Phụ lục về cách xử lý dữ liệu

Lần sửa đổi gần đây nhất: Ngày 2 tháng 11 năm 2020

Jibe và bên đối tác đồng ý với phụ lục này (“Công ty”) đã ký kết thoả thuận về việc cung cấp Dịch vụ của đơn vị xử lý (như được sửa đổi tuỳ từng thời điểm, “Thoả thuận”).

Phụ lục về xử lý dữ liệu này (bao gồm cả các phụ lục “Phụ lục về xử lý dữ liệu”) do Jibe và Công ty ký và bổ sung vào Thoả thuận. Phụ lục về xử lý dữ liệu này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đó liên quan đến vấn đề này (bao gồm mọi điều khoản bảo mật và xử lý dữ liệu liên quan đến Dịch vụ của đơn vị xử lý), kể từ Ngày có hiệu lực.

Nếu chấp nhận Phụ lục xử lý dữ liệu này thay mặt cho Công ty, bạn phải đảm bảo rằng: (a) bạn có đầy đủ quyền hạn pháp lý để ràng buộc Công ty với Phụ lục về xử lý dữ liệu này; (b) bạn đã đọc và hiểu Phụ lục về xử lý dữ liệu này; và (c) thay mặt cho Công ty, bạn đồng ý với Phụ lục về xử lý dữ liệu này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Công ty, vui lòng không chấp nhận Phụ lục xử lý dữ liệu này.

1. Giới thiệu

Phụ lục về xử lý dữ liệu này phản ánh thoả thuận của các bên về các điều khoản quản lý việc xử lý và bảo mật Dữ liệu cá nhân của công ty liên quan đến Luật bảo vệ dữ liệu của Châu Âu và Luật bảo vệ dữ liệu ngoài Châu Âu.

2. Định nghĩa và diễn giải

2.1 Trong Phụ lục về xử lý dữ liệu này:

“Sản phẩm bổ sung” là sản phẩm, dịch vụ hoặc ứng dụng do Jibe hoặc bên thứ ba cung cấp: (a) không thuộc Dịch vụ của Đơn vị xử lý; và (b) có thể truy cập được để sử dụng trong giao diện người dùng của Dịch vụ Đơn vị xử lý hoặc được tích hợp với Dịch vụ Đơn vị xử lý.

“Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu” là các điều khoản bổ sung được đề cập trong Phụ lục 3, thể hiện thoả thuận của các bên về các điều khoản quy định việc xử lý một số dữ liệu có liên quan đến Luật bảo vệ dữ liệu bên ngoài Châu Âu.

“Đơn vị liên kết” là một pháp nhân kiểm soát trực tiếp hoặc gián tiếp, chịu sự kiểm soát hoặc dưới sự kiểm soát chung của một bên.

“Dữ liệu cá nhân của công ty” là dữ liệu cá nhân được Jibe xử lý thay mặt cho Công ty trong việc cung cấp Dịch vụ của Đơn vị xử lý của Jibe.

“Sự cố dữ liệu” là hành vi vi phạm bảo mật của Jibe dẫn đến việc vô tình hoặc phá huỷ, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu cá nhân của công ty trên các hệ thống do Jibe quản lý hoặc kiểm soát. “Sự cố dữ liệu” sẽ không bao gồm các lần thử hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của công ty, bao gồm các lần đăng nhập, ping, quét cổng, tấn công từ chối dịch vụ và các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống mạng không thành công.

"Luật bảo vệ dữ liệu" (nếu có): (a) Luật bảo vệ dữ liệu của Châu Âu; và/hoặc (b) Luật bảo vệ dữ liệu bên ngoài Châu Âu.

“Công cụ Chủ đề dữ liệu” là công cụ (nếu có) do Thực thể Jibe cung cấp cho các chủ thể dữ liệu, cho phép Jibe phản hồi trực tiếp và theo tiêu chuẩn đối với một số yêu cầu nhất định của các chủ thể dữ liệu liên quan đến Dữ liệu cá nhân của công ty (chẳng hạn như một trình bổ trợ chọn không tham gia trình duyệt).

“EEA là Khu vực kinh tế Châu Âu.

“Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu” có nghĩa là Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu ngày 27 tháng 4 năm 2016 về việc bảo vệ các thể nhân liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do dữ liệu này, và bãi bỏ Chỉ thị 95/46/EC.

“Luật bảo vệ dữ liệu của Châu Âu” (nếu có) là: (a) GDPR; và/hoặc (b) Đạo luật bảo vệ dữ liệu liên bang ngày 19 tháng 6 năm 1992 (Thuỵ Sĩ).

“Luật pháp Châu Âu hoặc Quốc gia” (nếu có): (a) Luật của quốc gia thành viên Liên minh Châu Âu hoặc Liên minh Châu Âu (nếu áp dụng Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu (EU) để xử lý Dữ liệu cá nhân của công ty); và/hoặc (b) luật pháp của Vương quốc Anh hoặc một phần của Vương quốc Anh (nếu áp dụng GDPR của Vương quốc Anh để xử lý Dữ liệu cá nhân của công ty).

"Quy định chung về bảo vệ dữ liệu" là (tùy từng trường hợp áp dụng): (a) Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu; và/hoặc (b) Quy định chung về bảo vệ dữ liệu của Vương quốc Anh.

“Jibe” là Pháp nhân của Jibe đã tham gia Thoả thuận này.

"Công ty xử lý phụ của Jibe" có ý nghĩa như được nêu trong Mục 11.1 (Đồng ý cho phép tương tác với Đơn vị xử lý phụ).

“Thực thể Jibe” có nghĩa là Jibe Mobile Inc, Jibe Mobile Limited hoặc bất kỳ Đơn vị liên kết nào khác của Jibe Mobile Inc.

"Chứng chỉ ISO 27001" là chứng chỉ ISO/IEC 27001:2013 hoặc một chứng nhận tương đương cho Dịch vụ của đơn vị xử lý.

"Luật bảo vệ dữ liệu bên ngoài Châu Âu" là luật bảo vệ dữ liệu hoặc quyền riêng tư có hiệu lực bên ngoài EEA, Thuỵ Sĩ và Vương quốc Anh.

“Địa chỉ email thông báo” là địa chỉ email (nếu có): (i) do Công ty cung cấp cho Jibe hoặc (ii) do Công ty chỉ định, thông qua giao diện người dùng của Dịch vụ của Đơn vị xử lý hoặc các phương thức khác do Jibe cung cấp, để nhận một số thông báo nhất định của Jibe liên quan đến Phụ lục về xử lý dữ liệu này. Để làm rõ, công ty có trách nhiệm cung cấp cho Jibe một Địa chỉ email thông báo và thông báo cho Jibe bất kỳ nội dung cập nhật nào về Địa chỉ email nhận thông báo.

“Dịch vụ dành cho đơn vị xử lý” là các dịch vụ nhắn tin cho doanh nghiệp RCS (như được mô tả tại https://developers.google.com/business-communications/rcs-business-Messaging)

"Tài liệu bảo mật" là Giấy chứng nhận ISO 27001 và mọi chứng nhận hoặc tài liệu bảo mật khác mà Jibe có thể cung cấp liên quan đến Dịch vụ của Đơn vị xử lý.

"Các biện pháp bảo mật" có ý nghĩa như được nêu trong Mục 7.1.1 (Các biện pháp bảo mật của Jibe).

“Các điều khoản tiêu chuẩn trong hợp đồng” là các điều khoản tiêu chuẩn trong hợp đồng của Uỷ ban Châu Âu tại https://privacy.google.com/businesses/gdprprocessorterms/sccs. Các điều khoản này là điều khoản bảo vệ dữ liệu tiêu chuẩn trong việc chuyển dữ liệu cá nhân cho các đơn vị xử lý ở những quốc gia thứ ba không đảm bảo mức độ bảo vệ đầy đủ dữ liệu như mô tả trong Điều 46 của GDPR EU.

“Đơn vị xử lý phụ” là các bên thứ ba được uỷ quyền theo Phụ lục về xử lý dữ liệu này có quyền truy cập và xử lý Dữ liệu cá nhân của công ty một cách hợp lý để cung cấp các phần của Dịch vụ đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan.

“Cơ quan giám sát” (nếu có) là (a) “cơ quan giám sát” theo định nghĩa trong GDPR EU; và/hoặc (b) “Ủy viên” theo định nghĩa trong GDPR Vương quốc Anh.

“Thời hạn” là khoảng thời gian từ Ngày có hiệu lực của Điều khoản cho đến khi Jibe cung cấp Dịch vụ của Đơn vị xử lý theo Thoả thuận.

“Ngày có hiệu lực của Điều khoản” là ngày có hiệu lực của Thỏa thuận.

“Đơn vị xử lý phụ của bên thứ ba” có ý nghĩa như được nêu trong Mục 11.1 (Sự đồng ý với Mức độ tương tác của đơn vị xử lý phụ).

"Quy định chung về bảo vệ dữ liệu của Vương quốc Anh" có nghĩa là Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu như được sửa đổi và tích hợp vào luật của Vương quốc Anh theo Đạo luật (Rút lui) của Liên minh Châu Âu năm 2018, nếu luật này có hiệu lực.

2.2 Các thuật ngữ “đơn vị kiểm soát”, “chủ thể dữ liệu”, “dữ liệu cá nhân”, “xử lý” và “đơn vị xử lý” dùng trong Phụ lục xử lý dữ liệu này có ý nghĩa như được nêu trong GDPR và các thuật ngữ như “công cụ nhập dữ liệu” và “công cụ xuất dữ liệu” có nghĩa như đã nêu trong Các điều khoản tiêu chuẩn trong hợp đồng.

2.3 Các thuật ngữ “bao gồm”, “bao gồm” hoặc bất kỳ biểu thức tương tự nào sẽ được hiểu là minh hoạ và sẽ không giới hạn nghĩa của các từ đứng trước các thuật ngữ đó. Mọi ví dụ trong Phụ lục về xử lý dữ liệu này đều là hình minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.

2.4 Mọi thông tin tham chiếu đến khung pháp lý, đạo luật hoặc hoạt động ban hành bộ luật khác đều là thông tin tham chiếu đến nội dung được sửa đổi hoặc ban hành lại của thông tin đó tuỳ từng thời điểm.

2.5 Nếu các Điều khoản xử lý dữ liệu này được dịch sang bất kỳ ngôn ngữ nào khác và có sự khác biệt giữa văn bản tiếng Anh và văn bản dịch, thì văn bản tiếng Anh sẽ được ưu tiên.

3. Thời hạn của Phụ lục về xử lý dữ liệu này

Phụ lục về xử lý dữ liệu này sẽ có hiệu lực từ Ngày Điều khoản có hiệu lực và bất kể thời hạn đã hết hạn, các quy định này vẫn sẽ có hiệu lực cho đến khi và tự động hết hạn, khi tất cả Dữ liệu cá nhân của công ty Jibe bị xoá như mô tả trong Phụ lục về xử lý dữ liệu này.

4. Áp dụng Phụ lục xử lý dữ liệu này

4.1 Áp dụng Luật bảo vệ dữ liệu của Châu Âu. Các mục 5 (Xử lý dữ liệu) đến 12 (Liên hệ với Jibe; Hồ sơ xử lý) (bao gồm) sẽ chỉ áp dụng trong phạm vi mà Luật bảo vệ dữ liệu của Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của Công ty, bao gồm cả trường hợp:

(a) việc xử lý trong bối cảnh các hoạt động của việc thành lập Công ty ở Khu vực kinh tế Châu Âu hoặc Vương quốc Anh; và/hoặc

(b) Dữ liệu cá nhân của công ty là dữ liệu cá nhân liên quan đến các chủ thể dữ liệu ở Khu vực kinh tế Châu Âu (EEA) và Vương quốc Anh, đồng thời quá trình xử lý liên quan đến việc cung cấp hàng hoá hoặc dịch vụ cho họ hoặc theo dõi hành vi của họ ở EEA hoặc Vương quốc Anh.

4.2 Áp dụng cho Dịch vụ của đơn vị xử lý. Phụ lục về xử lý dữ liệu này sẽ chỉ áp dụng cho các Dịch vụ dành cho đơn vị xử lý mà các bên đã đồng ý với Phụ lục về xử lý dữ liệu này (ví dụ: (a) Dịch vụ dành cho đơn vị xử lý mà Công ty đã nhấp vào để chấp nhận Phụ lục về xử lý dữ liệu này; hoặc (b) nếu Thoả thuận này tích hợp Phụ lục về xử lý dữ liệu này bằng cách tham chiếu, những Dịch vụ dành cho đơn vị xử lý là đối tượng của Thoả thuận).

4.3 Tích hợp các Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu. Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu bổ sung cho các Điều khoản xử lý dữ liệu này.

5. Xử lý dữ liệu

5.1 Vai trò và tuân thủ quy định; Uỷ quyền.

5.1.1 Trách nhiệm của Đơn vị xử lý và Đơn vị kiểm soát. Các bên xác nhận và đồng ý rằng:

(a) Phụ lục 1 mô tả vấn đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của công ty;

(b) Jibe là đơn vị xử lý Dữ liệu cá nhân của công ty theo Luật bảo vệ dữ liệu của Châu Âu;

(c) Công ty là đơn vị kiểm soát hoặc đơn vị xử lý, nếu có, Dữ liệu cá nhân của công ty theo Luật bảo vệ dữ liệu của Châu Âu; và

(d) mỗi bên sẽ tuân thủ các nghĩa vụ áp dụng cho mình theo Luật bảo vệ dữ liệu của Châu Âu liên quan đến việc xử lý Dữ liệu cá nhân của công ty.

5.1.2 Sự cho phép của Đơn vị kiểm soát bên thứ ba. Nếu Công ty là đơn vị xử lý, thì Công ty sẽ đảm bảo với Jibe rằng những hướng dẫn và hành động của Công ty đó liên quan đến Dữ liệu cá nhân của công ty, bao gồm cả việc chỉ định Jibe làm đơn vị xử lý khác, đã được đơn vị kiểm soát có liên quan uỷ quyền.

5.2 Hướng dẫn của công ty. .

5.3 Tuân thủ hướng dẫn của Jibe. Jibe sẽ tuân thủ những hướng dẫn được mô tả trong Mục 5.2 (Hướng dẫn của công ty) (bao gồm cả trường hợp chuyển dữ liệu) trừ khi luật của Châu Âu hoặc Quốc gia mà Jibe yêu cầu xử lý Dữ liệu cá nhân của công ty khác, trong đó Jibe sẽ thông báo cho Công ty (trừ phi luật pháp đó cấm Jibe làm như vậy vì lợi ích chung của cộng đồng).

5.4 Sản phẩm khác. Nếu Công ty sử dụng bất kỳ Sản phẩm nào khác thì Dịch vụ của đơn vị xử lý có thể cho phép Sản phẩm bổ sung đó truy cập vào Dữ liệu cá nhân của công ty theo yêu cầu để có thể tương tác với Sản phẩm bổ sung thông qua Dịch vụ của đơn vị xử lý. Phụ lục về xử lý dữ liệu này không áp dụng cho việc xử lý dữ liệu cá nhân liên quan đến việc cung cấp bất kỳ Sản phẩm bổ sung nào mà Công ty sử dụng, bao gồm cả dữ liệu cá nhân được truyền đến hoặc từ Sản phẩm bổ sung đó.

6. Xóa dữ liệu

6.1 Xoá bỏ trong thời hạn.

6.1.1 Dịch vụ của Đơn vị xử lý có chức năng xoá. Trong Thời hạn, nếu:

(a) chức năng của Dịch vụ đơn vị xử lý bao gồm tuỳ chọn để Công ty xoá Dữ liệu cá nhân của Công ty;

(b) Công ty xử lý Dịch vụ của đơn vị xử lý để xóa một số Dữ liệu cá nhân của công ty; và

(c) Công ty không thể khôi phục Dữ liệu cá nhân đã xóa (ví dụ: từ “Thùng rác”),

Jibe sẽ xoá Dữ liệu cá nhân của công ty đó khỏi hệ thống của mình ngay khi có thể thực hiện được một cách hợp lý, trừ phi luật pháp của Châu Âu hoặc Quốc gia yêu cầu lưu trữ.

6.1.2 Các dịch vụ của Đơn vị xử lý không có chức năng Xoá. Trong Thời hạn, nếu chức năng của Dịch vụ xử lý không bao gồm tuỳ chọn để Công ty xoá Dữ liệu cá nhân của Công ty, thì Jibe sẽ tuân thủ mọi yêu cầu hợp lý của Công ty để hỗ trợ việc xoá dữ liệu đó, trong phạm vi có thể tính đến bản chất và chức năng của Dịch vụ Đơn vị xử lý. Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi hoạt động xoá dữ liệu theo Mục 6.1.2 này (Chức năng của Dịch vụ xử lý không có chức năng Xoá). Jibe sẽ cung cấp cho Công ty thêm thông tin chi tiết về mọi khoản phí áp dụng và cơ sở tính toán của đơn vị này trước khi xóa dữ liệu đó.

6.2 Xoá bỏ thời hạn sử dụng. Khi hết thời hạn, Công ty hướng dẫn Jibe xoá tất cả Dữ liệu cá nhân của công ty (bao gồm cả các bản sao hiện có) khỏi hệ thống của Jibe theo luật hiện hành. Jibe sẽ tuân thủ hướng dẫn này ngay khi có thể, trừ phi luật pháp của Châu Âu hoặc Quốc gia yêu cầu phải có bộ nhớ.

7. Bảo mật dữ liệu

7.1 Các biện pháp bảo mật và hỗ trợ của Jibe.

7.1.1 Các biện pháp bảo mật của Jibe. Jibe sẽ triển khai và duy trì các biện pháp về mặt kỹ thuật và tổ chức để bảo vệ Dữ liệu cá nhân của công ty khỏi hành vi phá huỷ, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép như mô tả trong Phụ lục 2 (“Các biện pháp bảo mật”). Jibe có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật tổng thể của Dịch vụ đơn vị xử lý.

7.1.2 Tuân thủ tính bảo mật của Jibe Nhân viên.Jibe

7.1.3 Hỗ trợ bảo mật của Jibe. Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty đảm bảo việc tuân thủ mọi nghĩa vụ của Công ty liên quan đến việc bảo mật dữ liệu cá nhân và việc vi phạm dữ liệu cá nhân (có tính đến bản chất việc xử lý Dữ liệu cá nhân của công ty và thông tin có sẵn cho Jibe), bao gồm (nếu có) nghĩa vụ của Công ty theo các Điều từ 32 đến 34 (bao gồm) GDPR:

(a) triển khai và duy trì Các biện pháp bảo mật theo Mục 7.1.1 (Các biện pháp bảo mật của Jibe);

(b) tuân thủ các điều khoản trong Mục 7.2 (Sự cố về dữ liệu); và

(c) cung cấp cho Công ty Tài liệu bảo mật theo Mục 7.5.1 (Xem xét Tài liệu bảo mật) và thông tin có trong Phụ lục về xử lý dữ liệu này.

7.2 Sự cố dữ liệu.

7.2.1 Thông báo sự cố. Nếu Jibe biết được Sự cố dữ liệu, Jibe sẽ: (a) thông báo kịp thời cho Công ty về Sự cố dữ liệu mà không cần quá trễ; và (b) nhanh chóng thực hiện các bước hợp lý để giảm thiểu thiệt hại và bảo vệ Dữ liệu cá nhân của Công ty.

7.2.2 Chi tiết về sự cố dữ liệu. Thông báo được đưa ra theo Mục 7.2.1 (Thông báo sự cố) sẽ mô tả chi tiết về Sự cố dữ liệu, bao gồm cả các bước được thực hiện để giảm thiểu rủi ro tiềm ẩn và các bước mà Jibe đề xuất Công ty giải quyết Sự cố dữ liệu.

7.2.3 Phân phối Thông báo.Jibe sẽ tuỳ ý gửi thông báo về bất kỳ Sự cố dữ liệu nào đến Địa chỉ email thông báo hoặc theo quyết định của Jibe (bao gồm cả trường hợp Công ty chưa cung cấp Địa chỉ email nhận thông báo) bằng hình thức giao tiếp trực tiếp khác (ví dụ: bằng cuộc gọi điện thoại hoặc cuộc họp trực tiếp). Công ty chịu trách nhiệm duy nhất cung cấp Địa chỉ email thông báo và đảm bảo rằng Địa chỉ email nhận thông báo là thông tin hợp lệ và mới nhất.

7.2.4 Thông báo của bên thứ ba. Công ty tự chịu trách nhiệm tuân thủ luật pháp về thông báo sự cố áp dụng cho Công ty và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến Sự cố dữ liệu.

7.2.5.

7.3 Trách nhiệm bảo mật và đánh giá của công ty.

7.3.1 Trách nhiệm bảo mật của Công ty. Công ty đồng ý rằng, mà không ảnh hưởng đến nghĩa vụ của Jibe theo Mục 7.1 (Các biện pháp bảo mật và hỗ trợ của Jibe) và 7.2 (Sự cố về dữ liệu):

(a) Công ty chịu trách nhiệm về việc sử dụng Dịch vụ Đơn vị xử lý, bao gồm:

(i) sử dụng Dịch vụ đơn vị xử lý thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của công ty; và

(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Công ty sử dụng để truy cập vào Dịch vụ của đơn vị xử lý; và

(b) Jibe không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Công ty mà Công ty chọn lưu trữ hoặc chuyển ra bên ngoài các hệ thống của Jibe và các Đơn vị xử lý phụ của Jibe.

7.3.2 Đánh giá bảo mật của Công ty. Công ty xác nhận và đồng ý rằng (tính đến trạng thái hiện đại, chi phí triển khai và tính chất, phạm vi, ngữ cảnh và mục đích xử lý Dữ liệu cá nhân của công ty, cũng như các rủi ro cho cá nhân) Các biện pháp bảo mật do Jibe triển khai và duy trì trong Mục 7.1.1 (Biện pháp bảo mật của Jibe) cung cấp mức độ bảo mật phù hợp với rủi ro của Dữ liệu cá nhân của công ty.

7.4 Chứng nhận bảo mật. Để đánh giá và giúp đảm bảo tính hiệu quả liên tục của các biện pháp bảo mật, Jibe sẽ duy trì Giấy chứng nhận ISO 27001.

7.5 Xem xét và kiểm tra việc tuân thủ.

7.5.1 Xem xét Tài liệu bảo mật. Để cho thấy việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về xử lý dữ liệu này, Jibe sẽ cung cấp Tài liệu bảo mật để Khách hàng xem xét.

7.5.2 Quyền kiểm toán của Công ty.

(a) Jibe sẽ cho phép Công ty hoặc bên kiểm tra bên thứ ba do Công ty chỉ định tiến hành kiểm tra (bao gồm cả việc kiểm tra) để xác minh rằng Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục xử lý dữ liệu này theo Mục 7.5.3 (Điều khoản kinh doanh bổ sung dành cho Kiểm tra).Jibe sẽ đóng góp vào những hoạt động kiểm tra đó như được mô tả trong Mục 7.4 (Giấy chứng nhận bảo mật) và Mục 7.5 Đánh giá này.

)

(c) cũng có thể tiến hành kiểm tra để xác minh việc Jibe tuân thủ các nghĩa vụ của mình theo Phụ lục về xử lý dữ liệu này bằng cách xem xét chứng chỉ được cấp cho Giấy chứng nhận ISO 27001 (phản ánh kết quả kiểm tra của một kiểm toán viên bên thứ ba).

7.5.3 Điều khoản kinh doanh bổ sung cho Kiểm toán.

(a) Công ty sẽ gửi mọi yêu cầu kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b) đến Jibe như được mô tả trong Mục 12.1 (Liên hệ với Jibe).

(b) Sau khi Jibe nhận được yêu cầu theo Mục 7.5.3(a), Jibe và Công ty sẽ thảo luận và thống nhất trước về ngày bắt đầu hợp lý, phạm vi, thời lượng và các biện pháp kiểm soát bảo mật cũng như tính bảo mật áp dụng cho mọi quy trình kiểm tra theo Mục 7.5.2(a) hoặc 7.5.2(b).

(c) Jibe có thể tính phí (dựa trên chi phí hợp lý của Jibe) cho mọi hoạt động kiểm toán theo Mục 7.5.2(a) hoặc 7.5.2(b).Jibe sẽ cung cấp thêm cho Công ty những thông tin chi tiết về mọi khoản phí áp dụng và cơ sở tính toán trước cho bất kỳ hoạt động kiểm toán nào như vậy. Công ty sẽ chịu trách nhiệm về mọi khoản phí mà kiểm toán viên bên thứ ba chỉ định để Công ty thực hiện các quy trình kiểm toán đó.

(d) Jibe có thể phản đối bất kỳ nhân viên kiểm toán nào của bên thứ ba do Công ty chỉ định để tiến hành bất kỳ cuộc kiểm toán nào theo Mục 7.5.2(a) hoặc 7.5.2(b) nếu kiểm toán viên là Jibe, hoặc không phù hợp, là đối thủ cạnh tranh riêng của Jibe hoặc có vẻ như không phù hợp. Bất kỳ sự phản đối nào như vậy của Jibe sẽ yêu cầu Công ty chỉ định một kiểm toán viên khác hoặc tiến hành kiểm toán.

e

(i) mọi dữ liệu của bất kỳ khách hàng nào khác của pháp nhân Jibe;

(ii) thông tin tài chính hoặc thông tin kế toán nội bộ của Jibe;

(iii) bí mật thương mại của một pháp nhân Jibe;

(iv) bất kỳ thông tin nào, theo quan điểm hợp lý của Jibe, có thể:

(v) bất kỳ thông tin nào mà Công ty hoặc kiểm toán viên bên thứ ba của Công ty cố gắng truy cập vì bất kỳ lý do nào khác ngoài việc thực hiện nghĩa vụ của Công ty một cách thành thực theo Luật bảo vệ dữ liệu của Châu Âu.

7.5.4 Không sửa đổi các Điều khoản tiêu chuẩn trong hợp đồng. Nếu các Điều khoản tiêu chuẩn trong hợp đồng áp dụng theo Mục 10.2 (Hoạt động chuyển dữ liệu), thì không có nội dung nào trong Mục 7.5 (Xem xét và đánh giá sự tuân thủ) này thay đổi hoặc sửa đổi bất kỳ quyền hoặc nghĩa vụ nào của Công ty hoặc Jibe theo Các điều khoản tiêu chuẩn trong hợp đồng.

8. Đánh giá tác động và tư vấn

Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty đảm bảo việc tuân thủ mọi nghĩa vụ của Công ty liên quan đến việc đánh giá tác động bảo vệ dữ liệu và tư vấn trước đó (có tính đến quy trình xử lý và thông tin có sẵn cho Jibe), bao gồm (các) nghĩa vụ của Công ty theo Điều 35 và 36 của GDPR, bằng cách:

(a) cung cấp Tài liệu bảo mật theo Mục 7.5.1 (Xem xét Tài liệu bảo mật);

(b) cung cấp thông tin có trong Phụ lục về xử lý dữ liệu này; và

(c) cung cấp hoặc cung cấp theo cách thức thông thường của Jibe, các tài liệu khác liên quan đến bản chất của Dịch vụ xử lý và cách xử lý Dữ liệu cá nhân của công ty (ví dụ: tài liệu trong trung tâm trợ giúp).

9. Quyền của chủ thể dữ liệu

9.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Jibe nhận được yêu cầu từ một chủ đề dữ liệu liên quan đến Dữ liệu cá nhân của công ty, Jibe sẽ:

(a) nếu yêu cầu này được thực hiện thông qua một Công cụ chủ đề dữ liệu, hãy trực tiếp phản hồi yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của Công cụ chủ đề dữ liệu đó; hoặc

(b) nếu yêu cầu này không thông qua Công cụ chủ thể dữ liệu, hãy đề nghị chủ thể dữ liệu gửi yêu cầu cho Công ty và Công ty sẽ chịu trách nhiệm phản hồi yêu cầu đó.

9.2 Hỗ trợ về yêu cầu liên quan đến chủ đề dữ liệu của Jibe. Công ty đồng ý rằng Jibe sẽ hỗ trợ Công ty trong việc thực hiện mọi nghĩa vụ của Công ty là phản hồi yêu cầu của các chủ thể dữ liệu (có tính đến quy trình xử lý Dữ liệu cá nhân của công ty và Điều 11 của GDPR (nếu có) bao gồm nghĩa vụ của Công ty là phản hồi các yêu cầu thực hiện quyền của chủ thể dữ liệu trong Chương III của GDPR, bằng cách:

(a) cung cấp chức năng của Dịch vụ đơn vị xử lý;

(b) tuân thủ các cam kết trong Mục 9.1 (Câu trả lời cho các yêu cầu của chủ thể dữ liệu); và

(c) nếu có thể áp dụng cho Dịch vụ của đơn vị xử lý, cung cấp Công cụ chủ đề dữ liệu.

10. Hoạt động chuyển dữ liệu

10.1 Cơ sở lưu trữ và xử lý dữ liệu. Công ty đồng ý rằng Jibe, có thể, theo Mục 10.2 (Việc chuyển Dữ liệu), lưu trữ và xử lý Dữ liệu cá nhân của Công ty ở bất kỳ quốc gia nào mà Jibe hoặc bất kỳ Đơn vị xử lý phụ nào của họ duy trì cơ sở.

10.2 Chuyển dữ liệu.

Nếu hoạt động lưu trữ và/hoặc xử lý Dữ liệu cá nhân của công ty bao gồm hoạt động chuyển Dữ liệu cá nhân của công ty ở Khu vực kinh tế Châu Âu (EEA), Thuỵ Sĩ hoặc Vương quốc Anh đến bất kỳ quốc gia thứ ba nào không phải tuân theo quyết định về mức độ thoả đáng theo Luật bảo vệ dữ liệu của Châu Âu:

(a) Công ty (với tư cách là công ty xuất dữ liệu) sẽ được coi là đã ký kết Các điều khoản tiêu chuẩn trong hợp đồng với Jibe (với vai trò là đơn vị nhập dữ liệu);

(b) việc chuyển sẽ phải tuân thủ các Điều khoản tiêu chuẩn trong hợp đồng; và

(c) các nội dung đề cập đến Google LLC và Khách hàng trong Các điều khoản tiêu chuẩn trong hợp đồng sẽ lần lượt được gửi cho Jibe và Công ty.

10.3 Thông tin từ Trung tâm dữ liệu. Bạn có thể xem thông tin về các vị trí của trung tâm dữ liệu Google tại www.google.com/about/datacenters/locations/index.html.

11. Đơn vị xử lý phụ

11.1 Đồng ý tham gia xử lý phụ. Công ty uỷ quyền cụ thể cho sự tham gia của các Đơn vị liên kết của Jibe dưới dạng Đơn vị xử lý phụ (“Đơn vị xử lý phụ của Jibe”). Ngoài ra, Công ty thường uỷ quyền cho sự tham gia của bất kỳ bên thứ ba nào khác làm Đơn vị xử lý phụ (“Công ty xử lý phụ của bên thứ ba”). Nếu các Điều khoản tiêu chuẩn trong hợp đồng áp dụng theo Mục 10.2 (Hoạt động chuyển dữ liệu), thì sự đồng ý bằng văn bản của Công ty được xử lý bằng cách ký hợp đồng phụ.

11.2 Thông tin về đơn vị xử lý phụ. Theo yêu cầu bằng văn bản của Công ty, Jibe sẽ cung cấp thông tin về Đơn vị xử lý phụ và vị trí của họ. Bạn phải gửi bất kỳ yêu cầu nào như vậy cho Jibe bằng thông tin liên hệ được nêu trong Mục 12.1 (Liên hệ với Jibe).

11.3 Yêu cầu về việc tương tác với đơn vị xử lý phụ. Khi tương tác với bất kỳ Đơn vị xử lý phụ nào, Jibe sẽ:

(a) đảm bảo thông qua hợp đồng bằng văn bản:

(i) Đơn vị xử lý phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của công ty trong phạm vi yêu cầu để thực hiện các nghĩa vụ đã ký hợp đồng phụ cho nó, và thực hiện theo Thoả thuận (bao gồm cả Phụ lục xử lý dữ liệu này) và nếu có theo Mục 10.2 (Chuyển dữ liệu), Điều khoản hợp đồng tiêu chuẩn; và

(ii) nếu GDPR áp dụng cho việc xử lý Dữ liệu cá nhân của công ty, thì các nghĩa vụ bảo vệ dữ liệu trong Điều 28(3) của GDPR sẽ được áp dụng cho Đơn vị xử lý phụ; và

(b) hoàn toàn chịu trách nhiệm đối với tất cả nghĩa vụ được ký hợp đồng phụ, cũng như tất cả các hành động và thiếu sót của Đơn vị xử lý phụ.

11.4 Cơ hội phản đối các thay đổi của bộ xử lý phụ.

(a) Khi bất kỳ Đơn vị xử lý phụ bên thứ ba mới nào tham gia trong Thời hạn, Jibe sẽ thông báo cho Công ty về việc tương tác (bao gồm tên và vị trí của đơn vị xử lý phụ có liên quan cũng như các hoạt động mà Công ty sẽ thực hiện) bằng cách gửi email đến Địa chỉ email thông báo ít nhất 30 ngày trước khi Đơn vị xử lý phụ bên thứ ba mới xử lý Dữ liệu cá nhân của công ty.

(b). Việc chấm dứt quyền này là biện pháp giải quyết duy nhất của Công ty nếu Công ty phản đối bất kỳ Đơn vị xử lý phụ bên thứ ba mới nào.

12. Liên hệ với Jibe; Xử lý bản ghi

12.1 Liên hệ với Jibe. Công ty có thể liên hệ với Jibe liên quan đến Phụ lục về hoạt động xử lý dữ liệu này thông qua người liên hệ bảo vệ dữ liệu RCS của Jibe. Đại lý này có thể liên hệ với họ qua http://issuetracker.google.com hoặc qua các phương thức khác mà Jibe cung cấp tuỳ từng thời điểm.

12.2 Hồ sơ xử lý của Jibe. Công ty xác nhận rằng Jibe là bắt buộc theo GDPR để: (a) thu thập và lưu giữ hồ sơ về một số thông tin nhất định, bao gồm tên và thông tin liên hệ của từng đơn vị xử lý và/hoặc đơn vị kiểm soát thay mặt cho nhân viên bảo vệ dữ liệu và người đại diện của đơn vị xử lý đó (nếu có) và (b) cung cấp thông tin đó cho bất kỳ Cơ quan giám sát nào. Theo đó, khi được yêu cầu và áp dụng, Công ty sẽ cung cấp thông tin đó cho Jibe thông qua giao diện người dùng của Dịch vụ xử lý hoặc thông qua các phương thức khác có thể cung cấp cho Jibe, và sẽ sử dụng giao diện người dùng đó hoặc các phương thức khác để đảm bảo rằng tất cả thông tin được cung cấp đều là thông tin chính xác và mới nhất.

13. Trách nhiệm pháp lý

13.1 Giới hạn trách nhiệm pháp lý. Bất kể mọi điều khác trong Thỏa thuận, tổng trách nhiệm pháp lý của một trong hai bên đối với hoặc liên quan đến Phụ lục xử lý dữ liệu này sẽ được giới hạn ở số tiền tối đa hoặc số tiền dựa trên thanh toán mà trách nhiệm của bên đó được giới hạn theo Thỏa thuận (và do đó, mọi loại trừ thông báo bảo mật của Thỏa thuận này sẽ không được áp dụng cho Tuyên bố theo Châu Âu Không có nội dung nào trong Mục 13 này (Trách nhiệm pháp lý) sẽ loại trừ hoặc giới hạn trách nhiệm pháp lý của mỗi bên đối với: (a) trường hợp xảy ra tử vong hoặc thương tích cá nhân do sơ suất hoặc sơ suất của nhân viên hoặc đại lý; (b) gian lận hoặc trình bày sai nhằm mục đích gian lận; hoặc (c) không thể loại trừ hoặc giới hạn trách nhiệm pháp lý theo luật hiện hành.

13.2 Trách nhiệm pháp lý trong trường hợp áp dụng Các điều khoản tiêu chuẩn trong hợp đồng. Nếu các Điều khoản tiêu chuẩn trong hợp đồng áp dụng theo Mục 10.2 (Hoạt động chuyển dữ liệu), thì tổng trách nhiệm pháp lý của mỗi bên và Đơn vị liên kết của bên đó sẽ kết hợp với bên kia và các Đơn vị liên kết của họ theo hoặc liên quan đến Thỏa thuận này và các Điều khoản tiêu chuẩn trong hợp đồng sẽ phải tuân theo Mục 13.1 (Giới hạn trách nhiệm pháp lý).

14. Người thụ hưởng bên thứ ba

Nếu Đơn vị liên kết của một bên là Bên tham gia các Điều khoản tiêu chuẩn trong hợp đồng áp dụng theo Mục 10.2 (Chuyển dữ liệu), thì Đơn vị liên kết đó sẽ là người thụ hưởng bên thứ ba của Mục 6.2 (Huỷ thời hạn), 7.5 (Xem xét và Kiểm tra việc tuân thủ), 9.1 (Phản hồi yêu cầu chủ thể dữ liệu), 10 (2) (Thoả thuận 1). Trong trường hợp Mục 14 (Người thụ hưởng bên thứ ba) này mâu thuẫn hoặc không nhất quán với bất kỳ điều khoản nào khác trong Thoả thuận, thì Mục 14 (Người thụ hưởng bên thứ ba) này sẽ được áp dụng.

15. Hiệu lực của Phụ lục về xử lý dữ liệu này

Nếu có bất kỳ xung đột hoặc sự không nhất quán nào giữa các Điều khoản tiêu chuẩn trong hợp đồng, Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu, Phụ lục xử lý dữ liệu này và phần còn lại của Thoả thuận, thì thứ tự ưu tiên sau sẽ được áp dụng:

(a) Các điều khoản tiêu chuẩn trong hợp đồng;

(b) Điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu;

(c) phần còn lại của các Điều khoản xử lý dữ liệu này; và

(d) phần còn lại của Thoả thuận.

Nếu Thỏa thuận này (bao gồm cả Phụ lục) được dịch sang bất kỳ ngôn ngữ nào khác và văn bản đã dịch có xung đột hoặc không nhất quán với văn bản tiếng Anh, thì văn bản tiếng Anh sẽ được ưu tiên.

Theo nội dung sửa đổi trong Phụ lục về xử lý dữ liệu này, Thoả thuận vẫn có hiệu lực hoàn toàn.

16. Thay đổi đối với Phụ lục về xử lý dữ liệu này

16.1 Thay đổi đối với URL Tuỳ từng thời điểm, Jibe có thể thay đổi mọi URL được tham chiếu trong Phụ lục về xử lý dữ liệu này và nội dung tại bất kỳ URL nào như vậy, ngoại trừ việc Jibe chỉ thay đổi Các điều khoản tiêu chuẩn trong hợp đồng theo Mục 16.2(b) – 16.2(d) (Thay đổi đối với Điều khoản

16.2 Các thay đổi đối với Điều khoản xử lý dữ liệu. Jibe có thể thay đổi Phụ lục về xử lý dữ liệu này nếu thay đổi đó:

(a) được cho phép rõ ràng trong Phụ lục xử lý dữ liệu này, bao gồm như được mô tả trong Mục 16.1 (Các thay đổi đối với URL);

(b) phản ánh sự thay đổi về tên hoặc hình thức của pháp nhân;

(c) là cần thiết để tuân thủ luật, quy định hiện hành, lệnh toà hay hướng dẫn của cơ quan chính phủ; hoặc

ngay

16.3 Thông báo về các thay đổi. Nếu Jibe ý thay đổi Phụ lục về hoạt động xử lý dữ liệu này theo Mục 16.2(c) hoặc (d), thì Jibe sẽ thông báo cho Công ty ít nhất 30 ngày (hoặc khoảng thời gian ngắn hơn theo yêu cầu của luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn của cơ quan chính phủ hoặc cơ quan chính phủ) trước khi thay đổi có hiệu lực bằng: (a) gửi email tới Địa chỉ email thông báo cho người dùng; Nếu xảy ra bất kỳ thay đổi nào như vậy, Công ty có thể chấm dứt Thoả thuận bằng cách thông báo bằng văn bản cho Jibe trong vòng 90 ngày kể từ khi được Jibe thông báo về thay đổi đó.

Phụ lục 1: Chủ đề và Thông tin chi tiết về việc xử lý dữ liệu

Chủ đề quan trọng

Việc Jibe cung cấp Dịch vụ đơn vị xử lý và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Công ty.

Thời hạn xử lý

Thời hạn cộng với khoảng thời gian từ khi hết Thời hạn cho đến khi Jibe xóa tất cả Dữ liệu cá nhân của công ty theo Phụ lục về xử lý dữ liệu này.

Bản chất và mục đích của quá trình xử lý

Jibe sẽ xử lý Dữ liệu cá nhân của công ty nhằm mục đích cung cấp Dịch vụ của đơn vị xử lý và mọi hỗ trợ kỹ thuật có liên quan cho Công ty theo Phụ lục về xử lý dữ liệu này (bao gồm cả Dịch vụ dành cho đơn vị xử lý và hướng dẫn được mô tả trong Mục 5.2 (Hướng dẫn của công ty), thu thập, ghi lại, sắp xếp, định cấu hình, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, xoá, huỷ dữ liệu cá nhân của công ty).

Các loại dữ liệu cá nhân

Dữ liệu cá nhân liên quan đến các cá nhân được Jibe cung cấp thông qua Dịch vụ xử lý, của (hoặc theo hướng của) Công ty hoặc của người dùng cuối của Công ty.

Danh mục các chủ thể dữ liệu

Chủ thể dữ liệu bao gồm những cá nhân về việc dữ liệu được Công ty Jibe hoặc người dùng cuối của Công ty cung cấp cho Dịch vụ xử lý.

Phụ lục 2: Các biện pháp bảo mật

Kể từ Ngày Điều khoản có hiệu lực, Jibe sẽ triển khai và duy trì các Biện pháp bảo mật trong Phụ lục 2 này. Jibe có thể cập nhật hoặc sửa đổi các biện pháp bảo mật tuỳ từng thời điểm, miễn là các bản cập nhật và sửa đổi đó không làm giảm chất lượng bảo mật tổng thể của Dịch vụ đơn vị xử lý.

1. Trung tâm dữ liệu và bảo mật mạng

(a) Trung tâm dữ liệu.

Cơ sở hạ tầng. Jibe duy trì các trung tâm dữ liệu được phân phối theo địa lý. Jibe lưu trữ tất cả dữ liệu sản xuất trong các trung tâm dữ liệu được bảo mật về mặt vật lý.

Dư thừa. Hệ thống cơ sở hạ tầng được thiết kế để loại bỏ các điểm chịu lỗi và giảm thiểu tác động của những rủi ro môi trường dự kiến. Các mạch kép, công tắc, mạng hoặc các thiết bị cần thiết khác giúp cung cấp sự dự phòng này. Dịch vụ xử lý được thiết kế để cho phép Jibe thực hiện một số hình thức bảo trì phòng ngừa và khắc phục nhất định mà không bị gián đoạn. Tất cả thiết bị và cơ sở môi trường đều có tài liệu về quy trình bảo trì phòng ngừa chi tiết trong quá trình và tần suất thực hiện theo thông số kỹ thuật của nhà sản xuất hoặc nội bộ. Việc bảo trì phòng ngừa và khắc phục thiết bị của trung tâm dữ liệu được lên lịch thông qua một quy trình chuẩn theo các quy trình được ghi chép trong tài liệu.

Nguồn. Hệ thống điện trung tâm dữ liệu được thiết kế để dự phòng và duy trì mà không ảnh hưởng đến các hoạt động liên tục, 24 giờ mỗi ngày và 7 ngày mỗi tuần. Trong hầu hết các trường hợp, nguồn điện chính cũng như một nguồn điện thay thế, mỗi nguồn có công suất bằng nhau, đều được cung cấp cho các thành phần cơ sở hạ tầng quan trọng trong trung tâm dữ liệu. Nguồn điện dự phòng được cung cấp qua nhiều cơ chế như pin cung cấp điện liên tục (UPS), cung cấp khả năng bảo vệ nguồn điện đáng tin cậy một cách nhất quán trong thời gian tạm tắt tiện ích, tạm dừng, quá điện áp, dưới điện áp và ngoài điều kiện tần suất không khoan nhượng. Nếu nguồn điện tiện ích bị gián đoạn, thì nguồn dự phòng được thiết kế để cung cấp năng lượng tạm thời cho trung tâm dữ liệu, ở mức công suất tối đa, trong tối đa 10 phút cho đến khi hệ thống máy phát điện tiếp nhận. Máy phát điện diesel có thể tự động khởi động trong vòng vài giây để cung cấp đủ điện năng khẩn cấp để chạy trung tâm dữ liệu ở mức công suất tối đa, thường trong một vài ngày.

Hệ điều hành máy chủ. Máy chủ Jibe sử dụng hệ điều hành tăng cường, được tuỳ chỉnh theo nhu cầu riêng của máy chủ của doanh nghiệp. Dữ liệu được lưu trữ bằng các thuật toán độc quyền để tăng cường bảo mật và dự phòng dữ liệu. Jibe sử dụng quy trình xem xét mã để tăng tính bảo mật của mã dùng để cung cấp Dịch vụ cho đơn vị xử lý và nâng cao các sản phẩm bảo mật trong môi trường sản xuất.

Hoạt động kinh doanh liên tục. Jibe sao chép dữ liệu qua nhiều hệ thống để giúp ngăn chặn tình trạng vô tình làm mất hoặc mất dữ liệu. Jibe đã thiết kế và thường xuyên lên kế hoạch cũng như thử nghiệm các chương trình lập kế hoạch/khôi phục thảm hoạ liên tục đối với doanh nghiệp.

(b) Mạng và truyền dữ liệu.

Truyền dữ liệu. Các trung tâm dữ liệu thường được kết nối thông qua các đường liên kết riêng tư tốc độ cao để chuyển dữ liệu nhanh chóng và an toàn giữa các trung tâm dữ liệu. Phương thức này được thiết kế để ngăn việc đọc, sao chép, thay đổi hoặc xoá dữ liệu khi chưa được cho phép trong quá trình chuyển hoặc chuyển dữ liệu điện tử, hoặc ghi lại nội dung nghe nhìn vào bộ nhớ dữ liệu. Jibe chuyển dữ liệu qua các giao thức chuẩn Internet.

Bề mặt tấn công bên ngoài. Jibe sử dụng nhiều lớp thiết bị mạng và phát hiện xâm nhập để bảo vệ bề mặt tấn công bên ngoài. Jibe xem xét các vectơ tấn công tiềm tàng và kết hợp các công nghệ được xây dựng có mục đích phù hợp vào các hệ thống quay mặt ngoài.

Phát hiện xâm nhập. Tính năng phát hiện xâm nhập nhằm cung cấp thông tin chi tiết về các hoạt động tấn công đang diễn ra và cung cấp đầy đủ thông tin để ứng phó với các sự cố. Tính năng phát hiện xâm nhập của Jibe bao gồm

1. Kiểm soát chặt chẽ kích thước và cấu tạo của bề mặt tấn công của Jibe thông qua các biện pháp phòng ngừa;

2. Sử dụng các biện pháp kiểm soát phát hiện thông minh tại các điểm truy cập dữ liệu; và

3. Sử dụng các công nghệ tự động khắc phục một số tình huống nguy hiểm nhất định.

Xử lý sự cố. Jibe theo dõi nhiều kênh liên lạc để phát hiện các sự cố bảo mật và nhân viên bảo mật của Jibe sẽ phản ứng kịp thời với những sự cố đã biết.

Công nghệ mã hoá. Jibe cung cấp phương thức mã hoá HTTPS (còn gọi là kết nối SSL hoặc TLS). Máy chủ Jibe hỗ trợ đường cong elip tạm thời Trao đổi khoá mã hoá Diffie Hellman ký bằng RSA và ECDSA. Các phương thức bảo mật chuyển tiếp hoàn hảo (PFS) này giúp bảo vệ lưu lượng truy cập và giảm thiểu tác động của khoá bị xâm phạm hoặc sự đột phá về mật mã.

2. Quyền kiểm soát trang web và quyền truy cập

(a) Kiểm soát trang web.

Vận hành bảo mật của Trung tâm dữ liệu tại chỗ. Các trung tâm dữ liệu của Jibe duy trì hoạt động bảo mật tại chỗ, chịu trách nhiệm về mọi chức năng bảo mật của trung tâm dữ liệu thực tế 24/7. Nhân viên vận hành bảo mật tại chỗ giám sát các camera Truyền hình mạch kín (“CCTV”) và tất cả các hệ thống báo động. Nhân viên vận hành bảo mật tại chỗ thường xuyên thực hiện các cuộc tuần tra nội bộ và bên ngoài trung tâm dữ liệu.

Quy trình truy cập của Trung tâm dữ liệu. Jibe duy trì các quy trình truy cập chính thức để cho phép truy cập vật lý vào các trung tâm dữ liệu. Các trung tâm dữ liệu được đặt trong các cơ sở yêu cầu quyền truy cập vào khoá thẻ điện tử, với các chuông báo liên kết với hoạt động bảo mật tại chỗ. Tất cả người tham gia trung tâm dữ liệu đều phải xác định danh tính cũng như bằng chứng xác minh danh tính khi thực hiện các hoạt động bảo mật trên trang web. Chỉ nhân viên, nhà thầu và khách truy cập được ủy quyền mới được phép truy cập vào các trung tâm dữ liệu. Chỉ những nhân viên và nhà thầu được ủy quyền mới được phép yêu cầu cấp thẻ khóa điện tử vào các cơ sở này. Yêu cầu truy cập vào khoá thẻ điện tử trung tâm dữ liệu phải được thực hiện trước và bằng văn bản, đồng thời phải được người quản lý của người yêu cầu và giám đốc trung tâm dữ liệu phê duyệt. Tất cả người tham gia khác yêu cầu quyền truy cập vào trung tâm dữ liệu tạm thời phải: (i) được người quản lý trung tâm dữ liệu cho phép truy cập trước đối với trung tâm dữ liệu cụ thể và các khu vực nội bộ mà họ muốn truy cập; (ii) đăng nhập tại các hoạt động bảo mật tại chỗ; và (iii) tham chiếu hồ sơ truy cập vào trung tâm dữ liệu đã được phê duyệt, xác định cá nhân đó là được phê duyệt.

Thiết bị bảo mật của Trung tâm dữ liệu tại chỗ. Các trung tâm dữ liệu của Jibe sử dụng khoá thẻ điện tử và hệ thống kiểm soát truy cập sinh trắc học được liên kết với chuông báo của hệ thống. Hệ thống kiểm soát quyền truy cập sẽ theo dõi và ghi lại khoá thẻ điện tử của từng cá nhân và khi họ truy cập vào cửa ranh giới, dịch vụ vận chuyển và nhận hàng, cũng như các khu vực quan trọng khác. Hoạt động không được phép và các lần truy cập không thành công được hệ thống kiểm soát quyền truy cập ghi lại và điều tra khi thích hợp. Quyền truy cập được cấp phép trong toàn bộ hoạt động kinh doanh và trung tâm dữ liệu bị hạn chế dựa trên các vùng và trách nhiệm công việc của cá nhân. Hệ thống báo động sẽ phát chuông báo cháy ở trung tâm dữ liệu. Camera giám sát đang hoạt động cả bên trong và bên ngoài trung tâm dữ liệu. Vị trí của các máy ảnh được thiết kế để bao gồm các khu vực chiến lược, bao gồm các khu vực khác, ranh giới, cửa ra vào toà nhà trung tâm dữ liệu và việc vận chuyển/tiếp nhận. Nhân viên vận hành bảo mật tại chỗ quản lý việc giám sát, ghi lại và kiểm soát thiết bị giám sát. Cáp an toàn trên toàn bộ trung tâm dữ liệu sẽ kết nối thiết bị camera quan sát. Máy ảnh ghi hình tại chỗ thông qua máy quay video kỹ thuật số 24 giờ mỗi ngày, 7 ngày mỗi tuần. Hồ sơ giám sát được lưu giữ trong ít nhất 7 ngày dựa trên hoạt động.

(b) Kiểm soát quyền truy cập.

Nhân viên an ninh cơ sở hạ tầng. Jibe có và duy trì một chính sách bảo mật cho nhân viên của mình, đồng thời đòi hỏi phải đào tạo về bảo mật trong gói đào tạo cho nhân viên của họ. Nhân viên bảo mật cơ sở hạ tầng của Jibe chịu trách nhiệm giám sát liên tục cơ sở hạ tầng bảo mật của Jibe, việc xem xét các Dịch vụ của Đơn vị xử lý và ứng phó các sự cố bảo mật.

Kiểm soát quyền truy cập và Quản lý đặc quyền. Quản trị viên và người dùng của công ty phải tự xác thực thông qua hệ thống xác thực trung tâm hoặc thông qua hệ thống đăng nhập một lần để sử dụng Dịch vụ của đơn vị xử lý.

Chính sách và quy trình truy cập dữ liệu nội bộ – Chính sách truy cập. Các quy trình và chính sách truy cập dữ liệu nội bộ của Jibe được thiết kế để ngăn những người và/hoặc hệ thống trái phép có quyền truy cập vào những hệ thống được dùng để xử lý dữ liệu cá nhân. HASH Các hệ thống được thiết kế để phát hiện mọi quyền truy cập không phù hợp. {8/} LDAP, Kerberos và một hệ thống độc quyền sử dụng chứng chỉ SSH được thiết kế để cung cấp cho Jibe các cơ chế truy cập an toàn và linh hoạt. Các cơ chế này được thiết kế để chỉ cấp quyền truy cập được chấp thuận cho máy chủ trang web, nhật ký, dữ liệu và thông tin cấu hình. Jibe yêu cầu sử dụng mã nhận dạng người dùng riêng biệt, mật khẩu mạnh, hai yếu tố xác thực và danh sách truy cập được giám sát cẩn thận để giảm thiểu khả năng sử dụng trái phép tài khoản. Việc cấp hoặc sửa đổi quyền truy cập dựa trên: trách nhiệm của nhân viên được ủy quyền; các yêu cầu về nghĩa vụ công việc cần thiết để thực hiện các nhiệm vụ được ủy quyền và nhu cầu cần biết. Việc cấp hoặc sửa đổi quyền truy cập cũng phải tuân thủ chương trình đào tạo và chính sách truy cập dữ liệu nội bộ của Jibe. Việc phê duyệt được quản lý bằng các công cụ quy trình công việc giúp lưu giữ hồ sơ kiểm tra về mọi thay đổi. Việc truy cập vào các hệ thống được ghi nhật ký để tạo lộ trình kiểm tra về trách nhiệm giải trình. Trong trường hợp mật khẩu được sử dụng để xác thực (ví dụ: đăng nhập vào máy trạm), chính sách mật khẩu sẽ tuân thủ ít nhất các phương pháp tiêu chuẩn ngành. Các tiêu chuẩn này bao gồm các hạn chế về việc sử dụng lại mật khẩu và đủ độ mạnh của mật khẩu.

3. Dữ liệu

(a) Lưu trữ, cách ly và xác thực dữ liệu.

Jibe lưu trữ dữ liệu trong môi trường nhiều khách thuê trên các máy chủ do Jibe sở hữu. Dữ liệu, cơ sở dữ liệu Dịch vụ của bộ xử lý và cấu trúc hệ thống tệp được sao chép giữa nhiều trung tâm dữ liệu phân tán về mặt địa lý. Jibe đã tách biệt dữ liệu của từng khách hàng theo logic. Hệ thống xác thực trung tâm được sử dụng trên mọi Dịch vụ đơn vị xử lý để tăng tính bảo mật của dữ liệu.

(b) Nguyên tắc huỷ đĩa và Lỗi huỷ đĩa.

Một số ổ đĩa chứa dữ liệu có thể gặp phải các vấn đề về hiệu suất, lỗi hoặc lỗi phần cứng khiến các ổ đĩa đó bị ngừng hoạt động (“Đĩa bị gián đoạn”). Mọi ổ đĩa đã ngừng hoạt động đều phải tuân theo một loạt quy trình huỷ dữ liệu (“Nguyên tắc huỷ dữ liệu”) trước khi rời khỏi cơ sở của Jibe để sử dụng lại hoặc phá huỷ. Các ổ đĩa đã uỷ quyền sẽ bị xoá trong một quy trình nhiều bước và được ít nhất hai trình xác thực độc lập hoàn tất và xác minh. Kết quả xoá được ghi lại bằng số sê-ri của ổ đĩa đã hạ cấp để theo dõi. Cuối cùng, ổ đĩa đã bị xoá bị xoá được phát hành cho khoảng không quảng cáo để sử dụng lại và triển khai lại. Nếu do lỗi phần cứng, bạn không thể xoá Đĩa đã ngừng hoạt động, thì ổ đĩa đó sẽ được lưu trữ an toàn cho đến khi có thể huỷ dung lượng. Mỗi cơ sở đều được kiểm tra thường xuyên để giám sát việc tuân thủ Nguyên tắc huỷ dữ liệu.

4. An ninh nhân sự

Nhân viên của Jibe phải hành xử theo cách thức phù hợp với các nguyên tắc của công ty về tính bảo mật, đạo đức kinh doanh, cách sử dụng phù hợp và các tiêu chuẩn chuyên nghiệp. Jibe thực hiện các quy trình kiểm tra lai lịch hợp lý trong phạm vi được pháp luật cho phép và theo quy định của luật lao động địa phương cũng như các quy định pháp luật.

Nhân viên bắt buộc phải thực hiện thoả thuận bảo mật và phải xác nhận đã nhận, đồng thời tuân thủ các chính sách về quyền riêng tư và bảo mật của Jibe. Nhân viên này được đào tạo về bảo mật. Việc xử lý nhân sự Dữ liệu cá nhân của công ty là bắt buộc để hoàn thành các yêu cầu bổ sung phù hợp với vai trò của họ. Nhân viên của Jibe sẽ không xử lý Dữ liệu cá nhân của công ty nếu không có uỷ quyền

5. Bảo mật bộ xử lý phụ

Trước khi giới thiệu Đơn vị xử lý phụ, Jibe tiến hành kiểm tra các phương pháp bảo mật và bảo vệ quyền riêng tư của Đơn vị xử lý phụ để đảm bảo Đơn vị xử lý phụ cung cấp mức độ bảo mật và quyền riêng tư phù hợp với quyền truy cập vào dữ liệu cũng như phạm vi của các dịch vụ mà họ xử lý. Sau đó, Jibe đã đánh giá các rủi ro do Bộ xử lý phụ đưa ra, tuân theo các yêu cầu trong Mục 11.3 (Các yêu cầu về Mức độ tương tác của Đơn vị xử lý phụ), Đơn vị xử lý phụ bắt buộc phải tham gia các điều khoản hợp đồng về bảo mật, tính bảo mật và quyền riêng tư.

Phụ lục 3: Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu

Các điều khoản bổ sung cho Luật bảo vệ dữ liệu bên ngoài Châu Âu sau đây sẽ bổ sung cho các Điều khoản xử lý dữ liệu này:

• Phụ lục về nhà cung cấp dịch vụ CCPA tại privacy.google.com/businesses/gdprprocessorterms/ccpa (ngày 27 tháng 8 năm 2020)
• Phụ lục về đơn vị xử lý LGPD tại privacy.google.com/businesses/gdprprocessorrterms/noopenerpd (ngày 27 tháng 8 năm 2020)

Điều khoản xử lý dữ liệu của Jibe, Phiên bản 2.0

Ngày 27 tháng 8 năm 2020