Addendum supplementare sull'elaborazione dei dati di DocuSign

Addendum supplementare sull'elaborazione dei dati di DocuSign

Contenuto nascondere
1 COME ESEGUIRE QUESTO DPA
2 COME SI APPLICA QUESTO DPA
3 ALLEGATO 1 Elenco attuale dei sub-responsabili
4 ALLEGATO 2 Servizi SaaS applicabili al trattamento dei dati personali
5 ALLEGATO 3 Dettagli del trattamento
6 ALLEGATO 4 Controlli di sicurezza propri 3.3
7 TABELLA 5 Disposizioni europee
8 Documenti / Risorse
8.1 Riferimenti
9 Post correlati

COME ESEGUIRE QUESTO DPA

  1. Il presente DPA supplementare è composto da due parti: il corpo principale del DPA supplementare e gli allegati 1, 2, 3, 4 e 5.
  2. Il presente DPA supplementare è stato prefirmato per conto di Own.
  3. Per completare il presente DPA supplementare, il Cliente deve:
    a. Completa la sezione Nome cliente e Indirizzo cliente.
    b. Completa le informazioni nella casella della firma e firma.
    c. Verificare che le informazioni contenute nell'Allegato 3 (“Dettagli del Trattamento”) riflettano accuratamente i soggetti e le categorie di dati da trattare.
    d. Invia il DPA supplementare compilato e firmato al proprietario all'indirizzo privacy@owndata.com.

Una volta ricevuto da parte del Titolare il DPA supplementare validamente compilato a questo indirizzo e-mail, il DPA supplementare diventerà legalmente vincolante.

La firma del presente DPA supplementare a pagina 3 costituirà la firma e l'accettazione delle clausole contrattuali standard (comprese le relative appendici) e dell'addendum del Regno Unito, entrambi qui incorporati per riferimento.

COME SI APPLICA QUESTO DPA

Se l'entità del Cliente che firma il presente DPA supplementare è una parte del Contratto, il presente DPA supplementare costituisce un'addendum e costituisce parte integrante del Contratto o del DPA esistente. In tal caso, la propria entità che è parte del Contratto o del DPA esistente è parte del presente DPA.

Se l'entità del Cliente che firma il presente DPA supplementare ha eseguito un Modulo d'ordine con il proprio o una sua affiliata ai sensi del Contratto o del DPA esistente, ma non è essa stessa una parte del Contratto o del DPA esistente, questo DPA supplementare costituisce un addendum a quel Modulo d'ordine e Moduli d'ordine di rinnovo applicabili e la propria entità che è parte di tale Modulo d'ordine è parte del presente DPA supplementare.

Se l'entità del Cliente che firma il presente DPA supplementare non è né parte di un Modulo d'ordine né del Contratto o del DPA esistente, il presente DPA supplementare non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l'entità del Cliente che è parte del Contratto o del DPA esistente esegua il presente DPA supplementare.

Se l'entità del Cliente che firma il DPA Supplementare non è parte di un Modulo d'Ordine né di un Contratto Quadro di Abbonamento o di un DPA Esistente direttamente con Propri, ma è invece un cliente indirettamente tramite un rivenditore autorizzato dei propri servizi, questo DPA Supplementare non è valido ed è non giuridicamente vincolante. Tale entità dovrà contattare il rivenditore autorizzato per discutere se sia necessaria una modifica al suo accordo con tale rivenditore.

In caso di conflitto o incoerenza tra il presente DPA supplementare e qualsiasi altro accordo tra il Cliente e il Proprietario (incluso, a titolo esemplificativo, il Contratto o il DPA esistente), i termini del presente DPA supplementare prevarranno e prevarranno.

Il presente Addendum supplementare sull'elaborazione dei dati, compresi i suoi allegati e appendici, ("DPA supplementare") costituisce parte dell'Addendum esistente sull'elaborazione dei dati sopra identificato ("DPA esistente") tra OwnBackup Inc. ("Proprio") e il Cliente. Combinati, il presente DPA supplementare e il DPA esistente formeranno l'accordo completo sul trattamento dei dati (il "DPA") per documentare l'accordo delle parti in merito al trattamento dei dati personali. Se tale entità del Cliente e il Proprio non hanno stipulato un Contratto, il presente DPA è nullo e privo di effetti legali.

L'entità Cliente sopra menzionata sottoscrive il presente DPA supplementare per se stessa e, se una delle sue Affiliate agisce in qualità di Titolare del trattamento dei dati personali, per conto di tali Affiliate autorizzate. Tutti i termini in maiuscolo non definiti nel presente documento avranno il significato stabilito nel Contratto.

Nel corso della fornitura dei Servizi SaaS al Cliente ai sensi del Contratto, Own può elaborare i dati personali per conto del Cliente. Le parti concordano i seguenti termini aggiuntivi rispetto a tale Trattamento.

  1. DEFINIZIONI
    “CCPA” indica il California Consumer Privacy Act, Cal. Civ. Codice § 1798.100 et. seq., come modificato dal California Privacy Rights Act del 2020 e unitamente ad eventuali regolamenti attuativi.
    “Controller” indica l'entità che determina le finalità e i mezzi del Trattamento dei Dati Personali e si ritiene faccia riferimento anche a un'"azienda" come definita nel CCPA.
    "Cliente" indica l'entità sopra menzionata e le sue affiliate.
    “Leggi e regolamenti sulla protezione dei dati” significa tutte le leggi e i regolamenti dell’Unione Europea e dei suoi
    stati membri, lo Spazio Economico Europeo e i suoi stati membri, Regno Unito, Svizzera, Stati Uniti, Canada, Nuova Zelanda e Australia, e le rispettive suddivisioni politiche, applicabili al Trattamento dei Dati Personali. Questi includono, ma non sono limitati a, quanto segue, nella misura applicabile: il GDPR, la legge sulla protezione dei dati del Regno Unito, il CCPA, il Virginia Consumer Data Protection Act (“VCDPA”), il Colorado Privacy Act e i relativi regolamenti (“CPA "), lo Utah Consumer Privacy Act ("UCPA") e il Connecticut Act sulla privacy dei dati personali e il monitoraggio online ("CPDPA").
    “Interessato” indica la persona identificata o identificabile a cui si riferiscono e comprendono i Dati Personali "consumatore" come definito nelle leggi e nei regolamenti sulla protezione dei dati. "Europa" indica l'Unione Europea, lo Spazio Economico Europeo, la Svizzera e il Regno Unito. Ulteriori disposizioni applicabili ai trasferimenti di dati personali dall'Europa sono contenute nell'Allegato 5. Nel caso in cui l'Allegato 5 venga rimosso, il Cliente garantisce che non tratterà i Dati personali in base alle leggi e ai regolamenti europei sulla protezione dei dati.
    "PIL è" significa il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46 /CE (regolamento generale sulla protezione dei dati).
    “Proprio gruppo” indica il proprio e le sue affiliate impegnate nel trattamento dei dati personali.
    “Dati personali” indica qualsiasi informazione relativa a (i) una persona fisica identificata o identificabile e, (ii) una persona giuridica identificata o identificabile (laddove tali informazioni siano protette in modo simile ai dati personali, alle informazioni personali o alle informazioni di identificazione personale ai sensi delle leggi e dei regolamenti applicabili sulla protezione dei dati ), dove per ciascuno (i) o (ii), tali dati sono Dati del Cliente.
    “Servizi di trattamento dei dati personali” indica i Servizi SaaS elencati nell'Allegato 2, per i quali Own può trattare i Dati personali.
    "In lavorazione" indica qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, anche con mezzi automatici, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o altro messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
    "Responsabile del trattamento" indica l'entità che tratta i dati personali per conto del Titolare del trattamento, incluso, ove applicabile, qualsiasi "fornitore di servizi" come definito dal CCPA.
    “Clausole contrattuali tipo” significa l'allegato alla decisione di esecuzione della Commissione europea
    (UE) 2021 / 914 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) del 4 giugno 2021 recante clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio dell'Unione Europea e soggette alle necessarie modifiche per gli Stati Uniti Regno Unito e Svizzera ulteriormente descritti nell'Allegato 5.
    Per "Sub-responsabile" si intende qualsiasi Responsabile incaricato dal Proprio, da un membro del Proprio Gruppo o da un altro Sub-responsabile.
    “Autorità di vigilanza” indica un ente normativo governativo o riconosciuto dal governo avente autorità legale vincolante sul Cliente.
    “Addendum del Regno Unito” indica l'addendum sul trasferimento internazionale dei dati del Regno Unito alle clausole contrattuali tipo della Commissione UE (disponibile dal 21 marzo 2022 all'indirizzo https://ico.org.uk/for-organisations/guideto-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), completata come descritto nell'Allegato 5.
    “Legge sulla protezione dei dati del Regno Unito” indica il Regolamento 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati in quanto fa parte della legislazione di Inghilterra e Galles, Scozia e Nord Irlanda in virtù della sezione 3 della Legge sull'Unione Europea (Recesso) del 2018, come di volta in volta modificata dalle leggi e dai regolamenti sulla protezione dei dati del Regno Unito.
  2. ORDINE DI PRECEDENZA
    a. Ad eccezione delle clausole contrattuali tipo qui incorporate, che avranno la precedenza, in caso di incoerenza tra il presente DPA supplementare e il DPA esistente, prevarranno i termini del DPA esistente.
  3. LIMITAZIONE DI RESPONSABILITÀ
    a. Nella misura consentita dalle leggi e dai regolamenti sulla protezione dei dati, la responsabilità di ciascuna parte e di tutte le sue affiliate, prese insieme in totale, derivanti da o correlate al presente DPA supplementare, sia per contratto, torto o qualsiasi altra teoria di responsabilità, è soggetto alle clausole "Limite di responsabilità" e ad altre clausole che escludono o limitano la responsabilità del Contratto, e qualsiasi riferimento in tali clausole alla responsabilità di una parte indica la responsabilità complessiva di quella parte e di tutte le sue Affiliate.
  4. MODIFICHE AI MECCANISMI DI TRASFERIMENTO
    a. Nel caso in cui un attuale meccanismo di trasferimento utilizzato dalle parti per facilitare i trasferimenti di dati personali verso uno o più paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati venga invalidato, modificato , o sostituite, le parti lavoreranno in buona fede per attuare tale meccanismo di trasferimento alternativo per consentire la continuazione del Trattamento dei Dati Personali contemplato dal Contratto. L'utilizzo di tale meccanismo di trasferimento alternativo sarà soggetto al rispetto da parte di ciascuna parte di tutti i requisiti legali per l'utilizzo di tale meccanismo di trasferimento.

I firmatari autorizzati delle parti hanno debitamente sottoscritto il presente Contratto, inclusi tutti gli Allegati, gli Allegati e le Appendici applicabili qui incorporati.

Firma

Elenco degli orari

Allegato 1: Elenco corrente dei sub-processori
Allegato 2: Servizi SaaS applicabili al trattamento dei dati personali
Allegato 3: Dettagli del Trattamento
Allegato 4: propri controlli di sicurezza
Allegato 5: Disposizioni europee

ALLEGATO 1 Elenco attuale dei sub-responsabili

Nome del sub-responsabile Indirizzo del sub-responsabile Natura del trattamento Durata del trattamento Luogo del Trattamento
OwnBackup limitato 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israele Assistenza clienti e manutenzione Per la durata del Contratto. Israele
Amazzone Web Servizi, Inc.* 410 Terry Avenue Nord, Seattle, Washington 98109, Stati Uniti Hosting di applicazioni e archiviazione dei dati Per la durata del Contratto. Stati Uniti, Canada, Germania, Regno Unito o Australia
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, Stati Uniti Hosting di applicazioni e archiviazione dei dati Per la durata del Contratto. Paesi Bassi o Stati Uniti
Elasticsearch, Inc.** 800 West El Camino Real, Suite 350, Montagna View,California 94040, Stati Uniti Indicizzazione e ricerca Per la durata del Contratto. Paesi Bassi o Stati Uniti

* Il cliente può scegliere Amazon Web Services o Microsoft (Azure) e la sua Posizione di elaborazione desiderata durante la configurazione iniziale dei Servizi SaaS da parte del Cliente.
** Si applica solo ai clienti Archive che scelgono di eseguire la distribuzione nel cloud Microsoft (Azure).

ALLEGATO 2 Servizi SaaS applicabili al trattamento dei dati personali

  • Recupera per ServiceNow
  • Recupera per la dinamica
  • Recupera per Salesforce
  • Governance Plus per Salesforce
  • Archivio
  • Porta la tua gestione delle chiavi
  • Accelerare

ALLEGATO 3 Dettagli del trattamento

Esportatore di dati

Nome legale completo: Nome Cliente come sopra specificato
Indirizzo principale: Indirizzo del cliente come sopra specificato
Contatto: Se non diversamente previsto, questo sarà il contatto principale sull'account del Cliente.
E-mail di contatto: Se non diversamente previsto, questo sarà l'indirizzo email di contatto principale sull'account del Cliente.

Importatore dati 

Nome legale completo: Società di backup
Indirizzo principale: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, Stati Uniti
Contatto: Responsabile della privacy
E-mail di contatto: privacy@owndata.com

Natura e finalità del trattamento

Il Titolare tratterà i Dati personali nella misura necessaria per eseguire i Servizi SaaS ai sensi del Contratto e degli Ordini e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi SaaS.

Durata del trattamento

Own tratterà i dati personali per tutta la durata del Contratto, salvo diverso accordo scritto.

Conservazione

Own conserverà i Dati personali nei Servizi SaaS per la durata del Contratto, salvo diverso accordo scritto, soggetto al periodo massimo di conservazione specificato nella Documentazione.

Frequenza del trasferimento

Come determinato dal Cliente attraverso l'utilizzo dei Servizi SaaS.

Trasferimenti a sub-responsabili 

Se necessario per eseguire i Servizi SaaS ai sensi dell'Accordo e degli Ordini, e come ulteriormente descritto nell'Allegato 1.

Categorie di Interessati

Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che possono includere, a titolo esemplificativo ma non esaustivo, Dati personali relativi alle seguenti categorie di interessati:

  • Potenziali clienti, partner commerciali e fornitori del Cliente (che sono persone fisiche)
  • Dipendenti o persone di contatto di potenziali clienti, clienti, partner commerciali e fornitori
  • Dipendenti, agenti, consulenti, liberi professionisti del Cliente (che siano persone fisiche) Utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi SaaS

Tipologia di Dati Personali

Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie di Dati personali:

  • Nome e cognome
  • Titolo
  • Posizione
  • Datore di lavoro
  • Informazioni di contatto (azienda, e-mail, telefono, indirizzo fisico dell'attività)
  • Dati identificativi
  • Dati sulla vita professionale
  • Dati personali sulla vita
  • Dati di localizzazione

Categorie speciali di dati (se appropriato)

Il Cliente può inviare categorie speciali di Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che per motivi di chiarezza potrebbe includere il trattamento di dati genetici, dati biometrici allo scopo di identificare una persona fisica o dati relativi alla salute. Consulta le misure nell'Allegato 4 per sapere come Own protegge categorie speciali di dati e altri dati personali.

ALLEGATO 4 Controlli di sicurezza propri 3.3

  1. Introduzione
    1. Le nostre applicazioni Software-as-a-Service (servizi SaaS) sono state progettate fin dall'inizio pensando alla sicurezza. I servizi SaaS sono progettati con una varietà di controlli di sicurezza su più livelli per affrontare una serie di rischi per la sicurezza. Questi controlli di sicurezza sono soggetti a modifiche; tuttavia, eventuali modifiche manterranno o miglioreranno il livello di sicurezza generale.
    2. Le descrizioni dei controlli di seguito si applicano alle implementazioni del servizio SaaS sia su Amazon Web Services (AWS) e Microsoft Azure (Azure) (collettivamente indicati come i nostri fornitori di servizi cloud o CSP), ad eccezione di quanto specificato nella sezione Crittografia di seguito. Queste descrizioni dei controlli non si applicano al software RevCult ad eccezione di quanto previsto in "Sviluppo software sicuro" di seguito.
  2. Audit e Certificazioni
    1. I Servizi SaaS sono certificati ISO/IEC 27001:2013 (Sistema di gestione della sicurezza delle informazioni) e ISO/IEC 27701:2019 (Sistema di gestione delle informazioni sulla privacy).
    2. Own è sottoposto a un audit annuale SOC2 Tipo II ai sensi di SSAE-18 per verificare in modo indipendente l'efficacia delle sue pratiche, politiche, procedure e operazioni di sicurezza delle informazioni per i seguenti criteri dei servizi fiduciari: sicurezza, disponibilità, riservatezza e integrità dell'elaborazione.
    3. Own utilizza regioni CSP globali per l'elaborazione e l'archiviazione per i servizi SaaS. AWS e Azure sono strutture di alto livello con numerosi accreditamenti, tra cui SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 e HIPAA.
  3. Web Controlli di sicurezza delle applicazioni
    1. L'accesso del Cliente ai Servizi SaaS avviene solo tramite HTTPS (TLS1.2+), stabilendo la crittografia dei dati in transito tra l'utente finale e l'applicazione e tra il Proprio e la fonte dati di terze parti (ad esempio, Salesforce).
    2. Gli amministratori del servizio SaaS del cliente possono effettuare il provisioning e il deprovisioning degli utenti del servizio SaaS e dell'accesso associato secondo necessità.
    3. I Servizi SaaS forniscono controlli di accesso basati sui ruoli per consentire ai clienti di gestire le autorizzazioni multi-organizzazione.
    4. Gli amministratori del servizio SaaS del cliente possono accedere agli audit trail inclusi nome utente, azione e oraampe campi dell'indirizzo IP di origine. I registri di controllo possono essere viewed esportati dall'amministratore del servizio SaaS del cliente che ha effettuato l'accesso ai servizi SaaS e tramite l'API dei servizi SaaS.
    5. L'accesso ai Servizi SaaS può essere limitato dall'indirizzo IP di origine.
    6. I Servizi SaaS consentono ai clienti di abilitare l'autenticazione a più fattori per accedere agli account del Servizio SaaS utilizzando password monouso basate sul tempo.
    7. I Servizi SaaS consentono ai clienti di abilitare il Single Sign-On tramite provider di identità SAML 2.0.
    8. I Servizi SaaS consentono ai clienti di abilitare policy password personalizzabili per aiutare ad allineare le password del Servizio SaaS alle policy aziendali.
  4. Crittografia
    1. Own offre le seguenti opzioni di servizio SaaS per la crittografia dei dati inattivi:
      1. Offerta standard.
        • I dati vengono crittografati utilizzando la crittografia lato server AES-256 tramite un sistema di gestione delle chiavi convalidato secondo FIPS 140-2.
        • La crittografia a busta viene utilizzata in modo tale che la chiave principale non lasci mai l'Hardware Security Module (HSM).
        • Le chiavi di crittografia vengono ruotate almeno ogni due anni.
      2. Opzione di gestione avanzata delle chiavi (AKM).
        • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato con una chiave di crittografia master (CMK) fornita dal cliente.
        • AKM consente l'archiviazione futura della chiave e la sua rotazione con un'altra chiave di crittografia principale.
        • Il cliente può revocare le chiavi di crittografia master, con conseguente inaccessibilità immediata dei dati.
      3. Opzione Bring Your Own Key Management System (KMS) (disponibile solo su AWS).
        • Le chiavi di crittografia vengono create nell'account del cliente acquistato separatamente utilizzando AWS KMS.
        • Il cliente definisce la policy della chiave di crittografia che consente all'account del servizio SaaS del cliente su AWS di accedere alla chiave dall'AWS KMS del cliente.
        • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato gestito da Own e configurato per utilizzare la chiave di crittografia del cliente.
        • Il cliente può revocare immediatamente l'accesso ai dati crittografati revocando l'accesso di Own alla chiave di crittografia, senza interagire con Own.
        • I propri dipendenti non hanno mai accesso alle chiavi di crittografia e non accedono direttamente al KMS.
        • Tutte le attività di utilizzo delle chiavi vengono registrate nel KMS del cliente, compreso il recupero delle chiavi tramite l'object storage dedicato.
      4. La crittografia in transito tra i Servizi SaaS e l'origine dati di terze parti (ad esempio, Salesforce) utilizza HTTPS con TLS 1.2+ e OAuth 2.0.
  5. Rete
    1. I servizi SaaS utilizzano controlli di rete CSP per limitare l'ingresso e l'uscita dalla rete.
    2. I gruppi di sicurezza con stato vengono utilizzati per limitare l'ingresso e l'uscita della rete agli endpoint autorizzati.
    3. I servizi SaaS utilizzano un'architettura di rete multilivello, che include più Amazon Virtual Private Cloud (VPC) o reti virtuali di Azure (VNet) separate logicamente, sfruttando zone private, DMZ e non attendibili all'interno dell'infrastruttura CSP.
    4. In AWS, le restrizioni dell'endpoint VPC S3 vengono utilizzate in ciascuna regione per consentire l'accesso solo dai VPC autorizzati.
  6. Monitoraggio e controllo
    1. I sistemi e le reti del Servizio SaaS vengono monitorati per incidenti di sicurezza, integrità del sistema, anomalie di rete e disponibilità.
    2. I Servizi SaaS utilizzano un sistema di rilevamento delle intrusioni (IDS) per monitorare l'attività di rete e avvisare il Proprietario di comportamenti sospetti.
    3. I Servizi SaaS utilizzano web firewall applicativi (WAF) per tutto il pubblico web servizi.
    4. Registra gli eventi dell'applicazione, della rete, dell'utente e del sistema operativo su un server syslog locale e un SIEM specifico per la regione. Questi registri vengono automaticamente analizzati e riviewed per attività sospette e minacce. Eventuali anomalie vengono segnalate in modo appropriato.
    5. Il proprio utilizza sistemi SIEM (Security Information and Event Management) che forniscono un'analisi continua della sicurezza delle reti e dell'ambiente di sicurezza dei servizi SaaS, avvisi di anomalie degli utenti, ricognizione degli attacchi di comando e controllo (C&C), rilevamento automatizzato delle minacce e segnalazione di indicatori di compromissione (IOC) ). Tutte queste funzionalità sono gestite dal personale operativo e di sicurezza di Own.
    6. Il team di risposta agli incidenti di Own monitora il sicurezza@owndata.com alias e risponde in base al piano di risposta agli incidenti (IRP) dell'azienda, quando appropriato.
  7. Isolamento tra conti
    1. I servizi SaaS utilizzano il sandboxing Linux per isolare i dati degli account dei clienti durante l'elaborazione. Questo aiuta a garantire che qualsiasi anomalia (ad esample, a causa di un problema di sicurezza o di un bug del software) rimane confinato in un unico account Proprio.
    2. L'accesso ai dati del tenant è controllato tramite utenti IAM univoci con dati tagging che impedisce agli utenti non autorizzati di accedere ai dati del tenant.
  8. Ripristino dopo un disastro
    1. Own utilizza l'archiviazione di oggetti CSP per archiviare i dati dei clienti crittografati su più zone di disponibilità.
    2. Per i dati dei clienti archiviati sullo storage di oggetti, Own utilizza il controllo delle versioni degli oggetti con invecchiamento automatico per supportare la conformità con le policy di backup e ripristino di emergenza di Own. Per questi oggetti, i sistemi Own sono progettati per supportare un obiettivo del punto di ripristino (RPO) di 0 ore (ovvero la possibilità di ripristinare qualsiasi versione di qualsiasi oggetto così come esisteva nel periodo di 14 giorni precedente).
    3. Qualsiasi ripristino richiesto di un'istanza di calcolo viene eseguito ricostruendo l'istanza in base all'automazione della gestione della configurazione di Own.
    4. Il piano di ripristino di emergenza di Own è progettato per supportare un obiettivo di tempo di ripristino (RTO) di 4 ore.
  9. Gestione delle vulnerabilità
    1. Le proprie esibizioni periodiche web valutazioni della vulnerabilità delle applicazioni, analisi del codice statico e valutazioni dinamiche esterne come parte del suo programma di monitoraggio continuo per aiutare a garantire che i controlli di sicurezza delle applicazioni siano applicati correttamente e funzionino in modo efficace.
    2. Su base semestrale, Own assume penetration tester indipendenti di terze parti per eseguire sia la rete che web valutazioni di vulnerabilità. L'ambito di questi audit esterni include la conformità rispetto all'Open Web Progetto di sicurezza delle applicazioni (OWASP) Top 10 Web Vulnerabilità (www.owasp.org).
    3. I risultati della valutazione delle vulnerabilità vengono incorporati nel ciclo di vita dello sviluppo software (SDLC) per correggere le vulnerabilità identificate. A specifiche vulnerabilità viene assegnata la priorità e inserite nel proprio sistema di ticket interno per il monitoraggio fino alla risoluzione.
  10. Risposta agli incidenti
    1. In caso di potenziale violazione della sicurezza, il proprio team di risposta agli incidenti eseguirà una valutazione della situazione e svilupperà strategie di mitigazione adeguate. Se una potenziale violazione viene confermata, Own agirà immediatamente per mitigare la violazione e preservare le prove forensi e avviserà senza indebito ritardo i principali punti di contatto dei clienti interessati per informarli sulla situazione e fornire aggiornamenti sullo stato della risoluzione.
  11. Sviluppo software sicuro
    1. Own impiega pratiche di sviluppo sicure per le applicazioni software Own e RevCult durante l'intero ciclo di vita dello sviluppo del software. Queste pratiche includono l'analisi statica del codice, la sicurezza Salesforce review per le applicazioni RevCult e per le proprie applicazioni installate nelle istanze Salesforce dei clienti, peer review delle modifiche al codice, limitando l'accesso al repository del codice sorgente in base al principio del privilegio minimo e registrando l'accesso e le modifiche al repository del codice sorgente.
  12. Team di sicurezza dedicato
    1. Own dispone di un team di sicurezza dedicato con oltre 100 anni di esperienza combinata e sfaccettata nella sicurezza delle informazioni. Inoltre, i membri del team mantengono una serie di certificazioni riconosciute nel settore, incluse ma non limitate a CISM, CISSP e Lead Auditor ISO 27001.
  13. Privacy e protezione dei dati
    1. Own fornisce supporto nativo per le richieste di accesso degli interessati, come il diritto alla cancellazione (diritto all'oblio) e all'anonimizzazione, per supportare la conformità alle normative sulla privacy dei dati, incluso il Regolamento generale sulla protezione dei dati (GDPR), la Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA) e il California Consumer Privacy Act (CCPA). Own fornisce inoltre un Addendum sull'elaborazione dei dati per affrontare le leggi sulla privacy e sulla protezione dei dati, compresi i requisiti legali per i trasferimenti internazionali di dati.
  14. Verifiche dei precedenti penali
    1. Own esegue una serie di controlli sui precedenti, inclusi controlli sui precedenti penali, del proprio personale che potrebbe avere accesso ai dati dei clienti, in base alle giurisdizioni di residenza del dipendente durante i sette anni precedenti, nel rispetto della legge applicabile.
  15. Assicurazione
    Own mantiene, come minimo, la seguente copertura assicurativa: (a) assicurazione contro gli infortuni sui lavoratori in conformità con tutte le leggi applicabili; (b) assicurazione di responsabilità civile automobilistica per veicoli non di proprietà e noleggiati, con un limite unico combinato di $ 1,000,000; (c) assicurazione di responsabilità civile generale commerciale (responsabilità pubblica) con copertura con limite unico di $ 1,000,000 per evento e copertura generale aggregata di $ 2,000,000; (d) assicurazione per errori e omissioni (responsabilità professionale) con un limite di $ 20,000,000 per evento e $ 20,000,000 in totale, compresi i livelli primari ed eccedenti, e compresi responsabilità informatica, tecnologia e servizi professionali, prodotti tecnologici, sicurezza dei dati e della rete, risposta alle violazioni, normative responsabilità di difesa e sanzioni, estorsioni informatiche e recupero dati; e (e) assicurazione contro la disonestà/crimine dei dipendenti con una copertura di $ 5,000,000. Su richiesta, il Proprietario fornirà al Cliente la prova di tale assicurazione.

TABELLA 5 Disposizioni europee

Questo programma si applicherà solo ai trasferimenti di dati personali (compresi i trasferimenti successivi) dall'Europa che, in assenza dell'applicazione di queste disposizioni, causerebbero la violazione delle leggi e dei regolamenti applicabili sulla protezione dei dati da parte del Cliente o del Proprio.

  1. Meccanismo di trasferimento per i trasferimenti di dati.
    a) Le clausole contrattuali tipo si applicano a qualsiasi trasferimento di dati personali ai sensi del presente DPA supplementare dall'Europa verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati di tali territori, nella misura in cui tali trasferimenti sono soggetti a tali leggi e regolamenti sulla protezione dei dati. Own sottoscrive le Clausole Contrattuali Tipo in qualità di importatore di dati. I termini aggiuntivi contenuti nel presente Allegato si applicano anche a tali trasferimenti di dati.
  2. Trasferimenti soggetti alle clausole contrattuali tipo.
    a) Clienti Coperti dalle Clausole Contrattuali Tipo. Le clausole contrattuali standard e i termini aggiuntivi specificati nel presente Allegato si applicano a (i) il Cliente, nella misura in cui il Cliente è soggetto alle leggi e ai regolamenti europei sulla protezione dei dati e, (ii) alle sue affiliate autorizzate. Ai fini delle Clausole Contrattuali Tipo e del presente Programma, tali entità sono "esportatori di dati".
    b) Moduli. Le Parti convengono che laddove possano essere applicati moduli opzionali nell'ambito delle Clausole Contrattuali Tipo, verranno applicati solo quelli etichettati "MODULO DUE: Trasferimento dal titolare al responsabile".
    c) Istruzioni. Le Parti convengono che l'utilizzo da parte del Cliente dei Servizi di trattamento dei dati personali in conformità al Contratto e al DPA esistente è considerato un'istruzione da parte del Cliente di trattare i Dati personali ai fini della Clausola 8.1 delle Clausole contrattuali standard.
    d) Nomina di nuovi subresponsabili ed elenco degli attuali subresponsabili. Ai sensi dell'OPZIONE 2 della clausola 9(a) delle clausole contrattuali standard, il Cliente accetta che Own possa assumere nuovi sub-responsabili del trattamento come descritto nel DPA esistente e che le affiliate di Own possano essere mantenute come sub-responsabili, e che Own e le sue affiliate possano impegnarsi Sub-responsabili del trattamento di terze parti in relazione alla fornitura dei servizi di elaborazione dati. L'elenco attuale dei sub-responsabili del trattamento allegato come Allegato 1.
    e) Contratti di sub-responsabile. Le parti concordano che i trasferimenti di dati ai Sub-responsabili possono basarsi su un meccanismo di trasferimento diverso dalle clausole contrattuali tipo (ad es.ample, norme vincolanti d'impresa) e che gli accordi di Own con tali Sub-responsabili potrebbero pertanto non incorporare o rispecchiare le Clausole Contrattuali Standard, nonostante qualsiasi disposizione contraria nella clausola 9(b) delle Clausole Contrattuali Standard. Tuttavia, qualsiasi accordo di questo tipo con un Sub-responsabile dovrà contenere obblighi di protezione dei dati non meno protettivi di quelli contenuti nel presente DPA supplementare in merito alla protezione dei dati del cliente, nella misura applicabile ai servizi forniti da tale Sub-responsabile. Copie degli accordi del sub-responsabile che devono essere forniti da Own al Cliente ai sensi della clausola 9(c) delle clausole contrattuali standard saranno fornite da Own solo su richiesta scritta del Cliente e potrebbero contenere tutte le informazioni commerciali o clausole non correlate a le Clausole Contrattuali Tipo o loro equivalenti, preventivamente rimosse da Propri.
    f) Audit e Certificazioni. Le parti convengono che gli audit descritti nella clausola 8.9 e nella clausola 13(b) delle clausole contrattuali standard saranno eseguiti in conformità con i termini del DPA esistente.
    g) Cancellazione dei dati. Le parti convengono che la cancellazione o la restituzione dei dati contemplata dalla Clausola 8.5 o dalla Clausola 16(d) delle Clausole Contrattuali Standard dovrà essere effettuata in conformità con i termini del DPA Esistente e qualsiasi certificazione di cancellazione sarà fornita dal Proprio solo su richiesta del Cliente richiesta.
    h) Beneficiari di terze parti. Le parti convengono che, in base alla natura dei Servizi SaaS, il Cliente fornirà tutta l'assistenza necessaria per consentire a Own di adempiere ai propri obblighi nei confronti degli interessati ai sensi della Clausola 3 delle Clausole Contrattuali Standard.
    i) Valutazione di impatto. Ai sensi dell'articolo 14 delle Clausole Contrattuali Tipo le parti hanno effettuato un'analisi, nel contesto delle specifiche circostanze del trasferimento, delle leggi e delle prassi del Paese di destinazione, nonché delle specifiche integrazioni contrattuali, organizzative e tecniche garanzie applicabili e, sulla base delle informazioni a loro ragionevolmente note in quel momento, hanno stabilito che le leggi e le pratiche del paese di destinazione non impediscono alle parti di adempiere agli obblighi di ciascuna parte ai sensi delle clausole contrattuali tipo.
    j) Legge applicabile e foro. Le parti convengono, rispetto all'OPZIONE 2 della Clausola 17, che nel caso in cui lo Stato membro dell'UE in cui è stabilito l'esportatore di dati non riconosca i diritti dei terzi beneficiari, le clausole contrattuali tipo saranno disciplinate dalla legge di Irlanda. In conformità con la Clausola 18, le controversie associate alle Clausole Contrattuali Tipo saranno risolte dai tribunali specificati nel Contratto, a meno che tale tribunale non sia situato in uno Stato Membro dell'UE, nel qual caso il foro per tali controversie saranno i tribunali dell'Irlanda. .
    k) Allegati. Ai fini dell'esecuzione delle Clausole Contrattuali Tipo, l'Allegato 3: Dettagli del Trattamento sarà incorporato come ALLEGATO IA e IB, Allegato 4: Controlli di Sicurezza propri (che può essere aggiornato di volta in volta al https://www.owndata.com/trust/) sarà incorporato come ALLEGATO II e Allegato 1: Elenco attuale dei subincaricati (come può essere aggiornato di volta in volta all'indirizzo  https://www.owndata.com/legal/sub-p/) sarà incorporato come ALLEGATO III.
    l) Interpretazione. I termini del presente Allegato hanno lo scopo di chiarire e non di modificare le Clausole Contrattuali Tipo. In caso di conflitto o incoerenza tra il corpo del presente Allegato e le Clausole Contrattuali Standard, prevarranno le Clausole Contrattuali Standard.
  3. Disposizioni applicabili ai trasferimenti dalla Svizzera Le parti convengono che ai fini dell'applicabilità delle clausole contrattuali tipo per facilitare i trasferimenti di dati personali dalla Svizzera si applicheranno le seguenti disposizioni aggiuntive: (i) Eventuali riferimenti al Regolamento (UE) 2016/679 dovranno essere interpretati come riferimento alle disposizioni corrispondenti della Legge federale svizzera sulla protezione dei dati e di altre leggi sulla protezione dei dati della Svizzera (“Leggi svizzere sulla protezione dei dati”), (ii) Qualsiasi riferimento a “Stato membro” o “Stato membro dell’UE” o “UE” dovrà essere interpretato come riferimento alla Svizzera , e (iii) Qualsiasi riferimento all'Autorità di controllo sarà interpretato come riferimento al Commissario federale svizzero per la protezione dei dati e l'informazione.
  4. a) Tabella 1: Le parti, i loro dettagli e i loro contatti sono quelli indicati nell'Allegato 3.
    b) Tabella 2: le "Clausole contrattuali standard UE approvate" saranno le clausole contrattuali standard stabilite nel presente Allegato 5.
    c) Tabella 3: Gli allegati I(A), I(B) e II sono completati come indicato nella sezione 2(k) del presente Allegato 5.
    d) Tabella 4: Own può esercitare il diritto facoltativo di risoluzione anticipata descritto nella Sezione 19 dell'Addendum del Regno Unito.

Addendum supplementare sull'elaborazione dei dati di DocuSign

Documenti / Risorse

Addendum supplementare sull'elaborazione dei dati di DocuSign [pdf] Istruzioni
Addendum supplementare sul trattamento dei dati, Addendum sul trattamento dei dati, Addendum sul trattamento, Addendum

Riferimenti

Post correlati

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *