Tutto quello che devi sapere sulla nostra Informativa sul Trattamento Dati.
GDPR - Accordo per l'elaborazione dei dati
Questo accordo è scritto in inglese. Nel caso in cui una qualsiasi versione tradotta di questo accordo entri in conflitto con questa versione in inglese, questa versione in inglese prevarrà.
Questo Accordo sull'elaborazione dei dati ("DPA") riflette l'accordo tra Intuitive Security Systems Pty Ltd ("ISS") e voi (collettivamente indicati come le "Parti") in relazione ai termini che regolano il trattamento dei Dati Personali sotto Intuitive Password Termini di servizio (i "ToS").
Questo DPA è un emendamento al ToS ed è efficace al momento della sua incorporazione nel ToS, che può essere specificato in un accordo di acquisto ("Ordine") o in un emendamento eseguito ai ToS. Dopo la sua incorporazione nel ToS, il DPA formerà una parte del ToS. Con l'incorporazione, riconosci che ISS è un fornitore di sicurezza a conoscenza zero. Solo l'utente Intuitive Password ha il pieno controllo della crittografia e della decrittografia dei dati memorizzati nei loro account. Inoltre, l'utente riconosce che ISS è certificato come SOC 2 Tipo 2 conforme.
In tutti i casi, Intuitive Password ("Processore"), o una terza parte che agisce per conto del Processore, agisce come responsabile del trattamento dei Dati personali e l'utente ("Controllore") rimane il controllore dei Dati personali. Il termine di questo DPA seguirà il termine del ToS. I termini non altrimenti definiti nel presente documento hanno il significato stabilito nel ToS.
Questo DPA include:
1
Clausole contrattuali standard, allegate al presente come EXHIBIT 1.
A.
Appendice 1 alle Clausole contrattuali standard, che include specifiche sui dati personali trasferiti dall'esportatore di dati all'importatore di dati.
B.
Appendice 2 alle Clausole contrattuali standard, che include una descrizione delle misure tecniche e organizzative di sicurezza implementate dall'importatore di dati come indicato.
2
Elenco dei subappaltatori, allegato alla presente come EXHIBIT 2.
1. Definizioni
Dati personali indica ogni singolo elemento di informazione relativo alle circostanze personali o materiali di un individuo identificato o identificabile.
Elaborazione indica il trattamento di Dati personali per conto, comprendente la memorizzazione, la modifica, il trasferimento, il blocco o la cancellazione di dati personali da parte del responsabile che agisce per conto del Titolare.
Per "Istruzione" si intende l'istruzione scritta, emessa dal Titolare al Responsabile del trattamento, e che indirizza lo stesso ad eseguire un'azione specifica in relazione ai Dati Personali (incluso, ma non limitato a, spersonalizzazione, blocco, cancellazione, messa a disposizione). Le istruzioni devono inizialmente essere specificate nel ToS e possono, di volta in volta, essere modificate, amplificate o sostituite dal controllore in istruzioni scritte separate (istruzioni individuali).
2. Campo di applicazione e responsabilità
Il Processore tratta i Dati Personali per conto del Titolare. L'elaborazione deve includere le azioni che possono essere specificate nel ToS e un ordine. Nell'ambito del ToS, il Controller è l'unico responsabile del rispetto dei requisiti di legge relativi alla protezione dei dati, in particolare per quanto riguarda il trasferimento dei Dati personali al Processore e il Trattamento dei Dati Personali (in qualità di "ente responsabile" come definito Sezione 3, paragrafo 7 Legge federale tedesca sulla protezione dei dati (BDSG) o una disposizione corrispondente della legge nazionale applicabile in materia di protezione dei dati).
Sulla base di questa responsabilità, il Controller ha il diritto di chiedere la rettifica, la cancellazione, il blocco e la messa a disposizione dei Dati personali durante e dopo la durata del ToS in conformità con le ulteriori specifiche di tale accordo sulla restituzione e cancellazione dei dati personali.
Le norme di questo DPA si applicano anche se la verifica o la manutenzione di processi automatici o di apparecchiature di elaborazione viene eseguita per conto del Controller e non è possibile escludere l'accesso ai Dati personali in tale contesto.
3. Obblighi del processore
Il Processore raccoglierà, elaborerà e utilizzerà i Dati personali solo nell'ambito delle istruzioni del controllore. Se il Responsabile ritiene che un'istruzione del Titolare viola il BDSG o altre disposizioni sulla protezione dei dati, deve segnalarlo senza indugio al preside.
All'interno dell'area di responsabilità del Processore, il Processore dovrà strutturare l'organizzazione aziendale interna del Processore per garantire la conformità con i requisiti specifici della protezione dei Dati Personali. Il responsabile del trattamento adotta le misure tecniche e organizzative appropriate per proteggere adeguatamente i dati personali del controllore da uso improprio e perdita in conformità con i requisiti della legge federale tedesca sulla protezione dei dati (sezione 9 BDSG) o una disposizione corrispondente della legge nazionale sulla protezione dei dati. Tali misure comprendono, ma non si limitano a:
1
La prevenzione di persone non autorizzate dall'accesso ai sistemi di elaborazione dei dati personali (controllo dell'accesso fisico).
2
La prevenzione dei sistemi di elaborazione dei dati personali dall'uso senza autorizzazione (controllo dell'accesso logico).
3
Garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati personali ottengano l'accesso solo a tali dati personali a cui hanno diritto ad accedere in conformità con i loro diritti di accesso e che, nel corso dell'elaborazione o dell'utilizzo e dopo la memorizzazione, i dati personali non possono essere letti, copiati, modificati o cancellati senza autorizzazione (controllo dell'accesso ai dati).
4
Garantire che i Dati Personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione durante la trasmissione, il trasporto o l'archiviazione elettronica su supporti di memorizzazione e che le entità interessate per qualsiasi trasferimento di Dati Personali mediante strutture di trasmissione dati possano essere stabilite e verificate (dati controllo del trasferimento).
5
Garantire l'istituzione di una pista di controllo per documentare se e da chi i Dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dei dati personali (controllo delle entrate).
6
Garantire che i Dati personali vengano elaborati esclusivamente in conformità con le Istruzioni (controllo delle istruzioni).
7
Garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale (controllo della disponibilità).
8
Garantire che i Dati personali raccolti per scopi diversi possano essere elaborati separatamente (controllo di separazione).
Una misura come indicato in lett. in particolare, ma non deve essere limitato all'utilizzo di una tecnologia di crittografia all'avanguardia per l'accesso al client. Una panoramica delle misure tecniche e organizzative sopra elencate deve essere allegata al presente DPA come appendice.
Su richiesta del Controller, il Processore dovrà fornire un programma di protezione e protezione dei dati personali aggiornato riguardante l'elaborazione di seguito.
Su richiesta del Controllore, e salvo che il Controller sia in grado di ottenere direttamente tali informazioni, il Processore dovrà fornire tutte le informazioni necessarie per la compilazione della panoramica definita dalla Sessione 4g par. 2 frase 1 BDSG o una disposizione corrispondente della legge nazionale applicabile in materia di protezione dei dati.
Il responsabile del trattamento garantisce che qualsiasi personale incaricato dei dati personali del responsabile del trattamento si sia impegnato a rispettare il principio del segreto dei dati in conformità con la Sessione 5 BDSG (o una disposizione corrispondente della legislazione nazionale applicabile in materia di protezione dei dati) e che sia stato debitamente istruito sul regolamenti del BDSG o della legge nazionale applicabile in materia di protezione dei dati. L'impegno al segreto continuerà dopo la cessazione delle attività sopra indicate.
Il Processore nomina un responsabile della protezione dei dati, se ciò è richiesto dalla legge e, su richiesta del Controllore, il Processore notifica al Controllore i dettagli di contatto del responsabile della protezione dei dati.
Il Processore dovrà, senza indebito ritardo, informare il Titolare in caso di un'interruzione grave delle operazioni o delle violazioni da parte del Processore o dei suoi dipendenti di disposizioni a tutela dei Dati personali o dei termini specificati in questo DPA. In tal caso, il Processore dovrà attuare le misure necessarie per proteggere i Dati Personali e mitigare i potenziali effetti negativi sulle persone interessate e dovrà concordare con il Titolare senza indebito ritardo. Il Processore sosterrà il Controllore nell'adempimento degli obblighi di comunicazione del Controllore ai sensi della sezione 42a BDSG (o una corrispondente disposizione della legge nazionale applicabile in materia di protezione dei dati).
Il Titolare manterrà il diritto su qualsiasi supporto di telefonia fornito al Processore e su qualsiasi copia o riproduzione di esso. Il processore deve conservare tali supporti in modo sicuro e proteggerli da accessi non autorizzati da parte di terzi. Il Processore dovrà, su richiesta del Controllore, fornire al Controllore tutte le informazioni sui Dati Personali e le informazioni del Controller. Il Processore sarà obbligato a cancellare in modo sicuro qualsiasi materiale di prova e di scarto sulla base di un'istruzione emessa dal Controllore, caso per caso. Laddove il Responsabile decida in tal senso, il Responsabile dovrà consegnare tale materiale al Titolare o conservarlo per conto del Titolare.
Il Processore sarà obbligato a controllarsi e verificare l'adempimento degli obblighi di cui sopra e manterrà un'adeguata documentazione di tale verifica.
4. Obblighi del controllore
Controller e Processore dovranno essere separatamente responsabili della conformità a tali regolamenti di protezione dei dati di legge applicabili a loro.
Il Responsabile dovrà informare il Processore senza indebito ritardo e in modo esauriente su eventuali errori o irregolarità relative alle disposizioni di legge sul trattamento dei dati personali rilevati durante una verifica dei risultati di tale Trattamento.
Il controllore è tenuto a mantenere il registro disponibile al pubblico come definito nella sezione 4 oc. 2 frase 2 BDSG (o una disposizione corrispondente della legge nazionale applicabile in materia di protezione dei dati).
Il responsabile del trattamento è responsabile dell'adempimento degli obblighi di informazione derivanti dalla sezione 42a BDSG o da una disposizione corrispondente della legge nazionale applicabile in materia di protezione dei dati.
Il controllore, al termine o alla scadenza dei ToS e mediante l'emissione di un'istruzione, stipula, entro un periodo di tempo stabilito dal Processore, le misure ragionevoli per restituire il supporto del supporto dati o per eliminare i dati memorizzati.
Qualsiasi costo aggiuntivo derivante in relazione alla restituzione o alla cancellazione dei Dati personali dopo la risoluzione o la scadenza dei ToS sarà a carico del Controllore.
5. Richieste da parte di soggetti interessati al controllore
Laddove il Titolare, in base alla legge applicabile sulla protezione dei dati, è obbligato a fornire informazioni a un individuo in merito alla raccolta, all'elaborazione o all'utilizzo dei Dati personali, il Processore dovrà assistere il Titolare nel rendere disponibili tali informazioni, a condizione che: (i) il Titolare abbia istruito il Processore per iscritto a farlo, e (ii) il Controllore rimborsa il Processore per i costi derivanti da tale assistenza.
Laddove una persona interessata richieda al Processore di correggere, cancellare o bloccare i Dati personali, il Processore dovrà riferire tali dati al Titolare.
6. Obblighi di audit
Il controllore, prima dell'inizio del trattamento, e ad intervalli regolari successivi, verifica le misure tecniche e organizzative adottate dal Processore e documenta i risultati ottenuti.
A tal fine, il controllore può;
1
Ottenere informazioni dal Processore;
2
Richiedere al Processore di presentare al Controllore un attestato o certificato esistente da un esperto professionista indipendente;
3
Previo accordo ragionevole e tempestivo, durante il normale orario lavorativo e senza interrompere le attività operative del Processore, condurre un'ispezione in loco delle operazioni aziendali del Processore o far eseguire lo stesso da una terza parte qualificata che non sia un concorrente del Processore (come determinato da il processore).
Il Processore dovrà, su richiesta scritta del Controller e entro un ragionevole periodo di tempo, fornire al Titolare tutte le informazioni necessarie per tale verifica.
7. Subappaltatori
Il Processore avrà il diritto di subappaltare gli obblighi del Processore definiti nel ToS a terzi solo con il consenso scritto del Controllore.
Il controllore acconsente al subappalto del Processore alle società affiliate del Processore e a terzi, come elencati nell'Allegato 2, degli obblighi contrattuali del Processore ai sensi del presente.
Se il Processore intende istruire subappaltatori diversi dalle società elencate nell'Allegato 2, il Processore deve comunicarlo per iscritto al Titolare del Trattamento (è sufficiente inviare una e-mail all'indirizzo (i) di posta elettronica registrato nelle informazioni dell'account del Procuratore per il Controller) e deve dare al Controllore la possibilità di opporsi all'istruzione del subappaltatore entro 30 giorni dalla notifica. L'opposizione deve essere basata su motivi ragionevoli (ad esempio se il Titolare dimostra che esistono rischi significativi per la protezione dei Dati personali del subappaltatore). Se il Processore e il Controller non sono in grado di risolvere tale obiezione, ciascuna delle parti può recedere dal ToS fornendo notifica scritta all'altra parte. Il controllore riceverà un rimborso di eventuali commissioni prepagate ma non utilizzate per il periodo successivo alla data effettiva di risoluzione.
Laddove il Processore impegna i subappaltatori, il Processore sarà tenuto a trasferire gli obblighi contrattuali del Processore ai subappaltatori. La frase 1 si applica in particolare, ma non si limita ai requisiti contrattuali in materia di riservatezza, protezione dei dati e sicurezza dei dati stipulati tra le parti del ToS.
In caso di utilizzo di un subappaltatore, al controllore deve essere garantito il diritto di monitorare e ispezionare il subappaltatore conformemente a questo DPA e alla sezione 11 BDSG in combinato disposto con il punto 6 dell'allegato alla sezione 9 BDSG (o in conformità con la disposizione corrispondente di la legge nazionale applicabile in materia di protezione dei dati). Ciò include anche il diritto del controllore di ottenere informazioni dal Processore, su richiesta scritta, sulla sostanza del contratto e l'attuazione degli obblighi di protezione dei dati nell'ambito del rapporto di subappalto, se necessario ispezionando i documenti contrattuali pertinenti.
Le disposizioni della presente sezione 7 si applicano anche se un subappaltatore in un paese terzo è istruito. Il Titolare autorizza il Processore, a concordare in nome e per conto del Titolare con un subappaltatore che elabora o utilizza i Dati Personali del Controller al di fuori del SEE, per stipulare Clausole contrattuali standard UE per il trasferimento di dati personali a Processori Stabilito in Paesi terzi datato 5 febbraio 2010. Ciò si applica di conseguenza dalla data di questa autorizzazione rispetto alle Clausole contrattuali standard UE (Processori) già concluse dal Processore con tali subappaltatori.
8. Doveri di informazione, forma scritta obbligatoria, scelta della legge, termini aggiuntivi
Laddove i Dati personali del Controller siano soggetti a ricerca e sequestro, ordine di sequestro conservativo, confisca durante procedure concorsuali o di insolvenza, o eventi o misure simili da parte di terzi durante l'elaborazione, il Responsabile dovrà informare il Titolare senza indebito ritardo. Il Processore dovrà, senza indebito ritardo, notificare a tutte le parti interessate in tale azione, che i Dati Personali interessati sono di esclusiva proprietà e area di responsabilità del Controller, che i Dati personali sono a esclusiva disposizione del Controller e che il Controller è l'organismo responsabile nel senso del BDSG (o una disposizione corrispondente della legge nazionale applicabile in materia di protezione dei dati).
Per quanto riguarda gli aggiornamenti e le modifiche a questo DPA, i termini applicabili nell''emendamento; Si applica la sezione "Termini generali" di rinuncia a rinuncia.
In caso di conflitto, i regolamenti di questo DPA hanno la precedenza sui regolamenti del ToS. Laddove i singoli regolamenti di questo DPA siano non validi o non applicabili, la validità e l'applicabilità degli altri regolamenti di questo DPA non saranno influenzati.
Le clausole contrattuali standard di cui all'allegato 1 ("SCC") si applicano al trattamento dei dati personali da parte del Processore ai sensi del ToS. Con l'incorporazione di questo DPA nel ToS, le parti indicate nella Sezione 9 di seguito (Parti di questo DPA) concordano con l'SCC e tutte le appendici ad esso allegate. In caso di conflitto o incoerenza tra questo DPA e le clausole contrattuali standard nell'Allegato 1, prevarranno le SCC.
Gli SCC si applicano solo ai Dati personali trasferiti dall'Area Economica Europea (SEE) al di fuori del SEE, direttamente o tramite trasferimento successivo, verso qualsiasi paese o destinatario: (i) non riconosciuti dalla Commissione Europea come fornire un livello adeguato di protezione per i dati personali (come descritto nella direttiva sulla protezione dei dati dell'UE) e (ii) non coperti da un quadro adeguato riconosciuto dalle autorità o dai tribunali competenti come fornire un livello adeguato di protezione dei dati personali, compresi, a titolo esemplificativo, vincolanti regole aziendali per i trasformatori.
9. Parti di questo DPA
Questo DPA è una modifica e fa parte del ToS. Dopo l'incorporazione di questo DPA nel controllore ToS (i) e l'entità Intuitive Password che sono ciascuna una parte del ToS sono anche entrambe parti a questo DPA, e (ii) Intuitive Security Systems Pty Ltd è una parte di questo DPA, ma solo con rispetto per concordare i CCP ai sensi della Sezione 8 del DPA, questa sezione Sezione 9 del DPA, e agli SCC stessi.
Se Intuitive Security Systems Pty Ltd non è una parte del ToS, la sezione del ToS denominata "Limitazione di responsabilità" si applica tra Controller e Intuitive Security Systems Pty Ltd, e in tal senso qualsiasi riferimento a "Intuitive Password", "noi", "noi" o "nostro". 'includerà sia Intuitive Security Systems Pty Ltd che l'entità Intuitive Password che è parte del ToS.
La persona giuridica che accetta questo DPA come Controller rappresenta che è autorizzato ad accettare e sottoscrivere questo DPA per, e sta accettando questo DPA esclusivamente per conto del Controller.
EXHIBIT 1: Clausole contrattuali standard (Processori)
Ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a trasformatori stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati.
Il Cliente, come definito nei Termini di servizio Intuitive Password ("Esportatore di dati") e Intuitive Security Systems Pty Ltd, 542 Station Street, Box Hill, Victoria 3128, Australia ("Importatore di dati"), ciascuno un "partito"; insieme "le parti", hanno convenuto le seguenti clausole contrattuali (le clausole) al fine di aggiungere garanzie adeguate per quanto riguarda la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall'esportatore di dati all'importatore dei dati del dati personali specificati nell'appendice 1.
Clausola 1: definizioni
Ai fini delle clausole:
1
Dati personali, "categorie speciali di dati", "processo / elaborazione", "responsabile del trattamento", "incaricato del trattamento", "soggetto interessato" e "autorità di vigilanza" hanno lo stesso significato della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati;
2
Esportatore di dati, il responsabile del trattamento che trasferisce i dati personali;
3
L'importatore di dati indica il responsabile del trattamento che acconsente a ricevere dall'esportatore di dati i dati personali destinati ad essere elaborati per suo conto dopo il trasferimento conformemente alle sue istruzioni e ai termini delle clausole e che non è soggetto al sistema di un paese terzo che garantisce un'adeguata protezione ai sensi dell'articolo 25, paragrafo 1, della direttiva 95/46/CE;
4
Per "subprocessor" si intende qualsiasi incaricato del trattamento impegnato dall'importatore di dati o da qualsiasi altro subprocessore dell'importatore di dati che accetti di ricevere dall'importatore di dati o da qualsiasi altro subprocessore dell'importatore i dati personali esclusivamente destinati all'elaborazione delle attività da svolgere per conto dell'esportatore di dati dopo il trasferimento conformemente alle sue istruzioni, i termini delle clausole e le condizioni del subappalto scritto;
5
Legge applicabile sulla protezione dei dati: la legislazione che tutela i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il loro diritto alla vita privata in relazione al trattamento dei dati personali applicabili a un responsabile del trattamento nello Stato membro in cui l'esportatore di dati è stabilito;
6
Misure di sicurezza tecniche e organizzative: misure volte a proteggere i dati personali dalla distruzione accidentale o illecita o dalla perdita accidentale, dall'alterazione, dalla divulgazione o accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su una rete e contro tutti gli altri illeciti forme di elaborazione.
Clausola 2: dettagli del trasferimento
I dettagli del trasferimento e in particolare le categorie speciali di dati personali ove applicabili sono specificati nell'appendice 1 che costituisce parte integrante delle clausole.
Clausola 3: clausola di beneficiario di terze parti
1
L'interessato può far valere nei confronti dell'esportatore di dati questa Clausola, Clausola 4 (b) a (i), Clausola 5 (a) a (e) e (g) a (j), Clausola 6 (1) e (2) , Clausola 7, Clausola 8 (2) e Clausole da 9 a 12 come beneficiario di terze parti.
2
L'interessato può far valere contro l'importatore di dati questa clausola, clausola 5 (a) a (e) e (g), clausola 6, clausola 7, clausola 8 (2) e clausole da 9 a 12, nei casi in cui i dati esportatore è effettivamente scomparso o ha cessato di esistere per legge a meno che un'entità successiva non abbia assunto tutti gli obblighi giuridici dell'esportatore di dati per contratto o per effetto di legge, in conseguenza del quale assume i diritti e gli obblighi dell'esportatore di dati, in In tal caso, l'interessato può applicarli contro tale entità.
3
L'interessato può far valere contro il subprocessore questa clausola, clausola 5 (a) a (e) e (g), clausola 6, clausola 7, clausola 8 (2) e clausole da 9 a 12, nei casi in cui entrambi i dati esportatore e l'importatore di dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, a meno che un'entità successiva non abbia assunto tutti gli obblighi legali dei dati esportatori per contratto o per effetto di legge in conseguenza dei quali assume i diritti e obblighi dell'esportatore di dati, nel qual caso l'interessato può farli valere nei confronti di tale entità. Tale responsabilità di terzi del subprocessore è limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.
4
Le parti non si oppongono al fatto che l'interessato sia rappresentato da un'associazione o da un altro organismo se l'interessato lo desidera espressamente e se consentito dalla legislazione nazionale.
Clausola 4: Obblighi dell'esportatore di dati
L'esportatore di dati è d'accordo e garantisce:
1
Che il trattamento, compreso il trasferimento stesso, dei dati personali è stato e continuerà ad essere effettuato conformemente alle pertinenti disposizioni della legge sulla protezione dei dati applicabile (e, ove applicabile, è stato notificato alle autorità competenti degli Stati membri Stato in cui è stabilito l'esportatore di dati) e non viola le disposizioni pertinenti di tale Stato;
2
Che abbia istruito e per tutta la durata dei servizi di elaborazione dati personali istruirà l'importatore di dati a trattare i dati personali trasferiti solo per conto dell'esportatore di dati e in conformità con la legge applicabile sulla protezione dei dati e le clausole;
3
Che l'importatore di dati fornirà garanzie sufficienti rispetto alle misure di sicurezza tecniche e organizzative specificate nell'appendice 2 del presente contratto;
4
Che dopo la valutazione dei requisiti della legge applicabile sulla protezione dei dati, le misure di sicurezza siano appropriate per proteggere i dati personali da distruzione accidentale o illegale o perdita accidentale, alterazione, divulgazione o accesso non autorizzati, in particolare quando il trattamento comporta la trasmissione di dati su un rete e contro tutte le altre forme illecite di trattamento e che tali misure garantiscono un livello di sicurezza adeguato ai rischi presentati dal trattamento e alla natura dei dati da proteggere tenendo conto dello stato dell'arte e del costo della loro implementazione;
5
Che garantirà il rispetto delle misure di sicurezza;
6
Che se il trasferimento coinvolge categorie particolari di dati, l'interessato è stato informato o verrà informato prima o, quanto prima possibile, dal trasferimento che i suoi dati potrebbero essere trasmessi a un paese terzo che non fornisce una protezione adeguata ai sensi della direttiva 95/46/CE;
7
Inoltrare qualsiasi notifica ricevuta dall'importatore di dati o da qualsiasi subprocessore ai sensi della clausola 5 (b) e della clausola 8 (3) all'autorità di controllo della protezione dei dati se l'esportatore di dati decide di continuare il trasferimento o di revocare la sospensione;
8
Mettere a disposizione degli interessati, su richiesta, una copia delle clausole, ad eccezione dell'appendice 2, e una descrizione sintetica delle misure di sicurezza, nonché una copia di qualsiasi contratto per i servizi di sottoprocesso che deve essere effettuato conformemente le clausole, a meno che le clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;
9
Che in caso di sottoprocesso, l'attività di trattamento è svolta in conformità con la clausola 11 da un sottoprocessore che fornisce almeno lo stesso livello di protezione per i dati personali e i diritti della persona interessata come importatore di dati ai sensi delle Clausole e che garantirà la conformità con la clausola 4 (a) a (i).
Clausola 5: Obblighi dell'importatore di dati
L'importatore di dati è d'accordo e garantisce:
1
Trattare i dati personali solo per conto dell'esportatore di dati e in conformità con le sue istruzioni e le clausole; se non è in grado di fornire tale conformità per qualsiasi motivo, accetta di informare tempestivamente l'esportatore di dati della sua impossibilità di rispettare, nel qual caso l'esportatore di dati ha il diritto di sospendere il trasferimento di dati e / o risolvere il contratto;
2
Non ha motivo di ritenere che la legislazione ad essa applicabile impedisca di adempiere alle istruzioni ricevute dall'esportatore di dati e ai suoi obblighi ai sensi del contratto e che in caso di modifica di tale normativa che potrebbe avere un sostanziale effetto negativo sulle garanzie e gli obblighi previsti dalle Clausole, informerà tempestivamente il cambiamento sull'esportatore di dati non appena ne venga a conoscenza, nel qual caso l'esportatore di dati è autorizzato a sospendere il trasferimento di dati e / o risolvere il contratto;
3
Di aver implementato le misure di sicurezza tecniche e organizzative specificate nell'appendice 2 prima di elaborare i dati personali trasferiti;
4
Che informerà prontamente l'esportatore di dati di qualsiasi richiesta legalmente vincolante per la divulgazione dei dati personali da parte di un'autorità giudiziaria salvo laddove diversamente proibito, come un divieto di diritto penale per preservare la riservatezza di un'inchiesta della legge e qualsiasi accidentale o non autorizzata accesso e qualsiasi richiesta ricevuta direttamente dagli interessati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;
5
Trattare tempestivamente e adeguatamente tutte le richieste da parte dell'esportatore di dati relative al trattamento dei dati personali oggetto del trasferimento e attenersi al parere dell'autorità di vigilanza in merito al trattamento dei dati trasferiti;
6
Su richiesta dell'esportatore di dati di presentare le sue strutture di elaborazione dei dati per la verifica delle attività di trattamento contemplate dalle clausole che devono essere eseguite dall'esportatore di dati o da un organismo di controllo composto da membri indipendenti e in possesso delle qualifiche professionali richieste vincolate da un obbligo di riservatezza, selezionato dall'esportatore di dati, se del caso, d'accordo con l'autorità di controllo;
7
Rendere disponibile all'interessato, su richiesta, una copia delle clausole o qualsiasi contratto esistente per la sottoprocessing, a meno che le clausole o il contratto contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell'appendice 2 che deve essere sostituito da una descrizione sintetica delle misure di sicurezza nei casi in cui l'interessato non è in grado di ottenere una copia dall'esportatore di dati;
8
Che in caso di subprocessing, ha precedentemente informato l'esportatore di dati e ottenuto il suo consenso scritto preventivo;
9
Che i servizi di elaborazione da parte del subprocessore saranno eseguiti in conformità con la clausola 11;
10
Per inviare prontamente una copia di qualsiasi accordo subprocessuale che conclude sotto le clausole all'esportatore di dati.
Clausola 6: responsabilità
1
Le parti concordano che qualsiasi soggetto interessato, che ha subito un danno a seguito di una violazione degli obblighi di cui alla clausola 3 o all'articolo 11 da parte di qualsiasi parte o subprocessor, ha diritto a ricevere un risarcimento dall'esportatore di dati per il danno subito.
2
Se l'interessato non è in grado di presentare una richiesta di indennizzo in conformità al paragrafo 1 nei confronti dell'esportatore di dati, derivante da una violazione da parte dell'importatore di dati o del suo subprocessore di uno qualsiasi dei loro obblighi di cui al punto 3 o all'articolo 11, poiché l'esportatore di dati è effettivamente scomparso o ha cessato di esistere per legge o è diventato insolvente, l'importatore di dati accetta che l'interessato possa presentare un reclamo contro l'importatore di dati come se fosse l'esportatore di dati, a meno che un'entità successiva non abbia assunto l'intero obblighi legali dell'esportatore di dati per contratto in base alla legge, nel qual caso l'interessato può far valere i propri diritti nei confronti di tale entità.
3
L'importatore di dati non può fare affidamento su una violazione da parte di un sub-elaboratore dei propri obblighi al fine di evitare le proprie passività.
4
Se una persona interessata non è in grado di presentare un reclamo contro l'esportatore di dati o l'importatore di dati di cui ai paragrafi 1 e 2, derivanti da una violazione da parte del subprocessore di uno qualsiasi dei loro obblighi di cui al punto 3 o all'articolo 11 perché sia l'esportatore di dati che l'importatore di dati sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi, il subprocessore concorda che l'interessato può presentare un reclamo contro il subprocessore dei dati in relazione alle proprie operazioni di trattamento ai sensi delle Clausole come se erano l'esportatore di dati o l'importatore di dati, a meno che un'entità successiva non abbia assunto tutti gli obblighi legali dell'esportatore di dati o dell'importatore di dati per contratto o per effetto di legge, nel qual caso l'interessato può far valere i propri diritti contro tale entità. La responsabilità del subprocessore è limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.
Clausola 7: mediazione e giurisdizione
1
L'importatore di dati accetta che se l'interessato invoca i diritti di terzi e / o il risarcimento dei danni ai sensi delle Clausole, l'importatore di dati accetterà la decisione dell'interessato:
A.
Per indirizzare la controversia alla mediazione, da una persona indipendente o, se del caso, dall'autorità di vigilanza;
B.
Per rinviare la controversia ai tribunali dello Stato membro in cui è stabilito l'esportatore di dati.
2
Le parti concordano che la scelta fatta dall'interessato non pregiudicherà i suoi diritti sostanziali o procedurali di cercare rimedi in conformità con altre disposizioni di legge nazionale o internazionale.
Clausola 8: cooperazione con le autorità di vigilanza
1
L'esportatore di dati acconsente a depositare una copia del presente contratto presso l'autorità di vigilanza se ciò lo richiede o se tale deposito è richiesto ai sensi della legge sulla protezione dei dati applicabile.
2
Le parti concordano che l'autorità di vigilanza ha il diritto di condurre una verifica sull'importatore di dati e su qualsiasi subprocessore, che ha la stessa portata ed è soggetto alle stesse condizioni che si applicherebbero ad un controllo dell'esportatore di dati in base ai dati applicabili legge sulla protezione.
3
L'importatore di dati informa tempestivamente l'esportatore di dati dell'esistenza di una legislazione applicabile ad esso o di qualsiasi subprocessore che impedisca l'esecuzione di un controllo sull'importatore di dati o su qualsiasi subprocessore ai sensi del paragrafo 2. In tal caso l'esportatore di dati ha diritto prendere le misure previste nella clausola 5 (b).
Clausola 9: Legge applicabile
Le clausole sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.
Clausola 10: Variazione del contratto
Le parti si impegnano a non modificare o modificare le clausole. Ciò non preclude alle parti l'aggiunta di clausole su questioni relative alle imprese laddove richiesto, purché non contraddicano la clausola.
Clausola 11: Sottoprocesso
1
L'importatore di dati non deve subappaltare alcuna delle sue operazioni di trattamento eseguite per conto dell'esportatore di dati ai sensi delle Clausole senza il preventivo consenso scritto dell'esportatore di dati. Qualora l'importatore di dati subappalti i suoi obblighi ai sensi delle clausole, con il consenso dell'esportatore di dati, lo fa solo mediante un accordo scritto con il subprocessor che impone gli stessi obblighi al subprocessatore imposti all'importatore di dati ai sensi del clausole. Laddove il subprocessore non adempia gli obblighi di protezione dei dati in virtù di tale accordo scritto, l'importatore di dati rimarrà pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub processatore in base a tale accordo.
2
Il contratto scritto preliminare tra l'importatore di dati e il subprocessore deve inoltre prevedere una clausola di beneficiario di terzi di cui al punto 3 per i casi in cui l'interessato non è in grado di presentare la domanda di risarcimento di cui al paragrafo 1 della clausola 6 contro l'esportatore di dati o l'importatore di dati perché sono effettivamente scomparsi o hanno cessato di esistere per legge o sono diventati insolventi e nessuna entità successiva ha assunto tutti gli obblighi legali dell'esportatore di dati o dell'importatore di dati per contratto o per effetto di legge. Tale responsabilità di terzi del subprocessore è limitata alle proprie operazioni di elaborazione ai sensi delle Clausole.
3
Le disposizioni relative agli aspetti della protezione dei dati ai fini della sottoprocedura del contratto di cui al paragrafo 1 sono disciplinate dalla legge dello Stato membro in cui è stabilito l'esportatore di dati.
4
L'esportatore di dati deve tenere un elenco di accordi subprocessing concluso ai sensi delle Clausole e notificato dall'importatore di dati ai sensi della Clausola 5 (j), che deve essere aggiornato almeno una volta all'anno. L'elenco deve essere disponibile all'autorità di controllo della protezione dei dati dell'esportatore di dati.
Clausola 12: Obbligo dopo la cessazione dei servizi di elaborazione dei dati personali
1
Le parti concordano che alla cessazione della prestazione di servizi di trattamento dei dati, l'importatore dei dati e il subprocessore, a scelta dei dati esportatori, restituiscono tutti i dati personali trasferiti e le loro copie all'esportatore di dati o distruggono tutti i dati personali e certificano all'esportatore di dati di averlo fatto, a meno che la legislazione imposta all'importatore di dati non impedisca il ritorno o la distruzione di tutti o parte dei dati personali trasferiti. In tal caso, l'importatore di dati garantisce che garantirà la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti.
2
L'importatore di dati e il subprocessore garantiscono che, su richiesta dell'esportatore di dati e / o dell'autorità di controllo, invierà i propri strumenti di elaborazione dei dati per un audit delle misure di cui al paragrafo 1.
APPENDICE 1 alle Clausole contrattuali standard
Questa appendice fa parte delle clausole. Gli Stati membri possono completare o specificare, secondo le rispettive procedure nazionali, ogni ulteriore informazione necessaria che deve essere contenuta nella presente appendice.
1Esportatore di dati:
L'esportatore di dati è il Cliente, come definito nei Termini di servizio di Intuitive Password.
2Importatore di dati:
L'importatore di dati è Intuitive Security Systems Pty Ltd, un fornitore globale di prodotti e servizi di crittografia a conoscenza zero SaaS.
3Soggetti dei dati:
I dati personali trasferiti riguardano gli utenti finali di Data Exporter, inclusi dipendenti, appaltatori e personale di clienti, fornitori, collaboratori e subappaltatori. Soggetti dei dati include anche persone che tentano di comunicare o trasferire informazioni personali agli utenti finali di Data Exporter.
4Categorie di dati:
I dati personali trasferiti riguardano dati personali, dati di entità, dati di navigazione (comprese le informazioni sull'utilizzo del sito), dati di posta elettronica, dati di utilizzo del sistema, dati di integrazione dell'applicazione e altri dati elettronici inviati, archiviati, inviati o ricevuti dagli utenti finali tramite il Servizio di abbonamento .
5Categorie speciali di dati (se del caso):
Le parti non prevedono il trasferimento di categorie speciali di dati.
6Operazione di elaborazione:
Per quanto riguarda i dati personali degli utenti finali non tedeschi come esportatori di dati, si applicano le seguenti disposizioni:
I dati personali trasferiti saranno soggetti alle seguenti attività di elaborazione di base:
Ambito del trattamento: i dati personali possono essere trattati per le seguenti finalità: (a) fornire il servizio di abbonamento (che può comprendere l'individuazione, la prevenzione e la risoluzione di problemi tecnici e di sicurezza); (b) rispondere alle richieste di assistenza clienti; e (c) altrimenti adempiere agli obblighi previsti dai Termini di servizio di Intuitive Password. L'Esportatore di dati incarica l'importatore di dati di elaborare dati personali in paesi in cui l'importatore di dati o i suoi subprocessori conservano le strutture necessarie per fornire il servizio di abbonamento.
Termine dell'elaborazione dei dati: l'elaborazione dei dati sarà per il termine specificato nei Termini di servizio Intuitive Password. Per la durata dei Termini di servizio Intuitive Password e per un periodo di tempo ragionevole dopo la scadenza o la risoluzione dei Termini di servizio di Intuitive Password, l'importatore di dati fornirà all'esportatore di dati l'accesso e la possibilità di esportare i dati dell'esportatore di dati. dati personali trattati conformemente ai Termini di servizio di Intuitive Password.
Cancellazione dei dati: per la durata dei Termini di servizio di Intuitive Password, l'Importatore dei dati fornirà a Data Exporter la possibilità di eliminare i dati come specificato nei Termini di servizio di Intuitive Password.
Accesso ai dati: per la durata dei Termini di servizio Intuitive Password, l'importatore di dati fornirà all'esportatore dati la possibilità di correggere, bloccare, esportare e cancellare i dati personali dell'esportatore di dati dal servizio di abbonamento in conformità ai Termini di servizio Intuitive Password .
Sottoprocessori: l'importatore di dati può ingaggiare subprocessori per fornire parti del servizio di abbonamento. L'Importatore dei dati assicurerà che i subprocessori accedano e utilizzino i dati personali dell'Esportatore dei Dati per fornire i prodotti e i servizi dell'Importatore di dati e non per altri scopi. Per quanto riguarda i dati personali degli utenti finali tedeschi come esportatori di dati, si applicano le seguenti disposizioni: Specifica delle attività di trattamento in conformità alla Sezione 11 BDSG. Tenendo conto dei requisiti della Sezione 11 Legge federale tedesca sulla protezione dei dati (Bundesdatenschutzgesetz - BDSG) sull'elaborazione dei dati commissionati, le attività di trattamento sono specificate come segue:
Oggetto e durata della commissione: i dati personali possono essere trattati per le seguenti finalità: (a) fornire il servizio di abbonamento (che può comprendere l'individuazione, la prevenzione e la risoluzione di problemi tecnici e di sicurezza); (b) rispondere alle richieste di assistenza clienti; e (c) altrimenti adempiere agli obblighi previsti dai Termini di servizio di Intuitive Password.
Le Clausole sono state stipulate per la durata del rispettivo contratto di servizio (Termini di servizio Intuitive Password).
A.
Misure tecniche e organizzative da adottare ai sensi della sezione 9 BDSG: vedere il tipo di dati e il gruppo di persone interessate dalle descrizioni contenute nella presente appendice 1 sotto i titoli "Categorie di dati" e "Soggetti dei dati". Lo scopo del trattamento è: (a) fornire il servizio di abbonamento (che può includere l'individuazione, la prevenzione e la risoluzione di problemi tecnici e di sicurezza); (b) rispondere alle richieste di assistenza clienti; e (c) altrimenti adempiere agli obblighi previsti dai Termini di servizio di Intuitive Password.
B.
Estensione, tipo e scopo della raccolta, dell'elaborazione o dell'uso dei dati pianificati; il tipo di dati e il gruppo di persone interessate: L'importatore di dati adotterà le misure tecniche e organizzative appropriate per proteggere adeguatamente i dati personali dell'esportatore di dati da usi impropri e perdite conformemente ai requisiti della sezione 9 BDSG. Vedere l'Appendice 2 per i dettagli.
C.
Correzione, cancellazione e blocco dei dati: se un soggetto dei dati richiede all'Importatore dei dati di correggere, cancellare o bloccare i dati, l'importatore dei dati deve riferire tali dati all'esportatore di dati. La cancellazione, il blocco e la correzione dei dati personali da parte dell'importatore di dati avviene solo su istruzione dell'esportatore di dati.
D.
Obblighi dell'agente ai sensi della sottosezione 4 (della Sezione 11 BDSG), in particolare i controlli da intraprendere: Vedi l'Appendice 2 per i dettagli. L'Importatore dei dati ha obbligato i suoi dipendenti impiegati nell'elaborazione dei dati a non raccogliere, elaborare o utilizzare i dati personali senza autorizzazione (riservatezza dei dati). Questo obbligo continua ad essere valido dopo la risoluzione del rispettivo rapporto di lavoro.
E.
Diritto di emettere subappalti: vedere le clausole 5 (h) e 11 delle clausole. L'esportatore di dati si impegna già a subappaltare i responsabili del trattamento dei dati elencati nell'Allegato 2. Se l'Importatore dei dati intende istruire subappaltatori diversi dalle società elencate nell'Allegato 2, l'Importatore dei dati deve comunicarlo per iscritto all'Esportatore dei dati (e-mail all'indirizzo e-mail ( es) registrato nelle informazioni sull'account dell'importatore di dati per l'esportatore di dati è sufficiente) e deve dare all'esportatore di dati la possibilità di opporsi alle istruzioni del subappaltatore entro 30 giorni dalla notifica. L'opposizione deve essere basata su motivi ragionevoli (ad esempio se l'esportatore di dati dimostra che esistono rischi significativi per la protezione dei propri dati personali presso il subappaltatore). Se l'importatore di dati e l'esportatore di dati non sono in grado di risolvere tale obiezione, ciascuna delle parti può recedere dal ToS fornendo notifica scritta all'altra parte. l'esportatore di dati riceverà un rimborso di eventuali commissioni prepagate ma non utilizzate per il periodo successivo alla data effettiva di risoluzione.
F.
I diritti di controllo del titolare e i corrispondenti obblighi dell'agente di tollerare e cooperare: Vedi Clausole 5 (e) e (f) delle Clausole.
G.
Violazioni da parte dell'agente o delle persone da lui incaricate di proteggere i dati personali o dei termini specificati nella commissione che devono essere segnalati: Vedere la Clausola 5 (d) delle Clausole.
H.
Estensione dell'autorità del preponente di impartire istruzioni all'agente: i dati personali possono essere elaborati dall'Importatore di dati solo in base alle istruzioni dell'esportatore di dati. Salvo quanto previsto dalla legge, i dati personali possono essere trattati o utilizzati per un altro scopo, inclusa la divulgazione a terzi, solo previa approvazione scritta dell'esportatore di dati. Le copie dei dati personali non possono essere effettuate senza il consenso dell'esportatore di dati, ad eccezione delle copie necessarie per l'elaborazione o se richieste per rispettare gli obblighi di conservazione previsti dalla legge.
I.
Restituzione del supporto di memorizzazione dei dati e cancellazione dei dati memorizzati dall'agente dopo che la commissione è stata completata: l'esportatore di dati ha il diritto di chiedere la rettifica, la cancellazione, il blocco e la messa a disposizione dei dati personali durante e dopo la durata del rispettivo contratto di servizio (Termini di servizio di Intuitive Password) in conformità con le ulteriori specifiche di tale accordo sulla restituzione e cancellazione dei dati personali.
Appendice 2 alle clausole contrattuali standard
Questa appendice fa parte delle clausole. Descrizione delle misure di sicurezza tecniche e organizzative attuate dall'importatore di dati in conformità con le clausole 4 (d) e 5 (c) (o documento / legislazione allegata):
Intuitive Password attualmente osserva le pratiche di sicurezza descritte in questa Appendice 2. Nonostante qualsiasi disposizione contraria adottata diversamente da Data Exporter, Intuitive Password può modificare o aggiornare tali pratiche a sua discrezione, a condizione che tale modifica e aggiornamento non si traduca in un deterioramento del protezione offerta da queste pratiche. Tutti i termini in maiuscolo non altrimenti definiti nel presente documento avranno il significato indicato nei Termini di servizio Intuitive Password.
1
Controllo di accesso
A.
Prevenire l'accesso non autorizzato al prodotto. Elaborazione in outsourcing: Intuitive Password ospita il proprio servizio con fornitori di data center in outsourcing, con sede in Australia. Inoltre, Intuitive Password mantiene rapporti contrattuali con i fornitori al fine di fornire il Servizio. Intuitive Password fa affidamento su accordi contrattuali, politiche sulla privacy e programmi di conformità dei fornitori al fine di assicurare la protezione dei dati elaborati o archiviati da tali fornitori.
Sicurezza fisica e ambientale: Intuitive Password ospita la sua infrastruttura di prodotto con i fornitori di data center in outsourcing e multi-tenant. I controlli di sicurezza fisica e ambientale sono controllati per conformità SOC 2 Tipo II e ISO 27001, tra le altre certificazioni.
Autenticazione: Intuitive Password ha implementato una politica di password uniforme per i suoi prodotti cliente. I clienti che interagiscono con i prodotti tramite l'interfaccia utente devono autenticarsi prima di accedere ai dati dei clienti non pubblici.
Autorizzazione: i dati dei clienti sono memorizzati in sistemi di archiviazione multi-tenant accessibili ai clienti tramite le sole interfacce utente dell'applicazione e le interfacce di programmazione delle applicazioni. Ai clienti non è consentito l'accesso diretto all'infrastruttura dell'applicazione sottostante. Il modello di autorizzazione in ciascuno dei prodotti Intuitive Password è progettato per garantire che solo le persone assegnate in modo appropriato possano accedere a caratteristiche, viste e opzioni di personalizzazione pertinenti. L'autorizzazione ai set di dati viene eseguita tramite la convalida delle autorizzazioni dell'utente rispetto agli attributi associati a ciascun set di dati.
B.
Prevenire l'uso non autorizzato del prodotto. Intuitive Password implementa controlli di accesso standard del settore e funzionalità di rilevamento per le reti interne che supportano i suoi prodotti.
Controlli di accesso: i meccanismi di controllo dell'accesso alla rete sono progettati per impedire il traffico di rete che utilizza protocolli non autorizzati per raggiungere l'infrastruttura del prodotto. Le misure tecniche implementate differiscono tra i provider di data center e includono implementazioni Virtual Private Cloud (VPC) e assegnazione di gruppi di sicurezza, oltre al tradizionale firewall aziendale e l'assegnazione di reti locali virtuali (VLAN).
Rilevamento e prevenzione delle intrusioni: Intuitive Password ha implementato una soluzione WAF (Web Application Firewall) per proteggere tutti i siti ospitati e l'accesso al servizio Intuitive Password. Il WAF è progettato per identificare e prevenire attacchi contro servizi di rete disponibili al pubblico.
Analisi del codice statico: vengono eseguite revisioni della sicurezza del codice memorizzato negli archivi del codice sorgente di Intuitive Password, verificando le migliori pratiche di codifica e le vulnerabilità del software identificabili.
Test di penetrazione: Intuitive Password mantiene relazioni con i fornitori di servizi di penetrazione riconosciuti dall'industria per quattro test di penetrazione annuali. L'intento dei test di penetrazione è identificare e risolvere i vettori di attacco prevedibili e potenziali scenari di abuso.
C.
Limitazioni di privilegi e requisiti di autorizzazione. Accesso al prodotto: un sottoinsieme dei dipendenti di Intuitive Password ha accesso ai prodotti e ai dati dei clienti tramite interfacce controllate. L'intento di fornire l'accesso a un sottogruppo di dipendenti è fornire un supporto clienti efficace, risolvere i potenziali problemi e rilevare e rispondere agli incidenti di sicurezza. L'accesso è abilitato tramite richieste di accesso "just in time", tutte le richieste vengono registrate, i dipendenti hanno accesso per ruolo e le revisioni delle concessioni di privilegio ad alto rischio vengono avviate quotidianamente, mentre i ruoli dei dipendenti vengono rivisti almeno una volta ogni sei mesi.
Controlli in background: tutti i dipendenti di Intuitive Password subiscono un ampio controllo di terze parti prima di estendere un'offerta di lavoro. Tutti i dipendenti sono tenuti a comportarsi in modo coerente con le linee guida aziendali, i requisiti di non divulgazione e gli standard etici.
2
Controllo della trasmissione
In transito: Intuitive Password rende disponibile la crittografia HTTPS (nota anche come SSL o TLS) su ciascuna delle sue interfacce di accesso e gratuitamente su ogni sito del cliente ospitato sui prodotti Intuitive Password. L'implementazione HTTPS di Intuitive Password utilizza algoritmi e certificati standard del settore.
At-rest: Intuitive Password memorizza le password degli utenti seguendo le politiche che seguono almeno le pratiche standard del settore per la sicurezza.
3
Controllo di input
Rilevamento: Intuitive Password ha progettato la propria infrastruttura per registrare informazioni dettagliate sul comportamento del sistema, sul traffico ricevuto, sull'autenticazione del sistema e su altre richieste di applicazioni. I sistemi interni aggregano i dati del registro e avvisano i dipendenti appropriati di attività dannose, non intenzionali o anomale. Il personale Intuitive Password, inclusa la sicurezza, le operazioni e il personale di supporto, risponde a incidenti noti.
Risposta e tracciabilità: Intuitive Password conserva un record di incidenti di sicurezza noti che includono la descrizione, le date e gli orari delle attività pertinenti e la disposizione degli incidenti. Sospetti e confermati incidenti di sicurezza sono investigati da sicurezza, operazioni o personale di supporto; e le appropriate misure di risoluzione sono identificate e documentate. Per qualsiasi incidente confermato, BBBBBB prenderà le misure appropriate per ridurre al minimo il prodotto e il danno del Cliente o la divulgazione non autorizzata.
Comunicazione: se Intuitive Password viene a conoscenza di un accesso illecito ai dati del Cliente memorizzati all'interno dei propri prodotti, Intuitive Password: 1) notificherà i Clienti interessati dell'incidente; 2) fornire una descrizione dei passaggi che Intuitive Password sta prendendo per risolvere l'incidente; e 3) fornire aggiornamenti di stato al contatto del cliente, come ritiene necessario Intuitive PasswordB. Eventuali notifiche di eventuali incidenti verranno consegnate a uno o più contatti del cliente in un modulo Intuitive Password selezionato, che può includere tramite e-mail o telefono.
4
Controllo del lavoro
L'applicazione Intuitive Password fornisce ai clienti una soluzione per archiviare e condividere informazioni di autenticazione, dati sensibili e file. I clienti controllano i tipi di dati raccolti e memorizzati nei loro account. Intuitive Password non vende mai dati personali a terzi. Intuitive Password è un servizio SaaS a conoscenza zero e, in quanto tale, non ha la capacità di decodificare o visualizzare i dati crittografati memorizzati all'interno di un account Cliente.
Chiusura dei clienti: i dati dei clienti principali in database attivi (ad esempio primari) vengono eliminati su richiesta scritta del cliente o contattando l'assistenza clienti Intuitive Password, 90 giorni dopo che un cliente ha risolto tutti gli accordi per tali prodotti con Intuitive Password. Le informazioni sui dati dei clienti archiviate in backup, repliche e istantanee non vengono automaticamente eliminate, ma invecchiano invece fuori dal sistema come parte del ciclo di vita dei dati. Intuitive Password si riserva il diritto di modificare il periodo di spurgo dei dati al fine di soddisfare i requisiti tecnici, di conformità o di legge. "Dati cliente principali" include (i) nome, indirizzo email, numero di telefono, nome utente online, numero di telefono e informazioni simili inviate volontariamente dai visitatori alle proprie pagine di destinazione sul Servizio di abbonamento e (ii) dati relativi alle attività dei social media dei tuoi visitatori nella misura in cui tali attività possono essere legate a un individuo identificabile; ed esclude (i) dati analitici, (ii) Materiali del Cliente, (iii) dati anonimi aggregati, (iv) registri, dati archiviati o file di dati di backup, (v) altri dati che non è ragionevolmente praticabile da eliminare e (v) altri dati che sono o diventano generalmente noti al pubblico senza violare alcun obbligo nei confronti del Cliente.
5
Controllo di disponibilità
Disponibilità dell'infrastruttura: i fornitori di data center utilizzano sforzi commercialmente ragionevoli per garantire un uptime minimo del 99,95%. I provider mantengono un minimo di ridondanza N + 1 per i servizi di alimentazione, rete e HVAC.
Tolleranza agli errori: le strategie di backup e di replica sono progettate per garantire la ridondanza e le protezioni di failover durante un errore di elaborazione significativo. I dati dei clienti vengono sottoposti a backup su più archivi di dati durevoli e replicati su più data center e zone di disponibilità.
Repliche e backup online: laddove possibile, i database di produzione sono progettati per replicare i dati tra non meno di 1 database primario e 1 database secondario. Tutti i database vengono sottoposti a backup e gestiti utilizzando almeno metodi standard del settore.
I prodotti Intuitive Password sono progettati per garantire ridondanza e failover senza interruzioni. Le istanze del server che supportano i prodotti sono inoltre progettate con l'obiettivo di prevenire singoli punti di errore. Questo design supporta le operazioni Intuitive Password nel mantenimento e nell'aggiornamento delle applicazioni e del back-end del prodotto limitando al contempo i tempi di fermo.
6
Separazione in elaborazione
La raccolta di dati personali di Intuitive Password dai suoi clienti consiste nel fornire e migliorare i nostri prodotti di vendita e marketing. Intuitive Password non utilizza tali dati per altri scopi che richiederebbero un'elaborazione separata.
ESPOSIZIONE 2: Elenco dei subappaltatori
1. Amazon Web Services, Inc.
2. Microsoft, Inc.
3. Twilio, Inc.
4. Stripe, Inc.
5. PayPal Holdings, Inc.
6. Mailgun, Inc.