Последнее изменение: 8 августа 2023 г. | Предыдущие версии
Jibe и контрагент, соглашающийся с настоящим дополнением (« Партнер »), заключили соглашение о предоставлении Обработочных услуг (с вносимыми время от времени поправками, « Соглашение »).
Настоящее Дополнительное соглашение об обработке данных (включая приложения « Дополнительное соглашение об обработке данных ») заключено Jibe и Партнером и дополняет Соглашение. Настоящее Дополнительное соглашение об обработке данных вступит в силу и заменит любые ранее применимые условия, относящиеся к их предмету (включая любые условия обработки данных и безопасности, относящиеся к Обработочным услугам), с Даты вступления в силу Условий.
Если вы принимаете настоящее Дополнительное соглашение об обработке данных от имени Партнера, вы гарантируете, что: (a) у вас есть полное юридическое право связывать Партнера настоящим Дополнительным соглашением об обработке данных; (б) вы прочитали и поняли настоящее Дополнение к обработке данных; и (c) вы соглашаетесь от имени Партнера с настоящим Дополнительным соглашением об обработке данных. Если у вас нет юридических полномочий связывать Партнера обязательствами, не принимайте настоящее Дополнительное соглашение об обработке данных.
1. Введение
Настоящее Дополнительное соглашение об обработке данных отражает соглашение сторон об условиях, регулирующих обработку и безопасность определенных данных в связи с европейским законодательством о защите данных и неевропейским законодательством о защите данных.
2. Определения и интерпретация
2.1 В настоящем Дополнении по обработке данных:
« Дополнительный продукт » означает продукт, услугу или приложение, предоставляемые Jibe или третьей стороной, которые: (a) не являются частью Обработочных услуг; и (б) доступна для использования в пользовательском интерфейсе Процессорных служб или иным образом интегрирована с Процессорными службами.
« Дополнительные условия неевропейского законодательства о защите данных » означают дополнительные условия, указанные в Приложении 3, которые отражают соглашение сторон об условиях, регулирующих обработку определенных данных в связи с определенным неевропейским законодательством о защите данных.
« Адекватная страна » означает:
(a) для данных, обрабатываемых в соответствии с GDPR ЕС: ЕЭЗ или страна или территория, признанная обеспечивающей адекватную защиту данных в соответствии с GDPR ЕС;
(b) для данных, обрабатываемых в соответствии с GDPR Великобритании: Великобритания или страна или территория, признанная обеспечивающей адекватную защиту данных в соответствии с GDPR Великобритании и Законом о защите данных 2018 года; и/или
(c) для данных, обрабатываемых в соответствии со швейцарским FDPA: Швейцария или страна или территория, которая (i) включена в список государств, законодательство которых обеспечивает адекватный уровень защиты, опубликованный Федеральным комиссаром Швейцарии по защите данных и информации. , или (ii) признаны как обеспечивающие адекватную защиту данных Федеральным советом Швейцарии в соответствии со Швейцарским FDPA, в каждом случае, кроме как на основе дополнительной системы защиты данных.
« Альтернативное решение по передаче » означает решение, отличное от SCC, которое обеспечивает законную передачу персональных данных в третью страну в соответствии с Европейским законодательством о защите данных, например, механизм защиты данных, признанный гарантирующим, что участвующие местные организации обеспечивают адекватную защиту. .
« Инцидент с данными » означает нарушение безопасности Jibe, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным партнера в системах, управляемых или иным образом контролируемых Jibe. «Инциденты с данными» не будут включать неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных Партнера, включая неудачные попытки входа в систему, пинги, сканирование портов, атаки типа «отказ в обслуживании» и другие сетевые атаки на брандмауэры или сетевые системы.
« Инструмент субъекта данных » означает инструмент (если таковой имеется), предоставленный субъектом Jibe субъектам данных, который позволяет Jibe отвечать напрямую и стандартизированным образом на определенные запросы субъектов данных в отношении Персональных данных партнера (например, онлайн-реклама). настройки или плагин для отключения браузера).
« ЕЭЗ » означает Европейскую экономическую зону.
« GDPR ЕС » означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы. 95/46/ЕС.
« Европейское законодательство о защите данных » означает, если применимо: (a) GDPR; и/или (b) Швейцарское FDPA.
« Европейское законодательство » означает, в зависимости от обстоятельств: (a) законодательство ЕС или государства-члена ЕС (если GDPR ЕС применяется к обработке Персональных данных Партнера); и/или (b) законодательством Великобритании или части Великобритании (если GDPR Великобритании применяется к обработке Персональных данных Партнера).
« GDPR » означает, если применимо: (a) GDPR ЕС; и/или (b) GDPR Великобритании.
« Jibe » означает юридическое лицо Jibe, являющееся стороной Соглашения.
« Субъект Jibe » означает Jibe Mobile, Inc, Jibe Mobile Limited или любую другую организацию, которая прямо или косвенно контролирует, контролируется или находится под общим контролем с Jibe Mobile, Inc.
« Сертификация ISO 27001 » означает сертификацию ISO/IEC 27001:2013 или аналогичную сертификацию для Обработочных услуг.
« Новый субобработчик » имеет значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).
« Неевропейское законодательство о защите данных » означает законы о защите данных или конфиденциальности, действующие за пределами ЕЭЗ, Швейцарии и Великобритании.
« Адрес электронной почты для уведомлений » означает адрес электронной почты (если таковой имеется): (i) предоставленный Партнером Jibe или (ii) назначенный Партнером через пользовательский интерфейс Обработочных служб или другими средствами, предоставляемыми Jibe, для получения определенных уведомлений. от Jibe в отношении настоящего Дополнения об обработке данных. Для ясности: Партнер несет ответственность за предоставление Jibe адреса электронной почты для уведомлений и информирование Jibe о любых обновлениях адреса электронной почты для уведомлений.
« Личные данные партнера » означают персональные данные, которые обрабатываются Jibe от имени Партнера при предоставлении Jibe Обработочных услуг.
« Партнерские SCC » означают SCC (между контроллером-процессором), SCC (между процессором-контроллером) и/или SCC (между процессором-процессором), в зависимости от обстоятельств.
« Службы процессора » означают службы RCS Business Messaging (как описано на странице Developers.google.com/business-communication/rcs-business-messaging ).
« SCC » означает партнерские SCC и/или SCC (переработчик-процессор, экспортер Jibe), в зависимости от обстоятельств.
« SCC (контроллер-процессор) » означает условия на странице business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa .
« SCC (процессор-контроллер) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/p2c .
« SCC (процессор-процессор) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa .
« SCC (процессор-процессор, Jibe Exporter) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group .
« Документация по безопасности » означает сертификацию ISO 27001 и любые другие сертификаты или документацию по безопасности, которые Jibe может предоставить в связи с Процессорными услугами.
« Меры безопасности » имеют значение, указанное в Разделе 7.1.1 («Меры безопасности Jibe»).
« Субобработчики » означают третьи стороны, уполномоченные в соответствии с настоящим Дополнением к обработке данных иметь логический доступ и обработку Персональных данных Партнера с целью предоставления частей Обработочных услуг и любой связанной технической поддержки.
« Орган надзора » означает, в зависимости от обстоятельств: (a) «Орган надзора», как это определено в GDPR ЕС; и/или (b) «Уполномоченный», как это определено в GDPR Великобритании и/или FDPA Швейцарии.
« Швейцарский FDPA » означает Федеральный закон о защите данных от 19 июня 1992 г. (Швейцария).
« Срок действия » означает период с Даты вступления в силу Условий до окончания предоставления Jibe Обработочных услуг в соответствии с Соглашением.
« Дата вступления в силу Условий » означает дату вступления Соглашения в силу.
« GDPR Великобритании » означает GDPR ЕС с поправками, включенными в британское законодательство в соответствии с Законом Великобритании о выходе из Европейского Союза 2018 года, а также применимое вторичное законодательство, принятое в соответствии с этим Законом.
2.2 Термины « контролер », « субъект данных », « персональные данные », « обработка » и « обработчик », используемые в настоящем Дополнении об обработке данных, имеют значения, указанные в GDPR, а термины « импортер данных » и « данные» экспортер » имеют значения, указанные в применимых СУК.
2.3 Слова « включают » и « включая » означают «включая, но не ограничиваясь». Любые примеры в настоящем Дополнении по обработке данных являются иллюстративными, а не единственными примерами конкретной концепции.
2.4 Любая ссылка на правовую базу, закон или другой законодательный акт является ссылкой на него с поправками или изменениями, которые время от времени принимаются.
2.5 Если какая-либо переведенная версия настоящего Дополнительного соглашения об обработке данных не соответствует английской версии, английская версия имеет преимущественную силу.
3. Срок действия настоящего Дополнительного соглашения об обработке данных
Настоящее Дополнительное соглашение об обработке данных вступит в силу с Даты вступления в силу Условий и, независимо от того, истек ли Срок действия, будет оставаться в силе до тех пор, пока Jibe не удалит все Персональные данные партнера, как описано в настоящем Дополнительном соглашении об обработке данных, и автоматически истечет.
4. Применение настоящего Дополнительного соглашения об обработке данных
4.1 Применение европейского законодательства о защите данных . Разделы с 5 (Обработка данных) по 12 (Обращение к Jibe; Обработка записей) (включительно) будут применяться только в той степени, в которой Европейское законодательство о защите данных применимо к обработке Персональных данных Партнера, в том числе если:
(a) обработка осуществляется в контексте деятельности Партнера в ЕЭЗ или Великобритании; и/или
(б) Персональные данные партнеров — это персональные данные, относящиеся к субъектам данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или мониторингом их поведения в ЕЭЗ или Великобритании.
4.2 Заявление в Службу обработки данных . Настоящее Дополнительное соглашение об обработке данных будет применяться только к Службам обработки данных, в отношении которых стороны согласились с настоящим Дополнительным соглашением об обработке данных (например: (a) Службам обработки данных, для которых Партнер нажал кнопку, чтобы принять настоящее Дополнительное соглашение об обработке данных; или (b) если Соглашение включает настоящее Дополнительное соглашение об обработке данных посредством ссылки, Услуги обработчика, являющиеся предметом Соглашения).
4.3 Включение дополнительных условий в неевропейское законодательство о защите данных . Дополнительные условия неевропейского законодательства о защите данных дополняют настоящее Дополнение к обработке данных.
5. Обработка данных
5.1 Роли и соблюдение нормативных требований; Авторизация.
5.1.1 Обязанности процессора и контроллера . Стороны признают и соглашаются, что:
(a) Приложение 1 описывает предмет и детали обработки Персональных данных Партнера;
(б) Jibe является обработчиком Персональных данных Партнера в соответствии с Европейским законодательством о защите данных;
(c) Партнер является контролером или обработчиком, в зависимости от обстоятельств, Персональных данных Партнера в соответствии с Европейским законодательством о защите данных; и
(d) каждая сторона будет соблюдать обязательства, применимые к ней в соответствии с Европейским законодательством о защите данных в отношении обработки Персональных данных Партнера.
5.1.2 Партнеры-процессоры . Если Партнер является обработчиком:
(a) Партнер гарантирует на постоянной основе, что соответствующий контролер санкционировал (i) инструкции, (ii) назначение Партнером Jibe в качестве другого обработчика и (iii) привлечение Jibe Субобработчиков, как описано в Разделе 11 (Субобработчики);
(b) Партнер немедленно направит соответствующему контролеру любое уведомление, предоставленное Jibe в соответствии с разделами 5.4 (Уведомления об инструкциях), 7.2.1 (Уведомление о происшествии), 11.4 (Возможность возражать против изменений субобработчика) или относящееся к любым SCC; и
(c) Партнер может предоставить соответствующему контролеру любую информацию, предоставленную Jibe в соответствии с разделами 7.4 (Сертификация безопасности), 10.5 (Информация о центре обработки данных) и 11.2 (Информация о субобработчиках).
5.2 Инструкции Партнера. Заключая настоящее Дополнительное соглашение об обработке данных, Партнер поручает Jibe обрабатывать Персональные данные Партнера только в соответствии с применимым законодательством: (a) для предоставления Обработочных услуг и любой соответствующей технической поддержки; (б) как указано далее, посредством использования Партнером Обработочных служб (в том числе в настройках и других функциях Процессорных служб) и любой соответствующей технической поддержки; (c) как указано в форме Соглашения, включая настоящее Дополнение к обработке данных; и (d) как дополнительно описано в любых других письменных инструкциях, предоставленных Партнером и признанных Jibe в качестве инструкций для целей настоящего Дополнительного соглашения по обработке данных (совместно именуемые « Инструкции »).
5.3 Соблюдение Jibe инструкций. Jibe обязуется соблюдать Инструкции, если это не запрещено европейским законодательством.
5.4 Instruction Notifications . Jibe немедленно уведомит Партнера, если, по мнению Jibe: (a) европейские законы запрещают Jibe выполнять Инструкцию; (б) Инструкция не соответствует Европейскому законодательству о защите данных; или (c) Jibe по иным причинам не может выполнить Инструкцию, в каждом случае, если такое уведомление не запрещено европейским законодательством. Настоящий Раздел 5.4 (Уведомления об инструкциях) не ограничивает права и обязанности любой из сторон в других положениях Соглашения.
5.5 Дополнительные продукты . Если Партнер использует какой-либо Дополнительный продукт, Службы обработки могут разрешить этому Дополнительному продукту доступ к Персональным данным Партнера, как это необходимо для взаимодействия Дополнительного продукта с Службами обработки. При необходимости стороны заключат отдельные условия обработки данных, определяющие, как Дополнительный продукт будет обрабатывать Персональные данные Партнера.
6. Удаление данных
6.1 Удаление в течение срока действия.
6.1.1 Службы процессора с функцией удаления . В течение Срока действия, если:
(a) функциональность Обработочных услуг включает в себя возможность для Партнера удалить Персональные данные Партнера;
(б) Партнер использует Службы обработки данных для удаления определенных Персональных данных Партнера; а также
(c) удаленные Персональные данные Партнера не могут быть восстановлены Партнером (например, из «корзины»), тогда Jibe удалит такие Персональные данные Партнера из своих систем, как только это будет практически осуществимо, если только европейское законодательство не требует хранения.
6.1.2 Службы процессора без функции удаления . Если в течение Срока действия функциональность Обработочных услуг не включает в себя возможность Партнера удалить Персональные данные Партнера, то Jibe выполнит любой разумный запрос Партнера об облегчении такого удаления, насколько это возможно с учетом характера и функциональность Процессорных услуг и если европейское законодательство не требует хранения. Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любое удаление данных в соответствии с настоящим Разделом 6.1.2 (Процессорные услуги без функции удаления). Jibe предоставит Партнеру дополнительную информацию о применимых сборах и основе их расчета перед удалением таких данных.
6.2 Удаление по истечении срока действия . По истечении Срока действия Партнер поручает Jibe удалить все Персональные данные Партнера (включая существующие копии) из систем Jibe в соответствии с применимым законодательством. Компания Jibe обязуется соблюдать данную инструкцию в кратчайшие возможные сроки, за исключением случаев, когда европейское законодательство требует хранения.
7. Безопасность данных
7.1 Меры безопасности и помощь Jibe.
7.1.1 Меры безопасности Jibe . Jibe будет внедрять и поддерживать технические и организационные меры для защиты Персональных данных Партнера от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (« Меры безопасности »). Как описано в Приложении 2, Меры безопасности включают меры: (а) по шифрованию персональных данных; (б) помочь обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг Jibe; (c) помочь восстановить своевременный доступ к персональным данным после инцидента; и (d) для регулярного тестирования эффективности. Jibe может время от времени обновлять или изменять Меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности Процессорных услуг.
7.1.2 Доступ и соответствие . Компания Jibe обязуется (а) разрешить своим сотрудникам, подрядчикам и субобработчикам доступ к Персональным данным Партнера только в случае крайней необходимости для соблюдения Инструкций; (b) предпринимать соответствующие шаги для обеспечения соблюдения Мер безопасности своими сотрудниками, подрядчиками и субобработчиками в степени, применимой к сфере их деятельности; и (c) обеспечить, чтобы все лица, уполномоченные обрабатывать Персональные данные Партнера, взяли на себя обязательство соблюдать конфиденциальность или имели соответствующие законодательные обязательства по соблюдению конфиденциальности.
7.1.3 Помощь Jibe в обеспечении безопасности . Принимая во внимание характер обработки Персональных данных Партнера и информацию, доступную Jibe, Jibe будет помогать Партнеру в обеспечении соблюдения обязательств Партнера (или, если Партнер является обработчиком, соответствующего контролера) в отношении безопасности персональных данных и персональных данных. нарушений, включая обязательства Партнера (или, если Партнер является обработчиком, обязательства соответствующего контролера) согласно статьям 32–34 (включительно) GDPR, путем:
(a) внедрение и поддержание Мер безопасности в соответствии с Разделом 7.1.1 (Меры безопасности Jibe);
(b) соблюдение условий Раздела 7.2 (Инциденты с данными); и
(c) предоставления Партнеру Документации по безопасности в соответствии с Разделом 7.5.1 (Проверка Документации по безопасности) и информации, содержащейся в настоящем Дополнительном соглашении об обработке данных.
7.2 Инциденты с данными.
7.2.1 Уведомление об инциденте . Если Jibe станет известно о Инциденте с данными, Jibe: (a) незамедлительно и без неоправданной задержки уведомит Партнера о Инциденте с данными; и (б) незамедлительно принять разумные меры для минимизации ущерба и обеспечения безопасности Персональных данных Партнера.
7.2.2 Подробности инцидента с данными . Уведомления, сделанные в соответствии с разделом 7.2.1 (Уведомление об инциденте), будут описывать: характер инцидента с данными, включая затронутые партнерские ресурсы; меры, которые компания Jibe приняла или планирует принять для устранения инцидента с данными и снижения потенциального риска; меры, если таковые имеются, Jibe рекомендует Партнеру принять для устранения Инцидента с данными; и сведения о контактном пункте, где можно получить дополнительную информацию. Если невозможно предоставить всю такую информацию одновременно, первоначальное уведомление Jibe будет содержать имеющуюся на тот момент информацию, а дополнительная информация будет предоставляться без неоправданной задержки по мере ее поступления.
7.2.3 Доставка уведомления . Jibe доставит уведомление о любом инциденте с данными на адрес электронной почты для уведомления или, по усмотрению Jibe (в том числе, если Партнер не предоставил адрес электронной почты для уведомления), посредством другого прямого сообщения (например, посредством телефонного звонка или личной встречи). . Партнер несет единоличную ответственность за предоставление адреса электронной почты для уведомлений и обеспечение актуальности и актуальности адреса электронной почты для уведомлений.
7.2.4 Уведомления третьих лиц . Партнер несет единоличную ответственность за соблюдение законов об уведомлении об инцидентах, применимых к Партнеру, и выполнение любых обязательств по уведомлению третьих лиц, связанных с любыми инцидентами с данными.
7.2.5. Отсутствие признания вины со стороны Jibe . Уведомление Jibe о Инциденте с данными или ответ на него в соответствии с настоящим Разделом 7.2 (Инциденты с данными) не будет истолковано как признание Jibe какой-либо вины или ответственности в отношении Инцидента с данными.
7.3 Обязанности и оценка безопасности партнера.
7.3.1 Обязанности партнера по обеспечению безопасности . Партнер соглашается с тем, что без ущерба для обязательств Jibe согласно разделам 7.1 (Меры безопасности и помощь Jibe) и 7.2 (Инциденты с данными):
(a) Партнер несет ответственность за использование Обработочных услуг, включая:
(i) надлежащее использование Обработочных услуг для обеспечения уровня безопасности, соответствующего риску Персональных данных Партнера; и
(ii) обеспечение безопасности учетных данных, систем и устройств для аутентификации учетной записи, которые Партнер использует для доступа к Процессорным услугам; и
(б) Jibe не обязана защищать Персональные данные Партнера, которые Партнер решает хранить или передавать за пределы систем Jibe и ее Субобработчиков.
7.3.2 Оценка безопасности партнера . Партнер признает, что меры безопасности, реализованные и поддерживаемые Jibe, как описано в разделе 7.1.1 (Меры безопасности Jibe), обеспечивают уровень безопасности, соответствующий риску для Персональных данных Партнера, с учетом характера, объема, контекста и целей обработки. Персональных данных Партнера; современное состояние; затраты на внедрение; и риски для отдельных лиц.
7.4 Сертификация безопасности. Чтобы оценить и обеспечить постоянную эффективность мер безопасности, Jibe будет поддерживать сертификацию ISO 27001 или другие соответствующие меры для демонстрации эффективности мер безопасности.
7.5 Обзоры и аудиты соответствия.
7.5.1 Анализ документации по безопасности . Чтобы продемонстрировать соблюдение Jibe своих обязательств по настоящему Дополнительному соглашению об обработке данных, Jibe предоставит Партнеру доступ к Документации по безопасности для ознакомления.
7.5.2 Права партнера на аудит .
(a) Jibe разрешит Партнеру или стороннему аудитору, назначенному Партнером, проводить аудиты (включая проверки) для проверки соблюдения Jibe своих обязательств по настоящему Дополнительному соглашению об обработке данных в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия аудита). Во время аудитов Jibe будет предоставлять всю информацию, необходимую для демонстрации такого соответствия, и участвовать в аудитах, как описано в Разделе 7.4 (Сертификация безопасности) и настоящем Разделе 7.5 (Проверки и аудиты соответствия).
(b) Если СУК применяются в соответствии с разделом 10.2 (Ограниченные европейские передачи), Jibe разрешит Партнеру (или стороннему аудитору, назначенному Партнером) проводить аудит, как описано в применимых СУК, и во время таких аудитов предоставлять всю информацию. требуются этими SCC, каждый в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия для аудита).
(c) Партнер может также провести аудит для проверки соблюдения Jibe своих обязательств в соответствии с настоящим Дополнением к обработке данных путем проверки любого сертификата(ов), выданных Jibe любым сторонним аудитором(ами) (например, сертификат ISO 27001, если любой).
7.5.3 Дополнительные коммерческие условия для аудита .
(a) Партнер отправит в Jibe любой запрос на проведение аудита в соответствии с разделами 7.5.2(a) или 7.5.2(b), как описано в разделе 12.1 (Обращение в Jibe).
(b) После получения Jibe запроса в соответствии с разделом 7.5.3(a), Jibe и Партнер обсудят и заранее согласуют разумную дату начала, объем и продолжительность, а также средства контроля безопасности и конфиденциальности, применимые к любому аудиту в соответствии с Раздел 7.5.2(a) или 7.5.2(b).
(c) Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любой аудит в соответствии с разделом 7.5.2(a) или 7.5.2(b). Jibe предоставит Партнеру дополнительную информацию о применимом вознаграждении и основе его расчета до начала любого такого аудита. Партнер будет нести ответственность за любые сборы, взимаемые любым сторонним аудитором, назначенным Партнером для проведения любого такого аудита.
(d) Jibe может возражать против любого стороннего аудитора, назначенного Партнером для проведения любого аудита в соответствии с разделом 7.5.2(a) или 7.5.2(b), если аудитор, по обоснованному мнению Jibe, не обладает достаточной квалификацией или независимостью, конкурент Jibe или иным образом явно неподходящий. Любое такое возражение со стороны Jibe потребует от Партнера назначения другого аудитора или проведения аудита самостоятельно.
(e) Ничто в настоящем Дополнительном соглашении об обработке данных не требует от Jibe раскрытия Партнеру или его стороннему аудитору или предоставления Партнеру или его стороннему аудитору доступа к:
(i) любые данные любого другого партнера или клиента компании Jibe;
(ii) внутреннюю бухгалтерскую или финансовую информацию любой организации Jibe;
(iii) любую коммерческую тайну организации Jibe;
(iv) любую информацию, которая, по разумному мнению Jibe, может: (A) поставить под угрозу безопасность систем или помещений любой организации Jibe; или (Б) привести к тому, что какая-либо организация Jibe нарушит свои обязательства в соответствии с Европейским законодательством о защите данных или свои обязательства по безопасности и/или конфиденциальности перед Партнером или любой третьей стороной; или
(v) любую информацию, к которой Партнер или его сторонний аудитор стремится получить доступ по любой причине, кроме добросовестного выполнения Партнером обязательств в соответствии с Европейским законодательством о защите данных.
8. Оценка воздействия и консультации
Принимая во внимание характер обработки и информацию, доступную Jibe, Jibe будет помогать Партнеру в обеспечении соблюдения обязательств Партнера (или, если Партнер является обработчиком, соответствующего контролера) в отношении оценки воздействия на защиту данных и предварительных консультаций, включая (если применимо) ) Обязательства партнера или соответствующего контролера в соответствии со статьями 35 и 36 GDPR путем:
(a) предоставление охранной документации в соответствии с Разделом 7.5.1 (Проверка охранной документации);
(б) предоставление информации, содержащейся в настоящем Дополнении к обработке данных; и
(c) предоставление или иное предоставление доступа в соответствии со стандартной практикой Jibe к другим материалам, касающимся характера Обработочных услуг и обработки Персональных данных Партнера (например, материалы справочного центра).
9. Права субъектов данных
9.1 Ответы на запросы субъектов данных. Если Jibe получает запрос от субъекта данных в отношении Персональных данных Партнера, Партнер уполномочивает Jibe и настоящим уведомляет Партнера о том, что он:
(a) напрямую ответить на запрос субъекта данных в соответствии со стандартными функциями Инструмента субъекта данных (если запрос сделан через Инструмент субъекта данных); или
(б) посоветовать субъекту данных отправить запрос Партнеру, и Партнер будет нести ответственность за ответ на такой запрос (если запрос сделан не через Инструмент субъекта данных).
9.2 Помощь Jibe в запросах субъектов данных. Jibe будет помогать Партнеру (или, если Партнер является обработчиком, соответствующему контролеру) в выполнении своих обязательств в соответствии с GDPR по реагированию на запросы об осуществлении прав субъекта данных, во всех случаях принимая во внимание характер обработки Персональных данных Партнера. и, если применимо, статью 11 GDPR, включая (если применимо):
(a) обеспечение функциональности Процессорных услуг;
(b) соблюдение обязательств, изложенных в Разделе 9.1 (Ответы на запросы субъектов данных); и
(c) предоставление Инструментов субъекта данных, если это применимо к Службам обработки данных.
9.3 Исправление . Если Партнеру станет известно, что какие-либо Персональные данные Партнера являются неточными или устаревшими, Партнер будет нести ответственность за исправление или удаление этих данных, если этого требует Европейское законодательство о защите данных, в том числе (если доступно) с использованием функций Обработочных служб.
10. Передача данных
10.1 Средства хранения и обработки данных. В соответствии с остальной частью настоящего Раздела 10 (Передача данных) Jibe может обрабатывать Персональные данные Партнера в любой стране, в которой Jibe или любой из ее субобработчиков имеют мощности.
10.2 Ограниченные европейские переводы . Стороны признают, что Европейское законодательство о защите данных не требует использования SCC или альтернативного решения по передаче для обработки Персональных данных Партнера или их передачи в Соответствующую страну.
Если Персональные данные Партнера передаются в любую другую страну и к такой передаче применяется Европейское законодательство о защите данных (« Ограниченная передача в Европе »), то:
(a) если Jibe примет Альтернативное решение по передаче для любых Ограниченных европейских передач, то Jibe проинформирует Партнера о соответствующем решении и обеспечит, чтобы такие Ограниченные европейские передачи осуществлялись в соответствии с этим решением; и/или
(b) если Jibe не приняла или проинформировала Партнера о том, что Jibe больше не принимает Альтернативное решение по передаче для каких-либо ограниченных европейских передач, тогда:
(i) если адрес Jibe находится в соответствующей стране:
(A) SCC (переработчик-переработчик, экспортер Jibe) будут применяться в отношении таких ограниченных европейских передач от Jibe субобработчикам; и
(B) кроме того, если адрес Партнера не находится в Соответствующей стране, SCC (от процессора к контролеру) будут применяться в отношении ограниченных европейских переводов между Jibe и Партнером (независимо от того, является ли Партнер контролером и/или обработчиком). ); или
(ii) если адрес Jibe не находится в соответствующей стране:
SCC (от контроллера к процессору) и/или SCC (от процессора к процессору) будут применяться (в зависимости от того, является ли Партнер контролером и/или обработчиком) в отношении таких Ограниченных европейских передач между Партнером и Jibe; и
(в) ссылки на Google LLC или Google и Вас в любом из СУС будут относиться к Jibe и Партнеру соответственно.
10.3 Дополнительные меры и информация . Jibe предоставит Партнеру информацию, касающуюся ограниченных европейских передач, включая информацию о дополнительных мерах по защите Персональных данных Партнера, как описано в Разделе 7.5.1 (Проверка документации по безопасности), Приложении 2 (Меры безопасности), а также другие материалы, касающиеся характера Услуги обработчика и обработку Персональных данных Партнера (например, статьи справочного центра).
10.4 Прекращение действия . Если Партнер придет к выводу, основываясь на текущем или предполагаемом использовании Обработочных услуг, что Альтернативное решение по передаче и/или SCC, в зависимости от обстоятельств, не обеспечивают надлежащую защиту Персональных данных Партнера, то Партнер может немедленно расторгнуть Соглашение для удобства, уведомив об этом. Джибе в письменной форме.
10.5 Информация о центре обработки данных . Информацию о местонахождении центров обработки данных Google LLC можно найти по адресу www.google.com/about/datacenters/locations/index.html .
11. Субпроцессоры
11.1 Согласие на привлечение субобработчика . Партнер специально разрешает привлечение Субобработчиков, перечисленных в Разделе 11.2 (Информация о Субобработчиках), начиная с Даты вступления в силу Условий. Кроме того, Партнер обычно разрешает привлекать любые другие третьи стороны в качестве субобработчиков (« Новые субобработчики ») в соответствии с разделом 11.4 (Возможность возражать против изменений субобработчика).
11.2 Информация о субобработчиках . По письменному запросу Партнера Jibe предоставит информацию о Субобработчиках и их местонахождении. Любые такие запросы необходимо отправлять в Jibe, используя контактную информацию, указанную в разделе 12.1 (Связь с Jibe).
11.3 Требования к привлечению субобработчиков . При привлечении любого субобработчика Jibe будет:
(a) обеспечить посредством письменного договора, что:
(i) Субобработчик получает доступ и использует Персональные данные Партнера только в той мере, в которой это необходимо для выполнения обязательств, переданных ему по субподряду, и делает это в соответствии с Соглашением (включая настоящее Дополнительное соглашение об обработке данных); и
(ii) если обработка Персональных данных Партнера регулируется Европейским законодательством о защите данных, обязательства по защите данных в настоящем Дополнении к обработке данных (как указано в статье 28 (3) GDPR, если применимо) возлагаются на Субобработчика. ; и
(b) нести полную ответственность за все обязательства, переданные субподрядчику, а также за все действия и бездействие Субобработчика.
11.4 Возможность возражать против изменений субобработчика.
(a) Если какой-либо новый субобработчик будет привлечен в течение Срока действия, то по крайней мере за 30 дней до того, как новый субобработчик обработает любые Персональные данные партнера, Jibe проинформирует Партнера о привлечении (включая название и местонахождение соответствующего субобработчика, а также о деятельности, которую он будет осуществлять). Выполните), отправив электронное письмо на адрес электронной почты уведомления.
(b) Партнер может возразить против любого нового субобработчика, расторгнув Соглашение для удобства немедленно после письменного уведомления Jibe, при условии, что Партнер предоставит такое уведомление в течение 90 дней с момента получения информации о привлечении нового субобработчика, как описано в разделе 11.4(а). ).
12. Обращение к Джибе; Обработка записей
12.1 Как связаться с Jibe. При осуществлении своих прав в соответствии с настоящим Дополнительным соглашением об обработке данных Партнер может связаться с Jibe через контактное лицо Jibe по защите данных RCS, с которым можно связаться через Issuetracker.google.com , или с помощью других средств, которые могут быть предоставлены Jibe.
12.2 Записи обработки Jibe. Jibe будет хранить соответствующую документацию о своей обработке, как того требует GDPR. Партнер признает, что в соответствии с GDPR компания Jibe обязана: (а) собирать и вести учет определенной информации, включая: (i) имя и контактные данные каждого процессора и/или контролера, от имени которого действует Jibe, и (если применимо) ) местного представителя и сотрудника по защите данных такого обработчика или контролера, и (ii) если это применимо в соответствии с соответствующими SCC, надзорного органа Партнера; и (b) предоставить такую информацию любому надзорному органу. Соответственно, по запросу и в зависимости от обстоятельств Партнер будет предоставлять такую информацию Jibe через пользовательский интерфейс Обработочных услуг или с помощью других средств, которые могут быть предоставлены Jibe, и будет использовать такой пользовательский интерфейс или другие средства для обеспечения того, чтобы вся предоставленная информация была сохранялась точной и актуальной.
12.3 Запросы контроллера . Если Jibe получит запрос или инструкцию от третьей стороны, которая якобы является контролером Персональных данных Партнера, Jibe посоветует третьей стороне связаться с Партнером.
13. Ответственность
Если Соглашение регулируется законодательством:
(a) штатом Соединенных Штатов Америки, то, независимо от чего-либо еще в Соглашении, общая ответственность любой из сторон перед другой стороной в соответствии с настоящим Дополнительным соглашением об обработке данных или в связи с ним будет ограничена максимальной денежной суммой или платежом. - сумма, которой ограничивается ответственность этой стороны в соответствии с Соглашением (и, следовательно, любое исключение требований о конфиденциальности или возмещении ущерба из ограничения ответственности Соглашения не будет применяться к претензиям по Соглашению, связанным с европейским законодательством о защите данных или неевропейскими данными). Защита Законодательство); или
(b) юрисдикция, не являющаяся штатом США, то общая совокупная ответственность сторон и их аффилированных лиц в соответствии с настоящим Дополнительным соглашением об обработке данных или в связи с ним будет регулироваться Соглашением.
14. Действие настоящего Дополнительного соглашения об обработке данных
14.1 Порядок старшинства . В случае возникновения какого-либо конфликта или несоответствия между SCC, Дополнительными условиями неевропейского законодательства о защите данных, настоящим Дополнением к обработке данных и остальной частью Соглашения, будет применяться следующий порядок приоритета:
(a) SCC;
(b) Дополнительные условия неевропейского законодательства о защите данных;
(c) оставшаяся часть этого приложения обработки данных; и
(d) оставшуюся часть Соглашения.
С учетом изменений, внесенных в настоящее Дополнительное соглашение об обработке данных, Соглашение остается в полной силе.
14.2. Запрещение модификации SCC . Ничто в Соглашении (включая настоящее Дополнение к обработке данных) не предназначено для изменения или противоречия каким-либо SCC или ограничения основных прав и свобод субъектов данных в соответствии с Европейским законодательством о защите данных.
14.3 Никакого влияния на Условия Контролера . Настоящее Дополнительное соглашение об обработке данных не затрагивает какие-либо отдельные условия между Jibe и Партнером, отражающие отношения между контролером и контролером в отношении услуги, отличной от Услуг обработчика.
14.4 Устаревшие SCC Великобритании . С 21 сентября 2022 года или даты вступления Соглашения в силу, в зависимости от того, что наступит позже, будут применяться дополнительные условия SCC для передачи GDPR Великобритании, которые заменят и прекратят действие любых стандартных договорных положений, одобренных в соответствии с GDPR Великобритании и Законом о защите данных 2018 года и введенных ранее. Партнеры и Jibe (« Legacy UK SCC »). Настоящий раздел 14.4 (Устаревшие SCC Великобритании) не затрагивает права ни одной из сторон или права любого субъекта данных, которые могли быть приобретены в соответствии с Устаревшими SCC Великобритании, пока они были в силе.
15. Изменения в настоящем Дополнении об обработке данных
15.1 Изменения URL-адресов . Время от времени Jibe может изменять любой URL-адрес, указанный в настоящем Дополнении по обработке данных, и содержимое любого такого URL-адреса, за исключением того, что Jibe может изменять SCC только в соответствии с разделами 15.2(b) – 15.2(d) (Изменения в обработке данных). Приложение) или для включения любой новой версии SCC, которая может быть принята в соответствии с Европейским законодательством о защите данных, в каждом случае таким образом, который не влияет на действительность SCC в соответствии с Европейское законодательство о защите данных.
15.2 Изменения в Дополнении по обработке данных . Jibe может изменить это добавление обработки данных, если изменение:
(a) прямо разрешено настоящим Дополнением к обработке данных, в том числе как описано в Разделе 15.1 (Изменения URL-адресов);
(б) отражает изменение названия или формы юридического лица;
(c) требуется соблюдать применимое законодательство, применимое постановление, постановление суда или руководство, изданное государственным регулирующим органом или агентством, или отражает принятие Jibe Альтернативного решения по передаче; или
(d) не (i) приводит к ухудшению общей безопасности Процессорных услуг; (ii) расширить сферу действия или снять любые ограничения, (x) в случае Дополнительных условий для неевропейского законодательства о защите данных, права Jibe на использование или иную обработку данных в рамках Дополнительных условий для неевропейского законодательства Законодательство о защите данных или (y) в случае оставшейся части настоящего Дополнительного соглашения об обработке данных, обработка Jibe Персональных данных Партнера, как описано в Разделе 5.3 (Соблюдение Jibe инструкций); и (iii) иным образом оказать существенное неблагоприятное воздействие на права Партнера в соответствии с настоящим Дополнением к обработке данных, как разумно определено Jibe.
15.3 Уведомление об изменениях . Если Jibe намеревается изменить настоящее Дополнительное соглашение об обработке данных в соответствии с разделом 15.2(c) или (d), Jibe проинформирует об этом Партнера не менее чем за 30 дней (или за более короткий период, который может потребоваться для соблюдения применимого законодательства, применимого регулирования, постановления суда, или руководство, выпущенное государственным регулирующим органом или агентством) до того, как изменение вступит в силу, либо: (a) отправив электронное письмо на адрес электронной почты для уведомления; или (б) оповещение Партнера через пользовательский интерфейс Процессорных услуг. Если Партнер возражает против любого такого изменения, Партнер может расторгнуть Соглашение для удобства, направив Jibe письменное уведомление в течение 90 дней с момента получения уведомления от Jibe об изменении.
Приложение 1: Предмет и подробности обработки данных
Тема сообщения
Предоставление Jibe Процессорных услуг и любой связанной с этим технической поддержки Партнеру.
Продолжительность обработки
Срок плюс период с момента окончания Срока действия до удаления компанией Jibe всех Персональных данных Партнера в соответствии с настоящим Дополнением об обработке данных.
Характер и цель обработки
Jibe будет обрабатывать Персональные данные Партнера, включая (в зависимости от характера Обработчиков услуг и Инструкций) сбор, запись, систематизацию, структурирование, хранение, изменение, извлечение, использование, раскрытие, объединение, удаление и уничтожение Персональных данных Партнера для с целью предоставления Партнеру Обработочных услуг и любой связанной с этим технической поддержки в соответствии с настоящим Дополнением к обработке данных.
Типы персональных данных
Персональные данные, относящиеся к физическим лицам, предоставленные Jibe через Службы обработки Партнером (или по его указанию) или конечными пользователями Партнера.
Категории субъектов данных
Субъекты данных включают физических лиц, данные о которых предоставляются Jibe через Обработочные услуги Партнером (или по его указанию).
Приложение 2: Меры безопасности
Начиная с даты вступления в силу Условий, Jibe будет внедрять и поддерживать меры безопасности, указанные в настоящем Приложении 2. Jibe может время от времени обновлять или изменять такие меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности. Процессорные услуги.
1. Центр обработки данных и сетевая безопасность
(а) Центры обработки данных .
Инфраструктура. Jibe поддерживает географически распределенные центры обработки данных. Jibe хранит все производственные данные в физически защищенных центрах обработки данных.
Избыточность. Инфраструктурные системы были разработаны для устранения единых точек отказа и минимизации воздействия ожидаемых экологических рисков. Двойные цепи, переключатели, сети или другие необходимые устройства помогают обеспечить такое резервирование. Службы процессора предназначены для того, чтобы позволить JIBE выполнять определенные типы профилактического и корректирующего обслуживания без перерыва. Все экологическое оборудование и объекты имеют документированные процедуры профилактического обслуживания, в которых подробно описывается процесс и периодичность проведения работ в соответствии с техническими условиями производителя или внутренними спецификациями. Профилактическое и корректирующее обслуживание оборудования центра обработки данных планируется в рамках стандартного процесса в соответствии с документированными процедурами.
Власть. Системы электроснабжения центра обработки данных спроектированы таким образом, чтобы быть резервными и обслуживаемыми без ущерба для непрерывной работы 24 часа в сутки и 7 дней в неделю. В большинстве случаев для критически важных компонентов инфраструктуры в центре обработки данных предусмотрены как основной, так и альтернативный источник питания, каждый из которых имеет одинаковую мощность. Резервное питание обеспечивается различными механизмами, такими как батареи источника бесперебойного питания (ИБП), которые обеспечивают стабильно надежную защиту электропитания во время отключений электропитания, отключений электроэнергии, повышенного и пониженного напряжения, а также условий вне допустимой частоты. Если электроснабжение прерывается, резервное питание предназначено для обеспечения временного питания центра обработки данных на полную мощность в течение до 10 минут, пока системы резервного генератора не вступят в силу. Генераторы способны автоматически запускаться в течение нескольких секунд, чтобы обеспечить достаточную аварийную электроэнергию для работы центра обработки данных на полную мощность, как правило, в течение нескольких дней.
Серверные операционные системы. На серверах Jibe используются защищенные операционные системы, адаптированные к уникальным серверным потребностям бизнеса. Данные хранятся с использованием собственных алгоритмов для повышения безопасности и избыточности данных. Jibe использует процесс проверки кода для повышения безопасности кода, используемого для предоставления услуг процессоров и улучшения продуктов безопасности в производственных средах.
Непрерывность бизнеса. Jibe реплицирует данные в нескольких системах, чтобы защитить их от случайного уничтожения или потери. Компания Jibe разработала, регулярно планирует и тестирует свои программы планирования непрерывности бизнеса и аварийного восстановления.
Технологии шифрования. Политика безопасности Jibe требует шифрования всех пользовательских данных, включая личные данные. Данные часто шифруются на нескольких уровнях в стеке производственных хранилищ Jibe в центрах обработки данных, в том числе на аппаратном уровне, без каких-либо действий со стороны партнеров или клиентов. Использование нескольких уровней шифрования обеспечивает избыточную защиту данных и позволяет Jibe выбирать оптимальный подход в зависимости от требований приложения. Все личные данные шифруются на уровне хранилища, обычно с использованием AES256. Jibe использует общие криптографические библиотеки, включающие проверенный модуль Jibe FIPS 140-2, для последовательной реализации шифрования во всех процессорных службах.
(б) Сети и передача данных.
Передача данных . Центры обработки данных обычно подключаются через высокоскоростные частные каналы связи, чтобы обеспечить безопасную и быструю передачу данных между центрами обработки данных. Это сделано для предотвращения чтения, копирования, изменения или удаления данных без разрешения во время электронной транспортировки. Jibe передает данные по стандартным протоколам Интернета.
Внешняя поверхность атаки . Jibe использует несколько уровней сетевых устройств и систему обнаружения вторжений для защиты внешней поверхности атак. Jibe рассматривает потенциальные векторы атак и внедряет соответствующие специальные технологии во внешние системы.
Обнаружение вторжения . Обнаружение вторжений предназначено для обеспечения понимания текущих атак и предоставления адекватной информации для реагирования на инциденты. Обнаружение вторжений Jibe включает в себя:
Строгий контроль размера и состава поверхности атаки Jibe с помощью превентивных мер;
Использование интеллектуальных средств обнаружения в точках ввода данных; и
Использование технологий, которые автоматически исправляют определенные опасные ситуации.
Ответ инцидента . Jibe отслеживает различные каналы связи на предмет инцидентов, связанных с безопасностью, а сотрудники службы безопасности Jibe оперативно реагируют на известные инциденты.
Технологии шифрования . Jibe делает доступным шифрование HTTPS (также называемое TLS-соединением). Серверы Jibe поддерживают обмен криптографическими ключами Диффи-Хеллмана на основе эфемерной эллиптической кривой, подписанный с помощью RSA и ECDSA. Эти идеальные методы прямой секретности (PFS) помогают защитить трафик и минимизировать влияние взломанного ключа или криптографического прорыва.
2. Контроль доступа и объекта
(а) Средства управления сайтом .
Операция по обеспечению безопасности центра обработки данных на месте . Центры обработки данных Jibe обеспечивают безопасность на местах, отвечая за все функции физической безопасности центра обработки данных 24 часа в сутки, 7 дней в неделю. Сотрудники службы безопасности на объекте контролируют камеры замкнутого телевидения (« CCTV ») и все системы сигнализации. Сотрудники службы безопасности на месте регулярно осуществляют внутреннее и внешнее патрулирование центра обработки данных.
Процедуры доступа к дата-центру . Jibe поддерживает формальные процедуры доступа для обеспечения физического доступа к центрам обработки данных. Центры обработки данных расположены в помещениях, требующих доступа к электронным ключам-картам, с сигнализацией, связанной с работой службы безопасности на месте. Все посетители центра обработки данных должны идентифицировать себя, а также предъявить удостоверение личности сотрудникам службы безопасности на месте. Доступ в центры обработки данных разрешен только уполномоченным сотрудникам, подрядчикам и посетителям. Только уполномоченным сотрудникам и подрядчикам разрешено запрашивать доступ к этим объектам с помощью электронного ключа-карты. Запросы на доступ к ключу электронной карты центра обработки данных должны быть сделаны заранее и в письменной форме и требуют одобрения уполномоченного персонала центра обработки данных. Все остальные участники, которым требуется временный доступ к центру обработки данных, должны: (i) заранее получить одобрение от менеджеров центра обработки данных на конкретный центр обработки данных и внутренние помещения, которые они желают посетить; (ii) войти в систему безопасности на месте; и (iii) указать утвержденную запись о доступе к центру обработки данных, в которой указано, что данное лицо утверждено.
Устройства безопасности центра обработки данных на объекте . В центрах обработки данных Jibe используются электронные ключи-карты и биометрическая система контроля доступа, связанная с системной сигнализацией. Система контроля доступа отслеживает и записывает электронный ключ-карту каждого человека, а также то, когда он получает доступ к дверям периметра, отгрузке и приемке, а также к другим важным областям. Несанкционированная активность и неудачные попытки доступа регистрируются системой контроля доступа и при необходимости расследуются. Уполномоченный доступ во всем бизнес -операциях и центрах обработки данных ограничен на основе зон и рабочих обязанностей человека. Пожарные двери в дата-центрах подняты по тревоге. Камеры видеонаблюдения работают как внутри, так и снаружи дата-центров. Расположение камер было разработано таким образом, чтобы охватить стратегические зоны, включая, среди прочего, периметр, двери в здание центра обработки данных, а также места отгрузки/приемки. Сотрудники службы безопасности на объекте управляют оборудованием видеонаблюдения, записи и контроля. Надежные кабели во всех центрах обработки данных соединяют оборудование видеонаблюдения. Камеры ведут запись на месте с помощью цифровых видеорегистраторов 24 часа в сутки, 7 дней в неделю. Записи наблюдения хранятся не менее 7 дней в зависимости от активности.
(б) Контроль доступа .
Сотрудники службы безопасности инфраструктуры. Компания Jibe имеет и поддерживает политику безопасности для своего персонала и требует обучения по вопросам безопасности в рамках пакета обучения для своего персонала. Сотрудники службы безопасности инфраструктуры Jibe отвечают за постоянный мониторинг инфраструктуры безопасности Jibe, проверку процессорных служб и реагирование на инциденты безопасности.
Контроль доступа и управление привилегиями. Чтобы использовать Процессорные услуги, администраторы и пользователи Партнера должны пройти аутентификацию с использованием центральной системы аутентификации или системы единого входа.
Внутренние процессы и политики доступа к данным - Политика доступа. Внутренние процессы и политики доступа к данным Jibe предназначены для предотвращения получения неавторизованными лицами и/или системами доступа к системам, используемым для обработки персональных данных. Компания Jibe стремится разработать свои системы так, чтобы: (i) разрешать доступ только уполномоченным лицам к данным, к которым у них есть право доступа; и (ii) гарантировать, что персональные данные не могут быть прочитаны, скопированы, изменены или удалены без разрешения во время обработки, использования и после записи. Системы предназначены для обнаружения любого несанкционированного доступа. Jibe использует централизованную систему управления доступом для контроля доступа персонала к производственным серверам и предоставляет доступ только ограниченному числу авторизованных сотрудников. LDAP, Kerberos и собственная система, использующая цифровые сертификаты, предназначены для предоставления Jibe безопасных и гибких механизмов доступа. Эти механизмы предназначены для предоставления только утвержденных прав доступа к хостам сайтов, журналам, данным и информации о конфигурации. Jibe требует использования уникальных идентификаторов пользователей, надежных паролей, двухфакторной аутентификации и тщательно отслеживаемых списков доступа, чтобы свести к минимуму вероятность несанкционированного использования учетной записи. Предоставление или изменение прав доступа основано на: должностных обязанностях уполномоченного персонала; требования должностных обязанностей, необходимые для выполнения разрешенных задач; и необходимо знать основу. Предоставление или изменение прав доступа также должно осуществляться в соответствии с внутренней политикой доступа к данным и обучением Jibe. Утверждения управляются с помощью инструментов рабочего процесса, которые ведут записи аудита всех изменений. Доступ к системам регистрируется для создания аудита для ответственности. Там, где для аутентификации используются пароли (например, для входа на рабочие станции), применяются политики паролей, которые соответствуют как минимум отраслевым стандартам. Эти стандарты включают ограничения на повторное использование паролей и достаточную надежность пароля.
3. Данные
(a) Хранение, изоляция и аутентификация данных .
Jibe хранит данные в многопользовательской среде на серверах, принадлежащих Google LLC. Данные, база данных процессорных служб и архитектура файловой системы реплицируются между несколькими географически разбросанными центрами обработки данных. Jibe логически изолирует данные каждого партнера или клиента. Централизованная система аутентификации используется во всех службах обработки данных для повышения единообразной безопасности данных.
(b) Выведенные из эксплуатации диски и рекомендации по уничтожению дисков .
Определенные диски, содержащие данные, могут испытывать проблемы с производительностью, ошибки или сбой аппаратного обеспечения, которые приводят их к выводу из эксплуатации (« Вывод из эксплуатации »). Каждый выведенный из эксплуатации диск подвергается ряду процессов уничтожения данных (« Руководство по уничтожению данных ») перед тем, как покинуть территорию Jibe для повторного использования или уничтожения. Выведенные из эксплуатации диски удаляются в ходе многоэтапного процесса и проверяются как минимум двумя независимыми валидаторами. Результаты стирания регистрируются по серийному номеру выведенного из эксплуатации диска для отслеживания. Наконец, стертый выведенный из эксплуатации диск помещается в инвентарь для повторного использования и перемещения. Если из-за аппаратного сбоя стереть выведенный из эксплуатации диск невозможно, он надежно хранится до тех пор, пока не будет уничтожен. Каждое учреждение регулярно проверяется на предмет соблюдения Правил уничтожения данных.
(c) Псевдонимные данные .
Данные онлайн-рекламы обычно связаны с онлайн-идентификаторами, которые сами по себе считаются «псевдонимными» (т.е. их нельзя отнести к конкретному лицу без использования дополнительной информации). Jibe имеет надежный набор политик, а также технических и организационных средств контроля, обеспечивающих разделение псевдонимных данных и личной информации пользователя (т. е. информации, которая может быть использована сама по себе для прямой идентификации, контакта или точного определения местоположения человека), например в качестве данных учетной записи пользователя Jibe. Политики Jibe допускают обмен информацией между псевдонимными и личными данными только в строго ограниченных случаях.
(d) Обзоры запуска .
Перед запуском Jibe проводит обзоры новых продуктов и функций. Сюда входит проверка конфиденциальности, проводимая специально обученными инженерами по конфиденциальности. При проверке конфиденциальности инженеры по конфиденциальности обеспечивают соблюдение всех применимых политик и рекомендаций Jibe, включая, помимо прочего, политики, касающиеся псевдонимизации, а также хранения и удаления данных.
4. Кадровая безопасность
Персонал Jibe обязан вести себя в соответствии с руководящими принципами компании в отношении конфиденциальности, деловой этики, надлежащего использования и профессиональных стандартов. Jibe проводит разумно необходимые проверки биографических данных в той степени, в которой это разрешено законом и в соответствии с применимым местным трудовым законодательством и нормативными актами.
Персонал обязан подписать соглашение о конфиденциальности и подтвердить получение и соблюдение политики конфиденциальности Jibe. Персонал проходит обучение по вопросам безопасности. Персонал, обрабатывающий Персональные данные Партнера, должен выполнять дополнительные требования, соответствующие их роли. Персонал Jibe не будет обрабатывать Персональные данные Партнера без разрешения.
5. Безопасность субпроцессора
Прежде чем подключить Субобработчиков, Jibe проводит аудит методов обеспечения безопасности и конфиденциальности Субобработчиков, чтобы гарантировать, что Субобработчики обеспечивают уровень безопасности и конфиденциальности, соответствующий их доступу к данным и объему услуг, которые они обязаны предоставлять. После того как компания Jibe оценит риски, представляемые субобработчиком, субобработчик обязан заключить соответствующие условия договора о безопасности, конфиденциальности и конфиденциальности с учетом требований раздела 11.3 (Требования к взаимодействию с субобработчиком).
Приложение 3: Дополнительные условия неевропейского законодательства о защите данных
Следующие Дополнительные условия неевропейского законодательства о защите данных дополняют настоящее Дополнение об обработке данных:
- Дополнение к LGPD в отношении процессоров по адресу business.safety.google/processorterms/lgpd (от 27 августа 2020 г.)
- Дополнение к закону штата США по адресу business.safety.google/processorterms/us-state-laws (от 12 декабря 2022 г.)
Ссылки на Google LLC или Google в дополнении к LGPD обработчику и дополнении к законодательству штата США относятся к Jibe.
Приложение по обработке данных Jibe, версия 4.0
Предыдущие версии
,Последнее изменение: 8 августа 2023 г. | Предыдущие версии
Jibe и контрагент, соглашающийся с настоящим дополнением (« Партнер »), заключили соглашение о предоставлении Обработочных услуг (с вносимыми время от времени поправками, « Соглашение »).
Настоящее Дополнительное соглашение об обработке данных (включая приложения « Дополнительное соглашение об обработке данных ») заключено Jibe и Партнером и дополняет Соглашение. Настоящее Дополнительное соглашение об обработке данных вступит в силу и заменит любые ранее применимые условия, относящиеся к их предмету (включая любые условия обработки данных и безопасности, относящиеся к Обработочным услугам), с Даты вступления в силу Условий.
Если вы принимаете настоящее Дополнительное соглашение об обработке данных от имени Партнера, вы гарантируете, что: (a) у вас есть полное юридическое право связывать Партнера настоящим Дополнительным соглашением об обработке данных; (б) вы прочитали и поняли настоящее Дополнение к обработке данных; и (c) вы соглашаетесь от имени Партнера с настоящим Дополнительным соглашением об обработке данных. Если у вас нет юридических полномочий связывать Партнера обязательствами, не принимайте настоящее Дополнительное соглашение об обработке данных.
1. Введение
Настоящее Дополнительное соглашение об обработке данных отражает соглашение сторон об условиях, регулирующих обработку и безопасность определенных данных в связи с европейским законодательством о защите данных и неевропейским законодательством о защите данных.
2. Определения и интерпретация
2.1 В настоящем Дополнении по обработке данных:
« Дополнительный продукт » означает продукт, услугу или приложение, предоставляемые Jibe или третьей стороной, которые: (a) не являются частью Обработочных услуг; и (б) доступна для использования в пользовательском интерфейсе Процессорных служб или иным образом интегрирована с Процессорными службами.
« Дополнительные условия неевропейского законодательства о защите данных » означают дополнительные условия, указанные в Приложении 3, которые отражают соглашение сторон об условиях, регулирующих обработку определенных данных в связи с определенным неевропейским законодательством о защите данных.
« Адекватная страна » означает:
(a) для данных, обрабатываемых в соответствии с GDPR ЕС: ЕЭЗ или страна или территория, признанная обеспечивающей адекватную защиту данных в соответствии с GDPR ЕС;
(b) для данных, обрабатываемых в соответствии с GDPR Великобритании: Великобритания или страна или территория, признанная обеспечивающей адекватную защиту данных в соответствии с GDPR Великобритании и Законом о защите данных 2018 года; и/или
(c) для данных, обрабатываемых в соответствии со швейцарским FDPA: Швейцария или страна или территория, которая (i) включена в список государств, законодательство которых обеспечивает адекватный уровень защиты, опубликованный Федеральным комиссаром Швейцарии по защите данных и информации. , или (ii) признаны как обеспечивающие адекватную защиту данных Федеральным советом Швейцарии в соответствии со Швейцарским FDPA, в каждом случае, кроме как на основе дополнительной системы защиты данных.
« Альтернативное решение по передаче » означает решение, отличное от SCC, которое обеспечивает законную передачу персональных данных в третью страну в соответствии с Европейским законодательством о защите данных, например, механизм защиты данных, признанный гарантирующим, что участвующие местные организации обеспечивают адекватную защиту. .
« Инцидент с данными » означает нарушение безопасности Jibe, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к Персональным данным партнера в системах, управляемых или иным образом контролируемых Jibe. «Инциденты с данными» не будут включать неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных Партнера, включая неудачные попытки входа в систему, пинги, сканирование портов, атаки типа «отказ в обслуживании» и другие сетевые атаки на брандмауэры или сетевые системы.
« Инструмент субъекта данных » означает инструмент (если таковой имеется), предоставленный субъектом Jibe субъектам данных, который позволяет Jibe отвечать напрямую и стандартизированным образом на определенные запросы субъектов данных в отношении Персональных данных партнера (например, онлайн-реклама). настройки или плагин для отключения браузера).
« ЕЭЗ » означает Европейскую экономическую зону.
« GDPR ЕС » означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы. 95/46/ЕС.
« Европейское законодательство о защите данных » означает, если применимо: (a) GDPR; и/или (b) Швейцарское FDPA.
« Европейское законодательство » означает, в зависимости от обстоятельств: (a) законодательство ЕС или государства-члена ЕС (если GDPR ЕС применяется к обработке Персональных данных Партнера); и/или (b) законодательством Великобритании или части Великобритании (если GDPR Великобритании применяется к обработке Персональных данных Партнера).
« GDPR » означает, если применимо: (a) GDPR ЕС; и/или (b) GDPR Великобритании.
« Jibe » означает юридическое лицо Jibe, являющееся стороной Соглашения.
« Субъект Jibe » означает Jibe Mobile, Inc, Jibe Mobile Limited или любую другую организацию, которая прямо или косвенно контролирует, контролируется или находится под общим контролем с Jibe Mobile, Inc.
« Сертификация ISO 27001 » означает сертификацию ISO/IEC 27001:2013 или аналогичную сертификацию для Обработочных услуг.
« Новый субобработчик » имеет значение, указанное в Разделе 11.1 (Согласие на участие субобработчика).
« Неевропейское законодательство о защите данных » означает законы о защите данных или конфиденциальности, действующие за пределами ЕЭЗ, Швейцарии и Великобритании.
« Адрес электронной почты для уведомлений » означает адрес электронной почты (если таковой имеется): (i) предоставленный Партнером Jibe или (ii) назначенный Партнером через пользовательский интерфейс Обработочных служб или другими средствами, предоставляемыми Jibe, для получения определенных уведомлений. от Jibe в отношении настоящего Дополнения об обработке данных. Для ясности: Партнер несет ответственность за предоставление Jibe адреса электронной почты для уведомлений и информирование Jibe о любых обновлениях адреса электронной почты для уведомлений.
« Личные данные партнера » означают персональные данные, которые обрабатываются Jibe от имени Партнера при предоставлении Jibe Обработочных услуг.
« Партнерские SCC » означают SCC (между контроллером-процессором), SCC (между процессором-контроллером) и/или SCC (между процессором-процессором), в зависимости от обстоятельств.
« Службы процессора » означают службы RCS Business Messaging (как описано на странице Developers.google.com/business-communication/rcs-business-messaging ).
« SCC » означает партнерские SCC и/или SCC (переработчик-процессор, экспортер Jibe), в зависимости от обстоятельств.
« SCC (контроллер-процессор) » означает условия на странице business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa .
« SCC (процессор-контроллер) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/p2c .
« SCC (процессор-процессор) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa .
« SCC (процессор-процессор, Jibe Exporter) » означает условия на странице business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group .
« Документация по безопасности » означает сертификацию ISO 27001 и любые другие сертификаты или документацию по безопасности, которые Jibe может предоставить в связи с Процессорными услугами.
« Меры безопасности » имеют значение, указанное в Разделе 7.1.1 («Меры безопасности Jibe»).
« Субобработчики » означают третьи стороны, уполномоченные в соответствии с настоящим Дополнением к обработке данных иметь логический доступ и обработку Персональных данных Партнера с целью предоставления частей Обработочных услуг и любой связанной технической поддержки.
« Орган надзора » означает, в зависимости от обстоятельств: (a) «Орган надзора», как это определено в GDPR ЕС; и/или (b) «Уполномоченный», как это определено в GDPR Великобритании и/или FDPA Швейцарии.
« Швейцарский FDPA » означает Федеральный закон о защите данных от 19 июня 1992 г. (Швейцария).
« Срок действия » означает период с Даты вступления в силу Условий до окончания предоставления Jibe Обработочных услуг в соответствии с Соглашением.
« Дата вступления в силу Условий » означает дату вступления Соглашения в силу.
« GDPR Великобритании » означает GDPR ЕС с поправками, включенными в британское законодательство в соответствии с Законом Великобритании о выходе из Европейского Союза 2018 года, а также применимое вторичное законодательство, принятое в соответствии с этим Законом.
2.2 Термины « контролер », « субъект данных », « персональные данные », « обработка » и « обработчик », используемые в настоящем Дополнении об обработке данных, имеют значения, указанные в GDPR, а термины « импортер данных » и « данные» экспортер » имеют значения, указанные в применимых СУК.
2.3 Слова « включают » и « включая » означают «включая, но не ограничиваясь». Любые примеры в настоящем Дополнении по обработке данных являются иллюстративными, а не единственными примерами конкретной концепции.
2.4 Любая ссылка на правовую базу, закон или другой законодательный акт является ссылкой на него с поправками или изменениями, которые время от времени принимаются.
2.5 Если какая-либо переведенная версия настоящего Дополнительного соглашения об обработке данных не соответствует английской версии, английская версия имеет преимущественную силу.
3. Срок действия настоящего Дополнительного соглашения об обработке данных
Настоящее Дополнительное соглашение об обработке данных вступит в силу с Даты вступления в силу Условий и, независимо от того, истек ли Срок действия, будет оставаться в силе до тех пор, пока Jibe не удалит все Персональные данные партнера, как описано в настоящем Дополнительном соглашении об обработке данных, и автоматически истечет.
4. Применение настоящего Дополнительного соглашения об обработке данных
4.1 Применение европейского законодательства о защите данных . Разделы с 5 (Обработка данных) по 12 (Обращение к Jibe; Обработка записей) (включительно) будут применяться только в той степени, в которой Европейское законодательство о защите данных применимо к обработке Персональных данных Партнера, в том числе если:
(a) обработка осуществляется в контексте деятельности Партнера в ЕЭЗ или Великобритании; и/или
(б) Персональные данные партнеров — это персональные данные, относящиеся к субъектам данных, которые находятся в ЕЭЗ или Великобритании, и обработка связана с предложением им товаров или услуг или мониторингом их поведения в ЕЭЗ или Великобритании.
4.2 Заявление в Службу обработки данных . Настоящее Дополнительное соглашение об обработке данных будет применяться только к Службам обработки данных, в отношении которых стороны согласились с настоящим Дополнительным соглашением об обработке данных (например: (a) Службам обработки данных, для которых Партнер нажал кнопку, чтобы принять настоящее Дополнительное соглашение об обработке данных; или (b) если Соглашение включает настоящее Дополнительное соглашение об обработке данных посредством ссылки, Услуги обработчика, являющиеся предметом Соглашения).
4.3 Включение дополнительных условий в неевропейское законодательство о защите данных . Дополнительные условия неевропейского законодательства о защите данных дополняют настоящее Дополнение к обработке данных.
5. Обработка данных
5.1 Роли и соблюдение нормативных требований; Авторизация.
5.1.1 Обязанности процессора и контроллера . Стороны признают и соглашаются, что:
(a) Приложение 1 описывает предмет и детали обработки Персональных данных Партнера;
(б) Jibe является обработчиком Персональных данных Партнера в соответствии с Европейским законодательством о защите данных;
(c) Партнер является контролером или обработчиком, в зависимости от обстоятельств, Персональных данных Партнера в соответствии с Европейским законодательством о защите данных; и
(d) каждая сторона будет соблюдать обязательства, применимые к ней в соответствии с Европейским законодательством о защите данных в отношении обработки Персональных данных Партнера.
5.1.2 Партнеры-процессоры . Если Партнер является обработчиком:
(a) Партнер гарантирует на постоянной основе, что соответствующий контролер санкционировал (i) инструкции, (ii) назначение Партнером Jibe в качестве другого обработчика и (iii) привлечение Jibe Субобработчиков, как описано в Разделе 11 (Субобработчики);
(b) Партнер немедленно направит соответствующему контролеру любое уведомление, предоставленное Jibe в соответствии с разделами 5.4 (Уведомления об инструкциях), 7.2.1 (Уведомление о происшествии), 11.4 (Возможность возражать против изменений субобработчика) или относящееся к любым SCC; и
(c) Партнер может предоставить соответствующему контролеру любую информацию, предоставленную Jibe в соответствии с разделами 7.4 (Сертификация безопасности), 10.5 (Информация о центре обработки данных) и 11.2 (Информация о субобработчиках).
5.2 Инструкции Партнера. Заключая настоящее Дополнительное соглашение об обработке данных, Партнер поручает Jibe обрабатывать Персональные данные Партнера только в соответствии с применимым законодательством: (a) для предоставления Обработочных услуг и любой соответствующей технической поддержки; (б) как указано далее, посредством использования Партнером Обработочных служб (в том числе в настройках и других функциях Процессорных служб) и любой соответствующей технической поддержки; (c) как указано в форме Соглашения, включая настоящее Дополнение к обработке данных; и (d) как дополнительно описано в любых других письменных инструкциях, предоставленных Партнером и признанных Jibe в качестве инструкций для целей настоящего Дополнительного соглашения по обработке данных (совместно именуемые « Инструкции »).
5.3 Соблюдение Jibe инструкций. Jibe обязуется соблюдать Инструкции, если это не запрещено европейским законодательством.
5.4 Уведомления об инструкциях . Jibe немедленно уведомит Партнера, если, по мнению Jibe: (a) европейские законы запрещают Jibe выполнять Инструкцию; (б) Инструкция не соответствует Европейскому законодательству о защите данных; или (c) Jibe по иным причинам не может выполнить Инструкцию, в каждом случае, если такое уведомление не запрещено европейским законодательством. Настоящий Раздел 5.4 (Уведомления об инструкциях) не ограничивает права и обязанности любой из сторон в других положениях Соглашения.
5.5 Дополнительные продукты . Если Партнер использует какой-либо Дополнительный продукт, Службы обработки могут разрешить этому Дополнительному продукту доступ к Персональным данным Партнера, как это необходимо для взаимодействия Дополнительного продукта с Службами обработки. При необходимости стороны заключат отдельные условия обработки данных, определяющие, как Дополнительный продукт будет обрабатывать Персональные данные Партнера.
6. Удаление данных
6.1 Удаление в течение срока действия.
6.1.1 Службы процессора с функцией удаления . В течение Срока действия, если:
(a) функциональность Обработочных услуг включает в себя возможность для Партнера удалить Персональные данные Партнера;
(б) Партнер использует Службы обработки данных для удаления определенных Персональных данных Партнера; а также
(c) удаленные Персональные данные Партнера не могут быть восстановлены Партнером (например, из «корзины»), тогда Jibe удалит такие Персональные данные Партнера из своих систем, как только это будет практически осуществимо, если только европейское законодательство не требует хранения.
6.1.2 Службы процессора без функции удаления . Если в течение Срока действия функциональность Обработочных услуг не включает в себя возможность Партнера удалить Персональные данные Партнера, то Jibe выполнит любой разумный запрос Партнера об облегчении такого удаления, насколько это возможно с учетом характера и функциональность Процессорных услуг и если европейское законодательство не требует хранения. Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любое удаление данных в соответствии с настоящим Разделом 6.1.2 (Процессорные услуги без функции удаления). Jibe предоставит Партнеру дополнительную информацию о применимых сборах и основе их расчета перед удалением таких данных.
6.2 Удаление по истечении срока действия . По истечении Срока действия Партнер поручает Jibe удалить все Персональные данные Партнера (включая существующие копии) из систем Jibe в соответствии с применимым законодательством. Компания Jibe обязуется соблюдать данную инструкцию в кратчайшие возможные сроки, за исключением случаев, когда европейское законодательство требует хранения.
7. Безопасность данных
7.1 Меры безопасности и помощь Jibe.
7.1.1 Меры безопасности Jibe . Jibe будет внедрять и поддерживать технические и организационные меры для защиты Персональных данных Партнера от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа, как описано в Приложении 2 (« Меры безопасности »). Как описано в Приложении 2, Меры безопасности включают меры: (а) по шифрованию персональных данных; (б) помочь обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг Jibe; (c) помочь восстановить своевременный доступ к персональным данным после инцидента; и (d) для регулярного тестирования эффективности. Jibe может время от времени обновлять или изменять Меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности Процессорных услуг.
7.1.2 Доступ и соответствие . Компания Jibe обязуется (а) разрешить своим сотрудникам, подрядчикам и субобработчикам доступ к Персональным данным Партнера только в случае крайней необходимости для соблюдения Инструкций; (b) предпринимать соответствующие шаги для обеспечения соблюдения Мер безопасности своими сотрудниками, подрядчиками и субобработчиками в степени, применимой к сфере их деятельности; и (c) обеспечить, чтобы все лица, уполномоченные обрабатывать Персональные данные Партнера, взяли на себя обязательство соблюдать конфиденциальность или имели соответствующие законодательные обязательства по соблюдению конфиденциальности.
7.1.3 Помощь Jibe в обеспечении безопасности . Принимая во внимание характер обработки Персональных данных Партнера и информацию, доступную Jibe, Jibe будет помогать Партнеру в обеспечении соблюдения обязательств Партнера (или, если Партнер является обработчиком, соответствующего контролера) в отношении безопасности персональных данных и персональных данных. нарушений, включая обязательства Партнера (или, если Партнер является обработчиком, обязательства соответствующего контролера) согласно статьям 32–34 (включительно) GDPR, путем:
(a) внедрение и поддержание Мер безопасности в соответствии с Разделом 7.1.1 (Меры безопасности Jibe);
(b) соблюдение условий Раздела 7.2 (Инциденты с данными); и
(c) предоставления Партнеру Документации по безопасности в соответствии с Разделом 7.5.1 (Проверка Документации по безопасности) и информации, содержащейся в настоящем Дополнительном соглашении об обработке данных.
7.2 Инциденты с данными.
7.2.1 Уведомление об инциденте . Если Jibe станет известно о Инциденте с данными, Jibe: (a) незамедлительно и без неоправданной задержки уведомит Партнера о Инциденте с данными; и (б) незамедлительно принять разумные меры для минимизации ущерба и обеспечения безопасности Персональных данных Партнера.
7.2.2 Подробности инцидента с данными . Уведомления, сделанные в соответствии с разделом 7.2.1 (Уведомление об инциденте), будут описывать: характер инцидента с данными, включая затронутые партнерские ресурсы; меры, которые компания Jibe приняла или планирует принять для устранения инцидента с данными и снижения потенциального риска; меры, если таковые имеются, Jibe рекомендует Партнеру принять для устранения Инцидента с данными; и сведения о контактном пункте, где можно получить дополнительную информацию. Если невозможно предоставить всю такую информацию одновременно, первоначальное уведомление Jibe будет содержать имеющуюся на тот момент информацию, а дополнительная информация будет предоставляться без неоправданной задержки по мере ее поступления.
7.2.3 Доставка уведомления . Jibe доставит уведомление о любом инциденте с данными на адрес электронной почты для уведомления или, по усмотрению Jibe (в том числе, если Партнер не предоставил адрес электронной почты для уведомления), посредством другого прямого сообщения (например, посредством телефонного звонка или личной встречи). . Партнер несет единоличную ответственность за предоставление адреса электронной почты для уведомлений и обеспечение актуальности и актуальности адреса электронной почты для уведомлений.
7.2.4 Уведомления третьих лиц . Партнер несет единоличную ответственность за соблюдение законов об уведомлении об инцидентах, применимых к Партнеру, и выполнение любых обязательств по уведомлению третьих лиц, связанных с любыми инцидентами с данными.
7.2.5. Отсутствие признания вины со стороны Jibe . Уведомление Jibe о Инциденте с данными или ответ на него в соответствии с настоящим Разделом 7.2 (Инциденты с данными) не будет истолковано как признание Jibe какой-либо вины или ответственности в отношении Инцидента с данными.
7.3 Обязанности и оценка безопасности партнера.
7.3.1 Обязанности партнера по обеспечению безопасности . Партнер соглашается с тем, что без ущерба для обязательств Jibe согласно разделам 7.1 (Меры безопасности и помощь Jibe) и 7.2 (Инциденты с данными):
(a) Партнер несет ответственность за использование Обработочных услуг, включая:
(i) надлежащее использование Обработочных услуг для обеспечения уровня безопасности, соответствующего риску Персональных данных Партнера; и
(ii) обеспечение безопасности учетных данных, систем и устройств для аутентификации учетной записи, которые Партнер использует для доступа к Процессорным услугам; и
(б) Jibe не обязана защищать Персональные данные Партнера, которые Партнер решает хранить или передавать за пределы систем Jibe и ее Субобработчиков.
7.3.2 Оценка безопасности партнера . Партнер признает, что меры безопасности, реализованные и поддерживаемые Jibe, как описано в разделе 7.1.1 (Меры безопасности Jibe), обеспечивают уровень безопасности, соответствующий риску для Персональных данных Партнера, с учетом характера, объема, контекста и целей обработки. Персональных данных Партнера; современное состояние; затраты на внедрение; и риски для отдельных лиц.
7.4 Сертификация безопасности. Чтобы оценить и обеспечить постоянную эффективность мер безопасности, Jibe будет поддерживать сертификацию ISO 27001 или другие соответствующие меры для демонстрации эффективности мер безопасности.
7.5 Обзоры и аудиты соответствия.
7.5.1 Анализ документации по безопасности . Чтобы продемонстрировать соблюдение Jibe своих обязательств по настоящему Дополнительному соглашению об обработке данных, Jibe предоставит Партнеру доступ к Документации по безопасности для ознакомления.
7.5.2 Права партнера на аудит .
(a) Jibe разрешит Партнеру или стороннему аудитору, назначенному Партнером, проводить аудиты (включая проверки) для проверки соблюдения Jibe своих обязательств по настоящему Дополнительному соглашению об обработке данных в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия аудита). Во время аудитов Jibe будет предоставлять всю информацию, необходимую для демонстрации такого соответствия, и участвовать в аудитах, как описано в Разделе 7.4 (Сертификация безопасности) и настоящем Разделе 7.5 (Проверки и аудиты соответствия).
(b) Если СУК применяются в соответствии с разделом 10.2 (Ограниченные европейские передачи), Jibe разрешит Партнеру (или стороннему аудитору, назначенному Партнером) проводить аудит, как описано в применимых СУК, и во время таких аудитов предоставлять всю информацию. требуются этими SCC, каждый в соответствии с Разделом 7.5.3 (Дополнительные коммерческие условия для аудита).
(c) Партнер может также провести аудит для проверки соблюдения Jibe своих обязательств в соответствии с настоящим Дополнением к обработке данных путем проверки любого сертификата(ов), выданных Jibe любым сторонним аудитором(ами) (например, сертификат ISO 27001, если любой).
7.5.3 Дополнительные коммерческие условия для аудита .
(a) Партнер отправит в Jibe любой запрос на проведение аудита в соответствии с разделами 7.5.2(a) или 7.5.2(b), как описано в разделе 12.1 (Обращение в Jibe).
(b) После получения Jibe запроса в соответствии с разделом 7.5.3(a), Jibe и Партнер обсудят и заранее согласуют разумную дату начала, объем и продолжительность, а также средства контроля безопасности и конфиденциальности, применимые к любому аудиту в соответствии с Раздел 7.5.2(a) или 7.5.2(b).
(c) Jibe может взимать плату (в зависимости от разумных затрат Jibe) за любой аудит в соответствии с разделом 7.5.2(a) или 7.5.2(b). Jibe предоставит Партнеру дополнительную информацию о применимом вознаграждении и основе его расчета до начала любого такого аудита. Партнер будет нести ответственность за любые сборы, взимаемые любым сторонним аудитором, назначенным Партнером для проведения любого такого аудита.
(d) Jibe может возражать против любого стороннего аудитора, назначенного Партнером для проведения любого аудита в соответствии с разделом 7.5.2(a) или 7.5.2(b), если аудитор, по обоснованному мнению Jibe, не обладает достаточной квалификацией или независимостью, конкурент Jibe или иным образом явно неподходящий. Любое такое возражение со стороны Jibe потребует от Партнера назначения другого аудитора или проведения аудита самостоятельно.
(e) Ничто в настоящем Дополнительном соглашении об обработке данных не требует от Jibe раскрытия Партнеру или его стороннему аудитору или предоставления Партнеру или его стороннему аудитору доступа к:
(i) любые данные любого другого партнера или клиента компании Jibe;
(ii) внутреннюю бухгалтерскую или финансовую информацию любой организации Jibe;
(iii) любую коммерческую тайну организации Jibe;
(iv) любую информацию, которая, по разумному мнению Jibe, может: (A) поставить под угрозу безопасность систем или помещений любой организации Jibe; или (Б) привести к тому, что какая-либо организация Jibe нарушит свои обязательства в соответствии с Европейским законодательством о защите данных или свои обязательства по безопасности и/или конфиденциальности перед Партнером или любой третьей стороной; или
(v) любую информацию, к которой Партнер или его сторонний аудитор стремится получить доступ по любой причине, кроме добросовестного выполнения Партнером обязательств в соответствии с Европейским законодательством о защите данных.
8. Оценка воздействия и консультации
Принимая во внимание характер обработки и информацию, доступную Jibe, Jibe будет помогать Партнеру в обеспечении соблюдения обязательств Партнера (или, если Партнер является обработчиком, соответствующего контролера) в отношении оценки воздействия на защиту данных и предварительных консультаций, включая (если применимо) ) Обязательства партнера или соответствующего контролера в соответствии со статьями 35 и 36 GDPR путем:
(a) предоставление охранной документации в соответствии с Разделом 7.5.1 (Проверка охранной документации);
(б) предоставление информации, содержащейся в настоящем Дополнении к обработке данных; и
(c) предоставление или иное предоставление доступа в соответствии со стандартной практикой Jibe к другим материалам, касающимся характера Обработочных услуг и обработки Персональных данных Партнера (например, материалы справочного центра).
9. Права субъектов данных
9.1 Ответы на запросы субъектов данных. Если Jibe получает запрос от субъекта данных в отношении Персональных данных Партнера, Партнер уполномочивает Jibe и настоящим уведомляет Партнера о том, что он:
(a) напрямую ответить на запрос субъекта данных в соответствии со стандартными функциями Инструмента субъекта данных (если запрос сделан через Инструмент субъекта данных); или
(б) посоветовать субъекту данных отправить запрос Партнеру, и Партнер будет нести ответственность за ответ на такой запрос (если запрос сделан не через Инструмент субъекта данных).
9.2 Помощь Jibe в запросах субъектов данных. Jibe будет помогать Партнеру (или, если Партнер является обработчиком, соответствующему контролеру) в выполнении своих обязательств в соответствии с GDPR по реагированию на запросы об осуществлении прав субъекта данных, во всех случаях принимая во внимание характер обработки Персональных данных Партнера. и, если применимо, статью 11 GDPR, включая (если применимо):
(a) обеспечение функциональности Процессорных услуг;
(b) соблюдение обязательств, изложенных в Разделе 9.1 (Ответы на запросы субъектов данных); и
(c) предоставление Инструментов субъекта данных, если это применимо к Службам обработки данных.
9.3 Исправление . Если Партнеру станет известно, что какие-либо Персональные данные Партнера являются неточными или устаревшими, Партнер будет нести ответственность за исправление или удаление этих данных, если этого требует Европейское законодательство о защите данных, в том числе (если доступно) с использованием функций Обработочных служб.
10. Передача данных
10.1 Средства хранения и обработки данных. В соответствии с остальной частью настоящего Раздела 10 (Передача данных) Jibe может обрабатывать Персональные данные Партнера в любой стране, в которой Jibe или любой из ее субобработчиков имеют мощности.
10.2 Ограниченные европейские переводы . Стороны признают, что Европейское законодательство о защите данных не требует использования SCC или альтернативного решения по передаче для обработки Персональных данных Партнера или их передачи в Соответствующую страну.
Если Персональные данные Партнера передаются в любую другую страну и к такой передаче применяется Европейское законодательство о защите данных (« Ограниченная передача в Европе »), то:
(a) если Jibe примет Альтернативное решение по передаче для любых Ограниченных европейских передач, то Jibe проинформирует Партнера о соответствующем решении и обеспечит, чтобы такие Ограниченные европейские передачи осуществлялись в соответствии с этим решением; и/или
(b) если Jibe не приняла или проинформировала Партнера о том, что Jibe больше не принимает Альтернативное решение по передаче для каких-либо ограниченных европейских передач, тогда:
(i) если адрес Jibe находится в соответствующей стране:
(A) SCC (переработчик-переработчик, экспортер Jibe) будут применяться в отношении таких ограниченных европейских передач от Jibe субобработчикам; и
(B) кроме того, если адрес Партнера не находится в Соответствующей стране, SCC (от процессора к контролеру) будут применяться в отношении ограниченных европейских переводов между Jibe и Партнером (независимо от того, является ли Партнер контролером и/или обработчиком). ); или
(ii) если адрес Jibe не находится в соответствующей стране:
SCC (от контроллера к процессору) и/или SCC (от процессора к процессору) будут применяться (в зависимости от того, является ли Партнер контролером и/или обработчиком) в отношении таких Ограниченных европейских передач между Партнером и Jibe; и
(в) ссылки на Google LLC или Google и Вас в любом из СУС будут относиться к Jibe и Партнеру соответственно.
10.3 Дополнительные меры и информация . Jibe предоставит Партнеру информацию, касающуюся ограниченных европейских передач, включая информацию о дополнительных мерах по защите Персональных данных Партнера, как описано в Разделе 7.5.1 (Проверка документации по безопасности), Приложении 2 (Меры безопасности), а также другие материалы, касающиеся характера Услуги обработчика и обработку Персональных данных Партнера (например, статьи справочного центра).
10.4 Прекращение действия . Если Партнер придет к выводу, основываясь на текущем или предполагаемом использовании Обработочных услуг, что Альтернативное решение по передаче и/или SCC, в зависимости от обстоятельств, не обеспечивают надлежащую защиту Персональных данных Партнера, то Партнер может немедленно расторгнуть Соглашение для удобства, уведомив об этом. Джибе в письменной форме.
10.5 Информация о центре обработки данных . Информацию о местонахождении центров обработки данных Google LLC можно найти по адресу www.google.com/about/datacenters/locations/index.html .
11. Субпроцессоры
11.1 Согласие на привлечение субобработчика . Партнер специально разрешает привлечение Субобработчиков, перечисленных в Разделе 11.2 (Информация о Субобработчиках), начиная с Даты вступления в силу Условий. Кроме того, Партнер обычно разрешает привлекать любые другие третьи стороны в качестве субобработчиков (« Новые субобработчики ») в соответствии с разделом 11.4 (Возможность возражать против изменений субобработчика).
11.2 Информация о субобработчиках . По письменному запросу Партнера Jibe предоставит информацию о Субобработчиках и их местонахождении. Любые такие запросы необходимо отправлять в Jibe, используя контактную информацию, указанную в разделе 12.1 (Связь с Jibe).
11.3 Требования к привлечению субобработчиков . При привлечении любого субобработчика Jibe будет:
(a) обеспечить посредством письменного договора, что:
(i) Субобработчик получает доступ и использует Персональные данные Партнера только в той мере, в которой это необходимо для выполнения обязательств, переданных ему по субподряду, и делает это в соответствии с Соглашением (включая настоящее Дополнительное соглашение об обработке данных); и
(ii) если обработка Персональных данных Партнера регулируется Европейским законодательством о защите данных, обязательства по защите данных в настоящем Дополнении к обработке данных (как указано в статье 28 (3) GDPR, если применимо) возлагаются на Субобработчика. ; и
(b) нести полную ответственность за все обязательства, переданные субподрядчику, а также за все действия и бездействие Субобработчика.
11.4 Возможность возражать против изменений субобработчика.
(a) Если какой-либо новый субобработчик будет привлечен в течение Срока действия, то по крайней мере за 30 дней до того, как новый субобработчик обработает любые Персональные данные Партнера, Jibe проинформирует Партнера о привлечении (включая название и местонахождение соответствующего субобработчика и действия, которые он будет осуществлять). выполнить), отправив электронное письмо на адрес электронной почты для уведомлений.
(b) Партнер может возразить против любого нового субобработчика, расторгнув Соглашение для удобства немедленно после письменного уведомления Jibe, при условии, что Партнер предоставит такое уведомление в течение 90 дней с момента получения информации о привлечении нового субобработчика, как описано в разделе 11.4(а). ).
12. Обращение к Джибе; Обработка записей
12.1 Как связаться с Jibe. При осуществлении своих прав в соответствии с настоящим Дополнительным соглашением об обработке данных Партнер может связаться с Jibe через контактное лицо Jibe по защите данных RCS, с которым можно связаться через Issuetracker.google.com , или с помощью других средств, которые могут быть предоставлены Jibe.
12.2 Записи обработки Jibe. Jibe будет хранить соответствующую документацию о своей деятельности по обработке данных в соответствии с требованиями GDPR. Партнер признает, что в соответствии с GDPR компания Jibe обязана: (а) собирать и вести учет определенной информации, включая: (i) имя и контактные данные каждого процессора и/или контролера, от имени которого действует Jibe, и (если применимо) ) местного представителя и сотрудника по защите данных такого обработчика или контролера, и (ii) если это применимо в соответствии с соответствующими SCC, надзорного органа Партнера; и (b) предоставить такую информацию любому надзорному органу. Соответственно, по запросу и в зависимости от обстоятельств Партнер будет предоставлять такую информацию Jibe через пользовательский интерфейс Обработочных услуг или другими способами, которые могут быть предоставлены Jibe, и будет использовать такой пользовательский интерфейс или другие средства для обеспечения того, чтобы вся предоставленная информация была сохранялась точной и актуальной.
12.3 Запросы контроллера . Если Jibe получит запрос или инструкцию от третьей стороны, которая якобы является контролером Персональных данных Партнера, Jibe посоветует третьей стороне связаться с Партнером.
13. Ответственность
Если Соглашение регулируется законодательством:
(a) штатом Соединенных Штатов Америки, то, независимо от чего-либо еще в Соглашении, общая ответственность любой из сторон перед другой стороной в соответствии с настоящим Дополнительным соглашением об обработке данных или в связи с ним будет ограничена максимальной денежной суммой или платежом. - сумма, которой ограничивается ответственность этой стороны в соответствии с Соглашением (и, следовательно, любое исключение требований о конфиденциальности или возмещении ущерба из ограничения ответственности Соглашения не будет применяться к претензиям по Соглашению, связанным с европейским законодательством о защите данных или неевропейскими данными). Защита Законодательство); или
(b) юрисдикция, не являющаяся штатом США, то общая совокупная ответственность сторон и их аффилированных лиц в соответствии с настоящим Дополнительным соглашением об обработке данных или в связи с ним будет регулироваться Соглашением.
14. Действие настоящего Дополнительного соглашения об обработке данных
14.1 Порядок старшинства . В случае возникновения каких-либо противоречий или несоответствий между SCC, Дополнительными условиями неевропейского законодательства о защите данных, настоящим Дополнением к обработке данных и остальной частью Соглашения, применяется следующий порядок приоритета:
(a) SCC;
(b) Дополнительные условия неевропейского законодательства о защите данных;
(c) остальную часть настоящего Дополнения по обработке данных; и
(d) оставшуюся часть Соглашения.
С учетом изменений, внесенных в настоящее Дополнительное соглашение об обработке данных, Соглашение остается в полной силе.
14.2. Запрещение модификации SCC . Ничто в Соглашении (включая настоящее Дополнение об обработке данных) не предназначено для изменения или противоречия каким-либо SCC или ограничения основных прав и свобод субъектов данных в соответствии с Европейским законодательством о защите данных.
14.3 No Effect on Controller Terms . Настоящее Дополнительное соглашение об обработке данных не затрагивает какие-либо отдельные условия между Jibe и Партнером, отражающие отношения между контролером и контролером в отношении услуги, отличной от Услуг обработчика.
14.4 Устаревшие SCC Великобритании . С 21 сентября 2022 года или даты вступления Соглашения в силу, в зависимости от того, что наступит позже, будут применяться дополнительные условия SCC для передачи GDPR Великобритании, которые заменят и прекратят действие любых стандартных договорных положений, одобренных в соответствии с GDPR Великобритании и Законом о защите данных 2018 года и введенных ранее. Партнеры и Jibe (« Legacy UK SCC »). Настоящий раздел 14.4 (Устаревшие SCC Великобритании) не затрагивает права ни одной из сторон или права любого субъекта данных, которые могли быть приобретены в соответствии с Устаревшими SCC Великобритании, пока они были в силе.
15. Изменения в настоящем Дополнении об обработке данных
15.1 Изменения URL-адресов . Время от времени Jibe может изменять любой URL-адрес, указанный в настоящем Дополнительном соглашении об обработке данных, и содержимое любого такого URL-адреса, за исключением того, что Jibe может изменять SCC только в соответствии с разделами 15.2(b)–15.2(d) (Изменения в обработке данных). Приложение) или для включения любой новой версии SCC, которая может быть принята в соответствии с Европейским законодательством о защите данных, в каждом случае таким образом, который не влияет на действительность SCC в соответствии с Европейское законодательство о защите данных.
15.2 Изменения в Дополнении по обработке данных . Jibe может изменить это добавление обработки данных, если изменение:
(a) прямо разрешено настоящим Дополнением к обработке данных, в том числе как описано в Разделе 15.1 (Изменения URL-адресов);
(б) отражает изменение названия или формы юридического лица;
(c) требуется соблюдать действующее законодательство, применимое постановление, постановление суда или руководство, изданное государственным регулирующим органом или агентством, или отражает принятие Jibe Альтернативного решения по передаче; или
(d) не (i) приводит к ухудшению общей безопасности Процессорных услуг; (ii) расширить сферу действия или снять любые ограничения, (x) в случае Дополнительных условий для неевропейского законодательства о защите данных, права Jibe на использование или иную обработку данных в рамках Дополнительных условий для неевропейского законодательства Законодательство о защите данных или (y) в случае оставшейся части настоящего Дополнительного соглашения об обработке данных, обработка Jibe Персональных данных Партнера, как описано в Разделе 5.3 (Соблюдение Jibe инструкций); и (iii) иным образом оказать существенное неблагоприятное воздействие на права Партнера в соответствии с настоящим Дополнением к обработке данных, как разумно определено Jibe.
15.3 Уведомление об изменениях . Если Jibe намерен изменить это дополнение к обработке данных в соответствии с разделом 15.2 (c) или (d), Jibe сообщит партнеру не менее 30 дней (или такой более короткий период, который может потребоваться для соблюдения применимого законодательства, применимого правила, судебного постановления, судебного постановления, или руководство, выпущенное государственным регулирующим органом или агентством) до того, как изменение вступит в силу, либо: (a) отправив электронное письмо на адрес электронной почты для уведомления; или (б) оповещение Партнера через пользовательский интерфейс Обработочных услуг. Если Партнер возражает против любого такого изменения, Партнер может расторгнуть Соглашение для удобства, направив Jibe письменное уведомление в течение 90 дней с момента получения уведомления от Jibe об изменении.
Приложение 1: Предмет и подробности обработки данных
Тема сообщения
Предоставление Jibe Процессорных услуг и любой связанной с этим технической поддержки Партнеру.
Продолжительность обработки
Срок плюс период с момента окончания Срока действия до удаления компанией Jibe всех Персональных данных Партнера в соответствии с настоящим Дополнением об обработке данных.
Характер и цель обработки
Jibe будет обрабатывать Персональные данные Партнера, включая (в зависимости от характера Обработчиков услуг и Инструкций) сбор, запись, систематизацию, структурирование, хранение, изменение, извлечение, использование, раскрытие, объединение, удаление и уничтожение Персональных данных Партнера для с целью предоставления Обработчика услуг и любой связанной с этим технической поддержки Партнеру в соответствии с настоящим Дополнением к обработке данных.
Типы персональных данных
Персональные данные, относящиеся к физическим лицам, предоставленные Jibe через Службы обработки Партнером (или по его указанию) или конечными пользователями Партнера.
Категории субъектов данных
Субъекты данных включают лиц, о которых данные предоставляются для Jibe через услуги процессора (или по направлению) или партнером.
Приложение 2: Меры безопасности
Начиная с даты вступления в силу Условий, Jibe будет внедрять и поддерживать меры безопасности, указанные в настоящем Приложении 2. Jibe может время от времени обновлять или изменять такие меры безопасности при условии, что такие обновления и модификации не приводят к ухудшению общей безопасности. Службы процессора.
1. Центр обработки данных и сетевая безопасность
(а) Центры обработки данных .
Инфраструктура. Jibe поддерживает географически распределенные центры обработки данных. Jibe хранит все производственные данные в физически защищенных центрах обработки данных.
Избыточность. Инфраструктурные системы были разработаны для устранения единых точек отказа и минимизации воздействия ожидаемых экологических рисков. Двойные цепи, переключатели, сети или другие необходимые устройства помогают обеспечить такое резервирование. Услуги процессора предназначены для того, чтобы компания Jibe могла без перерывов выполнять определенные виды профилактического и корректирующего обслуживания. Все экологическое оборудование и средства имеют документированные процедуры профилактического обслуживания, в которых подробно описывается процесс и частоту производительности в соответствии с характеристиками производителя или внутренней технической технической технической техники. Профилактическое и корректирующее обслуживание оборудования центра обработки данных запланировано через стандартный процесс в соответствии с задокументированными процедурами.
Власть. Электрические энергосистемы центра обработки данных предназначены для избыточной и поддержания без воздействия на непрерывные операции, 24 часа в сутки и 7 дней в неделю. В большинстве случаев основной, а также альтернативный источник питания, каждый из которых имеет равную емкость, предоставляется для критических компонентов инфраструктуры в центре обработки данных. Мощность резервного копирования обеспечивается различными механизмами, такими как батареи бесперебойного питания (UPS), которые обеспечивают постоянную надежную защиту от электроэнергии во время утилиты, отключений, над напряжением, напряжения и условий частоты выдержки. Если утилита прерывается, мощность резервного копирования предназначена для обеспечения трансляторной мощности в центр обработки данных, на полной емкости, в течение 10 минут до тех пор, пока системы резервного генератора не вступят во владение. Генераторы способны автоматически запускать в течение нескольких секунд, чтобы обеспечить достаточную аварийную электрическую мощность для запуска центра обработки данных при полной емкости, как правило, в течение нескольких дней.
Серверные операционные системы. Серверы JIBE используют закаленные операционные системы, которые настроены для уникальных потребностей сервера в бизнесе. Данные сохраняются с использованием проприетарных алгоритмов для повышения безопасности данных и избыточности. Jibe использует процесс проверки кода для повышения безопасности кода, используемого для предоставления услуг процессоров и улучшения продуктов безопасности в производственных средах.
Бизнес -непрерывность. Jibe повторяет данные по нескольким системам, чтобы помочь защитить от случайного разрушения или потери. Jibe разработала и регулярно планирует и проверяет свои программы по планированию непрерывности/аварийного восстановления.
Технологии шифрования. Политики безопасности JIBE по мандату зашифрования в состоянии для всех пользовательских данных, включая персональные данные. Данные часто зашифруются на нескольких уровнях в стеке производственного хранения Jibe в центрах обработки данных, в том числе на уровне оборудования, не требуя каких -либо действий со стороны партнеров или клиентов. Использование нескольких слоев шифрования добавляет избыточную защиту данных и позволяет Jibe выбирать оптимальный подход на основе требований применения. Все личные данные зашифрованы на уровне хранения, как правило, используя AES256. Jibe использует общие криптографические библиотеки, которые включают в себя проверенный модуль Jibe 140-2, чтобы последовательно реализовать шифрование в службах процессора.
(б) Сети и передача.
Передача данных . Центры обработки данных обычно подключены через высокоскоростные частные ссылки для обеспечения безопасной и быстрой передачи данных между центрами обработки данных. Это предназначено для предотвращения чтения, копирования, копирования, изменения или удаления без разрешения во время электронного транспорта. JIBE передает данные через интернет -стандартные протоколы.
Внешняя поверхность атаки . Jibe использует несколько уровней сетевых устройств и обнаружения вторжений для защиты своей внешней поверхности атаки. JIBE рассматривает потенциальные векторы атаки и включает в себя соответствующие целевые технологии во внешние системы.
Обнаружение вторжения . Обнаружение вторжения предназначено для того, чтобы предоставить представление о текущих действиях атаки и предоставления адекватной информации для реагирования на инциденты. Обнаружение вторжения Jibe включает в себя:
Плотно контролировать размер и составление поверхности атаки Джибе посредством профилактических мер;
Использование интеллектуальных контролей обнаружения в точках ввода данных; и
Использование технологий, которые автоматически исправляют определенные опасные ситуации.
Ответ инцидента . Jibe контролирует различные каналы связи для инцидентов безопасности, и сотрудники службы безопасности Jibe быстро отреагируют на известные инциденты.
Технологии шифрования . Jibe предоставляет HTTPS шифрование (также называемое соединением TLS). Серверы JIBE поддерживают эфемерную эллиптическую кривую диффи Хеллман. Эти методы совершенной прямой секретности (PFS) помогают защитить трафик и минимизировать влияние скомпрометированного ключа или криптографического прорыва.
2. Управление доступом и сайтом
(а) Управление сайтом .
Операция безопасности центра обработки данных на месте . Центры обработки данных Jibe поддерживают операции безопасности на месте, ответственные за все физические функции безопасности центра обработки данных 24 часа в сутки, 7 дней в неделю. Камеры операции по безопасности на месте контролируют камеры с замкнутой цепью (« CCTV ») и все системы сигнализации. Персонал операций по безопасности на месте регулярно выполняет внутренние и внешние патрулирование центра обработки данных.
Процедуры доступа к центру обработки данных . Jibe поддерживает формальный добыт для обеспечения физического доступа к центрам обработки данных. Центры обработки данных размещены на объектах, которые требуют доступа к ключевым электронным картам, с сигнализацией, которые связаны с операцией безопасности на месте. Все участники в центре обработки данных обязаны идентифицировать себя, а также демонстрировать подтверждение личности в операциях безопасности на месте. Только уполномоченные сотрудники, подрядчики и посетители разрешаются въезжать в центры обработки данных. Только уполномоченным сотрудникам и подрядчикам разрешено запросить доступ к электронным ключевым ключам к этим объектам. Центр обработки данных электронной карты запросы на доступ к ключу карты должны быть сделаны заранее и в письменной форме и требовать утверждения уполномоченного персонала центра обработки данных. Все остальные участники, требующие временного доступа к центру обработки данных, должны: (i) заранее получить одобрение от менеджеров центра обработки данных для конкретного центра обработки данных и внутренних областей, которые они хотят посетить; (ii) Войдите в операции по безопасности на месте; и (iii) ссылка на утвержденную запись доступа к центру обработки данных, идентифицирующая отдельное лицо как одобренное.
Устройства безопасности центра обработки данных на месте . Центры обработки данных Jibe используют электронную карту и систему управления биометрическим доступом, которая связана с системной тревогой. Система управления доступом контролирует и записывает электронную карту каждого человека и когда они получают доступ к дверям периметра, доставке и получению, а также в других критических областях. Несанкционированная деятельность и неудачные попытки доступа регистрируются системой управления доступом и исследуются, в зависимости от необходимости. Уполномоченный доступ во всем бизнес -операциях и центрах обработки данных ограничен на основе зон и рабочих обязанностей человека. Пожарные двери в центрах обработки данных встревожены. Камеры видеонаблюдения работают как внутри, так и за пределами центров обработки данных. Позиционирование камер было разработано для охвата стратегических областей, в том числе, среди прочего, по периметру, двери здания центра обработки данных, а также доставку/получение. Персонал по безопасности на месте управляет мониторингом, записи и управлением CCTV. Безопасные кабели во всех центрах обработки данных соединяют оборудование CCTV. Камеры записывают на месте с помощью цифровых видеомагнитографов 24 часа в сутки, 7 дней в неделю. Записи наблюдения хранятся не менее 7 дней в зависимости от деятельности.
(б) Контроль доступа .
Сотрудники безопасности инфраструктуры. Jibe имеет и поддерживает политику безопасности для своего персонала и требует обучения безопасности в рамках учебного пакета для своего персонала. Сотрудники безопасности Jibe по инфраструктуре отвечают за постоянный мониторинг инфраструктуры безопасности Jibe, обзор услуг процессоров и реагирование на инциденты безопасности.
Контроль доступа и управление привилегией. Администраторы и пользователи партнера должны аутентифицировать себя, используя центральную систему аутентификации или одну систему регистрации для использования услуг процессора.
Внутренние процессы и политики доступа к данным - Политика доступа. Внутренние процессы и политики доступа к данным Jibe предназначены для предотвращения получения доступа к несанкционированным лицам и/или системам получить доступ к системам, используемым для обработки персональных данных. Jibe стремится разработать свои системы для: (i) только разрешить уполномоченным лицам получить доступ к данным, что им разрешено получить доступ; и (ii) убедитесь, что личные данные не могут быть прочитаны, копированы, изменены или удалены без разрешения во время обработки, использования и после записи. Системы предназначены для обнаружения любого неуместного доступа. В Jibe используется централизованная система управления доступом для контроля доступа персонала к производственным серверам и предоставляет доступ только к ограниченному количеству уполномоченного персонала. LDAP, Kerberos и проприетарная система, использующая цифровые сертификаты, предназначены для предоставления Jibe с безопасным и гибким механизмом доступа. Эти механизмы предназначены для предоставления только утвержденных прав доступа к хостам сайтов, журналам, данным и информации о конфигурации. Jibe требует использования уникальных идентификаторов пользователей, сильных паролей, двух факторной аутентификации и тщательно контролируемых списков доступа, чтобы минимизировать потенциал для несанкционированного использования учетной записи. Предоставление или изменение прав доступа основано на: рабочих обязанностях уполномоченного персонала; требования к работе, необходимые для выполнения уполномоченных задач; и необходимость знать основание. Предоставление или модификация прав доступа также должна соответствовать политике и обучению внутреннего доступа Jibe. Одобрения управляются инструментами рабочих процессов, которые ведут аудиторские записи всех изменений. Доступ к системам регистрируется для создания аудита для ответственности. В тех случаях, когда пароли используются для аутентификации (например, вход на рабочие станции), реализуются политики паролей, которые следуют по крайней мере отраслевой стандартной практике. Эти стандарты включают ограничения на повторное использование пароля и достаточную силу пароля.
3. Данные
(а) Хранение данных, изоляция и аутентификация .
Jibe сохраняет данные в многоязтной среде на серверах Google LLC. Данные, база данных Services Services и архитектура файловой системы реплицируются между несколькими географически диспергированными центрами обработки данных. Смешите логически изоляции данных каждого партнера или клиента. Центральная система аутентификации используется во всех службах процессора для повышения единой безопасности данных.
(б) Результаты вывода дисков и руководящих принципов разрушения дисков .
Определенные диски, содержащие данные, могут испытывать проблемы с производительностью, ошибки или сбой аппаратного обеспечения, которые приводят их к выводу из эксплуатации (« Вывод из эксплуатации »). Каждый выведенный из эксплуатации диск подлежит ряд процессов уничтожения данных (« Руководство по уничтожению данных »), прежде чем оставить помещения Jibe или для повторного использования или разрушения. Выводящие из эксплуатации диски стираются в многоэтапном процессе и подтверждаются как минимум двумя независимыми валидаторами. Результаты стирания регистрируются по серийному номеру диска для отслеживания. Наконец, стерский диск выводится в эксплуатацию для инвентаризации для повторного использования и повторного развертывания. Если из -за сбоя аппаратного обеспечения, выведенный из эксплуатации диск не может быть стерт, он надежно хранится до тех пор, пока не может быть уничтожен. Каждое средство регулярно проверяется для мониторинга соответствия руководящим принципам уничтожения данных.
(c) Псевдонимные данные .
Данные онлайн -рекламы обычно ассоциируются с онлайн -идентификаторами, которые сами считаются «псевдонимом» (то есть их нельзя отнести к конкретному человеку без использования дополнительной информации). У JIBE есть надежный набор политик и технических и организационных элементов управления, чтобы обеспечить разделение между псевдонимными данными и личной идентифицируемой пользовательской информацией (т.е. информация, которую можно использовать самостоятельно для непосредственного идентификации, контакта или точно определения индивидуального языка), такая Как данные учетной записи пользователя. Политики JIBE позволяют только информационные потоки между псевдонимичными и лично идентифицируемыми данными в строго ограниченных обстоятельствах.
(d) Отзывы о запуске .
Jibe проводит обзоры запуска новых продуктов и функций до запуска. Это включает в себя обзор конфиденциальности, проведенный специально обученными инженерами -конфиденциальностью. В обзорах конфиденциальности инженеры по конфиденциальности гарантируют, что все применимые политики и руководящие принципы соблюдения соблюдения, включая, помимо прочего, политики, касающиеся псевдонимизации и удержания данных и удаления.
4. Персональная безопасность
Персонал Jibe обязан вести себя в соответствии с руководящими принципами компании, касающимися конфиденциальности, деловой этики, соответствующего использования и профессиональных стандартов. Jibe проводит достаточно подходящую проверку данных в той мере, в которой законно допустимо и в соответствии с применимым местным трудовым законодательством и законодательными правилами.
Персонал обязан выполнить соглашение о конфиденциальности и должен подтвердить получение и соответствие политике конфиденциальности и конфиденциальности JIBE. Персонал обеспечивается обучением безопасности. Персональные данные по обработке персонала должны выполнить дополнительные требования, соответствующие их роли. Персонал Jibe не будет обрабатывать партнерские личные данные без разрешения.
5. Subprocessor Security
Перед встроенными подпроцессорами JIBE проводит аудит практики безопасности и конфиденциальности подпроцессоров, чтобы обеспечить подпроцессоры обеспечивают уровень безопасности и конфиденциальности, соответствующие их доступу к данным и объему предоставляемых им услуг. После того, как JIBE оценил риски, представленные подпроцессором, подпроцессор должен вступить в соответствующие условия безопасности, конфиденциальность и конфиденциальность, при условии, что требования в разделе 11.3 (требования к участию подпроцессора).
Приложение 3: Дополнительные условия для невропейского законодательства о защите данных
Следующие дополнительные термины для невропейского законодательства о защите данных дополняют это приложение обработки данных:
- Заплата процессора LGPD на Business.safety.google/processorterms/lgpd (от 27 августа 2020 г.)
- Закон о законе США в бизнесе .safety.google /processorterms/us-state-laws (от 12 декабря 2022 года)
Ссылки на Google LLC или Google в приложении процессора LGPD и дополнении закона штата США будут посвящены.
Приложение обработки данных Jibe, версия 4.0