Son değiştirilme tarihi: 2 Kasım 2020
Jibe ve bu eki kabul eden karşı taraf ("Şirket"), İşlemci Hizmetleri'nin sağlanması için bir sözleşme (zaman zaman değiştirildiği şekliyle "Sözleşme") yapmıştır.
Bu Veri İşleme Eki ("Veri İşleme Eki" ekleri dahil), Jibe ve Şirket tarafından imzalanmış olup Sözleşme'yi tamamlayıcı niteliktedir. Bu Veri İşleme Eki, Şartlar'ın Geçerlilik Tarihi'nden itibaren yürürlüğe girer ve konuyla ilgili önceki geçerli tüm şartların (İşleyen Hizmetleri ile ilgili veri işleme ve güvenlik şartları dahil) yerine geçer.
Bu Veri İşleme Eki'ni Şirket adına kabul ediyorsanız (a) Şirket'i bu Veri İşleme Eki'ne tabi kılmak için tam yasal yetkiye sahip olduğunuzu, (b) bu Veri İşleme Eki'ni okuyup anladığınızı ve (c) bu Veri İşleme Eki'ni Şirket adına kabul ettiğinizi temin edersiniz. Şirket'i şartlara tabi kılabilecek yasal yetkiniz yoksa lütfen bu Veri İşleme Eki'ni kabul etmeyin.
1. Giriş
Bu Veri İşleme Eki, Avrupa Veri Koruma Mevzuatı ve belirli Avrupa Dışı Veri Koruma Mevzuatı ile bağlantılı olarak Şirket Kişisel Verileri'nin işlenmesini ve güvenliğini düzenleyen şartlar hakkında taraflar arasındaki sözleşmeyi yansıtır.
2. Tanımlar ve Yorumlama
2.1 Bu Veri İşleme Eki'nde:
"Ek Ürün", Jibe veya üçüncü taraflarca sağlanan ve aşağıdaki özelliklere sahip bir ürün, hizmet veya uygulama anlamına gelir: (a) İşleyen Hizmetleri'nin bir parçası değildir ve (b) İşleyen Hizmetleri'nin kullanıcı arayüzünde kullanılabilir veya başka bir şekilde İşleyen Hizmetleri ile entegre edilmiştir.
"Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar" Ek 3'te atıfta bulunulan ek şartlardır. Bu şartlar, belirlenen Avrupa Dışı Veri Koruma Mevzuatı ile bağlantılı olarak belirli verilerin işlenmesini düzenleyen şartlar hakkında taraflar arasındaki sözleşmeyi yansıtır.
"Satış Ortağı", bir tarafı doğrudan veya dolaylı olarak kontrol eden, bir tarafın kontrol ettiği ya da müşterek kontrol altında olan herhangi bir tüzel kişiyi ifade eder.
"Şirket Kişisel Verileri", Jibe'nin İşleyen Hizmetleri'ni sağlaması kapsamında Şirket adına Jibe tarafından işlenen kişisel verileri ifade eder.
"Veri Olayı", Jibe'nin güvenliğinin ihlali neticesinde Jibe tarafından yönetilen veya başka şekillerde Jibe'nin kontrolünde olan sistemlerdeki Şirket Kişisel Verileri'nin kaza eseri ya da hukuksuzca yok edilmesini, kaybedilmesini, değiştirilmesini, yetkisiz şekilde paylaşılmasını veya bunlara erişilmesini ifade eder. Başarısız oturum açma denemeleri, ping'ler, bağlantı noktası taramaları, hizmet reddi saldırıları ve güvenlik duvarlarına ya da ağa bağlı sistemlere yönelik ağ saldırıları dahil olmak üzere, Şirket Kişisel Verileri'nin güvenliğini ihlal etmeyen başarısız girişimler veya eylemler "Veri Olayları" kapsamına girmez.
"Veri Koruma Mevzuatı", (a) Avrupa Veri Koruma Mevzuatı ve/veya (b) Avrupa Dışı Veri Koruma Mevzuatı anlamına gelir (hangisi geçerliyse).
"Veriyle İlişkili Kişi Aracı", Jibe Tüzel Kişiliği tarafından veriyle ilişkili kişilere sunulan ve Jibe'nin, veriyle ilişkili kişilerden Şirket Kişisel Verileri ile ilgili olarak gelen belirli taleplere doğrudan ve standart bir şekilde yanıt vermesini sağlayan bir aracı (varsa) (ör. kapsam dışında kalma tarayıcısı eklentisi) anlamına gelir.
"AEA", Avrupa Ekonomik Alanı'nı ifade eder.
"AB GDPR'si", kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımıyla ilişkili olarak gerçek kişilerin korunması hakkında ve 95/46/AT numaralı direktifi geçersiz kılan Avrupa Parlamentosu ve Konseyinin 27 Nisan 2016 tarihli, 2016/679 (AB) numaralı yönetmeliği anlamında kullanılmaktadır.
"Avrupa Veri Koruma Yasası", (a) GDPR ve/veya (b) Federal 19 Temmuz 1992 tarihli Veri Koruma Kanunu (İsviçre) anlamına gelir.
"Avrupa Yasaları veya Ulusal Yasalar", (a) AB veya AB üye devletinde geçerli olan yasaları (Şirket Kişisel Verileri'nin işlenmesi AB GDPR hükümlerine tabi ise) ve/veya (b) Birleşik Krallık veya Birleşik Krallık'ın parçası olan ülkelerdeki/bölgelerdeki geçerli olan yasaları (Şirket Kişisel Verileri'nin işlenmesi Birleşik Krallık GDPR hükümlerine tabi ise) ifade eder.
"GDPR" (a) AB GDPR ve/veya (b) Birleşik Krallık GDPR'yi ifade eder.
"Jibe", Sözleşme'ye taraf olan Jibe Tüzel Kişiliği anlamına gelir.
"Jibe Satış Ortağı Alt İşleyenleri", Bölüm 11.1'de (Alt İşleyen Görevlendirmesine İzin Verme) belirtilen anlama gelir.
"Jibe Tüzel Kişisi", Jibe Mobile Inc., Jibe Mobile Limited veya Jibe Mobile Inc.'nin diğer Satış Ortağı anlamına gelir.
"ISO 27001 Sertifikası", ISO/IEC 27001:2013 sertifikası veya İşleyen Hizmetleri için benzer bir sertifikayı ifade eder.
"Avrupa Dışı Veri Koruma Mevzuatı"; AEA, İsviçre ve Birleşik Krallık dışında yürürlükte olan veri koruma veya gizlilik yasalarını ifade eder.
"Bildirim E-posta Adresi", (i) Şirket tarafından Jibe'ye sağlanan veya (ii) Şirket tarafından, İşleyen Hizmetleri'nin kullanıcı arayüzü veya Jibe tarafından sağlanan diğer yöntemler aracılığıyla, Jibe'den bu Veri İşleme Eki ile ilgili belirli bildirimleri almak için belirlenen e-posta adresini (varsa) ifade eder. Daha net belirtmek gerekirse, Jibe'ye bir Bildirim E-posta Adresi sağlamak ve Bildirim E-posta Adresi'ndeki güncellemeleri Jibe'ye bildirmek Şirket'in sorumluluğundadır.
"İşleyen Hizmetleri", RCS Business Messaging hizmetlerini (https://developers.google.com/business-communications/rcs-business-messaging adresinde açıklandığı şekilde) ifade eder.
"Güvenlik Belgeleri", ISO 27001 Sertifikası ve Jibe'nin İşleyen Hizmetleri ile bağlantılı olarak sağlayabileceği diğer güvenlik sertifikalarını veya belgeleri ifade eder.
"Güvenlik Önlemleri", Bölüm 7.1.1'de (Jibe'nin Güvenlik Önlemleri) belirtilen anlama gelir.
"Standart Sözleşme Maddeleri", https://privacy.google.com/businesses/gdprprocessorterms/sccs adresinde bulunan Avrupa Komisyonu'nun standart sözleşme maddelerini ifade eder. Bu standart veri koruma şartları, AB GDPR'nin 46. Maddesi'nde açıklandığı üzere, yeterli düzeyde veri koruması sağlamayan üçüncü ülkelerde yerleşik veri işleyenlere kişisel verilerin aktarılması için geçerlidir.
"Alt işleyiciler", bu Veri İşleme Eki uyarınca İşleyen Hizmetleri'nin bir kısmını ve ilgili teknik desteği sağlamak amacıyla Şirket Kişisel Verileri'ne mantıksal olarak erişme ve bu verileri işleme yetkisi verilen üçüncü tarafları ifade eder.
"Denetleme Yetkilisi", (a) AB GDPR'sinde tanımlanan "denetleme yetkilisini" ve/veya (b) Birleşik Krallık GDPR'sinde tanımlanan "komisyon üyesi"ni ifade eder.
"Süre", Şartların Geçerlilik Tarihi'nden Jibe'nin Sözleşme kapsamında İşleyici Hizmetleri'ni sağlamasının sona erdiği tarihe kadar geçen süredir.
"Şartların Geçerlilik Tarihi", Sözleşme'nin geçerlilik tarihini ifade eder.
"Üçüncü Taraf Alt İşleyenleri", Bölüm 11.1'de (Alt İşleyen Görevlendirmesi İçin İzin) belirtilen anlama gelir.
"Birleşik Krallık GDPR'si", yürürlükteyse Birleşik Krallık Avrupa Birliği (Çekilme) Anlaşması 2018 çerçevesinde Birleşik Krallık yasasına eklenmiş ve bu yasayla birleştirilmiş AB GDPR'sini ifade eder.
2.2 İşbu Veri İşleme Eki'nde geçen "denetleyici", "veriyle ilişkili kişi", "kişisel veriler", "işleme" ve "işleyen" terimlerinin GDPR'de belirtilen anlamları, "veri içe aktaran" ve "veri dışa aktaran" terimlerinin ise Standart Sözleşme Hükümleri'nde belirtilen anlamları ifade eder.
2.3 "Dahil", "dahildir" veya benzeri ifadeler açıklayıcı olarak yorumlanır ve bu terimlerden önce gelen kelimelerin anlamını sınırlamaz. Bu Veri İşleme Eki'nde verilen tüm örnekler yalnızca açıklama amaçlı olup herhangi bir kavramın tek örneği değildir.
2.4 Yasal çerçeve, mevzuat ve diğer kanunlarla ilgili tüm referanslar zaman zaman değişen veya tekrar yürürlüğe giren hallerini belirtir.
2.5 Bu Veri İşleme Şartları başka bir dile çevrilirse ve İngilizce metin ile çevrilmiş metin arasında bir tutarsızlık olursa İngilizce metin geçerli olur.
3. Bu Veri İşleme Eki'nin süresi
Bu Veri İşleme Eki, Şartların Geçerlilik Tarihi'nde yürürlüğe girecek ve Süre'nin sona erip ermediğine bakılmaksızın, bu Veri İşleme Eki'nde açıklandığı şekilde tüm Şirket Kişisel Verileri Jibe tarafından silinene kadar geçerli olacak ve silindikten sonra otomatik olarak feshedilecektir.
4. Bu Veri İşleme Eki'nin uygulanması
4.1 Avrupa Veri Koruma Mevzuatı'nın Geçerliliği. 5 (Verilerin İşlenmesi) ile 12 (Jibe ile İletişime Geçme; Kayıtları İşleme) (dahil) arasındaki bölümler yalnızca Şirket Kişisel Verileri'nin işlenmesi ile ilgili yürürlükteki Avrupa Veri Koruma Mevzuatı ölçüsünde uygulanır. Bu durum aşağıdakiler dahil olmak üzere geçerlidir:
(a) İşlemenin, Şirket'in AEA ya da Birleşik Krallık'taki bir kuruluşunun faaliyetleri kapsamında gerçekleştirilmesi ve/veya
(b) Şirket Kişisel Verileri'nin AEA ya da Birleşik Krallık'ta bulunan ilgili kişilere ilişkin olması ve işlemenin, söz konusu ilgili kişilere mal veya hizmetlerin sunulması veya AEA ya da Birleşik Krallık'ta davranışlarının izlenmesine ilişkin olarak gerçekleştirilmesi.
4.2 İşleyici Hizmetleri'ne Başvuru. Bu Veri İşleme Eki yalnızca tarafların bu Veri İşleme Eki'ni kabul ettiği İşleyen Hizmetleri için geçerli olacaktır (örneğin: (a) Şirket'in bu Veri İşleme Eki'ni kabul etmek için tıkladığı İşleyen Hizmetleri veya (b) Sözleşme bu Veri İşleme Eki'ni referans olarak içeriyorsa Sözleşme'nin konusu olan İşleyen Hizmetleri).
4.3 Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar'ın dahil edilmesi. Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar bu Veri İşleme Şartları'nı tamamlar.
5. Verilerin işlenmesi
5.1 Roller ve Düzenlemelere Uygunluk; Yetkilendirme.
5.1.1 İşleyen ve Denetleyici Sorumlulukları. Taraflar şunları kabul eder:
(a) Ek 1, Şirket Kişisel Verileri'nin konusunu ve ayrıntılarını açıklar;
(b) Jibe, Avrupa Veri Koruma Mevzuatı kapsamında Şirket Kişisel Verileri'nin işleyen tarafıdır;
(c) Şirket, Avrupa Veri Koruma Mevzuatı kapsamında Şirket Kişisel Verileri'nin denetleyicisi veya işleyenidir (hangisi geçerliyse); ve
(d) Taraflar, Şirket Kişisel Verileri'nin işlenmesi hakkında Avrupa Veri Koruma Mevzuatı uyarınca geçerli olan yükümlülüklerini yerine getirecektir.
5.1.2 Üçüncü Taraf Denetleyici tarafından yetkilendirme. Şirket bir işleyici ise Şirket, Jibe'yi başka bir işleyici olarak ataması da dahil olmak üzere Şirket Kişisel Verileri ile ilgili talimatlarının ve işlemlerinin ilgili denetleyici tarafından yetkilendirildiğini Jibe'ye temin eder.
5.2 Şirket'in Talimatları. Şirket, bu Veri İşleme Eki'ni imzalayarak Jibe'ye Şirket Kişisel Verileri'ni yalnızca geçerli yasaya uygun olarak işlemesini talimatlandırır: (a) Veri İşleyen Hizmetleri ve ilgili teknik desteği sağlamak için; (b) Şirket'in Veri İşleyen Hizmetleri'ni (Veri İşleyen Hizmetleri'nin ayarları ve diğer işlevleri dahil) ve ilgili teknik desteği kullanımıyla daha ayrıntılı olarak belirtildiği şekilde; (c) bu Veri İşleme Eki dahil olmak üzere Sözleşme formunda belirtildiği şekilde ve (d) Şirket tarafından verilen ve Jibe tarafından bu Veri İşleme Eki'nin amaçları doğrultusunda talimat teşkil ettiği kabul edilen diğer yazılı talimatlarda daha ayrıntılı olarak belirtildiği şekilde.
5.3 Jibe'nin Talimatlar'a Uyum Sağlaması. Jibe'nin tabi olduğu Avrupa veya Ulusal Yasalarda, Şirket Kişisel Verileri'nin Jibe tarafından başka şekilde işlenmesi gerektiği belirtilmediği sürece Jibe, Bölüm 5.2'de (Şirket'in Talimatları) açıklanan talimatları (veri aktarımları dahil) yerine getirecektir. Bu durumda Jibe, Şirket'i bilgilendirir (bu tür bir yasa, Jibe'nin kamu yararı açısından önemli nedenlerle bunu yapmasını yasaklamadığı sürece).
5.4 Ek Ürünler. Şirket herhangi bir Ek Ürün kullanıyorsa İşlemci Hizmetleri, Ek Ürün'ün İşlemci Hizmetleri ile birlikte çalışabilmesi için gerektiği şekilde Ek Ürün'ün Şirket Kişisel Verileri'ne erişmesine izin verebilir. Bu Veri İşleme Eki, Şirket'in kullandığı herhangi bir Ek Ürün'ün sağlanmasıyla bağlantılı olarak kişisel verilerin (söz konusu Ek Ürün'e veya Ek Ürün'den aktarılan kişisel veriler dahil) işlenmesi için geçerli değildir.
6. Veri Silme
6.1 Süre İçinde Silme.
6.1.1 Silme İşlevi Olan İşleyen Hizmetleri. Süre boyunca:
(a) İşleyici Hizmetleri'nin işlevselliği, Şirket'in Şirket Kişisel Verileri'ni silme seçeneğini içerir;
(b) Şirket, belirli Şirket Kişisel Verileri'ni silmek için İşleyen Hizmetleri'ni kullanır ve
(c) Şirket tarafından silinen Şirket Kişisel Verileri kurtarılamaz (ör. "çöp kutusundan"),
halinde, Avrupa yasalarında veya ulusal yasalarda yürürlükte bulunan mevzuat verilerin saklanmasını gerektirmediği sürece, Jibe, ilgili Şirket Kişisel Verileri'ni makul olan en kısa süre içinde silecektir.
6.1.2 Silme İşlevi Olmayan İşleyen Hizmetleri. Süre boyunca, İşleyen Hizmetleri'nin işlevselliği Şirket'in Şirket Kişisel Verileri'ni silme seçeneğini içermiyorsa Jibe, İşleyen Hizmetleri'nin türü ve işlevselliği göz önünde bulundurularak mümkün olduğu ölçüde Şirket'in bu tür bir silme işlemini kolaylaştırmak için makul tüm isteklerini yerine getirir. Jibe, bu Bölüm 6.1.2 (Silme İşlevi Olmayan Veri İşleyen Hizmetleri) kapsamındaki tüm veri silme işlemleri için ücret (Jibe'nin makul maliyetlerine göre) uygulayabilir. Jibe, geçerli ücretle ilgili daha fazla bilgi ve hesaplamanın dayanağını Şirket'e bu tür bir veri silme işleminden önce iletecektir.
6.2 Süresi Dolduktan Sonra Verilerin Silinmesi. Şirket, Süre'nin sona ermesiyle birlikte geçerli yasalar uyarınca tüm Şirket Kişisel Verileri'nin (mevcut kopyalar dahil) Jibe'nin sistemlerinden silinmesi için Jibe'ye talimat verir. Jibe, Avrupa yasaları veya ulusal yasalar verilerin depolanmasını gerektirmediği sürece bu talimatı makul olan en kısa sürede yerine getirir.
7. Veri Güvenliği
7.1 Jibe'nin Güvenlik Önlemleri ve Desteği.
7.1.1 Jibe'nin Güvenlik Önlemleri. Jibe, Ek 2'de açıklandığı şekilde Şirket Kişisel Verileri'ni kaza eseri veya yasa dışı imha, kayıp, değişiklik, yetkisiz ifşa veya erişime karşı korumak için teknik ve kurumsal önlemleri uygulayacak ve sürdürecektir ("Güvenlik Önlemleri"). Yapılan güncelleme ve değişikliklerin İşleyici Hizmetleri'nin genel güvenlik düzeyini olumsuz etkilememesi kaydıyla Jibe zaman zaman Güvenlik Önlemleri'ni güncelleyebilir veya değiştirebilir.
7.1.2 Jibe Çalışanlarının Güvenlik Kurallarına Uygunluğu.Jibe, Şirket Kişisel Verileri'ni işleme yetkisi olan tüm kişilerin gizliliği taahhüt etmelerini ya da uygun bir yasal düzenleme uyarınca gizlilikle yükümlü olmalarını sağlar.
7.1.3 Jibe'nin Güvenlik Desteği. Şirket, Jibe'nin GDPR'nin 32 ila 34. maddeleri (dahil) uyarınca Şirket'in yükümlülükleri de dahil olmak üzere (varsa) Şirket'in kişisel verilerin güvenliği ve kişisel verilerin ihlali ile ilgili yükümlülüklerine (Şirket Kişisel Verileri'nin işlenmesinin niteliği ve Jibe'nin sahip olduğu bilgiler dikkate alınarak) uyulmasını sağlama konusunda Şirket'e yardımcı olacağını kabul eder. Bu yardım aşağıdakileri kapsar:
(a) Bölüm 7.1.1 (Jibe'nin Güvenlik Önlemleri) uyarınca Güvenlik Önlemleri alır ve bunları sürdürür;
(b) Bölüm 7.2'nin (Veri Olayları) şartlarını yerine getirir ve
(c) Bölüm 7.5.1 (Güvenlik Dokümanları İncelemeleri) uyarınca Şirket'e Güvenlik Dokümanları'nı ve bu Veri İşleme Eki'ndeki bilgileri sağlamak.
7.2 Veri Olayları.
7.2.1 Olay Bildirimi. Jibe bir Veri Olayı'ndan haberdar olursa: (a) Şirket'i Veri Olayı hakkında derhal ve vakit kaybetmeden bilgilendirir ve (b) Şirket Kişisel Verileri'nin güvenliğini sağlayıp zararı en aza indirmek için makul adımlar atar.
7.2.2 Veri Olayıyla İlgili Ayrıntılar. 7.2.1 Bölümü (Olay Bildirimi) uyarınca yapılan bildirimler, mümkün olduğunca Veri Olayı'nın ayrıntılarını (potansiyel riskleri azaltmak için atılan adımlar ve Jibe'nin Şirket'e Veri Olayı'nı ele alması için önerdiği adımlar dahil) açıklar.
7.2.3 Bildirimin Gönderilmesi. Jibe, Veri Olayıyla ilgili bildirimini Bildirim E-posta Adresine veya Jibe'nin takdirine bağlı olarak (Şirket bir Bildirim E-posta Adresi sağlamamışsa dahil) diğer doğrudan iletişim yoluyla (ör. telefon araması veya yüz yüze görüşme) gönderir. Bildirim E-posta Adresi'nin sağlanmasından ve Bildirim E-posta Adresi'nin güncel ve geçerli olmasından yalnızca Şirket sorumludur.
7.2.4 Üçüncü Taraf Bildirimleri. Şirket'in tabi olduğu olay bildirim yasalarına uyulmasından ve Veri Olayları ile ilgili tüm üçüncü taraf bildirim yükümlülüklerinin yerine getirilmesinden yalnızca Şirket sorumludur.
7.2.5 Jibe'nin Hata Kabul Etmemesi.Jibe'nin bu Bölüm 7.2 (Veri Olayları) kapsamında bir Veri Olayı ile ilgili bildirimi veya yanıtı, Veri Olayı açısından Jibe'nin herhangi bir hata veya sorumluluk kabul ettiği yönünde yorumlanamaz.
7.3 Şirketin Güvenlik Yükümlülükleri ve Değerlendirmesi.
7.3.1 Şirketin Güvenlik Sorumlulukları. Şirket, Jibe'nin 7.1 (Jibe'nin Güvenlik Önlemleri ve Desteği) ve 7.2 (Veri Olayları) bölümleri uyarınca var olan yükümlülükleri saklı olmak üzere şunları kabul eder:
(a) Şirket, İşlemci Hizmetleri'nin kullanımından sorumludur. Bu kapsamda:
(i) Şirket Kişisel Verileri'ne yönelik riske uygun bir güvenlik düzeyi sağlamak için İşleyen Hizmetleri'ni uygun şekilde kullanmak ve
(ii) Şirket'in İşlemci Hizmetleri'ne erişmek için kullandığı hesap kimlik doğrulama kimlik bilgilerini, sistemlerini ve cihazlarını güvence altına almak ve
(b) Jibe, Şirket tarafından Jibe'nin ve Alt İşleyicilerinin sistemleri dışında depolanan ya da aktarılan Şirket Kişisel Verileri'nin korunmasından hiçbir surette sorumlu değildir.
7.3.2 Şirketin Güvenlik Değerlendirmesi. Şirket, 7.1.1 numaralı Bölümde (Jibe'nin Güvenlik Önlemleri) Jibe tarafından uygulanan ve sürdürülen Güvenlik Önlemlerinin (son teknoloji, uygulama maliyetleri ve Şirket Kişisel Verileri'nin işlenmesinin niteliği, kapsamı, bağlamı ve amaçları ile bireylerin karşı karşıya olduğu riskler dikkate alınarak) Şirket Kişisel Verileri'ne yönelik riske uygun bir güvenlik düzeyi sağladığını kabul ve beyan eder.
7.4 Güvenlik Sertifikası. Jibe, Güvenlik Önlemlerinin etkinliğini değerlendirmek ve devam etmesini sağlamak için ISO 27001 sertifikasını koruyacaktır.
7.5 Uygunluk İncelemeleri ve Denetimleri.
7.5.1 Güvenlik Dokümanları İncelemeleri. Jibe, bu Veri İşleme Eki kapsamındaki yükümlülüklerine uyduğunu göstermek için Güvenlik Dokümanları'nı Müşteri'nin incelemesine sunacaktır.
7.5.2 Şirketin Denetim Hakları.
(a) Jibe, 7.5.3 numaralı Bölüm (Denetim İçin Ek Ticari Şartlar) uyarınca Jibe'nin işbu Veri İşleme Eki kapsamındaki yükümlülüklerini yerine getirdiğini doğrulamak için Şirket'in veya Şirket tarafından atanan bir üçüncü taraf denetleyicinin denetimler (denemeler dahil) yapmasına izin verecektir. Jibe, 7.4 numaralı Bölüm (Güvenlik Sertifikası) ve işbu 7.5 numaralı Bölüm (Uygunluk İncelemeleri ve Denetimleri)'nde açıklandığı şekilde bu denetimlere katkıda bulunacaktır.
(b) Standart Sözleşme Hükümleri Bölüm 10.2 (Veri Aktarımları) kapsamında geçerliyse Jibe, Şirket'in veya Şirket tarafından atanan bir üçüncü taraf denetleyicinin, Bölüm 7.5.3 (Denetim İçin Ek Ticari Şartlar) uyarınca Standart Sözleşme Hükümleri'nde açıklandığı şekilde denetimler yapmasına izin verir.
(c) ISO 27001 sertifikası için verilen sertifikayı (üçüncü taraf bir denetleyici tarafından yürütülen bir denetimin sonucunu yansıtır) inceleyerek Jibe'nin işbu Veri İşleme Eki kapsamındaki yükümlülüklerini yerine getirip getirmediğini doğrulamak amacıyla da denetim yapabilir.
7.5.3 Denetimler İçin Ticari Ek Şartlar.
(a) Şirket, Bölüm 7.5.2(a) veya 7.5.2(b) uyarınca yapılacak tüm denetim isteklerini Bölüm 12.1'de (Jibe ile İletişime Geçme) açıklandığı şekilde Jibe'ye gönderir.
(b) Jibe'nin Bölüm 7.5.3(a) kapsamındaki bir isteği almasını takiben Jibe ve Şirket, Bölüm 7.5.2(a) veya 7.5.2(b) kapsamındaki herhangi bir denetimin makul başlangıç tarihi, kapsamı, süresi ve geçerli güvenlik ve gizlilik kontrolleri konularını önceden görüşecek ve kararlaştıracaktır.
(c) Jibe, 7.5.2 (a) veya 7.5.2(b) numaralı bölüm uyarınca herhangi bir denetim için ücret(Jibe'nin makul maliyetlerine istinaden) alabilir. Jibe, ilgili tüm ücretler ve bunların hesaplanma usulüyle ilgili ayrıntıları Şirket'e bu tür bir denetim yapılmadan önce iletecektir. Şirket, bu tür bir denetim yürütmek üzere Şirket tarafından atanan üçüncü taraf bir denetleyiciye ödenen tüm ücretlerden sorumlu olacaktır.
(d) Jibe, 7.5.2(a) veya 7.5.2(b) uyarınca herhangi bir denetim yapmak üzere Şirket tarafından atanan üçüncü taraf denetleyiciye, denetleyicinin Jibe'nin makul görüşüne göre uygun niteliklere veya bağımsızlığa sahip olmaması, Jibe'nin rakibi olması veya başka bir şekilde açıkça uygun olmaması durumunda itiraz edebilir. Jibe'den böyle bir itiraz gelmesi durumunda Şirket'in başka bir denetleyici görevlendirmesi veya denetimi kendisi yapması gerekir.
(e) İşbu Veri İşleme Eki'nde Jibe'nin aşağıdaki bilgileri Şirket'e veya üçüncü taraf denetleyicisine paylaşmasını ya da Şirket'in veya üçüncü taraf denetleyicisinin bunlara erişmesine izin vermesini zorunlu kılan bir hüküm yoktur:
(i) Bir Jibe Tüzel Kişiliği'nin başka bir müşterisine ait herhangi bir veri;
(ii) Herhangi bir Jibe Tüzel Kişiliği'ne ait muhasebe veya finans bilgileri;
(iii) Bir Jibe Tüzel Kişiliği'ne ait herhangi bir ticari sır;
(iv) Jibe'nin makul görüşüne göre: (A) herhangi bir Jibe Tüzel Kişiliği'nin sistemlerinin veya tesislerinin güvenliğini ihlal edebilecek veya (B) herhangi bir Jibe Tüzel Kişiliği'nin Avrupa Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini veya Şirket'e ya da herhangi bir üçüncü tarafa karşı güvenlik ve/veya gizlilik yükümlülüklerini ihlal etmesine neden olabilecek veya
(v) Şirket'in veya üçüncü taraf denetleyicisinin, Şirket'in Avrupa Veri Koruma Mevzuatı kapsamındaki yükümlülüklerini iyi niyetle yerine getirmesi dışında bir gerekçeyle erişmek istediği tüm bilgiler.
7.5.4 Standart Sözleşme Maddeleri'nde Değişiklik Yapmama. Standart Sözleşme Hükümleri Bölüm 10.2 (Veri Aktarımları) kapsamında geçerliyse işbu Bölüm 7.5'teki (Uygunluk İncelemeleri ve Denetim) hiçbir husus, Şirket veya Jibe'nin Standart Sözleşme Hükümleri kapsamındaki haklarını ya da yükümlülüklerini değiştirmez.
8. Etki Değerlendirmeleri ve Danışmalar
Şirket, Jibe'nin veri koruma etki değerlendirmeleri ve ön danışma ile ilgili Şirket'in yükümlülüklerine (geçerliyse) GDPR'nin 35 ve 36. maddeleri kapsamındaki yükümlülükleri de dahil olmak üzere (işlemenin niteliği ve Jibe'nin sahip olduğu bilgiler dikkate alınarak) uyulmasını sağlama konusunda Şirket'e yardımcı olacağını kabul eder.
(a) Bölüm 7.5.1 (Güvenlik Dokümanları'nın İncelemeleri) uyarınca Güvenlik Dokümanları'nı sağlar;
(b) Bu Veri İşleme Eki'nde yer alan bilgileri sağlar ve
(c) Jibe'nin standart uygulamaları doğrultusunda, İşleyen Hizmetleri'nin doğasıyla ve Şirket Kişisel Verileri'nin işlenmesiyle ilgili diğer materyalleri (örneğin, yardım merkezi materyalleri) sağlar veya bunlara erişim sağlar.
9. Veriyle İlişkili Kişilerin Hakları
9.1 Veriyle İlişkili Kişi Talepleri'ne Verilecek Yanıtlar. Jibe, veriyle ilişkili kişilerden Şirket Kişisel Verileri ile ilgili bir talep alırsa:
(a) Talep bir Veriyle İlişkili Kişi Aracı üzerinden yapılırsa söz konusu Veriyle İlişkili Kişi Aracı'nın standart işlevine uygun olarak doğrudan veriyle ilişkili kişinin talebine yanıt verin veya
(b) Talep bir Veriyle İlişkili Kişi Aracı üzerinden yapılmadıysa veriyle ilişkili kişiye talebini Şirket'e iletmesini tavsiye edin. Bu tür talepleri yanıtlamaktan sorumlu olacak taraf ise Şirket'tir.
9.2 Jibe'ın Veriyle İlişkili Kişi Talepleriyle İlgili Desteği. Şirket, Jibe'nin Şirket'in verileriyle ilişkili kişilerin taleplerini yanıtlama yükümlülüğünü (Şirket Kişisel Verileri'nin işlenmesinin niteliği ve varsa GDPR'nin 11. Maddesi dikkate alınarak) yerine getirmesine yardımcı olacağını kabul eder. Bu yükümlülük, (varsa) Şirket'in, verileriyle ilişkili kişinin GDPR'nin III. Bölüm'ünde belirtilen haklarını kullanma taleplerini yanıtlama yükümlülüğü de dahildir. Jibe bu yükümlülüğü yerine getirirken aşağıdakileri yapar:
(a) İşleyen Hizmetleri'nin işlevlerini sağlar;
(b) Bölüm 9.1'deki (Veriyle İlişkili Kişi Talepleri'ne Verilecek Yanıtlar) taahhütlere uyar ve
(c) İşleyen Hizmetleri için geçerliyse Veriyle İlişkili Kişi Araçları'nı kullanıma sunar.
10. Veri Aktarımları
10.1 Veri Depolama ve İşleme Tesisleri. Şirket, Bölüm 10.2'ye (Veri Aktarımları) tabi olmak üzere, Jibe'nin veya alt işleyicilerinden herhangi birinin tesislerinin bulunduğu herhangi bir ülkede Şirket Kişisel Verileri'ni depolayabileceğini ve işleyebileceğini kabul eder.
10.2 Veri Aktarımları.
Şirket Kişisel Verileri'nin depolanması ve/veya işlenmesi, Şirket Kişisel Verileri'nin AEA, İsviçre veya Birleşik Krallık'tan Avrupa Veri Koruma Yasası uyarınca yeterlilik kararına tabi olmayan herhangi bir üçüncü ülkeye aktarılmasını içeriyorsa:
(a) Şirket'in (veri dışa aktarıcı olarak) Jibe ile (veri içe aktarıcı olarak) Standart Sözleşme Hükümleri'ni imzaladığı kabul edilir;
(b) Aktarımlar Standart Sözleşme Maddeleri'ne tabi olacaktır ve
(c) Standart Sözleşme Hükümleri'nde Google LLC ve Müşteri'ye yapılan atıflar sırasıyla Jibe ve Şirket'e yapılacaktır.
10.3 Veri Merkezi Bilgileri. Google veri merkezlerinin konumlarıyla ilgili bilgilere www.google.com/about/datacenters/locations/index.html adresinden ulaşabilirsiniz.
11. Alt İşleyenler
11.1 Alt İşleyen Görevlendirmesi için İzin. Şirket, Jibe'nin Satış Ortağı'nın Alt İşleyen olarak kullanılmasına ("Jibe Satış Ortağı Alt İşleyenleri") özel olarak yetki verir. Ayrıca Şirket, diğer tüm üçüncü tarafların Alt İşleyen olarak kullanılmasına ("Üçüncü Taraf Alt İşleyenleri") genel olarak yetki verir. Standart Sözleşme Hükümleri Bölüm 10.2 (Veri Aktarımları) kapsamında geçerliyse yukarıdaki yetkilendirmeler, Şirket Kişisel Verileri'nin işlenmesinin Jibe tarafından alt sözleşmeye verilmesine ilişkin Şirket'in önceden alınmış yazılı iznini oluşturur.
11.2 Alt İşleyenler hakkında bilgi. Şirket'in yazılı talebi üzerine Jibe, alt işlemciler ve konumlarıyla ilgili bilgi sağlar. Bu tür talepler, 12.1 numaralı bölümde (Jibe ile İletişime Geçme) belirtilen iletişim bilgileri kullanılarak Jibe'ye gönderilmelidir.
11.3 Alt İşleyen Görevlendirme Şartları. Jibe, alt işlemcileri görevlendirirken:
(a) Yazılı bir sözleşmeyle aşağıdakilerin sağlandığından emin olun:
(i) Alt İşleyen, Şirket Kişisel Verileri'ne yalnızca kendisine alt sözleşmeyle devredilen yükümlülükleri yerine getirmek için gereken ölçüde erişir ve bu verileri Sözleşme'ye (bu Veri İşleme Eki dahil) ve 10.2 Bölümü (Veri Aktarımları) uyarınca geçerliyse Standart Sözleşme Hükümleri'ne uygun şekilde kullanır; ve
(ii) Şirket Kişisel Verileri'nin işlenmesi için GDPR geçerliyse GDPR'nin 28(3) numaralı maddesindeki veri koruma yükümlülükleri Alt İşleyen'e uygulanır ve
(b) Alt işlemciye alt sözleşmeyle devredilen tüm yükümlülükler ve alt işlemcinin yaptığı ve eksik bıraktığı tüm işlemlerden sorumlu olur.
11.4 Alt İşleyen Değişikliklerine İtiraz Fırsatı.
(a) Sözleşme Süresi boyunca yeni bir Üçüncü Taraf Alt İşleyen görevlendirildiğinde Jibe, yeni Üçüncü Taraf Alt İşleyen'in Şirket Kişisel Verilerini işlemeden en az 30 gün önce Bildirim E-posta Adresi'ne bir e-posta göndererek Şirket'i görevlendirme hakkında (ilgili alt işleyicinin adı ve konumu ve gerçekleştireceği işlemler dahil) bilgilendirir.
(b) Şirket, yeni bir üçüncü taraf alt işleyicinin görevlendirildiği konusunda bilgilendirildikten sonraki 90 gün içinde 11.4(a) Bölümü'nde açıklandığı şekilde bu bildirimi yapması koşuluyla, Jibe'ye yazılı bildirimde bulunduktan hemen sonra Sözleşme'yi feshederek yeni bir üçüncü taraf alt işleyiciye itiraz edebilir. Şirket, yeni bir Üçüncü Taraf Alt İşlemciye itiraz ederse bu fesih hakkı, Şirket'in tek ve münhasır telafi yöntemidir.
12. Jibe ile İletişime Geçme; Kayıtları İşleme
12.1 Jibe ile iletişime geçme Şirket, bu Veri İşleme Eki ile ilgili olarak Jibe'nin RCS veri koruma sorumlusu aracılığıyla Jibe ile iletişime geçebilir. http://issuetracker.google.com adresinden veya Jibe tarafından zaman zaman sağlanabilecek diğer yöntemlerle bu sorumluya ulaşılabilir.
12.2 Jibe'nin Kayıtları İşlemesi. Şirket, Jibe'nin GDPR uyarınca şunları yapması gerektiğini kabul eder: (a) Jibe'nin adına hareket eden her bir işleyicinin ve/veya denetleyicinin ve (varsa) söz konusu işleyicinin veya denetleyicinin yerel temsilcisinin ve veri koruma yetkilisinin adı ve iletişim bilgileri de dahil olmak üzere belirli bilgilerin kayıtlarını toplayıp saklamak ve (b) bu bilgileri herhangi bir Denetleyici Yetkililiğe sunmak. Bu doğrultuda, talep edildiğinde ve geçerli olduğu durumlarda Şirket, bu tür bilgileri İşlemci Hizmetleri'nin kullanıcı arayüzü aracılığıyla veya Jibe tarafından sağlanabilecek diğer yöntemlerle Jibe'ye sunacak ve sağlanan tüm bilgilerin doğru ve güncel olduğundan emin olmak için bu kullanıcı arayüzünü veya diğer yöntemleri kullanacaktır.
13. Sorumluluk
13.1 Sorumluluk Sınırı. Sözleşme'deki diğer tüm hükümler dikkate alınmaksızın, taraflardan birinin bu Veri İşleme Eki kapsamında veya bu Eki ile bağlantılı olarak diğer tarafa karşı toplam sorumluluğu, söz konusu tarafın Sözleşme kapsamındaki sorumluluğunun sınırlandığı maksimum parasal veya ödemeye dayalı tutarla sınırlı olacaktır (bu nedenle, gizlilik veya tazminat taleplerinin Sözleşme'nin sorumluluk sınırlamasından hariç tutulması, Avrupa Veri Koruma Yasası veya Avrupa dışı Veri Koruma Yasası ile ilgili Sözleşme kapsamındaki talepler için geçerli olmayacaktır). Bu 13. Bölüm'de (Sorumluluk) yer alan hiçbir hüküm, tarafların (a) kendi ihmallerinden veya çalışanlarının ya da aracılarının ihmallerinden kaynaklanan ölüm veya kişisel yaralanma; (b) sahtekarlık veya sahtekarlık amaçlı yanlış beyan; ya da (c) geçerli yasalar uyarınca sorumluluklarının hariç tutulamaması veya sınırlanamaması ile ilgili konulardaki sorumluluklarını hariç tutmaz veya sınırlamaz.
13.2 Standart Sözleşme Maddeleri'nin Geçerli Olduğu Durumlarda Sorumluluk Standart Sözleşme Hükümleri Bölüm 10.2 (Veri Aktarımları) kapsamında geçerliyse her bir tarafın ve İş Ortağı'nın, Sözleşme ve Standart Sözleşme Hükümleri kapsamında veya bu dokümanlarla bağlantılı olarak diğer tarafa ve İş Ortağı'na karşı toplam birleşik sorumluluğu Bölüm 13.1'e (Sorumluluk Sınırı) tabi olacaktır.
14. Üçüncü Taraf Lehtarlar
Bir tarafın satış ortağı, Bölüm 10.2 (Veri Aktarımları) kapsamında geçerli olan Standart Sözleşme Şartları'nın tarafıysa bu satış ortağı, Bölüm 6.2 (Süre Sonu Silme), 7.5 (Uygunluk İncelemeleri ve Denetlemeleri), 9.1 (Veriyle İlişkili Kişi Taleplerine Verilecek Yanıtlar), 10.2 (Veri Aktarımları), 11.1 (Alt İşlemci Kullanımına İzin Verme) ve 13.2 (Standart Sözleşme Şartları'nın Geçerli Olması Halinde Sorumluluk) ile ilişkili olarak üçüncü taraf lehtar olur. Bu Bölüm 14'ün (Üçüncü Taraf Lehtarlar) Sözleşme'deki herhangi bir hükümle çeliştiği ya da uyum sağlamadığı durumlarda bu Bölüm 14 (Üçüncü Taraf Lehtarlar) geçerli olur.
15. Bu Veri İşleme Eki'nin Geçerliliği
Standart Sözleşme Hükümleri, Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar, işbu Veri İşleme Eki ve Sözleşme'nin geri kalanı arasında bir çatışma veya tutarsızlık olması halinde aşağıdaki öncelik sırası geçerli olacaktır:
(a) Standart Sözleşme Maddeleri;
(b) Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar;
(c) işbu Veri İşleme Şartları'nın geri kalanı ve
(d) Sözleşme'nin geri kalanı.
Bu Sözleşme (Ek dahil) başka bir dile çevrilirse ve çevrilen metin İngilizce metinle çelişirse veya İngilizce metinle tutarsızsa İngilizce metin geçerli olur.
Sözleşme, bu Veri İşleme Eki'ndeki değişikliklere tabi olarak yürürlükte kalacaktır.
16. Bu Veri İşleme Eki'nde Yapılan Değişiklikler
16.1 URL'lerde yapılan değişiklikler Jibe, zaman zaman bu Veri İşleme Eki'nde belirtilen URL'leri ve söz konusu URL'lerdeki içerikleri değiştirebilir. Bununla birlikte, Jibe Standart Sözleşme Maddeleri'ni yalnızca Bölüm 16.2(b) - 16.2(d) (Veri İşleme Şartları'nda Yapılan Değişiklikler) uyarınca veya Avrupa Veri Koruma Yasası uyarınca kabul edilebilecek Standart Sözleşme Maddeleri'nin yeni bir sürümünü dahil etmek için değiştirebilir. Her durumda, bu değişiklikler Avrupa Veri Koruma Yasası uyarınca Standart Sözleşme Maddeleri'nin geçerliliğini etkilemeyecek şekilde yapılır.
16.2 Veri İşleme Şartları'nda Değişiklik Jibe, değişikliğin aşağıdaki niteliklerde olması halinde bu Veri İşleme Eki'ni değiştirebilir:
(a) Bölüm 16.1'de (URL'lerde Yapılan Değişiklikler) açıklandığı üzere bu Veri İşlenmesine İlişkin Değişiklik belgesinde açıkça izin verilen işlemler;
(b) Bir yasal tüzel kişinin adında veya yapısındaki değişikliği yansıtan;
(c) Geçerli kanuna, yönetmeliklere, mahkeme kararına veya resmi bir düzenleyici makam ya da kurum tarafından yayınlanan bir talimata uyulması için gerekli olması veya
(d) (i) İşleyen Hizmetleri'nin genel güvenliğinin azalmasına neden olmaz; (ii) (x) Avrupa Dışı Veri Koruma Mevzuatı Ek Şartları'nda, Jibe'nin Avrupa Dışı Veri Koruma Mevzuatı Ek Şartları kapsamındaki verileri kullanma veya başka şekilde işleme haklarına ilişkin kapsamı genişletmez veya bu haklara ilişkin herhangi bir kısıtlamayı kaldırmaz ya da (y) bu Veri İşleme Şartları'nın geri kalanında, 5.3 numaralı Bölüm'de (Jibe'nin Talimatlara Uygunluğu) açıklandığı üzere Jibe'nin Şirket Kişisel Verileri'ni işleme haklarına ilişkin kapsamı genişletmez veya bu haklara ilişkin herhangi bir kısıtlamayı kaldırmaz ve (iii) Jibe tarafından makul olarak belirlendiği üzere, Şirket'in bu Veri İşleme Eki kapsamındaki haklarını başka bir şekilde olumsuz yönde etkilemez.
16.3 Değişikliklerin Bildirilmesi. Jibe, 16.2(c) veya (d) Bölümü uyarınca bu Veri İşleme Eki'ni değiştirmek isterse değişiklik yürürlüğe girmeden en az 30 gün önce (veya geçerli yasaya, geçerli yönetmeliğe, bir mahkeme kararına ya da resmi bir düzenleyici kurum veya ajans tarafından yayınlanan yönergeye uymak için gerekebilecek daha kısa bir süre önce) Şirket'i aşağıdakilerden birini yaparak bilgilendirir: (a) Bildirim E-posta Adresi'ne e-posta göndererek veya (b) İşleyen Hizmetleri'nin kullanıcı arayüzü üzerinden Şirket'i uyararak. Şirket bu tür bir değişikliğe itiraz ederse Şirket, Jibe tarafından değişiklik hakkında bilgilendirildikten sonraki 90 gün içinde Jibe'ye yazılı bildirimde bulunarak Sözleşme'yi feshedebilir.
Ek 1: Veri İşlemenin Konusu ve Ayrıntıları
Konu
Jibe'nin Şirket'e İşleyen Hizmetleri ve ilgili her tür teknik destek sağlaması.
İşleme Süresi
Dönem artı Dönem'in sona ermesinden, bu Veri İşleme Eki uyarınca tüm Şirket Kişisel Verileri'nin Jibe tarafından silinmesine kadar geçen süre.
İşlemenin Doğası ve Amacı
Jibe, Şirket Kişisel Verileri'ni, İşleyen Hizmetleri ve Şirket'e ilgili teknik destek sağlamak amacıyla bu Veri İşleme Eki'ne uygun olarak işler (Şirket Kişisel Verileri'nin, İşleyen Hizmetleri ve Bölüm 5.2'de (Şirket'in Talimatları) açıklanan talimatlar kapsamında toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, saklanması, değiştirilmesi, getirilmesi, kullanılması, açıklanması, birleştirilmesi, silinmesi ve imha edilmesi dahil).
Kişisel Veri Türleri
Şirket veya Şirket son kullanıcıları tarafından (veya onların talimatıyla) İşleme Hizmetleri aracılığıyla Jibe'ye sağlanan şahıslarla ilgili kişisel veriler.
Veriyle İlişkili Kişi Kategorileri
Şirket veya Şirket son kullanıcıları tarafından İşleme Hizmetleri aracılığıyla Jibe'ye verileri sağlanan şahıslar, veriyle ilişkili kişilerdir.
Ek 2: Güvenlik Önlemleri
Jibe, Şartların Geçerlilik Tarihi'nden itibaren bu Ek 2'deki Güvenlik Tedbirlerini uygulayacak ve sürdürecektir. Yapılan güncelleme ve değişikliklerin İşlemci Hizmetleri'nin genel güvenlik düzeyini olumsuz etkilememesi kaydıyla Jibe zaman zaman bu Güvenlik Önlemleri'ni güncelleyebilir veya değiştirebilir.
1. Veri Merkezi ve Ağ Güvenliği
(a) Veri merkezleri.
Altyapı. Jibe, coğrafi olarak dağıtılmış veri merkezlerine sahiptir. Jibe, tüm üretim verilerini fiziksel olarak güvenli veri merkezlerinde saklar.
Yedeklilik. Altyapı sistemleri, tek hata noktalarını ortadan kaldırmak ve beklenen çevresel risklerin etkisini en aza indirmek için tasarlanmıştır. Çift devreler, anahtarlar, ağlar veya gerekli diğer cihazlar bu yedekliği sağlamaya yardımcı olur. İşlemci Hizmetleri, Jibe'nin belirli türde önleyici ve düzeltici bakım işlemlerini kesintisiz şekilde gerçekleştirmesine olanak tanıyacak şekilde tasarlanmıştır. Tüm çevre ekipmanları ve tesislerinde, üreticinin veya dahili özelliklerine uygun olarak performansın işleyiş şeklini ve sıklığını ayrıntılı olarak açıklayan, önleyici bakım prosedürleri belgelenmiştir. Veri merkezi ekipmanlarının önleyici ve düzeltici bakımı, standart bir süreçle ve dokümante edilmiş prosedürlere göre planlanır.
Güç. Veri merkezi elektrik güç sistemleri, 7 gün 24 saat kesintisiz operasyonları etkilemeden yedek ve bakıma uygun olacak şekilde tasarlanmıştır. Çoğu durumda, veri merkezindeki kritik altyapı bileşenleri için her biri eşit kapasiteye sahip birincil ve alternatif güç kaynağı sağlanır. Yedek güç, kesintisiz güç kaynağı (UPS) piller gibi çeşitli mekanizmalar tarafından sağlanır. Bu mekanizmalar, şebekede kesinti, elektrik kesintisi, aşırı voltaj, düşük voltaj ve tolerans aralığının dışındaki frekans koşullarında tutarlı ve güvenilir güç koruması sağlar. Şebeke gücü kesintiye uğrarsa yedek güç, dizel jeneratör sistemleri devralana kadar 10 dakikaya kadar veri merkezine tam kapasitede geçici güç sağlamak üzere tasarlanmıştır. Dizel jeneratörler, veri merkezini genellikle birkaç gün boyunca tam kapasitede çalıştırmak için yeterli acil durum elektrik gücü sağlamak amacıyla saniyeler içinde otomatik olarak başlatılabilir.
Sunucu işletim sistemleri. Jibe sunucuları, işletmenin benzersiz sunucu ihtiyaçlarına göre özelleştirilmiş, sağlamlaştırılmış işletim sistemleri kullanır. Veriler, veri güvenliğini ve yedekleme özelliğini artırmak için özel algoritmalar kullanılarak depolanır. Jibe; İşlemci Hizmetleri'ni sunmak ve üretim ortamlarında güvenlikle ilgili ürünleri geliştirmek için kullanılan kodun güvenliğini artırmak amacıyla kod inceleme süreci başlatır.
İş sürekliliği. Jibe, yanlışlıkla yok edilme veya kaybolmaya karşı koruma sağlamak için verileri birden fazla sistemde çoğaltır. Jibe, iş sürekliliği planlama/olağanüstü durum kurtarma programlarını tasarlayıp düzenli olarak planlar ve test eder.
(b) Ağlar ve Aktarım.
Veri Aktarımı. Veri merkezleri, genellikle veri merkezleri arasında güvenli ve hızlı veri aktarımı sağlamak için yüksek hızlı özel bağlantılarla bağlanır. Bu, verilerin elektronik aktarım veya taşıma sırasında ya da veri depolama ortamına kaydedilirken yetkisiz olarak okunmasını, kopyalanmasını, değiştirilmesini veya kaldırılmasını önlemek için tasarlanmıştır. Jibe, verileri internet standart protokolleri üzerinden aktarır.
Harici Saldırı Yüzeyi. Jibe, dış saldırı yüzeyini korumak için birden fazla ağ cihazı ve saldırı algılama katmanı kullanır. Jibe, olası saldırı vektörlerini dikkate alır ve harici sistemlere özel olarak tasarlanmış uygun teknolojileri dahil eder.
İzinsiz Giriş Tespiti. Saldırı algılama, devam eden saldırı etkinlikleri hakkında bilgi sağlamak ve olaylara yanıt vermek için yeterli bilgi sunmayı amaçlar. Jibe'nin izinsiz giriş algılama özelliği şunları içerir:
Önleyici tedbirlerle Jibe'nin saldırı yüzeyinin boyutunu ve yapısını sıkı bir şekilde kontrol etme;
Veri giriş noktalarında akıllı algılama denetimleri kullanma ve
Belirli tehlikeli durumları otomatik olarak gideren teknolojiler kullanma
Olaylara Müdahale. Jibe, güvenlik olayları için çeşitli iletişim kanallarını izler ve Jibe'in güvenlik personeli bilinen olaylara hemen müdahale eder.
Şifreleme Teknolojileri. Jibe, HTTPS şifrelemeyi (SSL veya TLS bağlantısı olarak da bilinir) sunar. Jibe sunucuları, RSA ve ECDSA ile imzalanan geçici eliptik eğri Diffie Hellman kriptografik anahtar değişimini destekler. Bu mükemmel ileti gizliliği (PFS) yöntemleri, trafiğin korunmasına ve güvenliği ihlal edilmiş bir anahtarın veya kriptografik bir atılımın etkisini en aza indirmeye yardımcı olur.
2. Erişim ve Site Denetimleri
(a) Site Kontrolleri.
Yerinde Veri Merkezi Güvenlik Operasyonu. Jibe'nin veri merkezlerinde, haftanın 7 günü 24 saat boyunca tüm fiziksel veri merkezi güvenlik işlevlerinden sorumlu bir güvenlik ekibi bulunur. Yerinde güvenlik operasyonu personeli, kapalı devre televizyon ("CCTV") kameralarını ve tüm alarm sistemlerini izler. Yerinde güvenlik operasyonu personeli, veri merkezinin iç ve dış kısımlarında düzenli olarak devriye gezer.
Veri Merkezi Erişim Prosedürleri. Jibe, veri merkezlerine fiziksel erişim izni vermek için resmi erişim prosedürlerini uygular. Veri merkezleri, elektronik kart anahtarı erişimi gerektiren tesislerde bulunur ve tesisteki güvenlik operasyonuna bağlı alarmlar bulunur. Veri merkezine giren tüm kullanıcıların, kendilerini tanımlamaları ve tesisteki güvenlik operasyonlarına kimlik kanıtı göstermeleri gerekir. Veri merkezlerine yalnızca yetkili çalışanlar, yükleniciler ve ziyaretçiler girebilir. Yalnızca yetkili çalışanların ve yüklenicilerin bu tesislere elektronik kart anahtarı erişimi istemesine izin verilir. Veri merkezi elektronik kart anahtarı erişim istekleri önceden ve yazılı olarak yapılmalıdır ve istek sahibinin yöneticisinin ve veri merkezi müdürünün onayını gerektirir. Geçici veri merkezi erişimi gerektiren diğer tüm katılımcılar: (i) Ziyaret etmek istedikleri belirli veri merkezi ve dahili alanlar için veri merkezi yöneticilerinden önceden onay almalıdır; (ii) Yerinde güvenlik operasyonlarında oturum açmalıdır ve (iii) kişiyi onaylanmış olarak tanımlayan onaylanmış bir veri merkezi erişim kaydına referans vermelidir.
Yerinde Veri Merkezi Güvenlik Cihazları. Jibe'nin veri merkezlerinde, sistem alarmına bağlı bir elektronik kart anahtarı ve biyometrik erişim kontrol sistemi kullanılır. Erişim kontrol sistemi, her kişinin elektronik kart anahtarını ve bu kişilerin çevre kapılarına, gönderim ve teslimat bölümlerine ve diğer kritik alanlara ne zaman eriştiğini izler ve kaydeder. Yetkisiz etkinlik ve başarısız erişim denemeleri, erişim denetimi sistemi tarafından günlüğe kaydedilir ve uygun şekilde incelenir. İş operasyonları ve veri merkezleri genelinde yetkili erişim, bölgelere ve kullanıcının iş sorumluluklarına göre kısıtlanır. Veri merkezlerindeki yangın kapılarında alarm bulunur. Görüntü izleme kameraları hem veri merkezlerinin içinde hem de dışında çalışır. Kameraların konumlandırılması, çevre, veri merkezi binasının kapıları ve gönderim/alma gibi stratejik alanları kapsayacak şekilde tasarlanmıştır. Yerinde güvenlik operasyonları personeli, CCTV izleme, kayıt ve kontrol ekipmanlarını yönetir. Veri merkezlerinde CCTV ekipmanlarını bağlayan güvenli kablolar. Kameralar, dijital video kaydediciler aracılığıyla haftanın 7 günü 24 saat boyunca tesiste kayıt yapar. Gözetim kayıtları, etkinliğe bağlı olarak en az 7 gün boyunca saklanır.
(b) Erişim Denetimi.
Altyapı Güvenliği Personeli. Jibe, personeliyle ilgili bir güvenlik politikasına sahiptir ve bu politikayı uygular. Ayrıca, personeliyle ilgili eğitim paketinin bir parçası olarak güvenlik eğitimi alınmasını zorunlu kılar. Jibe'nin altyapı güvenlik personeli, Jibe'nin güvenlik altyapısının sürekli izlenmesi, İşlemci Hizmetleri'nin incelenmesi ve güvenlik olaylarına yanıt verilmesinden sorumludur.
Erişim Denetimi ve Ayrıcalık Yönetimi. Şirketin yöneticileri ve kullanıcıları, İşleyen Hizmetleri'ni kullanabilmek için merkezi bir kimlik doğrulama sistemi veya tek oturum açma sistemi aracılığıyla kimliklerini doğrulamalıdır.
Dahili Veri Erişimi Süreçleri ve Politikaları - Erişim Politikası. Jibe'nin dahili veri erişimi süreçleri ve politikaları, yetkisiz kişilerin ve/veya sistemlerin kişisel verileri işlemek için kullanılan sistemlere erişmesini önlemek üzere tasarlanmıştır. Jibe, sistemlerini (i) yalnızca yetkili kişilerin erişmesi gereken verilere erişmesine izin verecek ve (ii) kişisel verilerin işleme, kullanım ve kayıttan sonra yetkisiz olarak okunmasını, kopyalanmasını, değiştirilmesini veya kaldırılmasını önleyecek şekilde tasarlamayı amaçlar. Sistemler, uygunsuz erişimleri tespit edecek şekilde tasarlanmıştır. Jibe, personellerin üretim sunucularına erişimini kontrol etmek için merkezi bir erişim yönetimi sistemi kullanır ve yalnızca sınırlı sayıda yetkili personele erişim sağlar. LDAP, Kerberos ve SSH sertifikalarını kullanan tescilli bir sistem, Jibe'e güvenli ve esnek erişim mekanizmaları sağlamak için tasarlanmıştır. Bu mekanizmalar, yalnızca site ana makinelerine, günlüklere, verilere ve yapılandırma bilgilerine onaylanmış erişim hakları vermek için tasarlanmıştır. Jibe, yetkisiz hesap kullanımı olasılığını en aza indirmek için benzersiz kullanıcı kimlikleri, güçlü şifreler, iki faktörlü kimlik doğrulama ve dikkatle izlenen erişim listelerinin kullanılmasını zorunlu kılar. Erişim haklarının verilmesi veya değiştirilmesi şu faktörlere bağlıdır: Yetkili personelin iş sorumlulukları; yetkili görevleri yerine getirmek için gerekli iş görevi şartları ve bilgi sahibi olma gerekliliği. Erişim haklarının verilmesi veya değiştirilmesi, Jibe'nin dahili veri erişimi politikalarına ve eğitimine de uygun olmalıdır. Onaylar, tüm değişikliklerin denetim kayıtlarını barındıran iş akışı araçları yardımıyla gerçekleştirilir. Sorumluluk için bir denetim izi oluşturmak amacıyla sistemlere erişim günlüğe kaydedilir. Kimlik doğrulama için şifrelerin kullanıldığı yerlerde (ör. iş istasyonlarına giriş) en azından endüstri standardı uygulamalara uyan şifre politikaları uygulanır. Bu standartlar arasında şifrelerin yeniden kullanılması ve yeterli şifre gücü ile ilgili kısıtlamalar yer alır.
3. Veriler
(a) Veri Depolama, İzolasyon ve Kimlik Doğrulama.
Jibe, verileri Jibe'e ait sunucularda çok kullanıcılı bir ortamda depolar. Veriler, işlemci hizmetleri veritabanı ve dosya sistemi mimarisinin kopyaları coğrafi olarak farklı konumlardaki birden fazla veri merkezinde tutulmaktadır. Jibe, her müşterinin verilerini mantıksal olarak izole eder. Verilerin tek tip güvenliğini artırmak için tüm İşlemci Hizmetleri'nde merkezi bir kimlik doğrulama sistemi kullanılır.
(b) Kullanımdan Kaldırılan Diskler ve Disk İmha Kuralları.
Veri içeren belirli disklerde, kullanımdan kaldırılmasına neden olan performans sorunları, hatalar veya donanım arızaları yaşanabilir ("Kullanımdan Kaldırılan Disk"). Kullanımdan Kaldırılan Diskler, yeniden kullanılmak veya imha edilmek üzere Jibe'nin tesislerinden ayrılmadan önce bir dizi veri imha işlemine ("Veri İmha Kuralları") tabi tutulur. Devre dışı bırakılan diskler, çok adımlı bir süreçte silinir ve en az iki bağımsız doğrulayıcı tarafından silinme işleminin tamamlandığı doğrulanır. Silme sonuçları, izleme için kullanımdan kaldırılan diskin seri numarasına göre günlüğe kaydedilir. Son olarak, silinen kullanımdan kaldırılmış disk, yeniden kullanım ve yeniden dağıtım için envantere bırakılır. Donanım arızası nedeniyle devre dışı bırakılan disk silinemiyorsa imha edilinceye kadar güvenli bir şekilde saklanır. Veri İmha Yönergeleri'ne uygunluğu izlemek için her tesis düzenli olarak denetlenir.
4. Personel Güvenliği
Jibe personelinin, gizlilik, iş ahlakı, uygun kullanım ve profesyonel standartlarla ilgili şirket yönergelerine uygun şekilde davranması gerekir. Jibe, yasal olarak izin verilen ölçüde ve geçerli yerel iş yasaları ile yasal düzenlemelere uygun olarak makul düzeyde uygun geçmiş kontrolleri yapar.
Personelin gizlilik sözleşmesi imzalaması ve Jibe'nin gizlilik ve gizlilik politikalarını aldığını ve bunlara uyduğunu kabul etmesi gerekir. Personele güvenlik eğitimi verilir. Şirket Kişisel Verileri'ni işleyen personelin, rolüne uygun ek şartları tamamlaması gerekir. Jibe personeli, yetkilendirme olmadan Şirket Kişisel Verileri'ni işlemez
5. Alt İşleyen Güvenliği
Jibe, alt işleyicileri kullanmaya başlamadan önce, alt işleyicilerin veri erişimlerine ve sağladıkları hizmetlerin kapsamına uygun düzeyde güvenlik ve gizlilik sunduklarından emin olmak için alt işleyicilerin güvenlik ve gizlilik uygulamalarının denetimini yapar. Jibe, alt işleyicinin ortaya çıkardığı riskleri değerlendirdikten sonra, alt işleyicinin Bölüm 11.3'teki (Alt İşleyen Görevlendirme Şartları) şartlara tabi olarak uygun güvenlik, gizlilik ve gizlilik sözleşmesi şartlarını kabul etmesi gerekir.
Ek 3: Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar
Aşağıdaki Avrupa Dışı Veri Koruma Mevzuatı'na Yönelik Ek Şartlar bu Veri İşleme Şartları için tamamlayıcı niteliktedir:
- privacy.google.com/businesses/gdprprocessorterms/ccpa adresindeki CCPA Servis Sağlayıcı Eki (27 Ağustos 2020 tarihli)
- privacy.google.com/businesses/gdprprocessorrterms/lgpd adresindeki LGPD Veri İşleyen Eki (27 Ağustos 2020 tarihli)
Jibe Veri İşleme Şartları, Sürüm 2.0
27 Ağustos 2020