Pihak Ketiga. Jika Perusahaan adalah pemroses, Perusahaan menjamin kepada Jibe bahwa petunjuk dan tindakan Perusahaan yang berkaitan dengan Data Pribadi Perusahaan, termasuk pengangkatan Jibe sebagai pemroses lain, telah diotorisasi oleh pengontrol yang relevan.
5.2 Petunjuk Perusahaan. Dengan menyepakati Adendum Pemrosesan Data ini, Perusahaan menginstruksikan Jibe untuk memproses Data Pribadi Perusahaan hanya sesuai dengan hukum yang berlaku: (a) menyediakan Layanan Pemroses dan dukungan teknis terkait; (b) sebagaimana ditentukan lebih lanjut melalui penggunaan Layanan Pemroses oleh Perusahaan (termasuk dalam setelan dan fungsi lain dari Layanan Pemroses) dan setiap dukungan teknis terkait; (c) seperti yang didokumentasikan dalam bentuk Institusi ini, dengan mempertimbangkan persyaratan yang berlaku pada saat berlaku dan merupakan tambahan dari Persyaratan dalam hukum yang ditetapkan oleh Google, selama
5.3 Kepatuhan Jibe terhadap Petunjuk. Jibe akan mematuhi petunjuk yang dijelaskan di Bagian 5.2 (Petunjuk Perusahaan) (termasuk terkait dengan transfer data) kecuali jika Hukum Eropa atau Nasional yang tunduk pada jibe memerlukan pemrosesan lain atas Data Pribadi Perusahaan oleh Jibe, dalam hal ini Jibe akan memberi tahu Perusahaan (kecuali jika hukum tersebut melarang Jibe untuk melakukannya atas dasar kepentingan publik yang penting).
5.4 Produk Tambahan. Jika Perusahaan menggunakan Produk Tambahan apa pun, Layanan Pemroses dapat mengizinkan Produk Tambahan tersebut untuk mengakses Data Pribadi Perusahaan sebagaimana diperlukan untuk interoperasi Produk Tambahan dengan Layanan Pemroses. Adendum Pemrosesan Data ini tidak berlaku untuk pemrosesan data pribadi terkait dengan penyediaan Produk Tambahan yang digunakan oleh Perusahaan, termasuk data pribadi yang dikirimkan ke atau dari Produk Tambahan tersebut.
6. Penghapusan Data
6.1 Penghapusan Selama Jangka Waktu.
6.1.1 Layanan Pemroses Dengan Fungsi Penghapusan. Selama Masa Berlaku, jika:
(a) fungsi Layanan Pemroses mencakup opsi bagi Perusahaan untuk menghapus Data Pribadi Perusahaan;
(b) Perusahaan menggunakan Layanan Pemroses untuk menghapus Data Pribadi Perusahaan tertentu; dan
(c) Data Pribadi Perusahaan yang dihapus tidak dapat dipulihkan oleh Perusahaan (misalnya, dari sampah”),
maka Jibe akan menghapus Data Pribadi Perusahaan tersebut dari sistemnya sesegera mungkin, kecuali jika Hukum Eropa atau Nasional mewajibkan penyimpanan.
6.1.2 Layanan Pemroses Tanpa Fungsi Penghapusan. Selama Masa Berlaku, jika fungsi Layanan Pemroses tidak mencakup opsi bagi Perusahaan untuk menghapus Data Pribadi Perusahaan, maka Jibe akan mematuhi setiap permintaan yang wajar dari Perusahaan untuk memfasilitasi penghapusan tersebut, sejauh ini dapat dilakukan dengan mempertimbangkan sifat dan fungsi Layanan Pemroses. Jibe dapat mengenakan biaya (berdasarkan biaya yang wajar dari Jibe) untuk setiap penghapusan data berdasarkan Pasal 6.1.2 (Layanan Pemroses Tanpa Fungsi Penghapusan). Jibe akan memberikan detail lebih lanjut kepada Perusahaan tentang biaya yang berlaku, dan dasar penghitungannya, sebelum penghapusan data tersebut.
6.2 Penghapusan saat Masa Berlaku Berakhir. Setelah Persyaratan ini berakhir, Perusahaan meminta Jibe untuk menghapus semua Data Pribadi Perusahaan (termasuk salinan yang ada) dari sistem Jibe sesuai dengan hukum yang berlaku. Jibe akan mematuhi petunjuk ini sesegera mungkin secara wajar kecuali jika Hukum Eropa atau Nasional memerlukan penyimpanan.
7. Keamanan Data
7.1 Bantuan dan Prosedur Keamanan Jibe.
7.1.1 Prosedur Keamanan Jibe. Jibe akan menerapkan dan mempertahankan tindakan teknis dan organisasi untuk melindungi Data Pribadi Perusahaan dari penghancuran yang tidak disengaja atau melanggar hukum, kehilangan, perubahan, pengungkapan atau akses yang tidak sah seperti yang dijelaskan dalam Lampiran 2 (“Tindakan Keamanan”). Jibe dapat memperbarui atau mengubah Prosedur Keamanan dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan Layanan pemroses secara keseluruhan.
7.1.2 Kepatuhan Keamanan oleh Staf Jibe.Jibe akan memastikan bahwa semua orang yang berwenang untuk memproses Data Pribadi Perusahaan telah berkomitmen untuk rahasia atau berada di bawah kewajiban hukum rahasia yang sesuai.
7.1.3 Bantuan Keamanan Jibe. Perusahaan setuju bahwa Jibe akan membantu Perusahaan dalam memastikan kepatuhan terhadap kewajiban apa pun yang dimiliki Perusahaan terkait keamanan data pribadi dan pelanggaran data pribadi (dengan mempertimbangkan sifat pemrosesan Data Pribadi Perusahaan dan informasi yang tersedia untuk Jibe), termasuk (jika berlaku) kewajiban Perusahaan berdasarkan Pasal 32 sampai 34 (inklusif) GDPR, dengan:
(a) menerapkan dan mengelola Prosedur Keamanan sesuai dengan Pasal 7.1.1 (Prosedur Keamanan Jibe);
(b) mematuhi persyaratan Pasal 7.2 (Insiden Data); dan
(c) memberikan Dokumentasi Keamanan kepada Perusahaan sesuai Pasal 7.5.1 (Peninjauan Dokumentasi Keamanan) dan informasi yang dimuat dalam Adendum Pemrosesan Data ini.
7.2 Insiden Data.
7.2.1 Pemberitahuan Insiden. Jika Jibe mengetahui tentang Insiden Data, Jibe akan: (a) memberi tahu Perusahaan tentang Insiden Data dengan segera dan tanpa penundaan yang tidak semestinya; dan (b) segera mengambil langkah-langkah yang wajar untuk meminimalkan bahaya serta mengamankan Data Pribadi Perusahaan.
7.2.2 Detail Insiden Data. Notifikasi yang dibuat berdasarkan Pasal 7.2.1 (Notifikasi Insiden) akan menjelaskan, sedapat mungkin, detail Insiden Data, termasuk langkah-langkah yang diambil untuk mengurangi potensi risiko dan langkah-langkah yang direkomendasikan Jibe untuk diambil Perusahaan guna mengatasi Insiden Data.
7.2.3 Pengiriman Notifikasi.Jibe akan mengirimkan notifikasi tentang Insiden Data apa pun ke Alamat Email Notifikasi atau, atas kebijaksanaan Jibe (termasuk jika Perusahaan belum memberikan Alamat Email Notifikasi), melalui komunikasi langsung lainnya (misalnya, melalui panggilan telepon atau rapat langsung). Perusahaan hanya bertanggung jawab untuk menyediakan Alamat Email Notifikasi dan memastikan bahwa Alamat Email Notifikasi tersebut benar dan valid.
7.2.4 Notifikasi Pihak Ketiga. Perusahaan bertanggung jawab penuh untuk mematuhi hukum pemberitahuan insiden yang berlaku untuk Perusahaan dan memenuhi kewajiban notifikasi pihak ketiga terkait dengan Insiden Data.
7.2.5 Tidak Ada Konfirmasi Kesalahan oleh pemberitahuan Jibe.Jibe tentang atau respons terhadap Insiden Data berdasarkan Pasal 7.2 (Insiden Data) ini tidak akan ditafsirkan sebagai konfirmasi oleh Jibe atas kesalahan atau kewajiban apa pun sehubungan dengan Insiden Data.
7.3 Tanggung Jawab dan Penilaian Keamanan Perusahaan.
7.3.1 Tanggung Jawab Keamanan Perusahaan. Perusahaan menyetujui bahwa, tanpa mengabaikan kewajiban Jibe berdasarkan Pasal 7.1 (Bantuan dan Bantuan Keamanan Jibe) dan 7.2 (Insiden Data):
(a) Perusahaan bertanggung jawab terhadap penggunaan Layanan Pemroses, termasuk:
(i) memanfaatkan Layanan Pemroses dengan tepat untuk memastikan tingkat keamanan yang sesuai dengan risiko terhadap Data Pribadi Perusahaan; dan
(ii) mengamankan kredensial autentikasi akun, sistem, dan perangkat yang digunakan Perusahaan untuk mengakses Layanan Pemroses; dan
(b) Jibe tidak memiliki kewajiban untuk melindungi Data Pribadi Perusahaan yang dipilih Perusahaan untuk menyimpan atau mentransfer di luar sistem Jibe dan Subpemrosesnya.
7.3.2 Penilaian Keamanan Perusahaan. Perusahaan memahami dan menyetujui bahwa (dengan mempertimbangkan kondisi modern, biaya penerapan, serta sifat, cakupan, konteks, dan tujuan pemrosesan Data Pribadi Perusahaan, serta risiko terhadap individu) Langkah Keamanan yang diterapkan dan dikelola oleh Jibe dalam Pasal 7.1.1 (Prosedur Keamanan Jibe) memberikan tingkat keamanan yang sesuai dengan risiko terhadap Data Pribadi Perusahaan.
7.4 Sertifikasi Keamanan. Untuk mengevaluasi dan membantu memastikan efektivitas Prosedur Keamanan yang berkelanjutan, Jibe akan mempertahankan Sertifikasi ISO 27001.
7.5 Peninjauan dan Audit Kepatuhan.
7.5.1 Ulasan Dokumentasi Keamanan. Untuk menunjukkan kepatuhan Jibe terhadap kewajibannya berdasarkan Adendum Pemrosesan Data ini, Jibe akan membuat Dokumentasi Keamanan tersedia untuk ditinjau oleh Pelanggan.
7.5.2 Hak Audit Perusahaan.
(a) Jibe akan mengizinkan Perusahaan atau auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit (termasuk inspeksi) guna memverifikasi kepatuhan Jibe terhadap kewajibannya berdasarkan Adendum Pemrosesan Data ini sesuai dengan Pasal 7.5.3 (Persyaratan Bisnis Tambahan untuk Audit). (Pasal 7).
(b) Jika Klausul Kontrak Standar berlaku berdasarkan Pasal 10.2 (Transfer Data), Jibe akan mengizinkan Perusahaan atau auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit seperti yang dijelaskan dalam Klausul Kontrak Standar sesuai dengan Pasal 7.5.3 (Persyaratan Bisnis Tambahan untuk Audit).
(c) juga dapat melakukan audit untuk memverifikasi kepatuhan Jibe terhadap kewajibannya berdasarkan Adendum Pemrosesan Data ini dengan meninjau sertifikat yang diterbitkan untuk Sertifikasi ISO 27001 (yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga).
7.5.3 Persyaratan Bisnis Tambahan untuk Audit.
(a) Perusahaan akan mengirim permintaan audit berdasarkan Pasal 7.5.2(a) atau 7.5.2(b) kepada Jibe sebagaimana dijelaskan dalam Pasal 12.1 (Menghubungi Jibe).
(b) Setelah menerima permintaan dari Jibe berdasarkan Pasal 7.5.3(a), Jibe dan Perusahaan akan mendiskusikan dan menyetujui terlebih dahulu tanggal mulai, cakupan, dan durasi yang wajar dari, serta kontrol keamanan dan kerahasiaan yang berlaku untuk, audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b).
(c) Jibe dapat mengenakan biaya (berdasarkan biaya yang wajar dari Jibe) untuk audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b).Jibe akan memberikan detail lebih lanjut kepada Perusahaan terkait biaya apa pun yang berlaku, dan dasar penghitungannya, sebelum audit tersebut. Perusahaan akan bertanggung jawab atas semua biaya yang dibebankan auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melaksanakan audit tersebut.
(d) Jibe dapat mengajukan keberatan kepada auditor pihak ketiga yang ditunjuk oleh Perusahaan untuk melakukan audit apa pun berdasarkan Pasal 7.5.2(a) atau 7.5.2(b) jika auditor, menurut opini Jibe yang wajar, tidak memenuhi syarat atau independen, merupakan pesaing Jibe atau jelas tidak sesuai. Setiap penolakan oleh Jibe akan mengharuskan Perusahaan untuk menunjuk auditor lain atau melakukan audit sendiri.
(e) Tidak ada apa pun dalam Adendum Pemrosesan Data ini yang mengharuskan Jibe untuk mengungkapkan kepada Perusahaan atau auditor pihak ketiganya, atau untuk mengizinkan Perusahaan atau auditor pihak ketiganya mengakses:
(i) data pelanggan lain dari Entitas Jibe;
(ii) informasi keuangan atau akuntansi internal Entitas Jibe;
(iii) rahasia dagang Entitas Jibe;
(iv) informasi apa pun yang, menurut pendapat wajar dari Jibe, dapat: (A) membahayakan keamanan sistem atau lokasi Entitas Jibe mana pun; atau (B) menyebabkan Entitas Jibe melanggar kewajibannya berdasarkan Legislasi Perlindungan Data Eropa atau kewajiban keamanan dan/atau privasinya kepada Perusahaan atau pihak ketiga mana pun; atau
(v) informasi yang coba diakses oleh Perusahaan atau auditor pihak ketiganya untuk alasan apa pun selain niat baik untuk memenuhi kewajiban Perusahaan berdasarkan Legislasi Perlindungan Data Eropa.
7.5.4 Tidak Ada Perubahan Klausul Kontrak Standar. Jika Klausul Kontrak Standar berlaku menurut Pasal 10.2 (Transfer Data), tidak ada ketentuan dalam Pasal 7.5 (Peninjauan dan Audit Kepatuhan) ini yang mengubah atau memodifikasi hak atau kewajiban Perusahaan atau Jibe berdasarkan Klausul Kontrak Standar.
8. Penilaian dan Konsultasi Dampak
Perusahaan setuju bahwa Jibe akan membantu Perusahaan memastikan kepatuhan terhadap setiap kewajiban Perusahaan terkait penilaian dampak perlindungan data dan konsultasi sebelumnya (dengan mempertimbangkan sifat pemrosesan dan informasi yang tersedia untuk Jibe), termasuk (jika berlaku) kewajiban Perusahaan berdasarkan Pasal 35 dan 36 GDPR, dengan:
(a) memberikan Dokumentasi Keamanan sesuai dengan Pasal 7.5.1 (Peninjauan Dokumentasi Keamanan);
(b) memberikan informasi yang dimuat dalam Adendum Pemrosesan Data ini; dan
(c) menyediakan atau menyediakan, sesuai dengan praktik standar Jibe, materi lain terkait sifat Layanan Pemroses dan pemrosesan Data Pribadi Perusahaan (misalnya, materi pusat bantuan).
9. Hak Subjek Data
9.1 Respons terhadap Permintaan Subjek Data. Jika Jibe menerima permintaan dari subjek data yang terkait dengan Data Pribadi Perusahaan, Jibe akan:
(a) jika permintaan dibuat melalui Alat Subjek Data, respons langsung ke permintaan subjek data sesuai dengan fungsi standar Alat Subjek Data tersebut; atau
(b) jika permintaan tidak dibuat melalui Alat Subjek Data, sarankan subjek data untuk mengirimkan permintaan mereka ke Perusahaan, dan Perusahaan akan bertanggung jawab untuk menanggapi permintaan tersebut.
9.2 Bantuan Permintaan Subjek Data Jibe. Perusahaan menyetujui bahwa Jibe akan membantu Perusahaan dalam memenuhi kewajiban Perusahaan untuk merespons permintaan berdasarkan subjek data (dengan mempertimbangkan sifat pemrosesan Data Pribadi Perusahaan dan, jika berlaku, Pasal 11 GDPR), termasuk (jika berlaku) kewajiban Perusahaan untuk merespons permintaan agar dapat menggunakan hak subjek data dalam Bab III GDPR, dengan:
(a) menyediakan fungsi Layanan Pemroses;
(b) mematuhi komitmen di Pasal 9.1 (Respons terhadap Permintaan Subjek Data); dan
(c) jika berlaku untuk Layanan Pemroses, menyediakan Alat Subjek Data yang tersedia.
10. Transfer Data
10.1 Penyimpanan Data dan Fasilitas Pemrosesan. Perusahaan menyetujui bahwa Jibe dapat, sesuai dengan Pasal 10.2 (Transfer Data), menyimpan dan memproses Data Pribadi Perusahaan di negara mana pun tempat Jibe atau Subpemrosesnya mengelola fasilitas.
10.2 Transfer Data.
Jika penyimpanan dan/atau pemrosesan Data Pribadi Perusahaan melibatkan transfer Data Pribadi Perusahaan dari EEA, Swiss, atau Inggris Raya ke negara ketiga mana pun yang tidak tunduk pada keputusan kecukupan berdasarkan Legislasi Perlindungan Data Eropa:
(a) Perusahaan (sebagai pengekspor data) akan dianggap telah menyepakati Klausul Kontrak Standar dengan Jibe (sebagai pengimpor data);
(b) transfer akan tunduk pada Klausul Kontrak Standar; dan
(c) referensi ke Google LLC dan Pelanggan dalam Klausul Kontrak Standar masing-masing akan ditujukan kepada Jibe dan Perusahaan.
10.3 Informasi Pusat Data. Informasi tentang lokasi pusat data Google tersedia di www.google.com/about/datacenters/locations/index.html.
11. Subpemroses
11.1 Izin untuk Keterlibatan Subpemroses. Perusahaan secara khusus mengizinkan afiliasi Afiliasi Jibe sebagai Subpemroses (“Subpemroses Afiliasi Jibe”). Selain itu, Perusahaan secara resmi mengizinkan keterlibatan pihak ketiga lain sebagai Subpemroses (“Subpemroses Pihak Ketiga”). Jika Klausul Kontrak Standar di atas berlaku oleh Perusahaan, berdasarkan Bab 10.2 (Transfer Data), izin di atas merupakan dari Perusahaan.
11.2 Informasi tentang Subpemroses. Atas permintaan tertulis Perusahaan, Jibe akan memberikan informasi terkait Subpemroses dan lokasinya. Setiap permintaan tersebut harus dikirim ke Jibe menggunakan detail kontak yang ditetapkan di Bagian 12.1 (Menghubungi Jibe).
11.3 Persyaratan untuk Keterlibatan Subpemroses. Saat berinteraksi dengan Subpemroses apa pun, Jibe akan:
(a) memastikan melalui kontrak tertulis bahwa:
(i) Subpemroses hanya mengakses dan menggunakan Data Pribadi Perusahaan sejauh yang diperlukan untuk melakukan kewajiban yang disubkontrakkan padanya, dan melakukan hal tersebut sesuai dengan Perjanjian (termasuk Adendum Pemrosesan Data ini) dan, jika berlaku berdasarkan Pasal 10.2 (Transfer Data), Klausul Kontrak Standar; dan
(ii) jika GDPR berlaku untuk pemrosesan Data Pribadi Perusahaan, kewajiban perlindungan data dalam Pasal 28(3) GDPR diberlakukan pada Subpemroses; dan
(b) tetap bertanggung jawab penuh atas kewajiban yang disubkontrakkan pada, serta semua tindakan dan kelalaian dari, Subpemroses.
11.4 Peluang untuk Menolak Perubahan Subpemroses.
(a) Saat Subpemroses Pihak Ketiga baru terlibat selama Jangka Waktu, Jibe akan memberi tahu Perusahaan terkait interaksi tersebut (termasuk nama dan lokasi subpemroses yang relevan dan aktivitas yang akan dilakukannya) dengan mengirimkan email ke Alamat Email Notifikasi setidaknya 30 hari sebelum Subpemroses Pihak Ketiga yang baru memproses Data Pribadi Perusahaan.
(b) Perusahaan dapat mengajukan keberatan kepada Subpemroses Pihak Ketiga baru dengan menghentikan Perjanjian segera setelah pemberitahuan tertulis kepada Jibe, dengan ketentuan bahwa Perusahaan memberikan pemberitahuan tersebut dalam waktu 90 hari sejak diberi tahu tentang keterlibatan Subpemroses Pihak Ketiga baru seperti yang dijelaskan dalam Pasal 11.4(a). Hak penghentian ini adalah satu-satunya upaya hukum eksklusif Perusahaan jika Perusahaan keberatan dengan Subpemroses Pihak Ketiga yang baru.
12. Menghubungi Jibe; Memproses Catatan
12.1 Menghubungi Jibe. Perusahaan dapat menghubungi Jibe sehubungan dengan Adendum Pemrosesan Data ini melalui kontak perlindungan data RCS Jibe yang dapat dihubungi melalui http://issuetracker.google.com, atau melalui cara lain yang mungkin disediakan oleh Jibe dari waktu ke waktu.
12.2 Catatan Pemrosesan Jibe. Perusahaan memahami bahwa Jibe diwajibkan di bawah GDPR untuk: (a) mengumpulkan dan mengelola catatan informasi tertentu, termasuk nama dan detail kontak setiap pemroses dan/atau pengontrol atas atas nama Jibe yang bertindak dan (jika berlaku) perwakilan lokal atau pengontrol perlindungan data dan pemroses informasi tersebut; dan (b) menyediakan informasi tersebut kepada Otoritas Badan Pengawas. Oleh karena itu, jika diminta dan berlaku, Perusahaan akan memberikan informasi tersebut kepada Jibe melalui antarmuka pengguna Layanan Pemroses atau melalui cara lain yang mungkin disediakan oleh Jibe, dan akan menggunakan antarmuka pengguna tersebut atau cara lain untuk memastikan bahwa semua informasi yang diberikan selalu akurat dan terbaru.
13. Kewajiban
13.1 Batas Kewajiban. Terlepas dari hal lain dalam Perjanjian, kewajiban penuh salah satu pihak terhadap pihak lain berdasarkan atau sehubungan dengan Adendum Pemrosesan Data ini akan dibatasi pada jumlah maksimum uang atau berbasis pembayaran yang menjadi tanggung jawab pihak tersebut yang dibatasi berdasarkan Perjanjian Data Kewajiban atas Data yang tidak berlaku atau yang tidak lagi termasuk dalam Perlindungan Data dari Perjanjian (Litigasi) dari Data Perjanjian). Tidak ada pernyataan dalam Pasal 13 ini (Kewajiban) yang akan mengecualikan atau membatasi kewajiban kedua belah pihak jika terjadi: (a) kematian atau cedera pribadi yang disebabkan oleh kelalaian atau kelalaian karyawan atau agennya; (b) penipuan atau pernyataan tidak benar yang menipu, atau (c) masalah yang tidak dapat dikecualikan atau dibatasi berdasarkan hukum yang berlaku.
13.2 Kewajiban jika Klausul Kontrak Standar Berlaku. Jika Klausul Kontrak Standar berlaku menurut Pasal 10.2 (Transfer Data), seluruh kewajiban yang digabungkan dari masing-masing pihak dan Afiliasinya terhadap pihak lain dan Afiliasinya berdasarkan atau sehubungan dengan Perjanjian dan Klausul Kontrak Standar akan digabungkan sesuai dengan Pasal 13.1 (Batas Kewajiban).
14. Penerima Pihak Ketiga
Jika Afiliasi salah satu pihak adalah pihak dalam Klausul Kontrak Standar yang berlaku sesuai dengan Pasal 10.2 (Transfer Data), maka Afiliasi tersebut akan menjadi penerima pihak ketiga dari Pasal 6.2 (Penghapusan saat Jangka Waktu Berakhir), 7.5 (Peninjauan dan Audit Kepatuhan), 9.1 (Respons terhadap Permintaan Subjek Data), 10 (Pemanggilan) 10 (2.13 (12). Jika Pasal 14 ini (Penerima Pihak Ketiga) bertentangan atau tidak konsisten dengan klausul lain dalam Perjanjian, Pasal 14 (Penerima Pihak Ketiga) ini akan berlaku.
15. Pengaruh Adendum Pemrosesan Data ini
Jika ada konflik atau ketidaksesuaian antara Klausul Kontrak Standar, Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa, Adendum Pemrosesan Data ini, dan bagian lainnya dalam Perjanjian, maka urutan prioritas berikut akan diterapkan:
(a) Klausul Kontrak Standar;
(b) Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa;
(c) persyaratan Persyaratan Pemrosesan Data lainnya; dan
(d) bagian lainnya dalam Perjanjian.
Jika Perjanjian ini (termasuk Adendum apa pun) diterjemahkan ke dalam bahasa lain, dan teks yang diterjemahkan bertentangan atau tidak konsisten dengan teks dalam bahasa Inggris, teks dalam bahasa Inggris yang akan berlaku.
Berdasarkan amendemen dalam Adendum Pemrosesan Data ini, Perjanjian ini tetap berlaku dan memiliki kekuatan hukum penuh.
16. Perubahan pada Adendum Pemrosesan Data ini
16.1 Perubahan pada URL Dari waktu ke waktu, Jibe dapat mengubah URL apa pun yang dirujuk dalam Adendum Pemrosesan Data ini dan kontennya di URL apa pun, kecuali jika Jibe hanya dapat mengubah Klausul Kontrak Standar sesuai dengan Pasal 16.2(b) - 16.2(d) (Perubahan pada Persyaratan Pemrosesan Data) atau untuk menggabungkan versi baru Persyaratan Penggunaan, kontrak, yang digunakan dalam Konvensi Kontrak Eropa, yang berdasarkan Klausul Kontrak, berdasarkan Konvensi Kontrak Standar, yang berlaku di dalam Eropa, kontrak, yang berdasarkan Konvensi Standar, jika Berdasarkan Data yang disebut dalam Klausul Kontrak, yang akan digunakan dalam Klausul Kontrak, yang akan digunakan dalam Klausul Kontrak, yang akan digunakan dalam Klausul Kontrak, yang akan digunakan dalam Konvensi Kontrak Eropa, jika Konvensi ini berlaku, jika Konvensi ini berlaku, jika Pengertian Standar ini berlaku,
16.2 Perubahan pada Persyaratan Pemrosesan Data. Jibe dapat mengubah Adendum Pemrosesan Data ini jika perubahannya:
(a) diizinkan secara jelas oleh Adendum Pemrosesan Data ini, termasuk seperti yang dijelaskan dalam Pasal 16.1 (Perubahan pada URL);
(b) mencerminkan perubahan nama atau bentuk entitas hukum;
(c) diwajibkan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah; atau
(d) tidak (i) mengakibatkan penurunan keamanan Layanan Pemroses secara keseluruhan; (ii) memperluas cakupan atau menghapus pembatasan apa pun, (x) dalam kasus Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa, hak Jibe untuk menggunakan atau memproses data tersebut dalam cakupan Ketentuan Tambahan untuk Data Legislasi Non-Eropa jika Diberlakukan sebagai gantinya
16.3 Notifikasi Perubahan. Jika Jibe bermaksud untuk mengubah Adendum Pemrosesan Data ini berdasarkan Pasal 16.2(c) atau (d), Jibe akan memberi tahu Perusahaan setidaknya 30 hari (atau periode yang lebih singkat seperti yang mungkin diperlukan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh regulator atau Notifikasi Email Perusahaan sebelum perubahan akan diterapkan dengan: (a) mengirimkan email ke Perusahaan Notifikasi Notifikasi; atau ( Jika Perusahaan keberatan dengan perubahan tersebut, Perusahaan dapat menghentikan Perjanjian dengan memberikan pemberitahuan tertulis kepada Jibe dalam waktu 90 hari setelah diberi tahu oleh Jibe terkait perubahan tersebut.
Lampiran 1: Materi Pokok dan Detail Pemrosesan Data
Materi Pokok
Penyediaan Layanan Pemroses oleh Jibe dan dukungan teknis terkait kepada Perusahaan.
Durasi Pemrosesan
Persyaratan serta periode dari berakhirnya Masa Berlaku hingga penghapusan semua Data Pribadi Perusahaan oleh Jibe sesuai dengan Adendum Pemrosesan Data ini.
Sifat dan Tujuan Pemrosesan
Jibe akan memproses Data Pribadi Perusahaan untuk tujuan menyediakan Layanan Pemroses dan dukungan teknis terkait apa pun kepada Perusahaan sesuai dengan Adendum Pemrosesan Data ini (termasuk, sebagaimana berlaku untuk Layanan Pemroses dan petunjuk yang dijelaskan dalam Pasal 5.2 (Petunjuk Perusahaan), mengumpulkan, merekam, mengatur, menyusun, menyimpan, mengubah, mengambil, menggunakan, mengungkapkan, menggabungkan, menghapus, dan menghancurkan Data Pribadi Perusahaan).
Jenis Data Pribadi
Data pribadi yang berkaitan dengan individu yang diberikan kepada Jibe melalui Layanan Pemrosesan, oleh (atau atas arahan) Perusahaan atau oleh pengguna akhir Perusahaan.
Kategori Subjek Data
Subjek data mencakup individu yang datanya diberikan pada Jibe melalui Layanan Pemrosesan oleh (atau atas arahan) Perusahaan atau oleh pengguna akhir Perusahaan.
Lampiran 2: Prosedur Keamanan
Sejak Tanggal Mulai Berlaku Persyaratan, Jibe akan menerapkan dan mengelola Langkah Keamanan di Lampiran 2 ini. Jibe dapat memperbarui atau mengubah Prosedur Keamanan tersebut dari waktu ke waktu, dengan ketentuan bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan Layanan Pemroses secara keseluruhan.
1. Keamanan Jaringan & amp; Pusat Data
(a) Pusat Data.
Infrastruktur. Jibe memiliki pusat data yang tersebar secara geografis. Jibet menyimpan semua data produksi di pusat data yang aman secara fisik.
Redundansi. Sistem infrastruktur telah dirancang untuk menghilangkan titik tunggal kegagalan dan meminimalkan dampak risiko lingkungan yang dapat diperkirakan. Sirkuit ganda, tombol, jaringan, atau perangkat lain yang diperlukan membantu menyediakan redundansi ini. Layanan Pemroses dirancang untuk memungkinkan Jibe melakukan jenis pemeliharaan korektif dan preventif tertentu tanpa gangguan. Semua peralatan dan fasilitas lingkungan telah mendokumentasikan prosedur pencegahan preventif yang merinci proses serta frekuensi performa sesuai dengan spesifikasi produsen atau internal. Pemeliharaan korektif dan preventif untuk peralatan pusat data dijadwalkan melalui proses standar sesuai dengan prosedur yang terdokumentasi.
Daya. Sistem daya listrik pusat data dirancang untuk menjadi redundan dan dapat dikelola tanpa memengaruhi operasi berkelanjutan, 24 jam sehari, dan 7 hari seminggu. Dalam sebagian besar kasus, sumber listrik utama serta alternatif, masing-masing dengan kapasitas setara, disediakan untuk komponen infrastruktur penting di pusat data. Daya cadangan disediakan melalui berbagai mekanisme seperti baterai catu daya tanpa gangguan (UPS), yang memasok perlindungan daya yang andal secara konsisten selama pengurangan kapasitas utilitas, pemadaman, tegangan berlebih, kondisi tegangan rendah, dan frekuensi di luar toleransi. Jika daya utilitas terganggu, daya cadangan dirancang untuk menyediakan daya sementara bagi pusat data, dengan kapasitas penuh, hingga 10 menit hingga sistem generator diesel mengambil alih. Generator diesel mampu memulai secara otomatis dalam hitungan detik untuk menyediakan daya listrik darurat yang cukup guna menjalankan pusat data dengan kapasitas penuh, biasanya untuk beberapa hari.
Sistem Operasi Server. Server Jibe menggunakan sistem operasi yang telah melalui proses hardening yang disesuaikan dengan kebutuhan server yang unik untuk bisnis. Data disimpan menggunakan algoritme eksklusif untuk meningkatkan redundansi dan keamanan data. Jibe menggunakan proses peninjauan kode untuk meningkatkan keamanan kode yang digunakan untuk menyediakan Layanan Pemroses dan meningkatkan kualitas produk keamanan di lingkungan produksi.
Kontinuitas Bisnis. Jibe mereplikasi data ke beberapa sistem untuk membantu melindungi dari kerusakan atau kehilangan yang tidak disengaja. Jibe telah merancang, serta secara rutin merencanakan dan menguji perencanaan kelangsungan bisnis/program pemulihan dari bencana.
(b) Jaringan & amp; Transmisi.
Transmisi Data. Pusat data biasanya terhubung melalui link pribadi berkecepatan tinggi untuk memberikan transfer data yang aman dan cepat di antara pusat data. Hal ini dirancang untuk mencegah data dibaca, disalin, diubah, atau dihapus tanpa izin selama transfer atau pengangkutan elektronik, atau saat direkam ke media penyimpanan data. Jibe mentransfer data melalui protokol standar Internet.
Platform Serangan Eksternal. Jibe menggunakan beberapa lapisan perangkat jaringan dan deteksi penyusupan untuk melindungi permukaan serangan eksternalnya. Jibe mempertimbangkan potensi vektor serangan dan menggabungkan teknologi yang dibuat dengan tujuan yang tepat ke dalam sistem yang berkaitan dengan pihak eksternal.
Deteksi Penyusupan. Deteksi penyusupan ditujukan untuk memberikan analisis tentang aktivitas serangan yang sedang berlangsung dan memberikan informasi yang memadai untuk merespons insiden. Deteksi penyusupan Jibe melibatkan:
Mengontrol secara ketat ukuran dan susunan permukaan serangan Jibe melalui tindakan pencegahan;
Menggunakan kontrol deteksi cerdas pada titik entri data; dan
Menggunakan teknologi yang otomatis memperbaiki situasi berbahaya tertentu.
Respons Insiden. Jibe memantau berbagai saluran komunikasi untuk insiden keamanan, dan personel keamanan Jibe akan segera bereaksi terhadap insiden yang diketahui.
Teknologi Enkripsi. Jibe menyediakan enkripsi HTTPS (juga disebut sebagai koneksi TLS atau SSL). Server Jibe mendukung kurva elips ephemeral yaitu pertukaran kunci kriptografis Diffie Hellman yang ditandatangani dengan RSA dan ECDSA. Metode forward secrecy (PFS) yang sempurna ini membantu melindungi traffic dan meminimalkan dampak dari kunci yang disusupi, atau terobosan kriptografi.
2. Kontrol Situs dan Akses
(a) Kontrol Situs.
Operasi Keamanan Pusat Data di Tempat. Pusat data Jibe mengelola operasi keamanan di tempat yang bertanggung jawab atas semua fungsi keamanan pusat data fisik 24 jam sehari, 7 hari seminggu. Staf operasi keamanan di tempat memantau kamera Close Circuit TV (“CCTV”) dan semua sistem alarm. Staf operasi keamanan di tempat melakukan patroli internal dan eksternal di pusat data secara berkala.
Prosedur Akses Pusat Data. Jibe mempertahankan prosedur akses formal untuk memungkinkan akses fisik ke pusat data. Pusat data berada di fasilitas yang memerlukan akses kunci kartu elektronik, dengan alarm yang terhubung ke operasi keamanan di tempat. Semua orang yang memasuki pusat data wajib untuk mengidentifikasi diri mereka serta menunjukkan bukti identitas pada operasi keamanan di tempat. Hanya pengunjung, kontraktor, dan karyawan yang memiliki otorisasi yang diizinkan masuk ke pusat data. Hanya kontraktor dan karyawan yang memiliki otorisasi yang diizinkan untuk meminta akses kunci kartu elektronik ke fasilitas ini. Permintaan akses kunci kartu elektronik pusat data harus dibuat di awal dan secara tertulis, serta memerlukan persetujuan dari manajer pemohon dan direktur pusat data. Semua orang lain yang memerlukan akses sementara ke pusat data harus: (i) mendapatkan persetujuan terlebih dahulu dari pengelola pusat data untuk pusat data tertentu dan area internal yang ingin mereka kunjungi; (ii) login di operasi keamanan di tempat; dan (iii) mereferensikan catatan akses pusat data yang disetujui yang mengidentifikasi individu tersebut sebagai pengunjung yang disetujui.
Perangkat Keamanan Pusat Data di Tempat. Pusat data Jibe menggunakan kunci kartu elektronik dan sistem kontrol akses biometrik yang terhubung ke alarm sistem. Sistem kontrol akses tersebut memantau dan mencatat kunci kartu elektronik setiap individu serta saat dia mengakses pintu perimeter, pengiriman dan penerimaan, serta area penting lainnya. Aktivitas yang tidak sah dan upaya akses yang gagal dicatat oleh sistem kontrol akses dan diinvestigasi, sebagaimana mestinya. Akses yang sah di seluruh operasi bisnis dan pusat data dibatasi berdasarkan zona dan tanggung jawab pekerjaan individu. Pintu kebakaran di pusat data diberi alarm. Kamera CCTV beroperasi di dalam dan di luar pusat data. Pengaturan posisi kamera telah didesain untuk mencakup area strategis termasuk, di antara yang lainnya, pintu ke gedung pusat data serta pengiriman/penerimaan. Staf operasi keamanan di tempat mengelola peralatan pemantauan, perekaman, dan kontrol CCTV. Kabel keamanan di seluruh pusat data menghubungkan peralatan CCTV. Kamera merekam kejadian di tempat melalui perekam video digital 24 jam sehari, 7 hari seminggu. Rekaman pengawasan disimpan selama setidaknya 7 hari berdasarkan aktivitas.
(b) Kontrol Akses.
Staf Keamanan Infrastruktur. Jibe memiliki, dan mengelola, kebijakan keamanan untuk stafnya, dan mewajibkan pelatihan keamanan sebagai bagian dari paket pelatihan untuk stafnya. Staf keamanan infrastruktur Jibe bertanggung jawab atas pemantauan berkelanjutan terhadap infrastruktur keamanan Jibe, peninjauan Layanan Pemroses, dan merespons insiden keamanan.
Pengelolaan Hak Istimewa dan Kontrol Akses. Administrator dan pengguna perusahaan harus mengautentikasi diri mereka sendiri melalui sistem autentikasi pusat atau melalui sistem single sign on agar dapat menggunakan Layanan Pemroses.
Proses dan Kebijakan Akses Data Internal – Kebijakan Akses. Kebijakan dan proses akses data internal Jibe dirancang untuk mencegah orang dan/atau sistem yang tidak memiliki otorisasi mendapatkan akses ke sistem yang digunakan untuk memproses data pribadi. Jibe bertujuan untuk merancang sistemnya untuk: (i) hanya mengizinkan orang yang diotorisasi untuk mengakses data yang diizinkan untuk diakses; dan (ii) memastikan bahwa data pribadi tidak dapat dibaca, disalin, diubah, atau dihapus tanpa otorisasi selama pemrosesan, penggunaan, dan setelah perekaman. Sistem dirancang untuk mendeteksi semua akses yang tidak sesuai. Jibe menggunakan sistem pengelolaan akses terpusat untuk mengontrol akses personel ke server produksi, dan hanya memberikan akses ke sejumlah terbatas personel yang diotorisasi. LDAP, Kerberos, dan sistem eksklusif yang menggunakan sertifikat SSH dirancang untuk memberikan mekanisme akses yang aman dan fleksibel kepada Jibe. Mekanisme ini dirancang untuk hanya memberikan hak akses yang disetujui ke host situs, log, data, dan informasi konfigurasi. Jibe memerlukan penggunaan ID pengguna unik, sandi kuat, autentikasi 2 langkah, serta memantau dengan saksama daftar akses untuk meminimalkan potensi penggunaan akun yang tidak sah. Pemberian atau perubahan hak akses didasarkan pada: tanggung jawab pekerjaan staf yang memiliki izin; persyaratan tugas pekerjaan yang diperlukan untuk melakukan tugas yang diizinkan; dan dasar perlu mengetahui. Pemberian atau perubahan hak akses juga harus sesuai dengan pelatihan dan kebijakan akses data internal Jibe. Persetujuan dikelola oleh alat alur kerja yang mengelola rekaman audit semua perubahan. Akses ke sistem dicatat ke dalam log untuk membuat jejak audit demi akuntabilitas. Jika sandi digunakan untuk autentikasi (misalnya, login ke workstation), penerapan kebijakan sandi yang mengikuti setidaknya mengikuti praktik standar industri. Standar ini mencakup pembatasan penggunaan kembali sandi dan kekuatan sandi yang memadai.
3. Data
(a) Penyimpanan, Isolasi & amp; Autentikasi Data.
Jibe menyimpan data di lingkungan multi-tenant di server milik Jibe. Data, database Layanan Pemroses, dan arsitektur sistem file direplikasi antara beberapa pusat data yang tersebar secara geografis. Jibes mengisolasi data setiap pelanggan secara logis. Sistem autentikasi terpusat digunakan di semua Layanan Pemroses untuk meningkatkan keamanan data yang seragam.
(b) Disk yang Dinonaktifkan dan Panduan Penghancuran Disk.
Disk tertentu yang berisi data dapat mengalami masalah performa, error, atau kegagalan hardware yang membuatnya dinonaktifkan (“Disk yang Dinonaktifkan”). Setiap Disk yang Dinonaktifkan tunduk pada serangkaian proses penghancuran data (“Pedoman Penghancuran Data”) sebelum meninggalkan lokasi Jibe untuk digunakan kembali atau dihancurkan. Disk yang Dinonaktifkan dihapus dalam proses multi-langkah dan diverifikasi selesai oleh setidaknya dua validator independen. Untuk pelacakan, hasil penghapusan dicatat berdasarkan nomor seri Disk yang Dinonaktifkan. Akhirnya, Disk yang Dinonaktifkan dipindahkan ke inventaris untuk digunakan kembali dan deployment ulang. Jika, karena kegagalan hardware, Disk yang Dinonaktifkan tidak dapat dihapus, disk akan disimpan dengan aman hingga dapat dihancurkan. Setiap fasilitas diaudit secara berkala untuk memantau kepatuhan terhadap Panduan Penghancuran Data.
4. Keamanan Staf
Personel Jibe diwajibkan untuk berperilaku sesuai dengan pedoman perusahaan terkait kerahasiaan, etika bisnis, penggunaan yang sesuai, dan standar profesional. Jibe melakukan pemeriksaan latar belakang yang sesuai secara wajar, sejauh diizinkan secara hukum dan sesuai dengan hukum ketenagakerjaan serta peraturan berdasarkan hukum setempat.
Staf diwajibkan untuk menandatangani perjanjian kerahasiaan dan harus menerima penerimaan, serta kepatuhan terhadap, kebijakan privasi dan rahasia Jibe. Staf diberikan pelatihan keamanan. Staf yang menangani Data Pribadi Perusahaan diwajibkan untuk melengkapi persyaratan tambahan sesuai dengan perannya. Staf Jibe tidak akan memproses Data Pribadi Perusahaan tanpa otorisasi
5. Keamanan Subpemroses
Sebelum melakukan orientasi Subpemroses, Jibe akan melakukan audit keamanan dan praktik privasi Subpemroses untuk memastikan Subpemroses memberikan tingkat keamanan dan privasi yang sesuai untuk akses mereka ke data serta cakupan layanan yang akan diberikan. Setelah Jibe menilai risiko yang dihadirkan oleh Subpemroses, bergantung pada persyaratan dalam Pasal 11.3 (Persyaratan untuk Keterlibatan Subpemroses), Subpemroses diwajibkan untuk menyepakati persyaratan kontrak keamanan, kerahasiaan, dan privasi yang sesuai.
Lampiran 3: Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa
Persyaratan Tambahan untuk Legislasi Perlindungan Data Non-Eropa berikut melengkapi Persyaratan Pemrosesan Data ini:
- Adendum Penyedia Layanan CCPA di privacy.google.com/businesses/gdprprocessorterms/ccpa (tanggal 27 Agustus 2020)
- Adendum Pemroses LGPD di privacy.google.com/businesses/gdprprocessorrterms/lgpd (tanggal 27 Agustus 2020)
Persyaratan Pemrosesan Data Jibe, Versi 2.0
27 Agustus 2020