Data Processing Agreement

Everything you need to know about our Data Processing Agreement.

GDPR - データ処理契約

この規約は英語に書かれています。もし翻訳した規約は英語の規約と葛藤があれば、英語のバージョンは基準です。

このデータ処理契約 (以下「DPA」) は、Intuitive Password の下での個人データの処理を規定する条件に関して、Intuitive Security Systems Pty Ltd (「ISS」) とお客様 (以下、総称して「当事者」という) 利用規約 (以下「ToS」) 。

このDPAは、ToSの改訂版であり、ToSへの加入時に有効であり、その取り決めは購入契約書 (以下「注文書」) またはToSの修正された修正書に明記される。 ToSに組み込まれると、DPAはToSの一部を形成する。合併により、ISSはゼロ知識セキュリティプロバイダであることを認識したことになります。 Intuitive Passwordユーザーだけが、自分のアカウントに格納されているデータの暗号化と復号化を完全に制御できます。さらに、ISSはSOC 2タイプ2準拠と認定されています。

すべての場合において、Intuitive Password (「プロセッサー」) 、またはプロセッサーの代わりに働く第三者は、個人データのプロセッサーとして行動し、ユーザー (「コントローラー」) は個人データのコントローラーのままです。このDPAの任期は、ToSの任期に従うものとする。本明細書で別途定義されていない用語は、ToSに記載されている意味を有するものとする。

このDPAには:

1 付録1として添付されている標準契約条項。

A. データ輸出者によってデータ輸入者に転送される個人データに関する詳細を含む標準契約条項の付録1。

B. 標準的な契約条項の付録2には、参照されているようにデータインポータによって実装された技術的および組織的セキュリティ対策の記述が含まれています。

2 付録2として添付されている下請け業者のリスト。

1. 定義

「個人データ」とは、特定された個人または識別可能な個人の個人的または物的環境に関する個々の要素を意味します。

「処理」とは、コントローラの代理として行動するプロセッサによる個人データの保存、修正、転送、ブロックまたは消去を含む、個人データの処理を指します。

「指示」とは、コントローラからプロセッサへ発行され、パーソナルデータ (個人差別化、ブロック、削除、利用可能なものを含むがこれに限定されない) に関して特定のアクションを実行するよう指示する書面による命令を意味する。指示書は、ToSに最初に明示されなければならず、その後、随時、個別の書面による指示 (個別の指示) で、コントローラーによって修正、増幅または交換されることがあります。

2. 範囲と責任

プロセッサーは、コントローラーの代わりに個人データを処理するものとします。処理には、ToSと命令で指定されるような行動が含まれなければならない。コントローラは、ToSの範囲内で、データ保護に関連する法的要件、特にプロセッサへの個人データの転送および個人データの処理 (以下に定義される「責任体」として機能する) に関して、第3項第7項ドイツ連邦データ保護法 (BDSG) またはこれに準拠する国家データ保護法の規定) 。

この責任に基づき、コントローラーは、個人データの返却と削除に関するそのような合意のさらなる仕様に従って、ToSの期間中およびその後に、個人データの整理、削除、阻止および利用を要求する権利を有します。

このDPAの規制は、自動プロセスまたは処理装置のテストまたはメンテナンスがコントローラのために実行され、そのような状況での個人データへのアクセスを除外することはできません。

3. プロセッサの義務

プロセッサーは、コントローラーの指示の範囲内でのみ、個人データを収集し、処理し、使用するものとします。プロセッサーがBDSGまたはその他のデータ保護条項を侵害したとプロセッサが判断した場合、遅滞なくこれを本人に通知するものとします。

プロセッサーの責任範囲内で、プロセッサーは、個人データ保護の特定の要件を確実に満たすために、プロセッサーの社内組織を構成しなければなりません。プロセッサーは、ドイツ連邦データ保護法 (第9条BDSG) の要件またはそれに準拠した国家データ保護法の規定に従って、コントローラの個人データを適切に保護し、誤用および紛失から適切な技術的および組織的措置を講じなければなりません。そのような措置には、以下が含まれますが、これに限定されません。

1 許可されていない人物が個人データ処理システム (物理的なアクセス制御) にアクセスするのを防ぐ。

2 個人データ処理システムが許可なしに使用されることの防止 (論理アクセス制御) 。

3 個人データ処理システムを使用する権利を有する者は、アクセス権に従ってアクセスする権利がある個人データにのみアクセスし、処理または使用中および保管後は、個人データを読み取ることができないことを保証する、コピー、変更、または削除 (データアクセス制御) 。

4 個人データを電子媒体による転送、保管、保管中に無断で閲覧、複製、改変、削除することができないこと、データ伝送施設を利用して個人データを転送する対象団体を確定することができること (データ転送制御) 。

5 個人データ処理システム (入力管理) に個人データが入力されたかどうか、またどの個人データが入力され、変更され、または削除されたかを記録する監査証跡の確立を保証する。

6 個人データが命令 (命令の制御) に従ってのみ処理されることを保証する。

7 個人データが偶発的な破壊や紛失から保護されることを保証する (可用性管理) 。

8 異なる目的で収集された個人データを個別に処理できることを保証する (分離管理) 。

litで参照される尺度。上記のb〜dは特にクライアントアクセスのための最先端の暗号化技術の使用に限定されるものではありません。上記の技術的および組織的措置の概要は、このDPAに付録として添付しなければならない。

コントローラーの要請に応じて、プロセッサーは以下の処理を含む現行の個人データ保護およびセキュリティー・プログラムを提供するものとします。

コントローラがそのような情報を直接得ることができる場合を除いて、コントローラは要求に応じて、セッション4gパラグラフで定義されている概要をコンパイルするのに必要なすべての情報を提供しなければならない。 2文1 BDSGまたはこれに準拠する国家データ保護法の該当する規定。

プロセッサーは、プロセッシング・コントローラーの個人データを委託された人員が第5セッションBDSG (またはそれに準拠する国家データ保護法の対応する規定) に従ってデータ秘密の原則に従うように徹底し、保護に関するBDSGの規定またはその他の適用される国家データ保護法に準拠しています。秘密保持の約束は、上記の資格を有する活動の終了後も継続するものとする。

プロセッサーは、データ保護役員を任命しなければならず、これが法的に要求されている場合は、コントローラーの要請に応じてプロセッサーはデータ保護役員の連絡先の詳細をコントローラーに通知するものとする。

プロセッサーは、個人データ保護規定または本DPAに規定されている条件のプロセッサーまたはそれに雇用された者による操作または違反の深刻な中断の場合、コントローラーに過度の遅延なしに通知するものとする。そのような場合、プロセッサーは、個人データを保護し、データ主体に対する潜在的な悪影響を軽減するために必要な措置を実施し、過度の遅滞なくコントローラに同意するものとします。プロセッサーは、セクション42a BDSG (またはそれに準拠する国家データ保護法の対応する条項) に基づき、コントローラーの開示義務を果たすためにコントローラーをサポートしなければならない。

コントローラは、プロセッサーに提供されたキャリアメディアおよびそのコピーまたは複製物に関するタイトルを保持するものとします。プロセッサーは、そのようなメディアを安全に保管し、第三者による不正アクセスからそれらを保護するものとします。プロセッサーは、コントローラーの要求に応じて、コントローラーに個人情報および情報に関するすべての情報を提供するものとします。プロセッサーは、ケースバイケースで、コントローラーが発行した命令に基づいて、テストおよびスクラップ資料を確実に削除する義務があります。コントローラーが決定した場合、プロセッサーはそのような資料をコントローラーに引き渡すか、コントローラーのために保管する。

プロセッサーは、自身を監査し、上記の権利を有する義務の履行を確認する義務を負い、そのような検証の十分な文書を保持しなければならない。

4. コントローラの義務

コントローラおよびプロセッサは、それらに適用される法定データ保護規則を遵守するために、別個に責任を負うものとします。

コントローラは、処理の結果の検証中に検出された個人データの処理に関する法的規定に関連する誤りまたは不規則性に関して、過度の遅延および包括的にプロセッサに通知しなければならない。

コントローラは、第4g項で定義されている公的に利用可能な登録簿を維持する義務がある。 2文章2 BDSG (またはそれに対応する国家データ保護法の該当する条項) 。

コントローラーは、第42a条BDSGの結果として通知する義務、またはそれに対応する国家データ保護法の該当する条項の履行に責任を負うものとします。

コントローラは、ToSが終了または満了したときおよび命令を発行するときに、プロセッサが設定した期間内に、データキャリアメディアの返却または保存データの削除の合理的な措置を規定しなければならない。

ToSの終了または満了後の個人データの返却または削除に関連して生じる追加費用は、コントローラーが負担するものとします。

5. コントローラへのデータ科目の照会

コントローラは、適用されるデータ保護法に基づいて、収集、処理または使用またはその個人データについて個人に情報を提供する義務を負う場合、プロセッサは、 (i) コントローラがプロセッサ (ii) コントローラは、この援助に起因する費用についてプロセッサに返済する。

データ主体がプロセッサにパーソナルデータの修正、削除、またはブロックを要求する場合、プロセッサーはそのデータをコントローラーに照会するものとします。

6. 監査の義務

コントローラは、処理の開始前に、その後一定の間隔でプロセッサの技術的および組織的措置を監査し、その結果を文書化しなければならない。

そのような目的のために、コントローラは、

1 プロセッサから情報を取得する。

2 プロセッサが、独立した専門家による既存のアテステーションまたは証明書をコントローラに提出するよう依頼する。

3 合理的でタイムリーな事前合意が得られた場合、通常の営業時間内に、プロセッサーの事業運営を中断することなく、プロセッサーの事業運営のオンサイト検査を実施するか、プロセッサーの競争相手ではない適格な第三者プロセッサー) 。

プロセッサーは、コントローラーの書面による要求に基づき、合理的な期間内に、監査に必要なすべての情報をコントローラーに提供しなければならない。

7. 外注先

プロセッサーは、コントローラの書面による同意がある場合にのみ、ToSで定義されたプロセッサーの義務を第三者に下請けする権利があります。

コントローラは、プロセッサーの関連会社および第三者へのプロセッサーの下請けに同意するものとし、プロセッサーの契約上の義務の別表2に記載されています。

プロセッサーが別紙2にリストされている会社以外の下請け業者に指示する予定の場合、プロセッサーは書面でコントローラーに通知しなければなりません (コントローラーのプロセッサーアカウント情報に記録された電子メールアドレスまでの電子メールで十分です) 通知されてから30日以内に下請業者の指導に反する可能性がある。合理的な根拠に基づいて異議を述べなければなりません (例えば、コントローラーが下請け業者に個人データの保護のための重大なリスクがあることを証明した場合) 。プロセッサーおよびコントローラーがそのような異議を解決できない場合、いずれの当事者も、相手方に書面で通知することにより、ToSを終了することができます。コントローラは、有効期限終了後の期間について、未払いの前払い料金の払い戻しを受けなければならない。

プロセッサーが下請け業者を従事させる場合、プロセッサーは下請け業者にプロセッサーの契約上の義務を引き渡す義務があります。文1は、特にToSの当事者間で定められた機密性、データ保護及びデータセキュリティの契約上の要件を適用するものとする。

下請け業者が使用されている場合、下請け業者を監視し、検査する権利を、このDPAおよび第11条BDSGに従って、第9章BDSG附属書の第6項と併せて (または対応するそれ以外の場合は適用される国家データ保護法) 。これには、書面による請求により、契約の内容および必要に応じて関連する契約書類を調べることにより、下請け関係におけるデータ保護義務の実施について、プロセッサーから情報を入手する権利が含まれます。

この第7条の規定は、第三国の下請け業者に指示される場合にも適用されるものとする。コントローラは、プロセッサーに、EEA以外のコントローラーの個人データを処理または使用する下請け業者とコントローラーの名前および代理人の同意を得て、個人データをプロセッサーに転送するためのEU標準契約条項を締結することを許可します2010年2月5日付けの第三国で設立されました。これは、このような下請け業者とのプロセッサーによって既に締結されたEU標準契約条項 (プロセッサー) に関するこの承認日から適用されます。

8. 通知する義務、書面による強制、法律の選択、追加の条件

コントローラの個人データが処理中に検索および差押え、告訴命令、破産または破産手続中の没収、または第三者による同様の事象または措置の対象となる場合、プロセッサーは過度の遅滞なくコントローラに通知するものとします。プロセッサーは、過度の遅れを伴わずに、関係するすべての当事者に、その訴訟において、それによって影響を受ける個人データがコントローラの唯一の財産および責任範囲にあること、その個人データがコントローラの唯一の性質であること、およびコントローラがBDSGの感覚 (またはそれに対応する国家データ保護法の対応する条項) 。

このDPAの更新および変更に関しては、「改正条項」に適用される条項が適用されます。 ToSの「一般条項」の「権利放棄」セクションが適用されます。

紛争が生じた場合、本DPAの規制はToSの規制よりも優先するものとする。このDPAの個々の規制が無効または施行不能である場合、本DPAの他の規制の有効性および執行可能性には影響しないものとします。

表1の標準契約条項 (以下「SCC」) は、ToSの下でプロセッサーによる個人データの処理に適用されます。このDPAをToSに組み込む際には、以下のセクション9に示す当事者 (本DPAの締約国) は、SCCおよびそれに付属するすべての付録に同意している。このDPAと別紙1の標準契約条項との間に矛盾または矛盾が生じた場合は、SCCが優先する。

SCCは、欧州経済圏 (EEA) からEEA外へ、直接または将来の送金を介して、いかなる国または受取人にも転送される個人データにのみ適用されます。 (i) 欧州委員会が適切なレベル (ii) 拘束力を含むがこれに限定されない、個人データの適切なレベルの保護を提供するものとして、関係当局または裁判所によって認められた適切な枠組みの対象ではない (EUデータ保護指令に記載されている) プロセッサの企業ルール。

9. このDPAの締約国

このDPAは、ToSの改訂版であり、ToSの一部を構成します。このDPAをToS (i) コントローラおよびIntuitive PasswordエンティティにそれぞれToSの当事者とすることは、それぞれこのDPAの当事者であり、 (ii) Intuitive Security Systems Pty Ltdは​​このDPAの当事者であるが、 DPAのセクション8、このセクションのDPA、およびSCC自体に従うSCCとの合意に至る。

Intuitive Security Systems Pty LtdがToSの当事者でない場合、ToSの「責任の制限」のセクションは、コントローラとIntuitive Security Systems Pty Ltdの間で適用されるものとし、そのような点において、「Intuitive Password」、「当社」、「当社」または「当社'は、ToSの当事者であるIntuitive Security Systems Pty LtdとIntuitive Passwordエンティティの両方を含むものとする。

このDPAにコントローラとして合意した法人は、このDPAに同意し、このDPAに参加する権限があり、コントローラのためにこのDPAにのみ合意していることを表しています

図表1:標準的な契約条項 (プロセッサー)

適切なレベルのデータ保護を保証しない第三国で設立されたプロセッサへの個人データの転送に関する指令95/46/ECの第26条 (2) の目的のため。

Intuitive Password利用規約 (以下「データ輸出業者」) およびIntuitive Security Systems Pty Ltd (542 Station Street、オーストラリア、ビクトリア3128、オーストラリア、3128、「データ輸入業者」) で定義されている顧客。個人の基本的権利と自由の保護に関する適切な保護措置を講じるために、以下の契約条項 (条項) に同意している。付録1で指定された個人データ。

第1項:定義

句の目的のために:

1 「個人データ」、「データの特別な分類」、「プロセス/処理」、「コントローラー」、「プロセッサー」、「データ主体」および「監督当局」は、95/46 / EC指令と同じ意味を持ちます。 1995年10月24日の欧州議会および理事会において、個人データの処理およびそのようなデータの自由な移動に関する個人の保護について、

2 「データ輸出者」とは、個人データを転送するコントローラを意味します。

3 「データ輸入者」とは、データ輸出者から、指示の内容および条項に従って譲渡された後の処理を目的とした個人データを受け取ることに同意し、第三国のシステムが適切であることを条件とするプロセッサー指令95/46 / ECの第25条 (1) の意味における保護;

4 「サブプロセッサー」とは、データインポーターまたはデータインポーターの他のサブプロセッサーが、データインポーターまたはデータインポーターの他のサブプロセッサーから、実行される処理アクティビティ専用の個人データから受け取ることに同意するプロセッサーを意味します彼の指示、条項、書面による下請けの条件に従って、移転後のデータ輸出者を代理します。

5 「適用されるデータ保護法」とは、個人の基本的権利と自由を保護する法律、特にデータ輸出者が加盟国である加盟国のデータ・コントローラーに適用される個人データの処理に関するプライバシー権を保護する法律を意味する設立;

6 「技術的および組織的セキュリティ対策」とは、偶発的または違法な破壊または偶発的な紛失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした措置を指します。特に、ネットワーク上でデータを送信する処理と、処理の形式。

第2項:移転の詳細

譲渡の詳細、特に該当する場合の個人データの特別なカテゴリは、条項の不可欠な部分を構成する付録1に明記されています。

第3項:第三者受益者条項

1 データ主体は、データ輸出者に対し、本条第4条 (b) から (i) まで、第5条 (a) から (e) まで、第6条第1項及び第2条から第12条まで、第7条、第8条 (2) 、第9条から第12条までを第三者受益者とする。

2 データ主体は、データ輸出者 (第5条 (a) から (e) および (g) 項、第6条第7項、第8条 (2) 後継者が契約または法律の運営によってデータ輸出者の法的義務全体を引き受けた場合を除いて、事実上消滅したか、または法律に存在しなくなった。その結果、データ輸出者の権利と義務をデータ主体は、そのような主体に対してそれらを実施することができる。

3 データ主体は、データ・エクスポータ (データ・エクスポータ) とデータ・エクスポータ (データ・エクスポータ) の両方が使用されている場合に、本項、第5項 (a) 〜 (e) および第9項、第7項、第8項後継者が契約または法律の運営によりデータ輸出者の法的義務全体を引き継いでいる場合を除いて、事実上消滅したか、法的に存在しなくなったか、または破産したことになります。そのデータ主体は、そのような主体に対してそれらを強制することができる。このようなサブプロセッサーの第三者責任は、条項に基づく独自の処理操作に限定されるものとします。

4 当事者は、データ主体が明示的に希望する場合、および国内法によって許可されている場合は、関連団体または他の団体が代表するデータ主体に反対しない。

第4項:データ輸出者の義務

データの輸出者は、以下に同意し、

1 個人データの譲渡自体を含む処理は、適用されるデータ保護法の関連規定に従って実行されており、今後も継続される (適用される場合は、会員の関連当局に通知されているデータ輸出者が設立された国家) 、その国の関連する条項に違反しないこと。

2 それが個人データ処理サービスの期間中に指導され、その期間中、データ輸出者に代わって、適用されるデータ保護法および条項に従って転送される個人データを処理するようデータ輸入業者に指示する。

3 この契約の付録2に規定されている技術的および組織的セキュリティ措置に関して、データ輸入者が十分な保証を提供すること。

4 適用されるデータ保護法の要件を評価した後、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセスから個人データを保護するためのセキュリティ対策が適切です。ネットワークおよび他のすべての違法な処理方法と照らし合わせて、これらの措置によって、処理によって提示されるリスクと、保護されるデータの性質に応じたレベルのセキュリティが、最先端技術とそのコスト実装;

5 セキュリティ対策の遵守を保証すること。

6 譲渡に特別な種類のデータが含まれている場合、譲渡前またはできるだけ早く、そのデータが、指令の意味内で適切な保護を提供していない第三国に送信される可能性があることを通知または通知する95/46/EC;

7 データ輸出者が転送を継続するか停止を解除することを決定した場合は、データ保護監督当局に第5条 (b) 項および第8項 (3) 項に従ってデータ輸入者またはサブプロセッサから受け取った通知を転送する。

8 付録2を除き、要求に応じてデータ主体が利用できるようにするため、付属書2を除き、セキュリティ対策の要約とサブプロセスサービスの契約書の写しを作成する。条項または契約書に商業上の情報が含まれている場合を除き、そのような商業情報を削除することができます。

9 サブプロセスが発生した場合、第11条に従い、個人データの保護と少なくとも同レベルのデータ輸入者としてのデータ権利を提供するサブプロセッサによって処理活動が行われ、第4条 (a) から (i) までの遵守を確保する。

第5項:データ輸入者の義務

データの輸入者は、以下に同意し、

1 データの輸出者に代わって、その指示と条項に従って個人データを処理する。何らかの理由でそのような遵守を提供できない場合、データ輸出者にデータの譲渡を中止する権利および/または契約を終了する権利がある場合、データ輸出者に遵守できないことを速やかに通知することに同意する。

2 それに適用される法律により、データ輸出者から受け取った指示および契約に基づく義務を履行できないと信じる理由がないこと、および実質的な悪影響を及ぼす可能性が高いこの法律が変更された場合条項が定める保証および義務に関して、データの輸出者は、データの輸出を中断したり、契約を解除する権利があるとすぐに、速やかにデータの輸出者に通知します。

3 譲渡された個人データを処理する前に付録2に規定されている技術的および組織的セキュリティ対策を実施したこと。

4 法執行機関の調査の機密保持を保護するための刑法上の禁止や偶発的または許可されていないものなど、禁止されていない限り法的拘束力のある法的機関による個人データの開示の法的拘束力のある要求について速やかにデータの輸出者に通知するデータ・サブジェクトから直接受け取った要求は、それが許可されていない限り、その要求に応答することなく、

5 譲渡の対象となる個人データの処理に関するデータの輸出者からのすべての問い合わせを迅速かつ適切に処理し、譲渡されたデータの処理に関する監督当局の助言を遵守すること。

6 データ輸出者または独立したメンバーで構成され、必要とされる専門的資格を有する検査機関によって実施される条項の対象となる処理活動の監査のためにデータ処理施設を提出するよう要求する該当する場合は、監督当局と合意したデータ輸出者によって選択された機密保持義務により、

7 草案または契約に商業情報が含まれている場合を除き、要求に応じてデータ主体に草案のコピー、または既存のサブプロセス契約を利用可能にするには、そのような商業情報を削除することができる。データ主体がデータ輸出者から写しを得ることができない場合のセキュリティ対策の概要説明に置き換えられる。

8 これは、サブプロセスが発生した場合、以前にデータの輸出者に通知し、事前の書面による同意を得ています。

9 サブプロセッサーによる処理サービスは、11項に従って行われること。

10 サブプロセッサ契約書のコピーを速やかに送るには、条項の下でデータ輸出者に締結します。

第6項:責任

1 両当事者は、第三者または第三者が第3条または第11条で言及した義務違反の結果、被害を受けたデータ主体は、データ被害者に損害賠償を受ける権利を有することに同意します。

2 データ主体が第3項または第11項に言及された義務のいずれかをデータ輸入者またはそのサブプロセッサーに違反して発生したデータ輸出者に対して第1項に従って補償請求を行うことができない場合、データ輸出者が事実上消滅したか、または法律上の廃止になった、または破産したため、データ輸入者はデータ輸出者であるかのようにデータ受領者にクレームを発行することに同意する。データの輸出者の法的義務は、法律の運営による契約によるものであり、その場合データ主体はそのような主体に対する権利を執行することができる。

3 データインポーターは、債務を負担しないために、義務のサブプロセッサーによる違反に頼ることはできません。

4 データ主体が第1項および第2項にいうデータ輸出者またはデータ輸入者に対して第3項または第11項に言及した義務の違反を理由に請求を行うことができない場合、データ・エクスポータとデータ・インポータの両方が事実上消滅したか、または破棄された場合、サブプロセッサは、データサブジェクトがデータサブプロセッサに対して、Clausesの下での独自の処理操作に関してクレームを発行することに同意するデータの輸出者またはデータの輸入者であって、後継者が契約または法律の運営によってデータ輸出者またはデータ輸入者の法的義務全体を引き受けた場合を除きます。サブプロセッサーの責任は、条項に基づく独自の処理操作に限定されます。

第7条:仲裁と管轄

1 データの輸入者は、第三者受益者の権利を侵害したり、第三者による損害賠償を請求したりする場合、データ主体の決定を受け入れることに同意します。

A. 紛争を仲裁、独立した者、または適用される場合は監督当局によって言及する。

B. 紛争をデータ輸出業者が設立された加盟国の裁判所に照会する。

2 両当事者は、データ主体による選択が、国内法または国際法の他の規定に従って救済措置を求める実質的または手続上の権利を害することはないということに同意する。

第8項:監督当局との協力

1 データの輸出者は、この契約書のコピーを要請する場合、または該当するデータ保護法の下で必要とされる場合は、監督機関に本契約のコピーを預けることに同意するものとします。

2 当事者は、監督当局が、データ輸入者、および適用範囲のデータを輸出者の監査に適用されるのと同じ条件に従うサブプロセッサの監査を行う権利を有することに同意する保護法。

3 データ輸入者は、第2項に従って、データ輸出者または任意のサブプロセッサの監査の実施を妨げる、それに適用可能な法律またはサブプロセッサの存在について、データ輸出者に速やかに通知しなければならない。そのような場合、データ輸出者は、第5条 (b) で予告される措置を取る。

9条:準拠法

条項は、データ輸出者が設立された加盟国の法律に準拠するものとします。

第10条契約の変更

当事者は、条項を変更または変更しないことを約束します。これにより、当事者は、条項と矛盾しない限り、必要な場合にビジネス関連の問題に条項を追加することを妨げるものではない。

11.サブプロセス

1 データ輸出者は、データ輸出者の書面による事前の同意なしに、条項の下でデータ輸出者に代わって行われた処理操作のいずれかに下請けしてはならない。データ輸入者は、データ輸出者の同意を得て、条項の下で義務を下請けする場合、サブプロセッサーとの書面による同意をもってのみ、サブプロセッサーに同じ義務を課す。句。かかる書面による合意の下でサブプロセッサーがデータ保護義務を履行しない場合、データ輸入者は、かかる契約に基づくサブプロセッサーの義務履行のためにデータ輸出者に完全な責任を負わなければならない。

2 データの輸入者とサブプロセッサーとの間の事前書面契約は、データ主体が第6項第1項に規定する補償請求をすることができない場合には、第3項に定める第三者受益者条項を提供しなければならない事実上消滅したか、または法律上の存在を中止したか、または破産し、後継者が契約または法律の運用によってデータ輸出者またはデータ輸入者の全法的義務を引き継いでいないためです。このようなサブプロセッサーの第三者責任は、条項に基づく独自の処理操作に限定されるものとします。

3 第1項に規定する契約のサブプロセスのためのデータ保護の側面に関する規定は、データ輸出者が設立された加盟国の法律に準拠するものとする。

4 データ輸出者は、条項の下で締結され、第5条 (j) に従ってデータ輸入者によって通知されたサブプロセッシング契約のリストを保管し、少なくとも年に1回更新するものとする。このリストは、データ輸出者のデータ保護監督当局が利用できるものとする。

第12条:個人データ処理サービス終了後の義務

1 両当事者は、データ処理サービスの提供の終了時に、データ輸入者およびサブプロセッサーは、データ輸出者の選択により、転送されたすべての個人データおよびそのコピーをデータ輸出者に返却するか、データの輸入者に課せられた法律によって、転送された個人データの全部または一部の返却または破棄が妨げられない限り、個人データはデータの輸出者に証明されます。その場合、データの輸入者は、転送された個人データの機密性を保証し、これ以上転送された個人データを積極的に処理しないことを保証します。

2 データ輸入者及びサブプロセッサーは、データ輸出者及び/又は監督当局の要請に応じて、第1項に規定する措置の監査のためにデータ処理施設を提出することを保証する。

標準契約条項の付録1

この付録は条項の一部を構成します。加盟国は、各国の手続に従い、この付録に含まれる必要な追加情報を完成させ、指定することができる。

1 データエクスポータ: データエクスポータは、Intuitive Password利用規約に定義されているように、顧客です。

2 データインポータ: データインポータは、SaaSゼロ知識暗号化製品とサービスのグローバルプロバイダであるIntuitive Security Systems Pty Ltdです。

3 データ対象: 転送される個人データは、従業員、請負業者、顧客、仕入先、協力会社、下請け業者の従業員を含むデータ輸出業者のエンドユーザーに関係します。データ科目には、データエクスポータのエンドユーザと通信したり、個人情報をデータエクスポータのエンドユーザに転送しようとする個人も含まれます。

4 データの分類: 転送される個人データは、個人データ、エンティティデータ、ナビゲーションデータ (ウェブサイト使用情報を含む) 、電子メールデータ、システム使用データ、アプリケーション統合データ、サブスクリプションサービスを介してエンドユーザーによって送信、保存、送信、 。

5 特別なデータカテゴリ (該当する場合) : 当事者は、特別な種類のデータの移転を予期していない。

6 処理操作: データの輸出者としてのドイツ以外のエンドユーザーの個人データに関しては、以下の規定が適用されます。

転送される個人データは、以下の基本的な処理活動の対象となります。

処理の範囲:個人データは、次の目的で処理されることがあります。 (a) サブスクリプションサービス (セキュリティおよび技術的問題の検出、防止、解決を含む場合があります) の提供。 (b) 顧客のサポート要求に応答する。 (c) Intuitive Password利用規約に基づく義務を履行すること。データ輸出者は、データ輸入者またはサブプロセッサが必要に応じてサブスクリプションサービスを提供する施設を維持している国の個人データを処理するようデータ輸入業者に指示します。

データ処理期間:データ処理は、Intuitive Password利用規約で指定された期間に適用されます。 Intuitive Password利用規約の期間、およびIntuitive Password利用規約の満了または終了後の合理的期間について、データ輸出者はデータエクスポータにデータエクスポータのアクセス権および輸出能力を提供しますIntuitive Password利用規約に従って処理される個人データ。

データの削除:Intuitive Password利用規約の期間中、データ輸出者はIntuitive Password利用規約に詳述されているデータを削除する機能をデータエクスポータに提供します。

データへのアクセス:Intuitive Password利用規約の期間中、データ輸出者は、Intuitive Password利用規約に従って、サブスクリプションサービスからデータエクスポータの個人情報を訂正、ブロック、エクスポート、および削除する機能をデータエクスポータに提供します。

サブプロセッサー:データ・インポーターは、サブスクリプション・サービスの一部を提供するためにサブプロセッサーを使用することがあります。データインポータは、データインポータの個人データをアクセスして使用するだけで、データインポータの製品やサービスを提供し、他の目的で使用することはできません。データ輸出者としてのドイツのエンドユーザーの個人データに関しては、以下の規定が適用されます。セクション11のBDSGに従って処理活動の指定。ドイツ連邦データ保護法 (Bundesdatenschutzgesetz-BDSG) 第11条の委託データ処理の要件を考慮すると、処理活動は以下のように規定されている。

手数料の対象と期間:個人データは、以下の目的のために処理されることがあります。 (a) サブスクリプションサービスの提供 (セキュリティおよび技術的問題の検出、防止、解決を含む) 。 (b) 顧客のサポート要求に応答する。 (c) Intuitive Password利用規約に基づく義務を履行すること。

各条項は、それぞれのサービス契約 (Intuitive Password利用規約) の期間中締結されています。

A. セクション9で講ずべき技術的および組織的措置BDSG:この付録1に記載されている説明の「データのカテゴリー」および「データサブジェクト」の下に記載されているデータのタイプおよび人のグループを参照。処理の目的は、次のとおりです。 (a) サブスクリプションサービス (セキュリティおよび技術的問題の検出、防止、解決を含む) を提供すること。 (b) 顧客のサポート要求に応答する。 (c) Intuitive Password利用規約に基づく義務を履行すること。

B. 計画されたデータの収集、処理または使用の範囲、タイプおよび目的。データの種類と被害者のグループ:データ輸入者は、セクション9のBDSGの要件に従って、誤用や紛失からデータ輸出者の個人データを適切に保護するための適切な技術的および組織的措置を講じます。詳細については、付録2を参照してください。

C. データの訂正、消去およびブロック:データ受領者がデータ受領者にデータの修正、削除、またはブロックを要求する場合、データ輸入者は、そのようなデータをデータ輸出者に照会するものとします。データ輸入者による個人データの削除、ブロックおよび訂正は、データ輸出者の指導のもとでのみ行われるものとします。

D. (セクション11のBDSGの) 第4項の下でのエージェントの義務、特に実施されるべきコントロール:詳細については、付録2を参照のこと。データ・インポーターは、データ処理に従事する従業員が、許可なしに個人データを収集、処理、または使用することを義務付けています (データ機密性) 。この義務は、それぞれの雇用関係の終了後も引き続き有効です。

E. 下請けを発行する権利:条項第5 (h) 項と第11項を参照。データ輸出者は、別紙2にリストされているデータプロセッサを下請けすることに既に同意している。データ輸入者が別表2に記載の会社以外の下請け業者に指示する予定の場合、データ輸入者はデータ輸出者に書面で通知しなければならない (電子メールアドレスデータ輸出業者の口座情報に記録されている) が十分であること) 、通知後30日以内に下請け業者の指示に違反する可能性をデータ輸出者に与える必要があります。合理的な根拠に基づいて異議を述べなければならない (例えば、データの輸出者が、下請け業者に個人情報の保護に関する重大なリスクがあることを証明した場合) 。データ輸入者およびデータ輸出者がそのような異議を解決できない場合、いずれの当事者も、相手方に書面で通知することにより、ToSを終了することができます。データの輸出者は、有効期限が切れた後の期間、前払いだが使用されていない料金の払い戻しを受けなければならない。

F. 責任の主体の権利および代理人の対応する義務および許容範囲:条項第5条 (e) および (f) を参照。

G. 個人データの保護のため、または報告されなければならない委員会に明記されている条件の保護のために雇用されたエージェントまたは個人による違反:条項第5条 (d) を参照のこと。

H. 代理人に指示を出すためのプリンシパルの権限の範囲:個人データは、データ輸出者の指示に基づいてのみデータ輸入者が処理することができます。法的に要求される場合を除き、個人データは、データの輸出者の事前の書面による承認がある場合にのみ、第三者への開示を含む他の目的のために処理または使用することができます。個人データのコピーは、データの輸出者の同意なしに作成することはできません。ただし、処理に必要なコピーまたは法定の保持義務を遵守する必要がある場合を除きます。

I. 手数料の完了後にデータ記憶媒体の返却および代理人によって保存されたデータの消去:データの輸出者は、それぞれのサービス契約期間中およびその後に、個人データの整理、削除、ブロックおよび利用を要求する権利があります (Intuitive Passwordの利用規約) に従って、個人データの返却および削除に関する同意書の詳細仕様書に従います。

標準契約条項の付録2

この付録は条項の一部を構成します。データの輸入者が第4条 (d) 項および第5条 (c) (または文書/法令を添付) に従って実施する技術的および組織的セキュリティ対策の記述

Intuitive Passwordは、本付録2に記載されているセキュリティの実務を遵守しています.Intuitive Passwordは、データエクスポータが別途同意した規定にかかわらず、その是正措置を変更または更新する可能性があります。これらの慣習によって提供される保護。ここで定義されていない大文字の用語はすべて、Intuitive Password利用規約に記載されているとおりの意味を持ちます。

1 アクセス制御

A. 不正な製品へのアクセスを防止する。アウトソーシング処理:Intuitive Passwordは、オーストラリアに拠点を置くアウトソーシングのデータセンタープロバイダとのサービスをホストしています。さらに、Intuitive Passwordは、サービスを提供するためにベンダーとの契約関係を維持しています。 Intuitive Passwordは、これらのベンダーによって処理または保存されたデータの保護を保証するために、契約上の契約、プライバシーポリシー、およびベンダーコンプライアンスプログラムに依存しています。

物理的および環境的セキュリティ:Intuitive Passwordは、マルチテナントのアウトソーシングされたデータセンタープロバイダとの製品インフラストラクチャをホストしています。物理的および環境的セキュリティ管理は、その他の認証の中でSOC 2タイプIIおよびISO 27001に準拠しているかどうかについて監査されています。

認証:Intuitive Passwordは、顧客製品に対して統一されたパスワードポリシーを実装しました。ユーザーインターフェイスを介して製品とやり取りする顧客は、非公開の顧客データにアクセスする前に認証する必要があります。

認可:顧客データは、アプリケーション・ユーザー・インターフェースおよびアプリケーション・プログラミング・インターフェースのみを介して、顧客がアクセス可能なマルチテナント・ストレージ・システムに保管されます。お客様は、基盤となるアプリケーションインフラストラクチャに直接アクセスすることはできません。それぞれのIntuitive Password製品の認可モデルは、適切に割り当てられた個人だけが関連する機能、ビュー、およびカスタマイズオプションにアクセスできるように設計されています。データセットに対する許可は、各データセットに関連付けられた属性に対するユーザーの許可を検証することによって実行されます。

B. 許可されていない製品の使用を防止する。 Intuitive Passwordは、その製品をサポートする内部ネットワークに対して業界標準のアクセス制御と検出機能を実装しています。

アクセス制御:ネットワークアクセス制御メカニズムは、不正なプロトコルを使用するネットワークトラフィックが製品インフラストラクチャに到達しないように設計されています。実装された技術的対策は、従来のエンタープライズファイアウォールと仮想ローカルエリアネットワーク (VLAN) の割り当てとともに、仮想プライベートクラウド (VPC) の実装とセキュリティグループの割り当てを含むデータセンタープロバイダによって異なります。

侵入検知と防止:Intuitive Passwordは、Intuitive Passwordサービスアクセスだけでなく、ホストされているすべてのサイトを保護するためのWebアプリケーションファイアウォール (WAF) ソリューションを実装しました。 WAFは、公開されているネットワークサービスに対する攻撃を特定し、防御するように設計されています。

静的コード分析:Intuitive Passwordのソースコードリポジトリに格納されたコードのセキュリティレビューが実行され、コーディングのベストプラクティスと識別可能なソフトウェアの欠陥が確認されます。

侵入テスト:Intuitive Passwordは、業界で認知されている侵入テストサービスプロバイダとの関係を維持し、年間4回の侵入テストを実施しています。侵入テストの目的は、予測可能な攻撃経路と潜在的な濫用シナリオを特定して解決することです。

C. 特権と許可要件の制限。製品へのアクセス:Intuitive Passwordの従業員のサブセットは、制御されたインターフェースを介して製品および顧客データにアクセスします。従業員のサブセットへのアクセスを提供する目的は、効果的な顧客サポートを提供し、潜在的な問題のトラブルシューティングを行い、セキュリティインシデントを検出して対応することです。アクセスは「即時」のアクセス要求によって可能になり、そのような要求はすべてログに記録され、従業員にはロールによるアクセスが許可され、リスクの高い特権付与のレビューが毎日開始されます。

バックグラウンドチェック:すべてのIntuitive Passwordの従業員は、雇用提案の延長に先立って、広範なサードパーティのバックグラウンドチェックを受けます。すべての従業員は、会社のガイドライン、非公開の要件、倫理基準に沿って行動することが求められます。

2 トランスミッションコントロール

転送中:Intuitive Passwordは、ログインインターフェイスのすべてでHTTPS暗号化 (SSLまたはTLSとも呼ばれる) を使用できるようにし、Intuitive Password製品でホストされているすべての顧客サイトで無料で利用できます。 Intuitive PasswordのHTTPS実装は、業界標準のアルゴリズムと証明書を使用します。

休憩中:Intuitive Passwordは、少なくとも業界標準のセキュリティ対策に従ったポリシーに従って、ユーザーパスワードを格納します。

3 入力制御

検出:Intuitive Passwordは、システムの動作、受信トラフィック、システム認証、およびその他のアプリケーション要求に関する広範な情報を記録するためのインフラストラクチャを設計しました。内部システムはログデータを集計し、適切な従業員に悪意のある、意図しない、または異常な活動を警告します。セキュリティ、運用、サポート担当者を含むIntuitive Passwordの人員は、既知のインシデントに対応しています。

対応と追跡:Intuitive Passwordは、関連する活動の説明、日時、事件処理を含む既知のセキュリティインシデントの記録を保持します。疑わしく確認されたセキュリティインシデントは、セキュリティ、運用、またはサポート担当者によって調査されます。適切な解決手順が特定され、文書化される。確認されたインシデントについては、Intuitive Passwordは製品および顧客の損害または不正な開示を最小限に抑えるための適切な措置を講じます。

コミュニケーション:Intuitive Passwordがその製品に保存されている顧客データへの違法なアクセスを認識した場合、Intuitive Passwordは次のことを行います。 2) Intuitive Passwordがインシデントを解決するために取っているステップの説明を提供する。 3) Intuitive Passwordが必要と考えるように、顧客の連絡先にステータス更新を提供する。インシデントの通知 (もしあれば) は、お客様の連絡先の1つまたは複数にIntuitive Passwordの選択肢 (電子メールまたは電話を含む) で配信されます。

4 ジョブ制御

Intuitive Passwordアプリケーションは、顧客が認証情報、機密データ、およびファイルを保存および共有するためのソリューションを提供します。顧客は、自分のアカウントで収集され格納されたデータタイプを制御します。 Intuitive Passwordは個人情報を第三者に販売することはありません。 Intuitive Passwordはゼロ知識のSaaSサービスであり、顧客アカウントに格納された暗号化されたデータを復号化または表示する機能はありません。

顧客の終了:アクティブな (つまり、プライマリ) データベースのコア顧客データは、顧客の書面による請求に基づいて削除されるか、または顧客がIntuitive Passwordでそのような製品に関するすべての契約を終了してから90日後にIntuitive Passwordカスタマサポートに連絡する。バックアップ、レプリカ、およびスナップショットに保存された顧客データ情報は、自動的に消去されるのではなく、データライフサイクルの一環としてシステムから老化します。 Intuitive Passwordは、テクニカル、コンプライアンス、または法的要件に対処するために、データパージ期間を変更する権利を留保します。 「コア顧客データ」には、 (i) サブスクリプションサービスのリンク先ページに訪問者が自発的に提出した名前、電子メールアドレス、電話番号、オンラインユーザー名、電話番号、および同様の情報、および (ii) そのような活動が特定可能な個人に結びつくことができる範囲で、訪問者のソーシャルメディア活動に (i) 分析データ、 (ii) 顧客マテリアル、 (iii) 集計された匿名データ、 (iv) ログ、アーカイブデータまたはバックアップデータファイル、 (v) 当社が削除するために合理的に実行可能でない他のデータ、および) 顧客に支払う義務に違反することなく一般に知られている、または一般に知られているその他のデータ。

5 可用性制御

インフラストラクチャの可用性:データセンターのプロバイダは、99.95%の稼働率を保証するために商業的に合理的な努力をしています。プロバイダーは、電力、ネットワーク、およびHVACサービスに対してN + 1冗長性を最小限に維持します。

フォールト・トレランス:バックアップとレプリケーションの戦略は、重大な処理の失敗時に冗長性とフェールオーバー保護を保証するように設計されています。顧客データは複数の耐久性のあるデータストアにバックアップされ、複数のデータセンターと可用性ゾーンにわたって複製されます。

オンラインレプリカとバックアップ:実現可能であれば、運用データベースは、1つ以上のプライマリデータベースと1つのセカンダリデータベースの間でデータを複製するように設計されています。すべてのデータベースは、少なくとも業界標準の方法を使用してバックアップおよび維持されます。

Intuitive Passwordの製品は、冗長性とシームレスなフェールオーバーを保証するように設計されています。製品をサポートするサーバーインスタンスも、シングルポイント障害を防ぐ目的で構築されています。この設計は、停止時間を制限しながら製品アプリケーションとバックエンドの保守と更新においてIntuitive Password操作を支援します。

6 処理における分離

Intuitive Passwordの顧客からの個人情報の収集は、当社の営業およびマーケティング製品を提供し、改善することです。 Intuitive Passwordは別の処理を必要とする他の目的にはそのデータを使用しません。

出展2:外注先一覧

1. Amazon Web Services 株式会社
2.マイクロソフト社
3. Twilio 株式会社
4. Stripe 株式会社
5.ペイパルホールディングス株式会社
6. Mailgun 株式会社