Contenuto nascondere
1 Addendum supplementare sull'elaborazione dei dati di Ownbackup
2 Informazioni sul prodotto
3 Istruzioni per l'uso del prodotto
4 ISTRUZIONI SUPPLEMENTARI PER IL TRATTAMENTO DEI DATI
5 Elenco corrente dei sub-responsabili del trattamento
6 Servizi SaaS applicabili al trattamento dei dati personali
7 Dettagli del trattamento
8 Controlli di sicurezza OwnBackup 3.3
9 Introduzione
10 Disposizioni Europee
11 Documenti / Risorse
11.1 Riferimenti

Logo Ownbackup

Addendum supplementare sull'elaborazione dei dati di Ownbackup

Ownbackup-Supplemental-Data-Elaboration-Addendum-PRODUCT

Informazioni sul prodotto

Il prodotto è un Supplemental Data Processing Addendum (DPA) fornito da OwnBackup. Viene utilizzato insieme ai Servizi SaaS forniti da OwnBackup per elaborare i dati personali per conto del Cliente.

Definizioni chiave

  • Titolare del trattamento: L’entità che determina le finalità e i mezzi del trattamento dei Dati Personali.
  • Cliente: L'entità sopra menzionata e le sue affiliate.
  • Oggetto dei dati: La persona fisica identificata o identificabile cui si riferiscono i Dati Personali.
  • Europa: Si riferisce all'Unione Europea, allo Spazio Economico Europeo, alla Svizzera e al Regno Unito.
  • GDPR: Il Regolamento generale sulla protezione dei dati, che è un regolamento sulla protezione dei dati e sulla privacy per tutti gli individui all’interno dell’Unione Europea e dello Spazio Economico Europeo.

Istruzioni per l'uso del prodotto

  1. Il presente DPA supplementare è composto da due parti: il corpo principale del DPA supplementare e gli allegati 1, 2, 3, 4 e 5.
  2. Il DPA supplementare è già stato prefirmato per conto di OwnBackup.
  3. Per completare il DPA supplementare, attenersi alla seguente procedura:
    • Completare la sezione Nome cliente e Indirizzo cliente a pagina 2.
    • Completa le informazioni nella casella della firma e firma a pagina 3.
    • Verificare che le informazioni contenute nell'Allegato 3 (Dettagli del Trattamento) riflettano accuratamente i soggetti e le categorie di dati da trattare.
    • Inviare il DPA supplementare compilato e firmato a OwnBackup all'indirizzo privacy@ownbackup.com.
  4. Alla ricezione da parte di OwnBackup del DPA supplementare validamente compilato all'indirizzo e-mail fornito, il DPA supplementare diventerà legalmente vincolante.
  5. La firma del DPA supplementare a pagina 3 costituisce l'accettazione delle clausole contrattuali standard e dell'addendum del Regno Unito, entrambi incorporati mediante riferimento.
  6. In caso di conflitto o incoerenza tra il presente DPA supplementare e qualsiasi altro accordo tra il Cliente e OwnBackup, prevarranno i termini del presente DPA supplementare.

ISTRUZIONI SUPPLEMENTARI PER IL TRATTAMENTO DEI DATI

COME ESEGUIRE QUESTO DPA:

  1. Il presente DPA supplementare è costituito da due parti: il corpo principale del DPA supplementare e gli allegati 1, 2, 3, 4 e 5.
  2. Il presente DPA supplementare è stato prefirmato per conto di OwnBackup.
  3. PER completare il presente DPA supplementare, il Cliente deve:
    • a.Completare la sezione Nome cliente e Indirizzo cliente a pagina 2.
    • B. Completa le informazioni nella casella della firma e firma a pagina 3.
    • C. Verificare che le informazioni contenute nell'Allegato 3 (Dettagli del Trattamento”) riflettano accuratamente i soggetti e le categorie di dati oggetto del trattamento
    • D. Inviare il DPA supplementare compilato e firmato a OwnBackup all'indirizzo privacy@ownbackup.com.

Al ricevimento da parte di OwnBackup del DPA supplementare validamente compilato a questo indirizzo e-mail, il DPA supplementare diventerà legalmente vincolante. La firma del presente DPA supplementare a pagina 3 sarà considerata come firma e accettazione delle clausole contrattuali standard (comprese le relative appendici) e dell'Addendum del Regno Unito, entrambi qui incorporati per riferimento.

COME SI APPLICA QUESTO DPA

  • Se l'entità del Cliente che firma il presente DPA supplementare è una parte del Contratto, il presente DPA supplementare costituisce un'addendum e costituisce parte integrante del Contratto o del DPA esistente. In tal caso, l'entità OwnBackup che è parte del Contratto o del DPA esistente è parte del presente DPA.
  • Se l'entità del Cliente che firma il presente DPA supplementare ha eseguito un Modulo d'ordine con OwnBackup o una sua affiliata ai sensi dell'Accordo o del DPA esistente, ma non è essa stessa una parte dell'Accordo o del DPA esistente, questo DPA supplementare costituisce un'addendum a quel Modulo d'ordine e Moduli d'ordine di rinnovo applicabili e l'entità OwnBackup che è parte di tale Modulo d'ordine è parte di questo DPA supplementare.
  • Se l'entità del Cliente che firma il presente DPA supplementare non è né parte di un Modulo d'ordine né del Contratto o del DPA esistente, il presente DPA supplementare non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l'entità del Cliente che è parte del Contratto o del DPA esistente esegua il presente DPA supplementare.
  • Se l'entità del Cliente che firma il DPA supplementare non è parte di un Modulo d'ordine né di un Contratto quadro di abbonamento o di un DPA esistente direttamente con OwnBackup, ma è invece un cliente indirettamente tramite un rivenditore autorizzato dei servizi OwnBackup, questo DPA supplementare non è valido ed è non giuridicamente vincolante. Tale entità dovrà contattare il rivenditore autorizzato per discutere se sia necessaria una modifica al suo accordo con tale rivenditore.
  • In caso di conflitto o incoerenza tra il presente DPA supplementare e qualsiasi altro accordo tra il Cliente e OwnBackup (incluso, senza limitazioni, l'Accordo o il DPA esistente), i termini del presente DPA supplementare prevarranno e prevarranno.

ADDENDUM SUPPLEMENTARE AL TRATTAMENTO DEI DATI

Nome cliente:
Indirizzo del cliente:
Data DPA esistente:

Il presente Addendum supplementare sull'elaborazione dei dati, compresi i suoi allegati e appendici, ("DPA supplementare") fa parte dell'Addendum esistente sull'elaborazione dei dati sopra identificato ("DPA esistente") tra OwnBackup Inc. ("OwnBackup") e il Cliente. Combinati, il presente DPA supplementare e il DPA esistente formeranno l'accordo completo sul trattamento dei dati (il "DPA") per documentare l'accordo delle parti in merito al trattamento dei dati personali. Se tale entità Cliente e OwnBackup non hanno stipulato un Contratto, il presente DPA è nullo e senza alcun effetto legale. L'entità del Cliente sopra menzionata stipula il presente DPA supplementare per sé stessa e, qualora una delle sue affiliate agisca come titolare del trattamento dei dati personali, per conto di tali affiliate autorizzate. Tutti i termini in maiuscolo non definiti nel presente documento avranno il significato stabilito nel Contratto. Nel corso della fornitura dei Servizi SaaS al Cliente ai sensi del Contratto, OwnBackup può elaborare i dati personali per conto del Cliente. Le parti concordano i seguenti termini aggiuntivi rispetto a tale Trattamento.

DEFINIZIONI

  • "CCPA" indica il California Consumer Privacy Act, Cal. Civ. Codice S 1798.100 et. seq., come modificato dal California Privacy Rights Act del 2020 e unitamente a eventuali regolamenti attuativi.
  • Per “Responsabile del trattamento” si intende l'entità che determina le finalità e i mezzi del trattamento dei dati personali e si ritiene si riferisca anche a un'“azienda” come definita nel CCPA.
  • "Cliente" indica l'entità sopra menzionata e le sue Affiliate.
  • Per "Leggi e regolamenti sulla protezione dei dati" si intendono tutte le leggi e i regolamenti dell'Unione Europea e dei suoi Stati membri, dello Spazio economico europeo e dei suoi Stati membri, del Regno Unito, della Svizzera, degli Stati Uniti, del Canada, della Nuova Zelanda e dell'Australia, e dei loro rispettive suddivisioni politiche, applicabili al Trattamento dei Dati Personali. Questi includono, ma non sono limitati a, quanto segue, nella misura applicabile: il GDPR, la legge sulla protezione dei dati del Regno Unito, il CCPA, il Virginia Consumer Data Protection Act (“VCDPA”), il Colorado Privacy Act e i relativi regolamenti (“CPA "), lo Utah Consumer Privacy Act ("UCPA") e il Connecticut Act sulla privacy dei dati personali e il monitoraggio online ("CPDPA")
  • "Interessato" indica la persona identificata o identificabile a cui si riferiscono i Dati personali e include il "consumatore" come definito nelle leggi e nei regolamenti sulla protezione dei dati.
  • Per "Europa" si intende l'Unione Europea, lo Spazio Economico Europeo, la Svizzera e il Regno Unito. Ulteriori disposizioni applicabili ai trasferimenti di dati personali dall'Europa sono contenute nell'Allegato 5. Nel caso in cui l'Allegato 5 venga rimosso, il Cliente garantisce che non tratterà i Dati personali in base alle leggi e ai regolamenti europei sulla protezione dei dati.
  • Per “GDPR” si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
  • Per “Gruppo OwnBackup” si intende OwnBackup e le sue affiliate impegnate nel trattamento dei dati personali.
  • Per “Dati personali” si intende qualsiasi informazione relativa a (i) una persona fisica identificata o identificabile e, (ii) un soggetto giuridico identificato o identificabile (laddove tali informazioni siano protette in modo simile ai dati personali, alle informazioni personali o alle informazioni di identificazione personale ai sensi dei dati applicabili Leggi e regolamenti sulla protezione), dove per ciascuno (i) o (ii), tali dati sono Dati del cliente.
  • "Servizi di trattamento dei dati personali" indica i Servizi SaaS elencati nell'Allegato 2, per i quali OwnBackup può trattare i Dati personali.
  • Per “trattamento” si intende qualsiasi operazione o insieme di operazioni eseguite sui dati personali, anche con mezzi automatici, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.
  • Per “Responsabile del trattamento” si intende l'entità che tratta i dati personali per conto del Titolare, incluso, a seconda dei casi, qualsiasi “fornitore di servizi” come definito dal CCPA.
  • Per “Clausole Contrattuali Tipo” si intende l'Allegato alla Decisione di esecuzione (UE) 2021/914 della Commissione Europea https://eur-lex.europa.eu/eli/decimpl/2021/914/0i) Del 4 giugno 2021 sulle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi del Regolamento (UE) 2016/679 Del Parlamento Europeo e del Consiglio Dell'Unione Europea e soggette alle necessarie modifiche per gli Stati Uniti Regno Unito e Svizzera ulteriormente descritti nell'Allegato 5.
  • Per “Sub-responsabile” si intende qualsiasi Responsabile incaricato da OwnBackup, da un membro del Gruppo OwnBackup o da un altro Sub-responsabile.
  • Per "Autorità di vigilanza" si intende un organismo di regolamentazione governativo o istituito dal governo avente autorità legale vincolante sul Cliente.
  • Per "Addendum del Regno Unito" si intende l'addendum sul trasferimento internazionale dei dati del Regno Unito alle clausole contrattuali tipo della Commissione UE (disponibile a partire dal 21 marzo 2022 all'indirizzo https://ico.org.uk/for-organisations/guide-to-data-protection/ guide -to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/), compilato come descritto nell'Allegato 5.
  • Per “Legge sulla protezione dei dati del Regno Unito” si intende il regolamento 2016/679 del Parlamento europeo e del Consiglio sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati in quanto fa parte della legge dell'Inghilterra e Galles, Scozia e Irlanda del Nord in virtù della sezione 3 della legge sull'Unione Europea (Recesso) del 2018, come di volta in volta modificata dalle leggi e dai regolamenti sulla protezione dei dati del Regno Unito.

ORDINE DI PRECEDENZA

  • UN. Ad eccezione delle clausole contrattuali tipo qui incorporate, che avranno la precedenza, in caso di incoerenza tra il presente DPA supplementare e il DPA esistente, prevarranno i termini del DPA esistente.

LIMITAZIONE DI RESPONSABILITÀ

  • UN. Nella misura consentita dalle leggi e dai regolamenti sulla protezione dei dati, la responsabilità di ciascuna parte e di tutte le sue affiliate, prese insieme in totale, derivanti da o correlate al presente DPA supplementare, sia per contratto, torto o qualsiasi altra teoria di responsabilità, è soggetto alle clausole "Limite di responsabilità" e ad altre clausole che escludono o limitano la responsabilità del Contratto, e qualsiasi riferimento in tali clausole alla responsabilità di una parte indica la responsabilità complessiva di quella parte e di tutte le sue affiliate.

MODIFICHE AI MECCANISMI DI TRASFERIMENTO

  • UN. Nel caso in cui un attuale meccanismo di trasferimento utilizzato dalle parti per facilitare i trasferimenti di dati personali verso uno o più paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati venga invalidato, modificato , o sostituite, le parti lavoreranno in buona fede per attuare tale meccanismo di trasferimento alternativo per consentire il proseguimento del Trattamento dei Dati Personali contemplato dal Contratto. L'utilizzo di tale meccanismo di trasferimento alternativo sarà soggetto al rispetto da parte di ciascuna parte di tutti i requisiti legali per l'utilizzo di tale meccanismo di trasferimento.

I firmatari autorizzati delle parti hanno debitamente sottoscritto il presente Contratto, inclusi tutti gli Allegati, gli Allegati e le Appendici applicabili qui incorporati.

Addendum sull'elaborazione dati supplementare di Ownbackup-FIG-1

Elenco degli orari

  • Programma 1: elenco attuale dei sub-responsabili del trattamento
  • Allegato 2: Servizi SaaS applicabili al trattamento dei dati personali
  • Allegato 3: Dettagli del trattamento
  • Programma 4: Controlli di sicurezza OwnBackup
  • Allegato 5: Disposizioni europee

PROGRAMMA 1

Elenco corrente dei sub-responsabili del trattamento

Sub-responsabile del trattamento Nome Indirizzo del sub-responsabile Natura del trattamento Durata del trattamento Luogo del Trattamento
OwnBackup limitato 3 Aluf Kalman Magen StZ, Tel Aviv 6107075, Israele Assistenza clienti e manutenzione Per la durata del Contratto. Israele
Amazzone Web Servizi, Inc.* 410 Terry Avenue Nord, Seattle, Washington 98109, Stati Uniti Hosting di applicazioni e archiviazione dei dati Per la durata del Contratto. Stati Uniti, Canada, Germania, Regno Unito o Australia
Microsoft Corporation (Azure)* One Microsoft Way, Redmond, Washington 98052, Stati Uniti Hosting di applicazioni e archiviazione dei dati Per la durata del Contratto. Paesi Bassi o Stati Uniti
Elasticsearch, Inc.**  

800 West El Camino Real, Suite 350, Montagna View,California 94040, Stati Uniti

 Indicizzazione e ricerca Per la durata del Contratto. Paesi Bassi o Stati Uniti
  • Il cliente può scegliere Amazon Web Services o Microsoft (Azure) e la sua Posizione di elaborazione desiderata durante la configurazione iniziale dei Servizi SaaS da parte del Cliente.
  • Si applica solo ai clienti OwnBackup Archive che scelgono di eseguire la distribuzione nel cloud Microsoft (Azure).

PROGRAMMA 2

Servizi SaaS applicabili al trattamento dei dati personali

  • OwnBackup Enterprise per Salesforce
  • OwnBackup Unlimited per Salesforce
  • OwnBackup Governance Plus per Salesforce
  • Archivio OwnBackup
  • Porta la tua gestione delle chiavi
  • Semina in sandbox

PROGRAMMA 3

Dettagli del trattamento

Esportatore di dati

  • Nome legale completo: nome del cliente come sopra specificato
  • Indirizzo principale: indirizzo del cliente come sopra specificato
  • Contatto: se non diversamente specificato, questo sarà il contatto principale sull'account del Cliente.
  • Email di contatto: se non diversamente specificato, questo sarà l'indirizzo email di contatto principale sull'account del Cliente.

Importatore dati

  • Nome legale completo: OwnBackup Inc.
  • Indirizzo principale: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
  • Contatto: Responsabile della privacy
  • E-mail di contatto: privacy@ownbackup.com

Natura e finalità del trattamento

  • OwnBackup elaborerà i Dati personali secondo necessità per eseguire i Servizi SaaS ai sensi dell'Accordo e degli Ordini e come ulteriormente indicato dal Cliente nell'utilizzo dei Servizi SaaS.

Durata del trattamento

  • OwnBackup elaborerà i Dati personali per la durata del Contratto, salvo diverso accordo scritto.

Conservazione

  • OwnBackup conserverà i Dati personali nei Servizi SaaS per la durata del Contratto, salvo diverso accordo scritto, soggetto al periodo di conservazione massimo specificato nella Documentazione.

Frequenza del trasferimento

  • Come determinato dal Cliente attraverso l'utilizzo dei Servizi SaaS.

Trasferimenti a sub-responsabili

  • Se necessario per eseguire i Servizi SaaS ai sensi dell'Accordo e degli Ordini, e come ulteriormente descritto nell'Allegato 1.

Categorie di Interessati
Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che possono includere, a titolo esemplificativo ma non esaustivo, Dati personali relativi alle seguenti categorie di interessati:

  • Potenziali clienti, partner commerciali e fornitori del Cliente (che sono persone fisiche)
  • Dipendenti o persone di contatto di potenziali clienti, clienti, partner commerciali e fornitori
  • Dipendenti, agenti, consulenti, liberi professionisti del Cliente (che siano persone fisiche) Utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi SaaS

Tipologia di Dati Personali
Il Cliente può inviare Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, le seguenti categorie di Dati personali:

  • Nome e cognome
  • Titolo
  • Posizione
  • Datore di lavoro
  • Informazioni di contatto (azienda, e-mail, telefono, indirizzo fisico dell'attività)
  • Dati identificativi
  • Dati sulla vita professionale
  • Dati personali sulla vita
  • Dati di localizzazione

Categorie speciali di dati (se appropriato)
Il Cliente può inviare categorie speciali di Dati personali ai Servizi SaaS, la cui portata è determinata e controllata dal Cliente a sua esclusiva discrezione e che per motivi di chiarezza potrebbe includere il trattamento di dati genetici, dati biometrici allo scopo di identificare una persona fisica o dati relativi alla salute. Consultare le misure nell'Allegato 4 per sapere come OwnBackup protegge categorie speciali di dati e altri dati personali

PROGRAMMA 4

Controlli di sicurezza OwnBackup 3.3

Introduzione

  • Le applicazioni OwnBackup software-as-a-service (Servizi SaaS) sono state progettate fin dall'inizio tenendo presente la sicurezza. I servizi SaaS sono progettati con una varietà di controlli di sicurezza su più livelli per affrontare una serie di rischi per la sicurezza. Questi controlli di sicurezza sono soggetti a modifiche; tuttavia, qualsiasi modifica manterrà o migliorerà il livello di sicurezza generale.
  • Le descrizioni dei controlli di seguito si applicano alle implementazioni del servizio SaaS sia su Amazon Web Services (AWS) e Microsoft Azure (Azure) (collettivamente indicati come i nostri fornitori di servizi cloud o CSP), ad eccezione di quanto specificato nella sezione Crittografia di seguito. Queste descrizioni dei controlli non si applicano al software RevCult ad eccezione di quanto previsto in "Sviluppo software sicuro" di seguito.

Audit e Certificazioni

  • I Servizi SaaS sono certificati ISO/IEC 27001:2013 (Sistema di gestione della sicurezza delle informazioni) e ISO/IEC 27701:2019 (Sistema di gestione delle informazioni sulla privacy).
  • OwnBackup è sottoposto a un audit annuale SOC2 Tipo II ai sensi di SSAE-18 per verificare in modo indipendente l'efficacia delle sue pratiche, politiche, procedure e operazioni di sicurezza delle informazioni per i seguenti criteri dei servizi fiduciari: sicurezza, disponibilità, riservatezza e integrità dell'elaborazione.
  • OwnBackup utilizza regioni CSP globali per l'elaborazione e l'archiviazione per i servizi SaaS. AWS e Azure sono strutture di alto livello con numerosi accreditamenti, tra cui SOC1 – SSAE-18, SOC2, SOC3, ISO 27001 e HIPAA.

Web Controlli di sicurezza delle applicazioni

  • L'accesso del cliente ai Servizi SaaS avviene solo tramite HTTPS (TLS1.2+), stabilendo la crittografia dei dati in transito tra l'utente finale e l'applicazione e tra OwnBackup e la fonte dati di terze parti (ad esempio, Salesforce).
  • Gli amministratori del servizio SaaS del cliente possono effettuare il provisioning e il deprovisioning degli utenti del servizio SaaS e dell'accesso associato secondo necessità.
  • I Servizi SaaS forniscono controlli di accesso basati sui ruoli per consentire ai clienti di gestire le autorizzazioni multi-organizzazione.
  • Gli amministratori del servizio SaaS del cliente possono accedere agli audit trail inclusi nome utente, azione e oraampe campi dell'indirizzo IP di origine. I registri di controllo possono essere viewed esportati dall'amministratore del servizio SaaS del cliente che ha effettuato l'accesso ai servizi SaaS e tramite l'API dei servizi SaaS.
  • L'accesso ai Servizi SaaS può essere limitato dall'indirizzo IP di origine.
  • I Servizi SaaS consentono ai clienti di abilitare l'autenticazione a più fattori per accedere agli account del Servizio SaaS utilizzando password monouso basate sul tempo.
  • I Servizi SaaS consentono ai clienti di abilitare il Single Sign-On tramite provider di identità SAML 2.0.
  • I Servizi SaaS consentono ai clienti di abilitare policy password personalizzabili per aiutare ad allineare le password del Servizio SaaS alle policy aziendali.

Crittografia
OwnBackup offre le seguenti opzioni del servizio SaaS per la crittografia dei dati inattivi:
Offerta standard.

  • I dati vengono crittografati utilizzando la crittografia lato server AES-256 tramite un sistema di gestione delle chiavi convalidato secondo FIPS 140-2.
  • La crittografia a busta viene utilizzata in modo tale che la chiave principale non lasci mai l'Hardware Security Module (HSM).
  • Le chiavi di crittografia vengono ruotate almeno ogni due anni.

Opzione di gestione avanzata delle chiavi (AKM).

  • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato con una chiave di crittografia master (CMK) fornita dal cliente.
  • AKM consente l'archiviazione futura della chiave e la sua rotazione con un'altra chiave di crittografia principale.
  • Il cliente può revocare le chiavi di crittografia master, con conseguente inaccessibilità immediata dei dati.

Opzione Bring Your Own Key Management System (KMS) (disponibile solo su AWS).

  • Le chiavi di crittografia vengono create nell'account del cliente acquistato separatamente utilizzando AWS KMS.
  • Il cliente definisce la policy della chiave di crittografia che consente all'account del servizio SaaS del cliente su AWS di accedere alla chiave dall'AWS KMS del cliente.
  • I dati vengono crittografati in un contenitore di archiviazione di oggetti dedicato gestito da OwnBackup e configurato per utilizzare la chiave di crittografia del cliente.
  • Il cliente può revocare immediatamente l'accesso ai dati crittografati revocando l'accesso di OwnBackup alla chiave di crittografia, senza interagire con OwnBackup.
  • I dipendenti di OwnBackup non hanno mai accesso alle chiavi di crittografia e non accedono direttamente al KMS.
  • Tutte le attività di utilizzo delle chiavi vengono registrate nel KMS del cliente, compreso il recupero delle chiavi tramite l'object storage dedicato.

La crittografia in transito tra i Servizi SaaS e l'origine dati di terze parti (ad esempio, Salesforce) utilizza HTTPS con TLS 1.2+ e OAuth 2.0.

Rete

  • I servizi SaaS utilizzano controlli di rete CSP per limitare l'ingresso e l'uscita dalla rete.
  • I gruppi di sicurezza con stato vengono utilizzati per limitare l'ingresso e l'uscita della rete agli endpoint autorizzati.
  • I servizi SaaS utilizzano un'architettura di rete multilivello, che include più Amazon Virtual Private Cloud (VPC) o reti virtuali di Azure (VNet) separate logicamente, sfruttando zone private, DMZ e non attendibili all'interno dell'infrastruttura CSP.
  •  In AWS, le restrizioni dell'endpoint VPC S3 vengono utilizzate in ciascuna regione per consentire l'accesso solo dai VPC autorizzati.

Monitoraggio e controllo

  • I sistemi e le reti del Servizio SaaS vengono monitorati per incidenti di sicurezza, integrità del sistema, anomalie di rete e disponibilità.
  • I servizi SaaS utilizzano un sistema di rilevamento delle intrusioni (IDS) per monitorare l'attività di rete e avvisare OwnBackup di comportamenti sospetti.
  • I Servizi SaaS utilizzano web firewall applicativi (WAF) per tutto il pubblico web servizi.
  • OwnBackup registra gli eventi di applicazioni, rete, utente e sistema operativo su un server syslog locale e un SIEM specifico per la regione. Questi registri vengono automaticamente analizzati e riviewed per attività sospette e minacce. Eventuali anomalie vengono segnalate in modo appropriato.
  • OwnBackup utilizza sistemi SIEM (Security Information and Event Management) che forniscono un'analisi continua della sicurezza delle reti e dell'ambiente di sicurezza dei servizi SaaS, avvisi di anomalie degli utenti, ricognizione degli attacchi di comando e controllo (C&C), rilevamento automatizzato delle minacce e segnalazione di indicatori di compromissione (IOC) ). Tutte queste funzionalità sono gestite dal personale operativo e di sicurezza di OwnBackup.
  • Il team di risposta agli incidenti di OwnBackup monitora l'alias security@ownbackup.com e risponde in base al piano di risposta agli incidenti (IRP) dell'azienda, quando appropriato.

Isolamento tra conti

  • I servizi SaaS utilizzano il sandboxing Linux per isolare i dati degli account dei clienti durante l'elaborazione. Questo aiuta a garantire che qualsiasi anomalia (ad esample, a causa di un problema di sicurezza o di un bug del software) rimane confinato a un singolo account OwnBackup.
  • L'accesso ai dati del tenant è controllato tramite utenti IAM univoci con dati tagging che impedisce agli utenti non autorizzati di accedere ai dati del tenant.

Ripristino dopo un disastro

  • OwnBackup utilizza l'archiviazione di oggetti CSP per archiviare i dati dei clienti crittografati su più zone di disponibilità.
  • Per i dati dei clienti archiviati sullo storage di oggetti, OwnBackup utilizza il controllo delle versioni degli oggetti con invecchiamento automatico per supportare la conformità con le policy di backup e ripristino di emergenza di OwnBackup. Per questi oggetti, i sistemi OwnBackup sono progettati per supportare un obiettivo del punto di ripristino (RPO) di 0 ore (ovvero, la capacità di ripristinare qualsiasi versione di qualsiasi oggetto così come esisteva nel periodo di 14 giorni precedente).
  • Qualsiasi ripristino richiesto di un'istanza di calcolo viene eseguito ricostruendo l'istanza in base all'automazione della gestione della configurazione di OwnBackup.
  • Il piano di ripristino di emergenza di OwnBackup è progettato per supportare un obiettivo di tempo di ripristino (RTO) di 4 ore.

Gestione delle vulnerabilità

  • OwnBackup esegue operazioni periodiche web valutazioni della vulnerabilità delle applicazioni, analisi del codice statico e valutazioni dinamiche esterne come parte del suo programma di monitoraggio continuo per aiutare a garantire che i controlli di sicurezza delle applicazioni siano applicati correttamente e funzionino in modo efficace.
  • Su base semestrale, OwnBackup assume penetration tester indipendenti di terze parti per eseguire sia la rete che web valutazioni di vulnerabilità. L'ambito di questi audit esterni include la conformità rispetto all'Open Web Progetto di sicurezza delle applicazioni (OWASP) Top 10 Web Vulnerabilità (www.owasp.org).
  • I risultati della valutazione delle vulnerabilità vengono incorporati nel ciclo di vita dello sviluppo software (SDLC) di OwnBackup per correggere le vulnerabilità identificate. A specifiche vulnerabilità viene assegnata la priorità e inserite nel sistema di ticket interno di OwnBackup per il monitoraggio fino alla risoluzione.

Risposta agli incidenti

  • In caso di potenziale violazione della sicurezza, il team di risposta agli incidenti di OwnBackup eseguirà una valutazione della situazione e svilupperà strategie di mitigazione adeguate. Se una potenziale violazione viene confermata, OwnBackup agirà immediatamente per mitigare la violazione e preservare le prove forensi e avviserà i principali punti di contatto dei clienti interessati senza indebito ritardo per informarli sulla situazione e fornire aggiornamenti sullo stato della risoluzione.

Sviluppo software sicuro

  • OwnBackup utilizza pratiche di sviluppo sicure per le applicazioni software OwnBackup e RevCult durante l'intero ciclo di vita dello sviluppo del software. Queste pratiche includono l'analisi statica del codice, la sicurezza Salesforce review per le applicazioni RevCult e per le applicazioni OwnBackup installate nelle istanze Salesforce dei clienti, peer review delle modifiche al codice, limitando l'accesso al repository del codice sorgente in base al principio del privilegio minimo e registrando l'accesso e le modifiche al repository del codice sorgente.

Team di sicurezza dedicato

  • OwnBackup dispone di un team di sicurezza dedicato con oltre 100 anni di esperienza combinata e sfaccettata nella sicurezza delle informazioni. Inoltre, i membri del team mantengono una serie di certificazioni riconosciute nel settore, incluse ma non limitate a CISM, CISSP e Lead Auditor ISO 27001.

Privacy e protezione dei dati

  • OwnBackup fornisce supporto nativo per le richieste di accesso degli interessati, come il diritto alla cancellazione (diritto all'oblio) e all'anonimizzazione, per supportare la conformità alle normative sulla privacy dei dati, incluso il Regolamento generale sulla protezione dei dati (GDPR), la Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA) e il California Consumer Privacy Act (CCPA). OwnBackup fornisce inoltre un Addendum sull'elaborazione dei dati per affrontare le leggi sulla privacy e sulla protezione dei dati, compresi i requisiti legali per i trasferimenti internazionali di dati.

Verifiche dei precedenti penali

  •  OwnBackup esegue una serie di controlli sui precedenti, inclusi controlli sui precedenti penali, del proprio personale che potrebbe avere accesso ai dati dei clienti, in base alle giurisdizioni di residenza del dipendente durante i sette anni precedenti, in conformità alla legge applicabile.

Assicurazione
OwnBackup mantiene, come minimo, la seguente copertura assicurativa: (a) assicurazione per la compensazione dei lavoratori in conformità con tutte le leggi applicabili; (b) assicurazione di responsabilità civile automobilistica per veicoli non di proprietà e noleggiati, con un limite unico combinato di $ 1,000,000; (c) assicurazione di responsabilità civile generale commerciale (responsabilità pubblica) con copertura a limite unico di $ 1,000,000 per evento e copertura generale complessiva di $ 2,000,000; (d) assicurazione per errori e omissioni (responsabilità professionale) con un limite di $ 20,000,000 per evento e $ 20,000,000 complessivi, inclusi livelli primari e in eccesso, e inclusi responsabilità informatica, tecnologia e servizi professionali, prodotti tecnologici, sicurezza dei dati e della rete, risposta alle violazioni, normative responsabilità di difesa e sanzioni, estorsione informatica e recupero dati; e (e) assicurazione contro la disonestà/crimine dei dipendenti con una copertura di $ 5,000,000. OwnBackup fornirà al Cliente, su richiesta, la prova di tale assicurazione.

PROGRAMMA 5

Disposizioni Europee

Questo programma si applica solo ai trasferimenti di Dati personali (inclusi i trasferimenti successivi) dall'Europa che, in assenza dell'applicazione di queste disposizioni, causerebbero al Cliente oa OwnBackup una violazione delle leggi e dei regolamenti sulla protezione dei dati applicabili.

Meccanismo di trasferimento per i trasferimenti di dati.

  • a) Le clausole contrattuali standard si applicano a qualsiasi trasferimento di dati personali ai sensi del presente DPA supplementare dall'Europa verso paesi che non garantiscono un livello adeguato di protezione dei dati ai sensi delle leggi e dei regolamenti sulla protezione dei dati di tali territori, nella misura in cui tali trasferimenti sono soggetti a tali leggi e regolamenti sulla protezione dei dati. OwnBackup aderisce alle clausole contrattuali tipo come importatore di dati. I termini aggiuntivi del presente Allegato si applicano anche a tali trasferimenti di dati.

Trasferimenti soggetti alle clausole contrattuali tipo.

  • a) Clienti Coperti dalle Clausole Contrattuali Tipo. Le clausole contrattuali standard ei termini aggiuntivi specificati nel presente Allegato si applicano a (i) Cliente, nella misura in cui il Cliente è soggetto alle leggi e ai regolamenti europei sulla protezione dei dati e, (ii) alle sue Affiliate autorizzate. Ai fini delle clausole contrattuali standard e del presente allegato, tali entità sono "esportatori di dati".
  • b) Moduli. Le Parti convengono che, laddove possano essere applicati moduli opzionali nell'ambito delle clausole contrattuali tipo, si applichino solo quelli etichettati come "MODULO DUE: trasferimento del titolare al responsabile del trattamento".
  • c) Istruzioni. Le Parti convengono che l'utilizzo da parte del Cliente dei Servizi di trattamento dei dati personali in conformità con il Contratto e il DPA esistente sono considerati istruzioni del Cliente per il trattamento dei Dati personali ai fini della Clausola 8.1 delle Clausole contrattuali standard.
  • d) Nomina di nuovi Sub-responsabili ed Elenco degli Attuali Sub-Responsabili. Ai sensi dell'OPZIONE 2 alla Clausola 9(a) delle Clausole contrattuali standard, il Cliente accetta che OwnBackup possa assumere nuovi Sub-responsabili come descritto nel DPA esistente e che le Affiliate di OwnBackup possano essere mantenute come Sub-incaricati, e che OwnBackup e le Affiliate di OwnBackup possano assumere terzi -responsabili del trattamento dei dati in relazione alla fornitura dei Servizi di elaborazione dati. L'elenco attuale dei Sub-responsabili come allegato come Allegato 1.
  • Contratti di sub-responsabile. Le parti concordano che i trasferimenti di dati ai Sub-responsabili possono basarsi su un meccanismo di trasferimento diverso dalle clausole contrattuali tipo (ad es.ample, regole aziendali vincolanti) e che gli accordi di OwnBackup con tali Subincaricati potrebbero pertanto non incorporare o rispecchiare le clausole contrattuali standard, nonostante qualsiasi disposizione contraria nella clausola 9(b) delle clausole contrattuali standard. Tuttavia, qualsiasi accordo di questo tipo con un Sub-responsabile conterrà obblighi di protezione dei dati non meno protettivi di quelli del presente DPA supplementare in materia di protezione dei Dati del cliente, nella misura applicabile ai servizi forniti da tale Sub-responsabile. Le copie degli accordi del Sub-responsabile che devono essere fornite da OwnBackup al Cliente ai sensi della Clausola 9(c) delle Clausole contrattuali standard saranno fornite da OwnBackup solo su richiesta scritta del Cliente e possono contenere tutte le informazioni commerciali o clausole non correlate a le clausole contrattuali tipo o equivalenti, precedentemente rimosse da OwnBackup.
  • f) Verifiche e certificazioni. Le parti convengono che gli audit descritti nella Clausola 8.9 e nella Clausola 13(b) delle Clausole Contrattuali Standard saranno effettuati in conformità con i termini del DPA Esistente.
  • g) Cancellazione dei dati. Le parti concordano che la cancellazione o la restituzione dei dati contemplati dalla Clausola 8.5 o dalla Clausola 16(d) delle Clausole Contrattuali Standard sarà effettuata in conformità con i termini del DPA Esistente e qualsiasi certificazione di cancellazione sarà fornita da OwnBackup solo su richiesta del Cliente richiesta.
  • h) Terzi Beneficiari. Le parti concordano che, in base alla natura dei Servizi SaaS, il Cliente fornirà tutta l'assistenza necessaria per consentire a OwnBackup di adempiere ai propri obblighi nei confronti degli interessati ai sensi della Clausola 3 delle Clausole contrattuali tipo.
  • Valutazione di impatto. Ai sensi dell'articolo 14 delle Clausole Contrattuali Tipo le parti hanno effettuato un'analisi, nel contesto delle specifiche circostanze del trasferimento, delle leggi e delle prassi del Paese di destinazione, nonché delle specifiche integrazioni contrattuali, organizzative e tecniche garanzie applicabili e, sulla base delle informazioni a loro ragionevolmente note in quel momento, hanno stabilito che le leggi e le pratiche del paese di destinazione non impediscono alle parti di adempiere agli obblighi di ciascuna parte ai sensi delle clausole contrattuali tipo.
  • j) Legge applicabile e foro competente. Le parti concordano, in relazione all'OPZIONE 2 alla clausola 17, che nel caso in cui lo Stato membro dell'UE in cui è stabilito l'esportatore di dati non consenta diritti di terzi beneficiari, le clausole contrattuali standard saranno disciplinate dalla legge di Irlanda. Ai sensi della clausola 18, le controversie associate alle clausole contrattuali standard saranno risolte dai tribunali specificati nell'Accordo, a meno che tale tribunale non sia situato in uno Stato membro dell'UE, nel qual caso il foro per tali controversie sarà il tribunale dell'Irlanda .
  • k) Allegati. Ai fini dell'esecuzione delle clausole contrattuali tipo, l'Allegato 3: Dettagli del trattamento sarà incorporato come ALLEGATO IA e IB, Allegato 4: Controlli di sicurezza OwnBackup (che può essere aggiornato di volta in volta https://www.ownbackup.com/trust/) sarà incorporato come ALLEGATO II e Allegato 1: Elenco attuale dei sub-responsabili del trattamento (come può essere aggiornato di volta in volta all'indirizzo https://www.ownbackup.com/legal/sub-p/) sarà incorporato come ALLEGATO III.
  • l) Interpretazione. I termini del presente allegato hanno lo scopo di chiarire e non di modificare le clausole contrattuali standard. In caso di conflitto o incoerenza tra il corpo del presente Allegato e le clausole contrattuali tipo, prevarranno le clausole contrattuali tipo.

Disposizioni applicabili ai trasferimenti dalla Svizzera
Le parti convengono che, ai fini dell'applicabilità delle clausole contrattuali tipo per agevolare i trasferimenti di dati personali dalla Svizzera, si applicheranno le seguenti disposizioni aggiuntive: (i) Eventuali riferimenti al Regolamento (UE) 2016/679 dovranno essere interpretati come riferimento alle corrispondenti disposizioni del Regolamento (UE) XNUMX/XNUMX. la Legge federale svizzera sulla protezione dei dati e altre leggi sulla protezione dei dati della Svizzera ("Leggi svizzere sulla protezione dei dati"), (ii) Qualsiasi riferimento a "Stato membro" o "Stato membro dell'UE" o "UE" dovrà essere interpretato come riferimento alla Svizzera, e (iii) Qualsiasi riferimento all'Autorità di controllo sarà interpretato come riferimento al Commissario federale svizzero per la protezione dei dati e l'informazione.

Disposizioni applicabili ai trasferimenti dal Regno Unito.
Le parti convengono che l'Addendum del Regno Unito si applica ai trasferimenti di dati personali disciplinati dalla legge sulla protezione dei dati del Regno Unito e sarà considerato completato come segue (con i termini in maiuscolo non definiti altrove avendo la definizione stabilita nell'Addendum del Regno Unito):

  • a) Tabella 1: Le parti, i loro dati e i loro contatti sono quelli indicati nell'Allegato 3.
  • b) Tabella 2: le "Clausole contrattuali standard UE approvate" sono le clausole contrattuali standard come stabilito nel presente Allegato 5.
  • c) Tabella 3: gli allegati I(A), I(B) e II sono completati come indicato nella sezione 2(k) del presente Allegato 5.
  • d) Tabella 4: OwnBackup può esercitare il diritto facoltativo di risoluzione anticipata descritto nella Sezione 19 dell'Addendum del Regno Unito.

Documenti / Risorse

Addendum supplementare sull'elaborazione dei dati di Ownbackup [pdf] Istruzioni
Addendum supplementare sull'elaborazione dei dati, Addendum sull'elaborazione dei dati, Addendum

Riferimenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *