Accord sur le traitement des données

Tout ce que vous devez savoir sur notre Accord de traitement des données.

GDPR - Accord de traitement de données

Ce protocole a été rédigé en Anglais. La version Anglaise de ce protocole prévaut en cas de divergence entre la version traduite et la version originale.

Le présent accord de traitement des données («DPA») reflète l'accord entre Intuitive Security Systems Pty Ltd («ISS») et vous (collectivement les «parties») en ce qui concerne les conditions régissant le traitement des données personnelles sous le Intuitive Password Conditions d'utilisation (" TDS ").

Cet APD constitue une modification à l'énoncé de qualités et prend effet dès son incorporation dans l'énoncé de qualités, laquelle incorporation peut être précisée dans un contrat d'achat («Commande») ou dans une modification apportée à l'Énoncé des termes. Lors de son incorporation dans le TdS, le DPA fera partie du TdS. Avec l'incorporation, vous reconnaissez qu'ISS est un fournisseur de sécurité sans connaissances. Seul l'utilisateur Intuitive Password a un contrôle total sur le cryptage et le décryptage des données stockées dans leurs comptes. De plus, vous reconnaissez que ISS est certifiée conforme à SOC 2 Type 2.

Dans tous les cas, Intuitive Password («Processeur»), ou une tierce partie agissant pour le compte de Processor, agit en tant que processeur des Données Personnelles et vous («Contrôleur») êtes le Contrôleur des Données Personnelles. Le terme de cette DPA doit suivre la durée de la ToS. Les termes qui ne sont pas définis dans le présent document ont la même signification que celle énoncée dans l'énoncé de qualités.

Ce DPA comprend:

1 Clauses contractuelles types, ci-jointe en tant qu'EXPOSANT 1.

A. L'appendice 1 des clauses contractuelles types, qui contient des précisions sur les données à caractère personnel transférées par l'exportateur de données à l'importateur de données.

B. L'appendice 2 des clauses contractuelles types, qui comprend une description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données, comme indiqué.

2 Liste des sous-traitants, ci-jointe comme pièce 2.

1. Définitions

Données personnelles désigne tout élément d'information individuel concernant les circonstances personnelles ou matérielles d'une personne identifiée ou identifiable.

Traitement désigne le traitement de Données à Caractère Personnel pour le compte, englobant le stockage, la modification, le transfert, le blocage ou l'effacement de données à caractère personnel par le processeur agissant pour le compte du Contrôleur.

Instruction signifie l'instruction écrite, émise par le Contrôleur au Processeur, et la diriger pour effectuer une action spécifique en ce qui concerne les Données Personnelles (y compris, mais sans s'y limiter, dépersonnaliser, bloquer, supprimer, mettre à disposition). Les instructions doivent d'abord être spécifiées dans le cahier des charges et peuvent, de temps à autre, être modifiées, amplifiées ou remplacées par le contrôleur dans des instructions écrites distinctes (instructions individuelles).

2. Portée et responsabilité

Le processeur doit traiter les données personnelles au nom du contrôleur. Le traitement doit inclure les actions qui peuvent être spécifiées dans les conditions d'utilisation et une commande. Dans le cadre de la ToS, le Contrôleur est seul responsable du respect des exigences légales en matière de protection des données, en particulier en ce qui concerne le transfert des Données Personnelles au Processeur et le Traitement des Données Personnelles (agissant en tant qu '"organisme responsable" Article 3 paragraphe 7 de la loi allemande sur la protection des données (BDSG) ou une disposition correspondante de la loi nationale sur la protection des données applicable par ailleurs).

Sur la base de cette responsabilité, le Contrôleur est en droit d'exiger la rectification, la suppression, le blocage et la mise à disposition des Données Personnelles pendant et après la durée des Conditions d'Utilisation conformément aux spécifications de cet accord sur le retour et la suppression des données personnelles.

Les réglementations de cette DPA s'appliqueront également si le test ou la maintenance des processus automatiques ou de l'équipement de traitement est effectué pour le compte du contrôleur, et l'accès aux données personnelles dans un tel contexte ne peut être exclu.

3. Obligations du processeur

Le processeur doit collecter, traiter et utiliser les données personnelles uniquement dans le cadre des instructions du contrôleur. Si le Processeur estime qu'une instruction du Contrôleur enfreint le BDSG ou d'autres dispositions relatives à la protection des données, il doit le signaler sans délai au donneur d'ordre.

Dans la zone de responsabilité du Processeur, le Processeur doit structurer l'organisation interne du Processeur pour assurer la conformité avec les exigences spécifiques de la protection des Données Personnelles. Le processeur doit prendre les mesures techniques et organisationnelles appropriées pour protéger adéquatement les données personnelles du contrôleur contre les abus et les pertes conformément aux dispositions de la loi allemande sur la protection des données (article 9 BDSG) ou à une disposition correspondante de la loi nationale sur la protection des données. Ces mesures comprennent, sans s'y limiter:

1 Empêcher les personnes non autorisées d'avoir accès aux systèmes de traitement des données à caractère personnel (contrôle d'accès physique).

2 La prévention de l'utilisation des systèmes de traitement de données à caractère personnel sans autorisation (contrôle d'accès logique).

3 Veiller à ce que les personnes habilitées à utiliser un système de traitement des données personnelles aient accès uniquement aux données personnelles auxquelles elles ont accès conformément à leurs droits d'accès et que, lors du traitement ou de l'utilisation et après stockage, les données personnelles ne puissent pas être lues , copié, modifié ou supprimé sans autorisation (contrôle d'accès aux données).

4 Veiller à ce que les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur support de stockage, et que les entités cibles puissent être établies et vérifiées par des moyens de transmission de données. contrôle de transfert).

5 Veiller à l'établissement d'une piste d'audit pour documenter si et par qui les données personnelles ont été saisies, modifiées ou supprimées des systèmes de traitement des données à caractère personnel (contrôle d'accès).

6 S'assurer que les données personnelles sont traitées uniquement conformément aux instructions (contrôle des instructions).

7 S'assurer que les données personnelles sont protégées contre la destruction ou la perte accidentelle (contrôle de disponibilité).

8 S'assurer que les données personnelles collectées à des fins différentes peuvent être traitées séparément (contrôle de séparation).

Une mesure telle que visée à la lit. b à d ci-dessus doit être en particulier, mais ne doit pas être limité à, l'utilisation de la technologie de cryptage de pointe pour l'accès client. Un aperçu des mesures techniques et organisationnelles énumérées ci-dessus doit être joint à cet APD en annexe.

À la demande du contrôleur, le processeur doit fournir un programme de protection et de protection des données personnelles en cours couvrant le traitement ci-dessous.

À la demande du Contrôleur, et sauf si le Contrôleur est en mesure d'obtenir directement ces informations, le Processeur fournira toutes les informations nécessaires pour compiler l'aperçu défini par la Session 4g par. 2 phrase 1 BDSG ou une disposition correspondante de la loi nationale sur la protection des données par ailleurs applicable.

Le processeur veillera à ce que tout personnel chargé des données personnelles du contrôleur de traitement s'engage à respecter le principe du secret des données conformément à la session 5 BDSG (ou à une disposition correspondante de la loi nationale sur la protection des données). réglementation du BDSG ou de la loi nationale sur la protection des données L'engagement de secret doit continuer après la fin des activités susmentionnées.

Le responsable du traitement doit désigner un responsable de la protection des données, si cela est requis par la loi et, à la demande du responsable du traitement, le sous-traitant notifie au contrôleur les coordonnées du responsable de la protection des données.

Le responsable du traitement doit, sans retard injustifié, informer le responsable du traitement en cas d'interruption grave des opérations ou de violations par le sous-traitant ou les personnes employées par lui des dispositions visant à protéger les données personnelles ou les conditions spécifiées dans cet accord. Dans un tel cas, le processeur doit mettre en œuvre les mesures nécessaires pour sécuriser les données personnelles et pour atténuer les effets négatifs potentiels sur les personnes concernées et doit convenir de la même chose avec le contrôleur sans retard injustifié. Le sous-traitant doit aider le contrôleur à remplir les obligations de divulgation du contrôleur en vertu de l'article 42a BDSG (ou une disposition correspondante de la loi nationale sur la protection des données par ailleurs applicable).

Le Contrôleur conservera la propriété de tout support support fourni à Processor ainsi que toute copie ou reproduction de celui-ci. Le processeur doit stocker ces supports en toute sécurité et les protéger contre l'accès non autorisé par des tiers. Le processeur doit, à la demande du contrôleur, fournir au contrôleur toutes les informations sur les données personnelles et les informations du contrôleur. Le transformateur est tenu de supprimer en toute sécurité tout matériel de test et de rebut sur la base d'une instruction donnée par le contrôleur au cas par cas. Lorsque le contrôleur en décide ainsi, le processeur doit remettre ce matériel au contrôleur ou le stocker au nom du contrôleur.

Le transformateur est tenu de vérifier lui-même et de vérifier l'exécution des obligations ci-dessus et doit conserver une documentation adéquate de cette vérification.

4. Obligations du contrôleur

Le Contrôleur et le Processeur sont responsables séparément de la conformité avec les réglementations légales en matière de protection des données qui leur sont applicables.

Le contrôleur informe le responsable du traitement sans retard indu et de manière exhaustive de toute erreur ou irrégularité liée aux dispositions légales relatives au traitement des données à caractère personnel détectées lors de la vérification des résultats de ce traitement.

Le contrôleur est tenu de tenir à jour le registre accessible au public tel que défini à la section 4g par. 2 phrase 2 BDSG (ou une disposition correspondante de la loi nationale sur la protection des données par ailleurs applicable).

Le contrôleur est responsable de l'accomplissement des obligations d'information résultant de l'article 42a BDSG ou d'une disposition correspondante de la loi nationale sur la protection des données par ailleurs applicable.

Le contrôleur doit, lors de la résiliation ou de l'expiration du contrat de service et au moyen d'une instruction, stipuler, dans un délai fixé par le processeur, les mesures raisonnables pour renvoyer le support du support de données ou supprimer les données stockées.

Tout coût supplémentaire découlant du retour ou de la suppression de données personnelles après la résiliation ou l'expiration des conditions d'utilisation est à la charge du contrôleur.

5. Demandes de renseignements par sujet de données au contrôleur

Lorsque le contrôleur, sur la base de la loi applicable sur la protection des données, est tenu de fournir des informations à un individu sur la collecte, le traitement ou l'utilisation de ses données personnelles, il doit aider le contrôleur à fournir ces informations. par écrit pour le faire, et (ii) le contrôleur rembourse au transformateur les coûts découlant de cette assistance.

Lorsqu'une personne concernée demande au processeur de corriger, supprimer ou bloquer des données personnelles, le processeur doit renvoyer ces données au contrôleur.

6. Obligations d'audit

Le contrôleur doit, avant le début du traitement, et à intervalles réguliers par la suite, auditer les mesures techniques et organisationnelles prises par le sous-traitant et documenter les résultats obtenus.

À cette fin, le contrôleur peut;

1 Obtenir des informations du processeur

2 Demander au processeur de soumettre au contrôleur une attestation ou un certificat existant par un expert professionnel indépendant;

3 Sur accord anticipé raisonnable et opportun, pendant les heures de bureau régulières et sans interrompre les opérations commerciales de Processor, effectuer une inspection sur site des opérations commerciales du Processeur ou faire effectuer la même chose par un tiers qualifié qui ne doit pas être un concurrent de Processor (tel que déterminé par le processeur).

Le transformateur doit, sur demande écrite du contrôleur et dans un délai raisonnable, fournir au contrôleur toutes les informations nécessaires à cet audit.

7. Sous-traitants

Le sous-traitant a le droit de sous-traiter les obligations du sous-traitant définies dans l'énoncé de confidentialité à des tiers uniquement avec le consentement écrit du contrôleur.

Le Contrôleur consent à la sous-traitance de Processor aux sociétés affiliées de Processor et à des tiers, comme indiqué dans la Pièce 2, des obligations contractuelles de Processor aux termes des présentes.

Si le transformateur a l'intention de former des sous-traitants autres que les entreprises énumérées à la pièce 2, il doit en aviser le contrôleur par écrit (courrier électronique à l'adresse électronique indiquée sur le compte du transformateur pour que le contrôleur soit suffisant) et le donner au contrôleur. la possibilité de s'opposer à l'instruction du sous-traitant dans les 30 jours suivant sa notification. L'objection doit être fondée sur des motifs raisonnables (par exemple, si le Contrôleur prouve qu'il existe des risques importants pour la protection de ses Données Personnelles chez le sous-traitant). Si le Processeur et le Contrôleur ne sont pas en mesure de résoudre une telle objection, l'une ou l'autre des parties peut mettre fin à l'Accord de service en fournissant un avis écrit à l'autre partie. Le contrôleur reçoit un remboursement des frais payés d'avance mais non utilisés pour la période suivant la date d'entrée en vigueur de la résiliation.

Lorsque Processor engage des sous-traitants, le transformateur est tenu de transmettre les obligations contractuelles du transformateur aux sous-traitants. La phrase 1 s'applique en particulier, mais sans s'y limiter, aux exigences contractuelles relatives à la confidentialité, à la protection des données et à la sécurité des données stipulées entre les parties à la ToS.

Lorsqu'un sous-traitant est utilisé, le contrôleur doit avoir le droit de surveiller et d'inspecter le sous-traitant conformément à cet APD et à la section 11 BDSG en conjonction avec l'article 6 de l'annexe de la section 9 BDSG (ou conformément à la disposition correspondante). la loi nationale sur la protection des données par ailleurs applicable). Cela inclut également le droit du Contrôleur d'obtenir des informations du Processeur, sur demande écrite, sur le contenu du contrat et la mise en œuvre des obligations de protection des données dans la relation de sous-traitance, le cas échéant en inspectant les documents contractuels pertinents.

Les dispositions de la présente section 7 s'appliquent également si un sous-traitant dans un pays tiers doit recevoir des instructions. Le Contrôleur autorise le Processeur à convenir au nom et pour le compte du Contrôleur avec un sous-traitant qui traite ou utilise les Données Personnelles du Contrôleur en dehors de l'EEE, pour conclure des Clauses contractuelles standard de l'UE pour le transfert des Données Personnelles aux Processeurs. Établie dans des pays tiers en date du 5 février 2010. Ceci s'applique à partir de la date de cette autorisation en ce qui concerne les clauses contractuelles types (processeurs) de l'UE déjà conclues par le sous-traitant avec ces sous-traitants.

8. Obligation d'informer, formulaire écrit obligatoire, choix de la loi, conditions supplémentaires

Lorsque les Données Personnelles du Contrôleur font l'objet d'une perquisition, d'une saisie, d'une confiscation lors d'une procédure de faillite ou d'insolvabilité, ou d'événements ou mesures similaires de la part de tiers pendant leur traitement, le Responsable informe le Contrôleur sans retard injustifié. Le processeur doit, sans retard indu, notifier à toutes les parties concernées une telle action, que toutes les données personnelles ainsi touchées appartiennent exclusivement au contrôleur et à sa zone de responsabilité, que les données personnelles sont à la seule disposition du contrôleur et que le contrôleur est responsable sens du BDSG (ou une disposition correspondante de la loi nationale sur la protection des données applicable par ailleurs).

En ce qui concerne les mises à jour et les modifications de cet APD, les termes qui s'appliquent dans la 'Modification; Aucune clause de renonciation des «CONDITIONS GÉNÉRALES» dans les Conditions de service ne s'applique.

En cas de conflit, les règles de cette DPA ont préséance sur les règlements de la ToS. Lorsque les règlements individuels de ce DPA sont invalides ou inapplicables, la validité et l'applicabilité des autres règlements de ce DPA ne sont pas affectées.

Les Clauses contractuelles types figurant dans la Pièce 1 ("CCS") s'appliqueront au traitement des Données à caractère personnel par le Processeur en vertu de l'Accord sur les TSE. Lors de l'incorporation de cet APD dans l'énoncé de qualité, les parties indiquées à la section 9 ci-dessous (les parties à la présente APD) acceptent les CPC et toutes les annexes qui y sont jointes. En cas de conflit ou d'incompatibilité entre la présente LPD et les clauses contractuelles types de la pièce 1, les CPC auront préséance.

Les CCS ne s'appliquent qu'aux données personnelles transférées de l'Espace économique européen (EEE) vers l'extérieur de l'EEE, directement ou par transfert ultérieur, à tout pays ou destinataire: (i) non reconnu par la Commission européenne comme fournissant un niveau adéquat et (ii) ne sont pas couverts par un cadre approprié reconnu par les autorités ou les tribunaux compétents comme offrant un niveau adéquat de protection des données personnelles, y compris, mais sans s'y limiter, règles d'entreprise pour les transformateurs.

9. Parties à cette APD

Ce DPA est un amendement à et fait partie de la ToS. Lors de l'incorporation de cette DPA dans le contrôleur ToS (i) et l'entité Intuitive Password qui sont chacune une partie à la ToS sont également chacun une partie à cette DPA, et (ii) Intuitive Security Systems Pty Ltd est une partie à cette DPA, mais seulement en ce qui concerne d'accord avec les CSC en vertu de l'article 8 de la LPD, la présente section de l'article 9 de la LPD, et les CSC eux-mêmes.

Si Intuitive Security Systems Pty Ltd n'est pas partie à la ToS, la section de la ToS intitulée «Limitation of Liability» s'appliquera entre Controller et Intuitive Security Systems Pty Ltd, et à cet égard, toute référence à «Intuitive Password», «nous», «nous» ou «notre» 'doit inclure à la fois Intuitive Security Systems Pty Ltd et l'entité Intuitive Password qui est partie à la ToS.

L'entité légale acceptant ce DPA en tant que Contrôleur représente qu'il est autorisé à accepter et à conclure cette DPA pour et accepte cette DPA uniquement au nom du Contrôleur.

EXPOSITION 1: Clauses contractuelles standard (processeurs)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE relative au transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

Le Client, tel que défini dans les Conditions d'utilisation de Intuitive Password (le «Data Exporter») et Intuitive Security Systems Pty Ltd, 542 Station Street, Box Hill, Victoria 3128, Australie (le «Data Importer»), chacune une «partie»; ensemble «les parties», ont convenu des clauses contractuelles suivantes (les clauses) afin d'assurer des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des individus pour le transfert par l'exportateur de données à l'importateur de données du données personnelles spécifiées à l'annexe 1.

Clause 1: Définitions

Aux fins des clauses:

1 Les "données à caractère personnel", les "catégories particulières de données", les "procédés / traitements", les "contrôleurs", les "sous-traitants" et les "autorités de contrôle" ont le même sens que dans la directive 95/46/CE Parlement européen et du Conseil du 24 octobre 1995 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données;

2 «L'exportateur de données» désigne le responsable du traitement qui transfère les données personnelles;

3 «L'importateur de données» désigne le transformateur qui accepte de recevoir de l'exportateur de données des données personnelles destinées à être traitées en son nom après le transfert conformément à ses instructions et aux conditions des clauses et qui ne sont pas soumises au système d'un pays tiers protection au sens de l'article 25, paragraphe 1, de la directive 95/46/CE;

4 «Sous-traitant»: tout sous-traitant engagé par l'importateur de données ou tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur ou de tout autre sous-traitant de l'importateur de données les données personnelles exclusivement destinées au traitement des données. au nom de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance écrit;

5 «Loi sur la protection des données»: la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel applicables au responsable du traitement dans l'État membre dans lequel établi;

6 «Mesures de sécurité techniques et organisationnelles»: les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, la modification, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau; formes de traitement.

Article 2: Détails du transfert

Les détails du transfert et, en particulier, les catégories particulières de données à caractère personnel, le cas échéant, sont précisés à l'appendice 1, qui fait partie intégrante des clauses.

Clause 3: Clause de bénéficiaire tiers

1 La personne concernée peut appliquer à l'exportateur de données la présente clause, clause 4 (b) à (i), clause 5 (a) à (e) et (g) à (j), clause 6 (1) et (2) , Article 7, Article 8 (2), et Articles 9 à 12 en tant que tiers bénéficiaire.

2 La personne concernée peut opposer à l'importateur de données la présente Clause, Clause 5 (a) à (e) et (g), Clause 6, Clause 7, Clause 8 (2) et Clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, sauf si une entité remplaçante a assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit, à la suite de laquelle elle assume les droits et obligations de l'exportateur de données, Dans ce cas, la personne concernée peut les appliquer contre une telle entité.

3 La personne concernée peut opposer au sous-traitant la Clause 5 (a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8 (2) et les Clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, à moins qu'une entité remplaçante ait assumé l'entière responsabilité légale de l'exportateur de données par contrat ou de plein droit qui lui confère les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité. Cette responsabilité civile du sous-traitant est limitée à ses propres opérations de traitement en vertu des Clauses.

4 Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si la législation nationale le permet.

Clause 4: Obligations de l'exportateur de données

L'exportateur de données accepte et garantit:

1 Que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi sur la protection des données applicable (et, le cas échéant, a été notifié aux autorités compétentes des États membres État dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État;

2 Qu'elle a donné des instructions et pendant toute la durée des services de traitement des données personnelles, elle demandera à l'importateur de données de traiter les données personnelles transférées uniquement au nom de l'exportateur de données et conformément à la loi sur la protection des données et aux Clauses;

3 L'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'appendice 2 du présent contrat;

4 Qu'après l'évaluation des exigences de la loi applicable sur la protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre toute destruction accidentelle ou illicite ou perte accidentelle, altération, divulgation ou accès non autorisés, en particulier lorsque le traitement implique la transmission de données. réseau, et contre toutes les autres formes de traitement illicites, et que ces mesures garantissent un niveau de sécurité adapté aux risques présentés par le traitement et la nature des données à protéger en tenant compte de l'état de la technique et du coût de leur utilisation. la mise en oeuvre;

5 Qu'il assurera le respect des mesures de sécurité;

6 Que si le transfert implique des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou aussitôt que possible après, du transfert que ses données pourraient être transmises à un pays tiers ne fournissant pas une protection adéquate au sens de la directive 95/46/CE;

7 Transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à l'Article 5 (b) et à la Clause 8 (3) à l'autorité de contrôle de la protection des données si l'exportateur décide de poursuivre le transfert ou de lever la suspension;

8 Mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance devant être effectué conformément à les Clauses, à moins que les Clauses ou le contrat contiennent des informations commerciales, dans ce cas, il peut supprimer ces informations commerciales;

9 En cas de sous-traitement, l'activité de traitement est réalisée conformément à l'Article 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et des droits de la personne concernée en tant qu'importateur de données en vertu des Clauses; assurera la conformité avec les clauses 4 (a) à (i).

Article 5: Obligations de l'importateur de données

L'importateur de données accepte et garantit:

1 Traiter les données personnelles uniquement au nom de l'exportateur de données et conformément à ses instructions et clauses; s'il ne peut fournir une telle conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et / ou de résilier le contrat;

2 Qu'elle n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir les instructions reçues de l'exportateur de données et ses obligations contractuelles et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable important sur les garanties et les obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et / ou de résilier le contrat;

3 Qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées;

4 Qu'elle informera promptement l'exportateur de données de toute demande juridiquement contraignante de divulgation des données personnelles par un service répressif, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête policière et toute demande accidentelle ou non autorisée l'accès, et toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf autorisation contraire;

5 Répondre rapidement et correctement à toutes les demandes de l'exportateur de données relatives au traitement des données personnelles soumises au transfert et se conformer aux conseils de l'autorité de contrôle concernant le traitement des données transférées;

6 À la demande de l'exportateur de données de soumettre ses moyens de traitement des données à l'audit des activités de traitement couvertes par les clauses qui seront exécutées par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises par un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de surveillance;

7 Mettre à la disposition de la personne concernée, sur demande, une copie des Clauses, ou tout contrat de sous-traitance existant, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'Annexe 2 remplacé par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie de l'exportateur de données;

8 Qu'en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable;

9 Que les services de traitement du sous-processeur seront exécutés conformément à l'article 11;

10 Pour envoyer rapidement une copie de tout accord de sous-traitant, il conclut sous les Clauses à l'exportateur de données.

Article 6: Responsabilité

1 Les parties conviennent que toute personne concernée qui a subi un préjudice du fait d'une violation des obligations visées à la clause 3 ou à l'article 11 par une partie ou un sous-traitant a le droit de recevoir une compensation de l'exportateur de données pour le préjudice subi.

2 Si une personne concernée n'est pas en mesure de présenter une demande d'indemnisation conformément au paragraphe 1 contre l'exportateur de données, en raison d'une violation par l'importateur de données ou son sous-traitant de l'une quelconque de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse adresser une réclamation à l'importateur de données comme si elle était l'exportateur de données. obligations légales de l'exportateur de données par contrat de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité.

3 L'importateur de données ne peut pas se prévaloir d'une violation par un sous-traitant de ses obligations afin d'éviter ses propres responsabilités.

4 Si une personne concernée n'est pas en mesure de déposer une plainte contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, résultant d'une violation par le sous-traitant de l'une de ses obligations visées à la clause 3 ou l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse formuler une réclamation contre le sous-traitant de données concernant ses propres opérations de traitement en vertu des clauses. étaient l'exportateur de données ou l'importateur de données, sauf si une entité remplaçante assumait toutes les obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant doit être limitée à ses propres opérations de traitement en vertu des Clauses.

Article 7: Médiation et juridiction

1 L'importateur de données convient que si la personne concernée invoque à son encontre des droits de bénéficiaire tiers et / ou demande une indemnisation pour dommages-intérêts au titre des Clauses, l'importateur de données acceptera la décision de la personne concernée:

A. Renvoyer le différend en médiation, par une personne indépendante ou, le cas échéant, par l'autorité de surveillance;

B. Saisir le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

2 Les parties conviennent que le choix fait par la personne concernée ne portera pas préjudice à ses droits matériels ou procéduraux d'invoquer des mesures correctives conformément à d'autres dispositions du droit national ou international.

Article 8: Coopération avec les autorités de surveillance

1 L'exportateur de données s'engage à déposer une copie de ce contrat auprès de l'autorité de surveillance si elle le demande ou si ce dépôt est requis en vertu de la loi sur la protection des données applicable.

2 Les parties conviennent que l'autorité de surveillance a le droit d'effectuer une vérification de l'importateur de données et de tout sous-traitant qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliquent à un audit de l'exportateur de données selon les données applicables loi de protection.

3 L'importateur de données informe promptement l'exportateur de données de l'existence d'une législation applicable à lui ou à tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant conformément au paragraphe 2. Dans ce cas, prendre les mesures prévues à l'Article 5 (b).

Article 9: Loi applicable

Les clauses sont régies par la loi de l'État membre dans lequel l'exportateur de données est établi.

Article 10: Modification du contrat

Les parties s'engagent à ne pas modifier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées aux affaires, si elles sont nécessaires, à condition qu'elles ne contredisent pas la clause.

Article 11: Sous-traitement

1 L'importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il le fait uniquement par accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à l'importateur de données. Clauses Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données pour l'exécution des obligations du sous-traitant en vertu de cet accord.

2 Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de bénéficiaire tiers, comme indiqué à la clause 3, pour les cas où la personne concernée n'est pas en mesure de présenter la demande d'indemnisation visée au paragraphe 1 de l'article 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité remplaçante n'a assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité civile du sous-traitant est limitée à ses propres opérations de traitement en vertu des Clauses.

3 Les dispositions relatives à la protection des données relatives au sous-traitement du contrat visé au paragraphe 1 sont régies par la législation de l'État membre dans lequel l'exportateur de données est établi.

4 L'exportateur de données doit tenir une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à l'Article 5 (j), qui doit être mis à jour au moins une fois par an. La liste doit être à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 12: Obligation après la fin des services de traitement de données à caractère personnel

1 Les parties conviennent qu'à la fin de la fourniture des services de traitement de données, l'importateur et le sous-traitant doivent, au choix de l'exportateur de données, retourner toutes les données personnelles transférées et leurs copies à l'exportateur de données ou détruire toutes les données personnelles et certifier à l'exportateur de données qu'elles l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de retourner ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

2 L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et / ou de l'autorité de surveillance, il soumettra ses installations de traitement de données à un audit des mesures visées au paragraphe 1.

ANNEXE 1 aux clauses contractuelles types

Cette annexe fait partie des Clauses. Les États membres peuvent compléter ou spécifier, selon leurs procédures nationales, toute information supplémentaire nécessaire qui doit figurer dans la présente annexe.

1 Exportateur de données: L'exportateur de données est le Client, tel que défini dans les Conditions d'utilisation de Intuitive Password.

2 Importateur de données: L'importateur de données est Intuitive Security Systems Pty Ltd, un fournisseur mondial de produits et de services de cryptage à connaissance zéro SaaS.

3 Sujets de données: Les données personnelles transférées concernent les utilisateurs finaux de Data Export, y compris les employés, les sous-traitants et le personnel des clients, des fournisseurs, des collaborateurs et des sous-traitants. Les sujets de données comprennent également les personnes qui tentent de communiquer ou de transférer des informations personnelles aux utilisateurs finaux de Data Exporter.

4 Catégories de données: Les données personnelles transférées concernent les données personnelles, les données d'entité, les données de navigation, les données de messagerie, les données d'utilisation du système, les données d'intégration d'application et autres données électroniques soumises, stockées, envoyées ou reçues par les utilisateurs finaux via le service d'abonnement. .

5 Catégories spéciales de données (le cas échéant): Les parties ne prévoient pas le transfert de catégories spéciales de données.

6 Opération de traitement: En ce qui concerne les données personnelles des utilisateurs finals non allemands en tant qu'exportateurs de données, les dispositions suivantes s'appliquent:

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes:

Périmètre de traitement: Les données personnelles peuvent être traitées aux fins suivantes: (a) fournir le service d'abonnement (qui peut inclure la détection, la prévention et la résolution de problèmes de sécurité et techniques); (b) répondre aux demandes de soutien à la clientèle; et (c) pour remplir les obligations des Conditions d'utilisation de Intuitive Password. L'exportateur de données demande à l'importateur de données de traiter les données personnelles dans les pays où l'importateur de données ou ses sous-processeurs disposent des installations nécessaires pour fournir le service d'abonnement.

Durée du traitement des données: Le traitement des données sera pour le terme spécifié dans les conditions d'utilisation de Intuitive Password. Pour la durée des conditions d'utilisation de Intuitive Password, et pendant une période raisonnable après l'expiration ou la résiliation des conditions d'utilisation de Intuitive Password, l'importateur de données fournira à l'exportateur de données l'accès et la capacité d'exporter les données de l'exportateur de données. Données personnelles traitées conformément aux Conditions d'utilisation de Intuitive Password.

Suppression des données: Pour la durée des conditions d'utilisation de Intuitive Password, l'importateur de données fournira à l'exportateur de données la possibilité de supprimer des données comme indiqué dans les conditions d'utilisation de Intuitive Password.

Accès aux données: Pour la durée des conditions d'utilisation de Intuitive Password, l'importateur de données fournira à l'exportateur de données la possibilité de corriger, bloquer, exporter et supprimer les données personnelles de l'exportateur de données du service d'abonnement conformément aux conditions de service Intuitive Password .

Sous-processeurs: l'importateur de données peut engager des sous-processeurs pour fournir des parties du service d'abonnement. L'importateur de données veillera à ce que les sous-traitants accèdent et utilisent uniquement les données personnelles de l'exportateur de données pour fournir les produits et services de l'importateur de données et pas à d'autres fins. En ce qui concerne les données personnelles des utilisateurs finaux allemands en tant qu'exportateurs de données, les dispositions suivantes s'appliquent: Spécification des activités de traitement conformément à la section 11 BDSG. Compte tenu des exigences de l'article 11 de la loi fédérale allemande sur la protection des données (Bundesdatenschutzgesetz - BDSG) sur le traitement des données, les activités de traitement sont spécifiées comme suit:

Objet et durée de la commission: Les données à caractère personnel peuvent être traitées aux fins suivantes: (a) fournir le service d'abonnement (ce qui peut inclure la détection, la prévention et la résolution de problèmes techniques et de sécurité); (b) répondre aux demandes de soutien à la clientèle; et (c) pour remplir les obligations des Conditions d'utilisation de Intuitive Password.

Les clauses ont été conclues pour la durée du contrat de service respectif (conditions d'utilisation de Intuitive Password).

A. Mesures techniques et organisationnelles à prendre au titre de la section 9 BDSG: Voir pour le type de données et le groupe de personnes concernées les descriptions figurant dans cette annexe 1 sous les rubriques "Catégories de données" et "Personnes concernées". Le but du traitement est: (a) de fournir le service d'abonnement (qui peut inclure la détection, la prévention et la résolution de problèmes de sécurité et techniques); (b) répondre aux demandes de soutien à la clientèle; et (c) pour remplir les obligations des Conditions d'utilisation de Intuitive Password.

B. Étendue, type et but de la collecte, du traitement ou de l'utilisation des données prévus; le type de données et le groupe de personnes concernées: L'importateur de données prendra les mesures techniques et organisationnelles appropriées pour protéger de manière adéquate les données personnelles de l'exportateur de données contre l'utilisation et la perte conformément aux exigences de la section 9 BDSG. Voir l'annexe 2 pour plus de détails.

C. Correction, effacement et blocage des données: Lorsqu'une personne concernée demande à l'importateur de données de corriger, de supprimer ou de bloquer des données, l'importateur de données doit renvoyer ces données à l'exportateur de données. La suppression, le blocage et la correction de données à caractère personnel par l'importateur de données ne se feront que sur instruction de l'exportateur de données.

D. Obligation de l'agent en vertu de la sous-section 4 (de la section 11 BDSG), en particulier les contrôles à effectuer: Voir l'annexe 2 pour plus de détails. Le Data Importer a obligé ses employés employés dans le traitement des données à ne pas collecter, traiter ou utiliser des données personnelles sans autorisation (confidentialité des données). Cette obligation continue d'être valable après la fin de la relation de travail respective.

E. Droit d'émettre des contrats de sous-traitance: Voir les clauses 5 (h) et 11 des clauses. L'exportateur de données accepte déjà de sous-traiter les entreprises de traitement de données énumérées au tableau 2. Si l'importateur de données souhaite former des sous-traitants autres que les entreprises énumérées à la figure 2, l'importateur de données doit en informer par écrit l'exportateur. es) enregistrées dans le compte de l'importateur de données pour l'exportateur de données est suffisante) et doit donner à l'exportateur de données la possibilité de s'opposer à l'instruction du sous-traitant dans les 30 jours suivant sa notification. L'objection doit être fondée sur des motifs raisonnables (par exemple si l'exportateur de données prouve qu'il existe des risques importants pour la protection de ses données personnelles chez le sous-traitant). Si l'importateur de données et l'exportateur de données ne sont pas en mesure de résoudre une telle objection, l'une ou l'autre partie peut mettre fin à l'accord de confidentialité en fournissant un avis écrit à l'autre partie. l'exportateur de données reçoit un remboursement des frais payés d'avance mais non utilisés pour la période suivant la date d'entrée en vigueur de la résiliation.

F. Les droits de contrôle du principal et les obligations correspondantes de l'agent de tolérer et de coopérer: voir les clauses 5 (e) et (f) des clauses.

G. Violations commises par le mandataire ou les personnes employées par lui / elle à l'égard des dispositions visant à protéger les données personnelles ou des conditions spécifiées dans la commission qui doivent être signalées: Voir l'article 5 (d) des clauses.

H. Étendue du pouvoir du donneur d'ordre de donner des instructions à l'agent: Les données personnelles ne peuvent être traitées par l'importateur de données qu'en fonction des instructions de l'exportateur de données. Sauf dans la mesure où la loi l'exige, les données personnelles peuvent être traitées ou utilisées à d'autres fins, y compris la divulgation à des tiers, uniquement avec l'approbation écrite préalable de l'exportateur de données. Les copies des données personnelles ne doivent pas être faites sans le consentement de l'exportateur de données, à l'exception des copies qui sont nécessaires pour le traitement ou si nécessaire de se conformer aux obligations de conservation statutaires.

I. Retour du support de données et effacement des données stockées par l'agent après la fin de la commission: L'exportateur de données est en droit d'exiger la rectification, la suppression, le blocage et la mise à disposition des données personnelles pendant et après la durée du contrat de service. (Intuitive Password Conditions d'utilisation) conformément aux spécifications supplémentaires d'un tel accord sur le retour et la suppression des données personnelles.

Appendice 2 aux clauses contractuelles types

Cette annexe fait partie des Clauses. Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4 (d) et 5 (c) (ou document / législation ci-joint):

Intuitive Password observe actuellement les pratiques de sécurité décrites dans cette annexe 2. Nonobstant toute disposition contraire convenue par Data Exporter, Intuitive Password peut modifier ou mettre à jour ces pratiques à sa discrétion à condition que cette modification et cette mise à jour n'aboutissent pas à une dégradation importante du protection offerte par ces pratiques. Tous les termes en majuscules qui ne sont pas définis aux présentes ont la signification indiquée dans les conditions d'utilisation de Intuitive Password.

1 Contrôle d'accès

A. Empêcher l'accès non autorisé au produit. Traitement externalisé: Intuitive Password héberge son service avec des fournisseurs de centres de données externalisés basés en Australie. De plus, Intuitive Password entretient des relations contractuelles avec les fournisseurs afin de fournir le service. Intuitive Password s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin d'assurer la protection des données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale: Intuitive Password héberge son infrastructure de produits avec des fournisseurs de centres de données externalisés et multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour la conformité SOC 2 Type II et ISO 27001, entre autres certifications.

Authentification: Intuitive Password a implémenté une politique de mot de passe uniforme pour ses produits clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux données client non publiques.

Autorisation: les données client sont stockées dans des systèmes de stockage multi-locataires accessibles aux clients via uniquement des interfaces utilisateur d'application et des interfaces de programmation d'application. Les clients ne sont pas autorisés à accéder directement à l'infrastructure de l'application sous-jacente. Le modèle d'autorisation de chacun des produits de Intuitive Password est conçu pour garantir que seules les personnes correctement affectées peuvent accéder aux fonctionnalités, aux vues et aux options de personnalisation pertinentes. L'autorisation des ensembles de données est effectuée en validant les autorisations de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.

B. Prévenir l'utilisation non autorisée du produit. Intuitive Password implémente des contrôles d'accès standard et des capacités de détection pour les réseaux internes qui supportent ses produits.

Contrôles d'accès: Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent entre les fournisseurs de centres de données et incluent les implémentations Virtual Private Cloud (VPC) et l'attribution de groupes de sécurité, ainsi que le pare-feu d'entreprise traditionnel et l'affectation de réseau local virtuel.

Détection et prévention des intrusions: Intuitive Password a implémenté une solution de pare-feu applicatif Web (WAF) pour protéger tous les sites hébergés ainsi que l'accès au service Intuitive Password. Le WAF est conçu pour identifier et empêcher les attaques contre les services réseau accessibles au public.

Analyse de code statique: Les contrôles de sécurité du code stockés dans les référentiels de code source de Intuitive Password sont effectués, en vérifiant le codage des meilleures pratiques et des failles logicielles identifiables.

Tests de pénétration: Intuitive Password entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour quatre tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

C. Limitations des privilèges et autorisations requises. Accès au produit: Un sous-ensemble des employés de Intuitive Password ont accès aux produits et aux données client via des interfaces contrôlées. L'objectif de fournir l'accès à un sous-ensemble d'employés est de fournir un support client efficace, de résoudre les problèmes potentiels, et de détecter et de répondre aux incidents de sécurité. L'accès est activé par des demandes d'accès «juste à temps», toutes les demandes sont consignées, les employés reçoivent un accès par rôle et les examens des privilèges à haut risque sont lancés chaque jour, et les rôles des employés sont revus au moins une fois tous les six mois.

Vérifications des antécédents: Tous les employés de Intuitive Password subissent une vérification approfondie des antécédents d'une tierce partie avant de recevoir une offre d'emploi. Tous les employés sont tenus de se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

2 Contrôle de transmission

En transit: Intuitive Password rend le cryptage HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits Intuitive Password. L'implémentation HTTPS de Intuitive Password utilise des algorithmes et des certificats standard.

Au repos: Intuitive Password stocke les mots de passe des utilisateurs en suivant les politiques qui suivent au moins les pratiques standard de l'industrie en matière de sécurité.

3 Contrôle d'entrée

Détection: Intuitive Password a conçu son infrastructure pour consigner des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes regroupent les données du journal et alertent les employés appropriés des activités malveillantes, non intentionnelles ou anormales. Le personnel de Intuitive Password, y compris la sécurité, les opérations et le personnel de soutien, réagit aux incidents connus.

Réponse et suivi: Intuitive Password tient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes et la disposition des incidents. Les incidents de sécurité soupçonnés et confirmés font l'objet d'une enquête de la part du personnel de sécurité, des opérations ou de soutien; et les étapes de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, Intuitive Password prendra les mesures appropriées pour minimiser les dommages au produit et au client ou la divulgation non autorisée.

Communication: Si Intuitive Password prend connaissance d'un accès illégal aux données du Client stockées dans ses produits, Intuitive Password: 1) informera les Clients concernés de l'incident; 2) fournir une description des mesures prises par Intuitive Password pour résoudre l'incident; et 3) fournir des mises à jour de statut au contact client, comme Intuitive Password le juge nécessaire. Les notifications d'incidents, le cas échéant, seront transmises à un ou plusieurs contacts du Client sous une forme que Intuitive Password sélectionne, pouvant inclure par e-mail ou par téléphone.

4 Contrôle du travail

L'application Intuitive Password fournit aux clients une solution pour stocker et partager des informations d'authentification, des données sensibles et des fichiers. Les clients contrôlent les types de données collectés par et stockés dans leurs comptes. Intuitive Password ne vend jamais de données personnelles à des tiers. Intuitive Password est un service SaaS sans connaissances et, en tant que tel, n'a pas la capacité de déchiffrer ou d'afficher les données cryptées stockées dans un compte client.

Terminaison des clients: Les données du client principal dans les bases de données actives (c'est-à-dire primaires) sont effacées sur demande écrite du client ou en contactant le service client de Intuitive Password 90 jours après qu'un client a résilié tous les accords pour ces produits avec Intuitive Password. Les informations sur les données client stockées dans les sauvegardes, les répliques et les instantanés ne sont pas automatiquement purgées, mais vieillissent en dehors du système dans le cadre du cycle de vie des données. Intuitive Password se réserve le droit de modifier la période de purge des données afin de répondre aux exigences techniques, de conformité ou statutaires. Les «Données client essentielles» comprennent (i) le nom, l'adresse électronique, le numéro de téléphone, le nom d'utilisateur en ligne, le numéro de téléphone et des informations similaires soumises volontairement par les visiteurs de vos pages d'atterrissage sur le service d'abonnement; aux activités des médias sociaux de vos visiteurs dans la mesure où ces activités peuvent être liées à une personne identifiable; et exclut (i) les données analytiques, (ii) les données client, (iii) les données anonymes agrégées, (iv) les journaux, les données archivées ou les fichiers de sauvegarde, (v) les autres données que nous ne pouvons raisonnablement supprimer et (v) d'autres données qui sont ou deviennent généralement connues du public sans violation d'une obligation envers le client.

5 Contrôle de disponibilité

Disponibilité de l'infrastructure: les fournisseurs de centres de données déploient des efforts raisonnables sur le plan commercial pour garantir un temps de fonctionnement minimal de 99,95%. Les fournisseurs assurent un minimum de redondance N + 1 aux services d'alimentation, de réseau et de climatisation.

Tolérance aux pannes: les stratégies de sauvegarde et de réplication sont conçues pour assurer la protection contre la redondance et le basculement lors d'une défaillance de traitement importante. Les données client sont sauvegardées dans plusieurs magasins de données durables et répliquées sur plusieurs centres de données et zones de disponibilité.

Répliques et sauvegardes en ligne: Lorsque cela est possible, les bases de données de production sont conçues pour répliquer les données entre au moins 1 base de données primaire et 1 base de données secondaire. Toutes les bases de données sont sauvegardées et gérées en utilisant au moins les méthodes standard de l'industrie.

Les produits Intuitive Password sont conçus pour assurer la redondance et le basculement transparent. Les instances de serveur qui prennent en charge les produits sont également conçues dans le but d'éviter les points de défaillance uniques. Cette conception assiste les opérations Intuitive Password dans la maintenance et la mise à jour des applications du produit et du backend tout en limitant les temps d'arrêt.

6 Séparation en cours de traitement

La collecte de données personnelles de Intuitive Password auprès de ses clients consiste à fournir et à améliorer nos produits de vente et de marketing. Intuitive Password n'utilise pas ces données à d'autres fins qui nécessiteraient un traitement distinct.

EXPOSITION 2: Liste des sous-traitants

1. Amazon Web Services, Inc.
2. Microsoft, Inc.
3. Twilio, Inc.
4. Stripe, Inc.
5. PayPal Holdings, Inc.
6. Mailgun, Inc.