Acord de prelucrare a datelor

Acest acord este scris în limba engleză. În măsura în care orice versiune tradusă a acestui acord este în conflict cu această versiune în limba engleză, această versiune în limba engleză prevalează.

Acest Acord de prelucrare a datelor ("DPA") reflectă acordul dintre Intuitive Security Systems Pty Ltd ("ISS") și dvs. (denumite colectiv "părțile") în ceea ce privește termenii care guvernează prelucrarea datelor cu caracter personal în cadrul Intuitive Password Termenii și condițiile (" ToS ").

Acest DPA este un amendament la ToS și este eficace după încorporarea acestuia în ToS, care poate fi specificată într-un contract de cumpărare ("Ordin") sau într-un amendament executat la ToS. La incorporarea sa în ToS, DPA va forma o parte din ToS. Odată cu încorporarea, recunoașteți faptul că ISS este un furnizor de securitate pentru cunoașterea zero. Doar utilizatorul Intuitive Password are controlul complet asupra criptare și decriptare a datelor stocate în conturile lor. Mai mult, recunoașteți faptul că ISS este certificat ca fiind compatibil cu SOC 2 Type 2.

În toate cazurile, Intuitive Password ("Procesor") sau o terță parte care acționează în numele Procesorului, acționează ca procesor al datelor personale și tu ("Controller") rămâneți controler al datelor personale. Termenul acestui DPA urmează termenul TSS. Termenii care nu sunt definiți în prezentul document vor avea înțelesul stabilit în TSS.

1 Clauze contractuale standard, anexate la aceasta ca EXPOZITIE 1.

A. Apendicele 1 la clauzele contractuale standard, care include specificații privind datele personale transferate de către exportatorul de date către importatorul de date.

B. Apendicele 2 la clauzele contractuale standard, care include o descriere a măsurilor de securitate tehnice și organizaționale implementate de importatorul de date așa cum este menționat.

2 Lista subcontractanților, atașată aici ca EXPOZIȚII 2.

Date personale înseamnă orice element individual de informații privind circumstanțele personale sau materiale ale unei persoane identificate sau identificabile.

Prelucrarea înseamnă prelucrarea datelor cu caracter personal în numele acesteia, care cuprinde stocarea, modificarea, transferul, blocarea sau ștergerea datelor cu caracter personal de către procesatorul care acționează în numele controlorului.

Instrucțiune înseamnă instrucțiunea scrisă, emisă de către Controlor către Procesor, și direcționarea acesteia spre a efectua o acțiune specifică cu privire la datele personale (inclusiv, dar fără a se limita la, depersonalizare, blocare, ștergere, punere la dispoziție). Instrucțiunile trebuie să fie specificate inițial în ToS și, din când în când, pot fi modificate, amplificate sau înlocuite de către controlor în instrucțiuni scrise separate (instrucțiuni individuale).

Procesorul va procesa date personale în numele controlorului. Prelucrarea trebuie să includă acțiunile care pot fi specificate în ToS și un Ordin. În cadrul domeniului de aplicare al TFU, controlorul este singurul responsabil pentru respectarea cerințelor legale referitoare la protecția datelor, în special în ceea ce privește transferul datelor cu caracter personal către procesator și prelucrarea datelor cu caracter personal (în calitate de "organism responsabil" Secțiunea 3 alineatul (7) din Legea germană privind protecția datelor (BDSG) sau o dispoziție corespunzătoare a legii naționale privind protecția datelor în caz contrar).

În baza acestei responsabilități, controlorul are dreptul de a solicita rectificarea, ștergerea, blocarea și punerea la dispoziție a datelor cu caracter personal în timpul și după termenul de îndeplinire a TF, în conformitate cu specificațiile suplimentare ale unui astfel de acord privind returnarea și ștergerea datelor cu caracter personal.

Reglementările acestui DPA se vor aplica în mod egal dacă testarea sau întreținerea proceselor automate sau a echipamentelor de procesare este efectuată în numele controlorului, iar accesul la datele cu caracter personal în acest context nu poate fi exclus.

Procesorul colectează, procesează și utilizează datele personale numai în limitele domeniului de aplicare al Instrucțiunilor Controlorului. Dacă Procesorul consideră că o instrucțiune a Controlorului încalcă prevederile BDSG sau alte prevederi privind protecția datelor, aceasta trebuie să indice acest lucru fără întârziere directorului.

În cadrul domeniului de responsabilitate al Procesorului, Procesorul trebuie să structureze organizarea internă a procesorului pentru a asigura conformitatea cu cerințele specifice ale protecției datelor cu caracter personal. Procesorul trebuie să ia măsurile tehnice și organizatorice adecvate pentru a proteja în mod adecvat datele personale ale Controlorului împotriva utilizării necorespunzătoare și a pierderii, în conformitate cu cerințele Legii federale privind protecția datelor (secțiunea 9 BDSG) sau cu o dispoziție corespunzătoare a legii naționale privind protecția datelor. Astfel de măsuri vor include, dar nu se vor limita la:

1 Prevenirea accesului persoanelor neautorizate la sistemele de prelucrare a datelor cu caracter personal (controlul accesului fizic).

2 Prevenirea utilizării sistemelor de prelucrare a datelor cu caracter personal fără autorizație (control logic al accesului).

3 Asigurarea faptului că persoanele îndreptățite să utilizeze un sistem de procesare a datelor cu caracter personal au acces numai la astfel de date cu caracter personal pe care le au dreptul de acces în conformitate cu drepturile lor de acces și că, în cursul procesării sau utilizării și după stocare, datele personale nu pot fi citite , copiate, modificate sau șterse fără autorizație (control acces la date).

4 Asigurarea faptului că datele personale nu pot fi citite, copiate, modificate sau șterse fără autorizație în timpul transmiterii electronice, transportului sau stocării pe suporturi de stocare și că entitățile țintă pentru orice transfer de date cu caracter personal prin intermediul unor facilități de transmisie de date pot fi stabilite și verificate controlul transferului).

5 Asigurarea stabilirii unui traseu de audit pentru a documenta dacă și de către cine au fost înregistrate, modificate sau eliminate datele cu caracter personal din sistemele de prelucrare a datelor personale (controlul de intrare).

6 Asigurarea prelucrării datelor personale numai în conformitate cu instrucțiunile (controlul instrucțiunilor).

7 Asigurați-vă că datele personale sunt protejate împotriva distrugerii sau pierderii accidentale (controlul disponibilității).

8 Asigurarea că datele cu caracter personal colectate în scopuri diferite pot fi procesate separat (controlul separării).

O măsură menționată la lit. b-d de mai sus trebuie să fie în special, dar nu trebuie să se limiteze la utilizarea tehnologiei de criptare de ultimă oră pentru accesul clienților. O privire de ansamblu asupra măsurilor tehnice și organizaționale enumerate mai sus se anexează la prezentul DPA ca anexă.

La cererea Controlorului, Procesorul va furniza un program curent de protecție și securitate a datelor cu caracter personal care să acopere Prelucrarea de mai jos.

La cererea Controlorului și cu excepția cazului în care Controlorul este capabil să obțină astfel de informații direct, Procesorul trebuie să furnizeze toate informațiile necesare pentru compilarea generalului definit de Sesiunea 4g paragraful. 2 teză 1 BDSG sau o prevedere corespunzătoare a legii naționale privind protecția datelor.

Procesorul se asigură că orice personal însărcinat cu datele personale ale procesorului de prelucrare sa angajat să respecte principiul secretului datelor în conformitate cu Session 5 BDSG (sau o dispoziție corespunzătoare a legii naționale privind protecția datelor în caz contrar) și a fost instruit corespunzător cu privire la protecția reglementările BDSG sau legea națională privind protecția datelor. Angajamentul de păstrare a secretului va continua și după încetarea activităților de mai sus.

Procesorul desemnează un funcționar în domeniul protecției datelor, dacă acest lucru este cerut din punct de vedere juridic și, la cererea controlorului, procesatorul notifică controlorului datele de contact ale funcționarului pentru protecția datelor.

Procesorul trebuie să informeze, fără întârzieri nejustificate, Controlorul în cazul unei întreruperi grave a operațiunilor sau a încălcărilor de către Procesor sau persoanele angajate de acesta cu privire la dispozițiile privind protecția datelor cu caracter personal sau a termenilor specificați în acest DPA. Într-un astfel de caz, Procesorul trebuie să pună în aplicare măsurile necesare pentru securizarea datelor cu caracter personal și pentru a atenua eventualele efecte adverse asupra persoanelor vizate și să se pună de acord asupra acestora cu controlorul fără întârzieri nejustificate. Procesorul trebuie să sprijine Controlorul în îndeplinirea obligațiilor de informare ale Controlorului conform secțiunii 42a BDSG (sau o dispoziție corespunzătoare a legii naționale privind protecția datelor în caz contrar).

Controlorul își păstrează titlul cu privire la orice suport de transport furnizat procesorului, precum și orice copie sau reproducere a acestuia. Procesorul trebuie să păstreze aceste suporturi în siguranță și să le protejeze împotriva accesului neautorizat al terților. Procesorul trebuie să furnizeze controlorului, la cererea controlorului, toate informațiile privind datele și informațiile personale ale controlorului. Procesorul este obligat să ștergă cu siguranță orice test și material rezidual pe baza unei instrucțiuni emise de controlor, de la caz la caz. În cazul în care Controller decide astfel, Procesorul trebuie să predea materialul respectiv Controlorului sau să îl stocheze în numele Controllerului.

Procesorul este obligat să se auto-auditeze și să verifice îndeplinirea obligațiilor menționate mai sus și trebuie să păstreze o documentație adecvată a acestei verificări.

Controlorul și procesorul sunt responsabili separat pentru conformarea cu reglementările legale privind protecția datelor care se aplică acestora.

Controlorul trebuie să informeze Procesorul fără întârzieri nejustificate și cuprinzătoare cu privire la eventualele erori sau nereguli legate de dispozițiile legale privind prelucrarea datelor cu caracter personal detectate în timpul verificării rezultatelor acestei prelucrări.

Controlorul este obligat să mențină registrul disponibil public, astfel cum este definit în secțiunea 4g alineatul. 2 teză 2 BDSG (sau o prevedere corespunzătoare a legii naționale privind protecția datelor în alt mod).

Controlorul este responsabil de îndeplinirea sarcinilor de informare care decurg din secțiunea 42a BDSG sau de o dispoziție corespunzătoare a legii naționale privind protecția datelor, aplicabilă în alt mod.

Controlorul trebuie să stipuleze, într-o perioadă de timp stabilită de Procesor, măsurile rezonabile de returnare a suporturilor de date sau de ștergere a datelor stocate, la terminarea sau expirarea TOS și prin emiterea unei instrucțiuni.

Orice costuri suplimentare apărute în legătură cu returnarea sau ștergerea Datelor cu caracter personal după terminarea sau expirarea TD vor fi suportate de către Controlor.

În cazul în care Controller, în baza legii aplicabile privind protecția datelor, este obligat să furnizeze informații unei persoane cu privire la colectarea, prelucrarea sau utilizarea sau datele sale personale, Procesorul va ajuta Controlorul să facă aceste informații disponibile, cu condiția ca: (i) în scris, pentru a face acest lucru și (ii) Controlorul rambursează procesorului costurile generate de această asistență.

În cazul în care un subiect de date solicită procesorului să corecteze, să șterge sau să blocheze date personale, procesorul va trimite aceste date către controlor.

Controlorul efectuează, înainte de începerea prelucrării și la intervale regulate după aceea, auditul măsurilor tehnice și organizatorice luate de către procesator și documentează constatările rezultate.

În acest scop, controlorul poate;

1 Obțineți informații de la Procesor;

2 Solicită procesatorului să prezinte controlorului o atestare sau certificat existent de către un expert profesionist independent;

3 În timpul unui acord rezonabil și în timp util, în timpul orelor de program regulate și fără întreruperea operațiunilor de afaceri ale Procesorului, efectuați o inspecție la fața locului a operațiunilor de afaceri ale Procesorului sau efectuați aceleași activități de către o terță parte calificată care nu va fi un concurent al procesorului Procesorul).

Procesorul, la cererea scrisă a Controlorului și într-un termen rezonabil, furnizează Controlorului toate informațiile necesare pentru acest audit.

Procesorul este îndreptățit să subcontracteze obligațiile procesorului definite în ToS către terți numai cu acordul scris al controlorului.

Controlorul consimte la subcontractarea Procesorului catre companiile afiliate ale Processor si catre terti, asa cum sunt enumerate in Exemplu 2, a obligatiilor contractuale ale Processor conform prezentului Acord.

În cazul în care Procesorul intenționează să instruiască alte subcontractanți decât companiile enumerate în Expunerea 2, Procesorul trebuie să notifice în scris controlorul (e-mail la adresa de e-mail înregistrată în informațiile despre contul procesorului pentru care controlerul este suficient) și trebuie să dea controlatorului posibilitatea de a se opune instrucțiunilor subcontractantului în termen de 30 de zile de la notificare. Opoziția trebuie să se bazeze pe motive rezonabile (de exemplu, dacă controlorul dovedește că există riscuri semnificative pentru protecția datelor sale personale la subcontractant). Dacă Procesorul și Controlorul nu sunt capabili să rezolve o astfel de obiecție, oricare dintre părți poate rezilia ToS prin notificarea scrisă către cealaltă parte. Controlorul primește o rambursare a oricărei taxe preplătite, dar neutilizate, pentru perioada care urmează datei efective de reziliere.

În cazul în care Procesorul angajează subcontractanți, Procesorul este obligat să transmită subcontractanților obligațiile contractuale ale Procesorului. Propunerea 1 se aplică, în special, dar nu se limitează la, cerințele contractuale privind confidențialitatea, protecția datelor și securitatea datelor, stabilite între părțile din TF.

În cazul utilizării unui subcontractant, controlorului trebuie să i se acorde dreptul de a monitoriza și inspecta subcontractantul în conformitate cu prezentul DPA și cu secțiunea 11 BDSG coroborat cu punctul 6 din anexa la secțiunea 9 BDSG (sau în conformitate cu prevederile corespunzătoare din legea națională privind protecția datelor în caz contrar). Aceasta include, de asemenea, dreptul Controlatorului de a obține informații de la procesator, la cererea scrisă, privind conținutul contractului și punerea în aplicare a obligațiilor privind protecția datelor în cadrul relației de subcontractare, dacă este necesar, prin inspectarea documentelor contractuale relevante.

Dispozițiile prezentei secțiuni 7 se aplică și în cazul în care un subcontractant dintr-o țară terță este instruit. Controlorul autorizează prin prezenta autoritatea procesatorului să accepte, în numele și în numele controlorului, un subcontractant care prelucrează sau utilizează datele personale ale controlorului în afara SEE, să încheie clauze contractuale standard UE pentru transferul de date cu caracter personal către procesatori Înființată în țările terțe din data de 5 februarie 2010. Aceasta se aplică în mod corespunzător de la data acestei autorizări în ceea ce privește clauzele contractuale standard UE (procesatori) deja încheiate de procesator cu astfel de subcontractanți.

În cazul în care datele personale ale controlorului fac obiectul unei căutări și confiscări, unei ordonanțe de atașament, confiscării în timpul procedurilor de faliment sau insolvență sau unor evenimente sau măsuri similare efectuate de terți în cursul prelucrării, procesatorul informează fără întârzieri nejustificate controlorul. Procesorul va notifica fără întârzieri nejustificate tuturor părților pertinente cu privire la astfel de acțiuni că orice date cu caracter personal care le sunt afectate se află în proprietatea și responsabilitatea exclusivă a Controlorului, că datele personale se află la dispoziția Controllerului și că Controlorul este organismul responsabil în sensul BDSG (sau o dispoziție corespunzătoare a legii naționale privind protecția datelor în caz contrar).

În ceea ce privește actualizările și modificările aduse acestei DPA, termenii care se aplică în "Modificarea; Nu se aplică nici o excepție din secțiunea "TERMENI GENERALI" din ToS.

În caz de conflict, reglementările acestui DPA vor avea prioritate față de reglementările TSS. Atunci când reglementările individuale ale acestui DPA sunt nevalabile sau inaplicabile, validitatea și aplicabilitatea celorlalte regulamente ale acestui DPA nu vor fi afectate.

Clauzele contractuale standard din exemplul 1 ("SCC") se vor aplica prelucrării datelor personale de către procesor în cadrul TSS. La incorporarea acestui DPA în ToS, părțile indicate în secțiunea 9 de mai jos (părțile la prezentul DPA) sunt de acord cu CSC și cu toate anexele anexate la acesta. În eventualitatea unui conflict sau a unei inconsecvențe între acest DPA și clauzele contractuale standard din expunerea 1, CSS prevalează.

CPC se aplică numai datelor personale care sunt transferate din Spațiul Economic European (SEE) în afara SEE, fie direct, fie prin transfer ulterior, către orice țară sau destinatar: (i) nerecunoscute de Comisia Europeană ca furnizând un nivel adecvat de protecție a datelor cu caracter personal (astfel cum sunt descrise în Directiva UE privind protecția datelor) și (ii) nu sunt acoperite de un cadru adecvat recunoscut de autoritățile sau instanțele competente ca furnizând un nivel adecvat de protecție a datelor cu caracter personal, reguli corporative pentru procesatori.

Acest DPA este un amendament și face parte din TSS. La incorporarea acestui DPA în Controlerul ToS (i) și entitatea Intuitive Password care sunt fiecare parte la ToS sunt, de asemenea, fiecare parte la acest DPA și (ii) Intuitive Security Systems Pty Ltd este parte la acest DPA, dar numai în ceea ce privește pentru a obține acordul CCC în conformitate cu secțiunea 8 din DPA, secțiunea 9 din DPA și chiar și CCA-urile.

În cazul în care Intuitive Security Systems Pty Ltd nu este parte la ToS, se aplică secțiunea din cadrul TOS intitulată "Limitarea răspunderii" între controlor și Intuitive Security Systems Pty Ltd și, în acest sens, orice trimitere la "Intuitive Password", "noi", "noi" "sau" include atât Intuitive Security Systems Pty Ltd cât și entitatea Intuitive Password care este parte la ToS.

Persoana juridică care acceptă acest DPA în calitate de Controlor reprezintă faptul că este autorizat să accepte și să încheie acest DPA pentru și care acceptă acest DPA exclusiv în numele Controlorului

În sensul articolului 26 alineatul (2) din Directiva 95/46/CE, transferul datelor cu caracter personal către prelucrătorii stabiliți în țări terțe care nu asigură un nivel adecvat de protecție a datelor.

Clientul, în conformitate cu Termenii și condițiile Intuitive Password ("Exportatorul de date") și Intuitive Security Systems Pty Ltd, 542 Station Street, Box Hill, Victoria 3128, Australia ("Importatorul de date"); împreună cu "părțile", au convenit asupra următoarelor clauze contractuale (clauzele) pentru a furniza garanții adecvate cu privire la protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor pentru transferul de către exportatorul de date către importatorul de date al datele personale specificate în apendicele 1.

În sensul clauzelor:

1 Date personale, "categorii speciale de date", "procesare / prelucrare", "operator", "operator", "persoană vizată" și "autoritate de supraveghere" au același înțeles ca în Directiva 95/46/CE Parlamentul European și al Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date;

2 Exportatorul de date înseamnă operatorul care transferă datele cu caracter personal;

3 Importatorul de date înseamnă un operator care acceptă să primească de la datele exportatorului date cu caracter personal destinate prelucrării în numele său după transfer în conformitate cu instrucțiunile și clauzele sale și care nu este supus unui sistem al unei țări terțe care să asigure o adecvare protecție în sensul articolului 25 alineatul (1) din Directiva 95/46/CE;

4 Subprocesor înseamnă orice prelucrător angajat de importatorul de date sau de orice alt subprocesor al importatorului de date care este de acord să primească de la importatorul de date sau de la orice alt subprocesor al datelor personale cu caracter personal destinat exclusiv prelucrării activităților de prelucrare numele exportatorului de date după transfer în conformitate cu instrucțiunile sale, termenii Clauzelor și termenii subcontractului scris;

5 Legea aplicabilă protecției datelor înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor și, în special, dreptul lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal aplicabile unui operator de date din statul membru în care este exportatorul de date stabilit;

6 Măsuri de securitate tehnică și organizatorică înseamnă măsurile care vizează protecția datelor cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, divulgării neautorizate sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea de date printr-o rețea și împotriva tuturor celorlalte forme de prelucrare.

Detaliile transferului și, în special, categoriile speciale de date cu caracter personal, după caz, sunt specificate în apendicele 1, care face parte integrantă din clauze.

1 Persoana vizată poate aplica clauzei 4, literele (b) - (i), clauza 5 (a) - (e) și (g) - (j) , Clauza 7, clauza 8 (2) și clauzele 9-12 ca beneficiar terț.

2 Persoana vizată poate aplica împotriva importatorului de date această clauză, clauza 5 literele (a) - (e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12 în cazurile în care exportatorul de date a dispărut în mod real sau a încetat să existe prin lege, cu excepția cazului în care o entitate succesoare a preluat toate obligațiile legale ale exportatorului de date prin contract sau prin lege, drept consecință că prelucrează drepturile și obligațiile exportatorului de date, caz în care persoana vizată le poate aplica împotriva unei astfel de entități.

3 Persoana vizată poate aplica împotriva subprocesorului această clauză, clauza 5 (a) - (e) și (g), clauza 6, clauza 7, clauza 8 alineatul (2) și clauzele 9-12, în cazurile în care atât exportatorul de date și importatorul de date au dispărut sau au încetat efectiv să existe în lege sau au devenit insolvabil, cu excepția cazului în care o entitate succesoare a preluat toate obligațiile legale ale exportatorului de date prin contract sau prin aplicarea legii, ca urmare a preluării drepturilor și obligațiile exportatorului de date, caz în care persoana vizată le poate aplica împotriva unei astfel de entități. Această răspundere teritorială a subprocesorului se limitează la propriile operațiuni de prelucrare în temeiul clauzelor.

4 Părțile nu se opun ca un subiect de date să fie reprezentat de o asociație sau de un alt organism, dacă persoana vizată o dorește în mod expres și dacă acest lucru este permis de legislația națională.

Exportatorul de date este de acord și garantează:

1 Că prelucrarea, inclusiv transferul în sine, a datelor cu caracter personal a fost și va continua să fie efectuată în conformitate cu dispozițiile relevante din legislația aplicabilă privind protecția datelor (și, dacă este cazul, a fost notificată autorităților competente din statele membre Statul în care este stabilit exportatorul de date) și nu încalcă dispozițiile relevante ale acelui stat;

2 Pe care le-a instruit și pe întreaga durată a serviciilor de prelucrare a datelor personale va instrui importatorul de date să proceseze datele cu caracter personal transferate numai în numele exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și Clauzele;

3 Importatorul de date va oferi garanții suficiente cu privire la măsurile de securitate tehnică și organizatorică specificate în apendicele 2 la prezentul contract;

4 După evaluarea cerințelor legii aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilicite sau a pierderii accidentale, modificării, divulgării sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea de date într-o precum și împotriva tuturor celorlalte forme ilegale de prelucrare și că aceste măsuri asigură un nivel de securitate adecvat riscurilor prezentate de prelucrare și naturii datelor care trebuie protejate, având în vedere stadiul actual al tehnicii și costul punerea în aplicare;

5 Că va asigura respectarea măsurilor de securitate;

6 În cazul în care transferul presupune categorii speciale de date, persoana vizată a fost informată sau va fi informată în prealabil sau cât mai curând posibil după transfer, că datele sale ar putea fi transmise unei țări terțe care nu asigură o protecție adecvată în sensul Directivei 95/46/CE;

7 Să transmită autorității de supraveghere a protecției datelor orice notificare primită de la importatorul de date sau de la orice subprocesor în temeiul clauzei 5 litera (b) și clauzei 8 alineatul (3), în cazul în care exportatorul de date decide să continue transferul sau să ridice suspendarea;

8 Să pună la dispoziția persoanelor vizate, la cerere, o copie a clauzelor, cu excepția apendicelui 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui contract de servicii de subprocesare care trebuie efectuat în conformitate cu clauzele, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de informații comerciale;

9 În cazul unei subprocesări, activitatea de prelucrare se desfășoară în conformitate cu clauza 11 de către un subprocesor care oferă cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanelor vizate ca importator de date în temeiul clauzelor și că va asigura conformitatea cu clauza 4 (a) - (i).

Importatorul de date este de acord și garantează:

1 Prelucrarea datelor cu caracter personal numai în numele exportatorului de date și în conformitate cu instrucțiunile și clauzele; în cazul în care nu poate furniza o astfel de respectare din orice motive, este de acord să informeze prompt exportatorul de date cu privire la incapacitatea sa de a se conforma, caz în care exportatorul de date are dreptul să suspende transferul de date și / sau să rezilieze contractul;

2 Că nu are niciun motiv să creadă că legislația aplicabilă acesteia îi împiedică să îndeplinească instrucțiunile primite de la exportator de date și obligațiile care îi revin în temeiul contractului și că, în cazul unei modificări a acestei legislații care ar putea avea un efect advers substanțial cu privire la garanțiile și obligațiile prevăzute de Clauze, va notifica prompt modificarea exportatorului de date de îndată ce va cunoaște, caz în care exportatorul de date are dreptul să suspende transferul de date și / sau să rezilieze contractul;

3 Că a implementat măsurile de securitate tehnică și organizatorică specificate în apendicele 2 înainte de prelucrarea datelor cu caracter personal transferate;

4 Că va notifica cu promptitudine exportatorului de date orice solicitare obligatorie din punct de vedere juridic de divulgare a datelor cu caracter personal de către o autoritate de aplicare a legii, cu excepția unor interdicții contrare, cum ar fi o interdicție de drept penal de a păstra confidențialitatea unei anchete de aplicare a legii și orice incident accidental sau neautorizat accesul și orice solicitare primită direct de la persoanele vizate fără a răspunde solicitării respective, cu excepția cazului în care a fost autorizată în alt mod să facă acest lucru;

5 Să soluționeze prompt și în mod corespunzător toate anchetele din partea exportatorului de date privind prelucrarea datelor cu caracter personal care fac obiectul transferului și să respecte recomandările autorității de supraveghere cu privire la prelucrarea datelor transferate;

6 La cererea exportatorului de date să-și prezinte facilitățile de prelucrare a datelor pentru auditul activităților de prelucrare care fac obiectul clauzelor, care sunt efectuate de exportatorul de date sau de un organism de inspecție format din membri independenți și care dețin calificările profesionale obligatorii printr-o obligație de confidențialitate, selectată de exportatorul de date, după caz, în acord cu autoritatea de supraveghere;

7 Să pună la dispoziția persoanei vizate, la cerere, o copie a clauzelor sau a oricărui contract existent de subprocesare, cu excepția cazului în care clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de informații comerciale, cu excepția apendicelui 2, care este înlocuită cu o descriere sumară a măsurilor de securitate în cazurile în care persoana vizată nu poate obține o copie de la exportatorul de date;

8 Că, în caz de subprocesare, a informat anterior exportatorul de date și a obținut consimțământul scris prealabil;

9 Că serviciile de prelucrare de către subprocesor vor fi efectuate în conformitate cu clauza 11;

10 Pentru a trimite prompt o copie a oricărui acord de subprocesor pe care îl încheie în conformitate cu clauzele exportatorului de date.

1 Părțile convin că orice persoană vizată, care a suferit un prejudiciu ca urmare a unei încălcări a obligațiilor menționate în clauza 3 sau clauza 11 de către o parte sau un subprocesor, are dreptul să primească o compensație din partea exportatorului de date pentru prejudiciul suferit.

2 În cazul în care persoana vizată nu este în măsură să introducă o cerere de despăgubire în conformitate cu alineatul (1) împotriva exportatorului de date, care rezultă dintr-o încălcare de către importatorul de date sau de către subprocesorul său a oricăror dintre obligațiile menționate la clauza 3 sau clauza 11, deoarece exportatorul de date a dispărut sau a încetat efectiv să existe în lege sau a devenit insolvabil, importatorul de date este de acord că persoana vizată poate emite o reclamație împotriva importatorului de date ca și cum ar fi exportatorul de date, cu excepția cazului în care o entitate succesoare a preluat întregul obligațiile legale ale exportatorului de date prin contractul prin lege, caz în care persoana vizată își poate exercita drepturile împotriva unei astfel de entități.

3 Importatorul de date nu poate invoca o încălcare de către un subprocesor a obligațiilor sale pentru a evita propriile sale datorii.

4 În cazul în care un subiect de date nu este în măsură să aducă o reclamație împotriva exportatorului de date sau a importatorului de date menționat la alineatele (1) și (2), care rezultă din încălcarea de către subprocesor a oricăror dintre obligațiile menționate la clauza 3 sau clauza 11, deoarece atât exportatorul de date, cât și importatorul de date au dispărut sau au încetat efectiv să existe prin lege sau au devenit insolvabili, subprocesorul este de acord că persoana vizată poate formula o cerere împotriva subprocesorului de date cu privire la propriile sale operațiuni de prelucrare în temeiul Clauzelor ca și cum ar fi au fost exportatorul de date sau importatorul de date, cu excepția cazului în care orice entitate succesoare a preluat toate obligațiile legale ale exportatorului de date sau ale importatorului de date prin contract sau prin lege, caz în care persoana vizată își poate exercita drepturile împotriva unei astfel de entități. Răspunderea subprocesorului se limitează la propriile sale operațiuni de prelucrare în temeiul clauzelor.

1 Importatorul de date este de acord că, în cazul în care persoana vizată invocă împotriva acesteia drepturi de beneficiar ale terților și / sau cereri de despăgubire pentru daune în temeiul clauzelor, importatorul de date va accepta decizia persoanei vizate:

A. Să dispună diferendul la mediere, de către o persoană independentă sau, după caz, de către autoritatea de supraveghere;

B. Să adreseze litigiului instanțelor din statul membru în care este stabilit exportatorul de date.

2 Părțile sunt de acord că alegerea făcută de persoana vizată nu aduce atingere drepturilor sale materiale sau procedurale de a solicita căi de atac în conformitate cu alte dispoziții din legislația națională sau internațională.

1 Exportatorul de date acceptă să depună o copie a acestui contract la autoritatea de supraveghere, dacă solicită acest lucru sau dacă acest depozit este solicitat în temeiul legislației aplicabile privind protecția datelor.

2 Părțile convin că autoritatea de supraveghere are dreptul de a efectua un audit al importatorului de date și al oricărui subprocesor care are același domeniu de aplicare și este supus acelorași condiții care ar fi aplicabile unui audit al exportatorului de date în baza datelor aplicabile dreptul de protecție.

3 Importatorul de date informează prompt exportatorul de date cu privire la existența unei legislații aplicabile acestuia sau a oricărui subprocesor care împiedică efectuarea unui audit al importatorului de date sau al oricărui subprocesor, în conformitate cu alineatul (2). În acest caz, exportatorul de date are dreptul să ia măsurile prevăzute în clauza 5 (b).

Clauzele sunt reglementate de legea statului membru în care este stabilit exportatorul de date.

Părțile se angajează să nu modifice sau să modifice Clauzele. Acest lucru nu exclude ca părțile să adauge clauze privind aspecte legate de afaceri atunci când sunt necesare, atâta timp cât acestea nu contravin Clauzei.

1 Importatorul de date nu poate subcontracta nici una dintre operațiunile sale de prelucrare efectuate în numele exportatorului de date în conformitate cu clauzele fără consimțământul scris prealabil al exportatorului de date. În cazul în care importatorul de date își subcontractează obligațiile care îi revin în temeiul clauzelor, cu acordul exportatorului de date, aceasta procedează numai printr-un acord scris cu subprocesorul care impune aceleași obligații pe subprocesor care sunt impuse importatorului de date în temeiul clauze. În cazul în care subprocesorul nu își îndeplinește obligațiile de protecție a datelor în temeiul unui astfel de acord scris, importatorul de date rămâne în întregime răspunzător față de exportatorul de date pentru îndeplinirea obligațiilor subprocesorului în temeiul acestui acord.

2 Contractul scris prealabil încheiat între importatorul de date și subprocesor prevede, de asemenea, o clauză de beneficiar terță parte prevăzută la clauza 3 pentru cazurile în care persoana vizată nu este în măsură să introducă cererea de despăgubire menționată la alineatul (1) din clauza 6 împotriva exportatorului de date sau a importatorului de date, deoarece acestea au dispărut efectiv sau au încetat să existe în lege sau au devenit insolvabile și nici o entitate succesoare nu a preluat integral obligațiile legale ale exportatorului de date sau ale importatorului de date prin contract sau prin lege. Această răspundere teritorială a subprocesorului se limitează la propriile operațiuni de prelucrare în temeiul clauzelor.

3 Dispozițiile privind aspectele legate de protecția datelor referitoare la subprocesarea contractului menționat la alineatul (1) sunt reglementate de legislația statului membru în care este stabilit exportatorul de date.

4 Exportatorul de date păstrează o listă a acordurilor de subprocesare încheiate în temeiul clauzelor și notificată de importatorul datelor în conformitate cu clauza 5 litera (j), care este actualizată cel puțin o dată pe an. Lista este disponibilă autorității de supraveghere a protecției datelor a exportatorului de date.

1 Părțile convin că, la încetarea furnizării de servicii de prelucrare a datelor, importatorul de date și subprocesorul returnează, la alegerea exportatorului de date, toate datele personale transferate și copii ale acestora către exportatorul de date sau distrug toate datele personale și certifică exportatorului de date că a făcut-o, cu excepția cazului în care legislația impusă importatorului de date îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În acest caz, importatorul de date garantează că va garanta confidențialitatea datelor personale transferate și nu va procesa în mod activ datele personale transferate.

2 Importatorul de date și subprocesorul garantează că, la cererea exportatorului de date și / sau a autorității de supraveghere, va prezenta facilitățile sale de prelucrare a datelor pentru un audit al măsurilor menționate la alineatul (1).

Prezentul apendice face parte din clauze. Statele membre pot completa sau specifica, în conformitate cu procedurile lor naționale, orice informații suplimentare necesare care trebuie incluse în prezentul apendice.

1 Exportator de date: Exportatorul de date este Clientul, așa cum este definit în Termenii și condițiile Intuitive Password.

2 Importator de date: Importatorul de date este Intuitive Security Systems Pty Ltd, un furnizor global de produse și servicii de criptare a cunoștințelor cu privire la zero SaaS.

3 Persoanele vizate: Datele personale transferate privesc utilizatorii finali ai Data Exportatorului, inclusiv angajații, contractorii și personalul clienților, furnizorilor, colaboratorilor și subcontractanților. Subiectele de date includ, de asemenea, persoanele care încearcă să comunice sau să transfere informații personale utilizatorilor finali ai datelor Exportatorului.

4 Categorii de date: Datele personale transferate privesc datele personale, datele entității, datele de navigație (inclusiv informațiile despre utilizarea site-ului web), datele de e-mail, datele despre utilizarea sistemului, datele privind integrarea aplicațiilor și alte date electronice transmise, stocate, trimise sau primite de utilizatorii finali prin Serviciul de abonament .

5 Categorii speciale de date (dacă este cazul): Părțile nu anticipează transferul unor categorii speciale de date.

6 Operațiunea de procesare: În ceea ce privește datele personale ale utilizatorilor finali ne-germani ca exportatori de date, se aplică următoarele dispoziții:

Datele personale transferate vor face obiectul următoarelor activități de prelucrare de bază:

Domeniul de aplicare al prelucrării: Datele cu caracter personal pot fi prelucrate în următoarele scopuri: (a) să furnizeze Serviciul de abonament (care poate include detectarea, prevenirea și rezolvarea problemelor de securitate și tehnice); (b) să răspundă cererilor de asistență pentru clienți; și (c) îndeplinirea în alt mod a obligațiilor care decurg din Termenii și condițiile Intuitive Password. Exportatorul de date instruiește importatorul de date să prelucreze datele cu caracter personal în țările în care importatorul de date sau subprocesorii săi întrețin echipamentele necesare pentru ca acesta să furnizeze serviciul de abonament.

Termenul de procesare a datelor: Prelucrarea datelor va fi pentru termenul specificat în Termenii și condițiile Intuitive Password. Pentru perioada de valabilitate a Termenilor și condițiilor Intuitive Password și pentru o perioadă rezonabilă de timp după expirarea sau încetarea Termenilor și condițiilor Intuitive Password, importatorul de date va furniza exportatorului de date accesul și capacitatea de a exporta exportatorul de date datele personale prelucrate în conformitate cu Termenii și condițiile Intuitive Password.

Ștergerea datelor: Pentru termenul Termenilor și condițiilor Intuitive Password, importatorul de date va furniza Exportatorului de date posibilitatea de a șterge datele așa cum este detaliat în Termenii și condițiile Intuitive Password.

Accesul la date: Termenul de furnizare a datelor Intuitive Password va permite exportatorului de date să corecteze, să blocheze, să exporte și să șterge datele personale ale Exportatorului de date de la Serviciul de abonament în conformitate cu Termenii și condițiile Intuitive Password .

Subprocesoare: importatorul de date poate angaja subprocesoare pentru a furniza părți ale serviciului de abonament. Importatorul de date va asigura că subprocesorii accesează și utilizează datele personale ale exportatorului de date numai pentru a furniza produsele și serviciile importatorului de date și nu pentru niciun alt scop. În ceea ce privește datele personale ale utilizatorilor finali germani ca exportatori de date, se aplică următoarele prevederi: Specificarea activităților de prelucrare în conformitate cu secțiunea 11 BDSG. Ținând cont de cerințele secțiunii 11 din Legea federală a protecției datelor (Bundesdatenschutzgesetz - BDSG) privind prelucrarea datelor comandate, activitățile de prelucrare sunt specificate după cum urmează:

Subiectul și durata comisionului: Datele cu caracter personal pot fi prelucrate în următoarele scopuri: (a) să furnizeze Serviciul de abonament (care poate include detectarea, prevenirea și rezolvarea problemelor de securitate și tehnice); (b) să răspundă cererilor de asistență pentru clienți; și (c) îndeplinirea în alt mod a obligațiilor care decurg din Termenii și condițiile Intuitive Password.

Clauzele au fost încheiate pe durata contractului de servicii respectiv (Termenii și condițiile Intuitive Password).

A. Măsuri tehnice și organizatorice care trebuie luate în conformitate cu secțiunea 9 BDSG: A se vedea tipul de date și grupul de persoane afectate descrierilor incluse în prezentul apendice 1 la rubricile "Categorii de date" și "Persoane de date". Scopul prelucrării este: (a) furnizarea serviciului de abonament (care poate include detectarea, prevenirea și rezolvarea problemelor de securitate și tehnice); (b) să răspundă cererilor de asistență pentru clienți; și (c) îndeplinirea în alt mod a obligațiilor care decurg din Termenii și condițiile Intuitive Password.

B. Amploarea, tipul și scopul colectării, prelucrării sau utilizării planificate; tipul de date și grupul de persoane afectate: importatorul de date va lua măsurile tehnice și organizatorice adecvate pentru a proteja în mod adecvat datele personale ale exportatorului de date împotriva abuzului și pierderii, în conformitate cu cerințele secțiunii 9 BDSG. Consultați Anexa 2 pentru detalii.

C. Corectarea, ștergerea și blocarea datelor: În cazul în care un subiect de date solicită importatorului de date să corecteze, să șterge sau să blocheze date, importatorul de date trebuie să trimită aceste date către exportatorul de date. Ștergerea, blocarea și corectarea datelor personale de către importatorul datelor se face numai la instruirea exportatorului de date.

D. Obligația agentului în conformitate cu subsecțiunea 4 (din secțiunea 11 BDSG), în special controalele care trebuie întreprinse: a se vedea apendicele 2 pentru detalii. Importatorul de date și-a obligat angajații angajați în procesarea datelor să nu colecteze, proceseze sau utilizeze date personale fără autorizație (confidențialitatea datelor). Această obligație continuă să fie valabilă după încetarea raportului de muncă respectiv.

E. Dreptul de a emite subcontractanți: a se vedea clauzele 5 litera (h) și 11 din clauze. Exportatorul de date acceptă deja să subcontracteze procesatorii de date enumerați în fișa 2. Dacă importatorul de date intenționează să instruiască alți subcontractanți decât companiile enumerate în expunerea 2, importatorul de date trebuie să notifice în scris exportatorul de date (adresa de e-mail la adresa de e-mail es) înregistrate în informațiile din contul importatorului de date pentru exportatorul de date sunt suficiente) și trebuie să dea exportatorului de date posibilitatea de a se opune instrucțiunilor subcontractantului în termen de 30 de zile de la notificare. Opoziția trebuie să se bazeze pe motive rezonabile (de exemplu, dacă exportatorul de date dovedește că există riscuri semnificative pentru protecția datelor sale personale la subcontractant). Dacă importatorul de date și exportatorul de date nu sunt în măsură să rezolve o astfel de obiecție, oricare dintre părți poate rezilia ToS prin notificarea scrisă către cealaltă parte. exportatorul de date primește o rambursare a oricăror taxe plătite anticipat, dar neutilizate, pentru perioada următoare datei efective de reziliere.

F. Principalele drepturi de control și obligațiile corespunzătoare ale agentului de a tolera și de a coopera: A se vedea clauzele 5 (e) și (f) din Clauze.

G. Încălcarea de către agentul sau persoanele angajate de acesta a dispozițiilor privind protecția datelor personale sau a termenilor specificați în comisie care trebuie raportate: a se vedea clauza 5 (d) a clauzelor.

H. Extinderea autorității directorului de a emite instrucțiuni agentului: Datele personale pot fi prelucrate numai de importatorul de date pe baza instrucțiunilor exportatorului de date. Cu excepția cazului în care este necesar din punct de vedere legal, datele cu caracter personal pot fi prelucrate sau utilizate într-un alt scop, inclusiv divulgarea către terți, numai cu aprobarea scrisă prealabilă a exportatorului de date. Copiile datelor cu caracter personal nu se fac fără consimțământul exportatorului de date, cu excepția exemplarelor care sunt necesare pentru prelucrare sau dacă este necesar să se conformeze obligațiilor legale de păstrare.

I. Returnarea mijloacelor de stocare a datelor și ștergerea datelor stocate de agent după încheierea comisiei: Exportatorul de date are dreptul să solicite rectificarea, ștergerea, blocarea și punerea la dispoziție a datelor cu caracter personal în timpul și după încheierea contractului respectiv de prestări servicii (Termenii și condițiile Intuitive Password), în conformitate cu specificațiile suplimentare ale unui astfel de acord privind returnarea și ștergerea datelor cu caracter personal.

Prezentul apendice face parte din clauze. Descrierea măsurilor de securitate tehnică și organizatorică puse în aplicare de importatorul datelor în conformitate cu clauzele 4 litera (d) și 5 litera (c) (sau documentul / legislația atașată):

Intuitive Password respectă în prezent practicile de securitate descrise în prezentul Anexă 2. Fără a aduce atingere oricăror prevederi contrare convenite altfel de Exportatorul de date, Intuitive Password poate modifica sau actualiza aceste practici la discreția sa, cu condiția ca această modificare și actualizare să nu ducă la o degradare materială în protecția oferită de aceste practici. Toți termenii capitalizați, care nu sunt definiți în acest document în alt mod, au semnificațiile definite în Termenii și condițiile Intuitive Password.

1 Controlul accesului

A. Prevenirea accesului neautorizat la produse. Procesare externă: Intuitive Password găzduiește Serviciul cu furnizori de centre de date externalizate din Australia. În plus, Intuitive Password menține relații contractuale cu furnizorii pentru a furniza Serviciul. Intuitive Password se bazează pe acorduri contractuale, politici de confidențialitate și programe de conformitate cu furnizorii, pentru a asigura protecția datelor prelucrate sau stocate de acești furnizori.

Securitate fizică și de mediu: Intuitive Password își găzduiește infrastructura de produse cu furnizori de centre de date multi-locatari, externalizați. Controalele de securitate fizică și de mediu sunt auditate pentru conformitatea SOC 2 de tip II și ISO 27001, printre alte certificări.

Autentificare: Intuitive Password a implementat o politică de parolă uniformă pentru produsele clienților săi. Clienții care interacționează cu produsele prin intermediul interfeței cu utilizatorul trebuie să se autentifice înainte de a accesa date despre clienți care nu sunt publici.

Autorizare: datele despre clienți sunt stocate în sisteme de stocare multi-chiriaș accesibile clienților prin intermediul interfețelor utilizator și interfețelor de programare a aplicațiilor. Clienților nu li se permite accesul direct la infrastructura de bază a aplicațiilor. Modelul de autorizare pentru fiecare produs al Intuitive Password este conceput astfel încât să se asigure că numai persoanele fizice atribuite în mod corespunzător pot accesa funcții relevante, vizualizări și opțiuni de personalizare. Autorizarea seturilor de date se realizează prin validarea permisiunilor utilizatorului față de atributele asociate fiecărui set de date.

B. Prevenirea utilizării neautorizate a produselor. Intuitive Password implementează controale de acces standard pentru industrie și capacități de detectare pentru rețelele interne care suportă produsele sale.

Controalele de acces: Mecanismele de control al accesului la rețea sunt concepute astfel încât să împiedice traficul de rețea prin utilizarea protocoalelor neautorizate să ajungă la infrastructura produsului. Măsurile tehnice implementate diferă între furnizorii de centre de date și includ implementările Virtual Private Cloud (VPC) și alocarea grupurilor de securitate, alături de firewall-ul tradițional pentru întreprinderi și atribuirea rețelei locale locale (VLAN).

Detectarea și prevenirea intruziunilor: Intuitive Password a implementat o soluție pentru aplicația Web Firewall (WAF) pentru a proteja toate site-urile găzduite, precum și accesul la serviciul Intuitive Password. WAF este conceput pentru a identifica și preveni atacurile împotriva serviciilor de rețea disponibile publicului.

Analiza statică a codului: se efectuează recenzii de securitate a codului stocat în depozitele de coduri sursă ale Intuitive Password, verificând codurile pentru cele mai bune practici și defectele software identificabile.

Testarea de penetrare: Intuitive Password menține relații cu furnizorii de servicii de testare a penetrării recunoscute de industrie pentru patru teste de penetrare anuale. Intenția testelor de penetrare constă în identificarea și rezolvarea vectorilor de atac previzibili și a scenariilor potențiale de abuz.

C. Limitările cerințelor privind privilegiile și autorizațiile. Accesul la produs: Un subset al angajaților Intuitive Password are acces la produse și la datele clienților prin interfețe controlate. Intenția de a oferi acces la un subset de angajați este de a oferi suport eficient pentru clienți, de a depana eventualele probleme și de a detecta și de a reacționa la incidentele de securitate. Accesul este activat prin solicitări de acces "just in time", toate solicitările sunt înregistrate, angajații primesc acces în funcție de rol și revizuirile zilnice cu privire la acordarea de privilegii de risc sunt inițiate zilnic, iar rolurile angajaților sunt revizuite cel puțin o dată la șase luni.

Verificări de bază: Toți angajații Intuitive Password sunt supuși unei verificări extinse de fond a părții a treia înainte de a-și extinde oferta de angajare. Toți angajații sunt obligați să se comporte într-o manieră compatibilă cu liniile directoare ale companiei, cu cerințele nedivulgărilor și cu standardele etice.

2 Controlul transmisiei

In-transit: Intuitive Password face criptarea HTTPS (denumită și SSL sau TLS) disponibilă în fiecare interfață de conectare și gratuit pe fiecare site client găzduit pe produsele Intuitive Password. Implementarea HTBPS de către Intuitive Password utilizează algoritmi și certificate standard din industrie.

La repaus: Intuitive Password stochează parolele utilizatorilor după politicile care respectă cel puțin practicile standard din industrie pentru securitate.

3 Controlul intrare

Detectare: Intuitive Password și-a conceput infrastructura pentru a înregistra informații extinse despre comportamentul sistemului, traficul primit, autentificarea sistemului și alte cereri de aplicație. Sistemele interne agregatează datele jurnalului și avertizează angajații corespunzători cu privire la activitățile malware, neintenționate sau anormale. Personalul Intuitive Password, inclusiv personalul de securitate, operațiuni și asistență, răspunde la incidentele cunoscute.

Răspuns și urmărire: Intuitive Password păstrează o evidență a incidentelor de securitate cunoscute, care include descrierea, datele și orele activităților relevante și dispunerea incidentelor. Evenimentele de securitate suspectate și confirmate sunt investigate de securitate, de operațiuni sau de personalul de asistență; iar pașii de rezoluție adecvați sunt identificați și documentați. Pentru orice incidente confirmate, Intuitive Password va lua măsurile corespunzătoare pentru a minimiza deteriorarea produsului și a clientului sau dezvăluirea neautorizată.

Comunicare: Dacă Intuitive Password devine conștient de accesul ilegal la datele Clientului stocate în produsele sale, Intuitive Password va: 1) notifica clienților afectați incidentul; 2) furnizați o descriere a etapelor pe care Intuitive Password le ia pentru a rezolva incidentul; și 3) să furnizeze actualizări de stare clientului, așa cum consideră Intuitive Password necesară. Notificarea (notificările) de incidente, dacă este cazul, vor fi livrate la unul sau mai multe contacte ale clientului într-un formular selectat de Intuitive Password, care poate include prin e-mail sau prin telefon.

4 Controlul locurilor de muncă

Aplicația Intuitive Password oferă o soluție pentru clienți pentru a stoca și a partaja informații de autentificare, date sensibile și fișiere. Clienții controlează tipurile de date colectate și stocate în conturile lor. Intuitive Password niciodată nu vinde date cu caracter personal unei terțe părți. Intuitive Password este un serviciu SaaS cu zero cunoștințe și, ca atare, nu are capacitatea de a decripta sau vizualiza datele criptate stocate în cadrul unui cont client.

Terminarea clienților: Datele centrale ale clienților din bazele de date active (adică primare) sunt eliminate după solicitarea scrisă a clientului sau prin contactarea clienților Intuitive Password la 90 de zile după ce un client termină toate acordurile pentru astfel de produse cu Intuitive Password. Informațiile despre datele despre clienți stocate în copiile de rezervă, replici și instantanee nu sunt eliminate automat, ci sunt scoase din sistem în cadrul ciclului de viață al datelor. Intuitive Password își rezervă dreptul de a modifica perioada de curățare a datelor pentru a răspunde cerințelor tehnice, de conformitate sau de reglementare. "Date despre clienți principali" includ (i) numele, adresa de e-mail, numărul de telefon, numele de utilizator online, numărul de telefon și alte informații similare trimise voluntar de către vizitatori către paginile dvs. de destinație din Serviciul de abonament; la activitățile media ale vizitatorilor dvs., în măsura în care aceste activități pot fi legate de o persoană identificabilă; și exclude (i) datele de analiză, (ii) materialele clientului, (iii) datele anonime agregate, (iv) jurnalele, datele arhivate sau fișierele de date de rezervă, (v) alte date care nu pot fi șterse și (v) alte date care sunt sau devin în general cunoscute publicului, fără a încălca orice obligație datorată Clientului.

5 Controlul disponibilității

Disponibilitatea infrastructurii: furnizorii de centre de date utilizează eforturi rezonabile din punct de vedere comercial pentru a asigura un minimum de uptime de 99,95%. Furnizorii mențin un minim de redundanță N + 1 la serviciile de alimentare, rețea și HVAC.

Toleranța la defecțiuni: strategiile de copiere și replicare sunt concepute pentru a asigura protecția redundantă și de protecție la defectare în timpul unei defecțiuni semnificative de procesare. Datele clienților sunt susținute în mai multe magazine de date durabile și reproduse în mai multe centre de date și zone de disponibilitate.

Replici online și copii de rezervă: În cazul în care este posibil, bazele de date de producție sunt proiectate să reproducă date între cel puțin o bază de date primară și o bază de date secundară. Toate bazele de date sunt susținute și întreținute folosind cel puțin metodele standard din industrie.

Produsele Intuitive Password sunt concepute astfel încât să asigure redundanța și întreruperea erorilor. Instanțele serverului care suportă produsele sunt, de asemenea, arhitectate, cu scopul de a preveni anumite puncte de eșec. Acest design ajută operațiile Intuitive Password în menținerea și actualizarea aplicațiilor de produs și a backend-ului în timp ce limitează timpul de nefuncționare.

6 Separarea procesării

Colecția de date personale ale clienților de către Intuitive Password este de a furniza și de a îmbunătăți produsele noastre de vânzări și marketing. Intuitive Password nu utilizează aceste date în alte scopuri care ar necesita o prelucrare separată.

1. Amazon Web Services, Inc.
2. Microsoft, Inc.
3. Twilio, Inc.
4. Stripe, Inc.
5. PayPal Holdings, Inc.
6. Mailgun, Inc.