اتفاقية معالجة البيانات
ينطبق اتفاق معالجة البيانات هذا عليك إذا قمت بالتسجيل في خدمات MessageBird (بما في ذلك من خلال أي من الشركات التابعة لها) في 28 فبراير، 2022 أو بعده وقبل 1 يناير، 2024. ساري اعتبارًا من 15 أبريل 2022، سينطبق اتفاق معالجة البيانات هذا أيضًا على العملاء الذين قاموا بالتسجيل في خدمات MessageBird قبل 28 فبراير 2022. يتوفر اتفاق معالجة البيانات المؤرشف لدينا في أرشيف اتفاق معالجة البيانات.
Documents
المحتويات
يعد اتفاق معالجة البيانات بما في ذلك الملاحق ("DPA") جزءًا من الاتفاقية بين العميل والجهة المتعاقدة المدرجة في البند 15 (الجهة المتعاقدة) من الشروط والأحكام العامة، ما لم يُذكر خلاف ذلك في نموذج الطلب الخاص بك. في هذه DPA، تشير المصطلحات "أنت", "الخاص بك"، أو "العميل" إليك (حسب البند 1.2 أدناه)، وتشير المصطلحات "نحن", "لنا", "خاصتنا" أو "MessageBird" إلينا.
١. النطاق والشركات التابعة للعملاء والمدة
1.1 النطاق. تحكم هذه الاتفاقية معالجة البيانات الشخصية للعميل من قبل MessageBird كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذه الاتفاقية نيابة عن نفسه وإلى الحد المطلوب بموجب تشريعات حماية البيانات، باسم ونيابة عن الشركات التابعة له (كما هو معرف في الشروط)، إذا وإلى المدى الذي تقدم فيه هذه الشركات التابعة بالوصول إلى الخدمات ونعالج بيانات شخصية للعميل والتي تعتبر فيها هذه الشركات التابعة كمالك للبيانات (“الشركات التابعة للعميل”). لأغراض هذه الاتفاقية فقط، وباستثناء ما هو مذكور بخلاف ذلك، يجب أن تشمل مصطلحات “العميل” و “أنت” العميل والشركات التابعة.
1.3 المدة. تظل هذه الاتفاقية سارية المفعول طالما تستمر MessageBird في معالجة البيانات الشخصية للعميل الخاضعة لهذه الاتفاقية، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
٢. التعريفات
المصطلحات الكبيرة المستخدمة ولكن غير المعرفة في هذه الاتفاقية ستُفسر بمعناها في الاتفاقية. يتم استخدام المصطلحات المعرفة التالية في هذه الاتفاقية:
2.1 “CCPA” تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح صادرة بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.2 “بيانات العميل” تعني أي بيانات أو معلومات أو محتوى آخر يتم تقديمه من قبلك أو لأجلك (أو من قبل مستخدم لتطبيقك الخاص بالعميل) بموجب الاتفاقية ويتم معالجته أو تخزينه بواسطة الخدمات.
2.3 “بيانات العميل الشخصية” تعني البيانات الشخصية الموجودة في بيانات العميل. بيانات الحساب ليست بيانات العميل الشخصية. بيانات الحساب هي أي بيانات مقدمة من قبلك أو لأجلك إلى MessageBird فيما يتعلق بالدخول في الاتفاقية وإدارة الحساب بما في ذلك على سبيل المثال لا الحصر معلومات الاتصال وتفاصيل الفواتير الخاصة بالعميل والمراسلات المتعلقة بالدخول في الاتفاقية وإدارتها.
2.4 “تشريعات حماية البيانات” تعني جميع القوانين واللوائح لأي اختصاص قضائي تنطبق على سرية أو خصوصية أو أمان أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، حيثما ينطبق، اللائحة العامة لحماية البيانات (GDPR)، و CCPA وجميع القوانين واللوائح الأخرى المتعلقة بالخصوصية أو التسويق المباشر أو حماية البيانات.
2.5 “ المنطقة الاقتصادية الأوروبية” تعني لأغراض هذه الاتفاقية، المنطقة الاقتصادية الأوروبية وسويسرا.
2.6 “ البنود التعاقدية القياسية بين المراقب والمعالج للاتحاد الأوروبي” تعني "المراقب إلى المعالج" (الوحدة 2) من البنود التعاقدية القياسية لنقل البيانات الشخصية إلى بلدان ثالثة بموجب اللائحة العامة لحماية البيانات (GDPR) والقرار التنفيذي للمفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
2.7 “ البنود التعاقدية القياسية بين المعالج والجهة الفرعية للاتحاد الأوروبي” تعني "المعالج إلى المعالج" (الوحدة 3) من البنود التعاقدية القياسية لنقل البيانات الشخصية إلى بلدان ثالثة بموجب اللائحة العامة لحماية البيانات (GDPR) والقرار التنفيذي للمفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
2.8 “اللائحة العامة لحماية البيانات (GDPR)” تعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (اللائحة العامة لحماية البيانات)؛ أو (ii) فيما يخص المملكة المتحدة فقط، قانون حماية البيانات لعام 2018.
2.9 “LGPD” تعني قانون حماية البيانات العامة البرازيلية لعام 2018 وأي لوائح صادرة بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.10 “البيانات الشخصية” تعني أي معلومات تتعلق بشخص طبيعي محدد أو يمكن التعرف عليه بشكل مباشر أو غير مباشر.
2.11 “PDPA” تعني قانون حماية البيانات الشخصية لعام 2012 وأي لوائح صادرة بموجبه، في كل حالة، كما يتم تعديلها من وقت لآخر.
2.12 “بيان الخصوصية” يعني بيان الخصوصية الحالي للخدمات، كما هو موضح في بيان الخصوصية لـ Bird.
2.13 “خرق البيانات الشخصية” يعني أي تدمير أو فقدان أو تغيير أو إفشاء أو وصول عرضي أو غير مصرح به أو غير قانوني إلى بيانات العميل الشخصية.
2.14 “الخدمات” تعني جميع المنتجات والخدمات التي نقدمها نحن أو الشركات التابعة لنا والتي (أ) يطلبها منك بموجب أي استمارة طلب؛ أو (ب) تُستخدم من قبلك.
2.15 “البنود التعاقدية القياسية” تعني إما (i) البنود التعاقدية القياسية بين المراقب والمعالج للاتحاد الأوروبي؛ أو (ii) البنود التعاقدية القياسية بين المعالج والجهة الفرعية للاتحاد الأوروبي، سواء كانت بشكل فردي أو جماعي، حسب الاقتضاء.
2.16 “الجهة الفرعية” تعني الكيان الذي يقوم بمعالجة البيانات الشخصية للعميل نيابة عن كيان يعمل كمعالج بيانات أو جهة فرعية.
2.17 “البنود التعاقدية القياسية بين المملكة المتحدة والمعالج” تعني البنود التعاقدية القياسية لنقل البيانات الشخصية إلى معالجي البيانات التي يتم إنشاؤها في بلدان خارجية بالشكل المنصوص عليه بقرار المفوضية الأوروبية 2010/87/EU، حسبما يتم تعديلها أو تغييرها أو إلغاؤها من قبل المفوضية الأوروبية.
الشروط مثل "المعالجة" و"الرقابة على البيانات" و"معالجة البيانات" و"الموضوع" وما إلى ذلك يجب أن تفهم كما هو معرف لها بموجب اللائحة العامة لحماية البيانات (GDPR). تعريف "الرقابة على البيانات" يشمل "الأعمال" و"المراقب" و"المنظمة"؛ "معالجة البيانات" تشمل "مزود الخدمة" و"المعالج" و"الوسيط"؛ "الموضوع" يشمل "المستهلك" و"الفرد"؛ و "البيانات الشخصية" تشمل "المعلومات الشخصية"، في كل حالة على النحو المحدد في CCPA أو LGPD أو PDPA.
3. معالجة البيانات الشخصية للعميل
3.1 الأغراض. سنقوم بمعالجة البيانات الشخصية للعملاء فقط بالقدر الضروري (i) لتقديم الخدمات، بما في ذلك نقل الاتصال، ضمان أمان الخدمات، تقديم التقارير الفنية وتقارير التسليم، تقديم الدعم وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليمات موثقة لنا كمُعالج بيانات كما هو محدد في القسم 3.2 من هذه الاتفاقية، و(ii) لأغراض عملنا المشروعة كما هو محدد في القسم 3.4 من هذه الاتفاقية كجهة تحكم بيانات. لا نبيع أي بيانات شخصية، بما في ذلك البيانات الشخصية للعملاء، ولا نشارك البيانات الشخصية مع أطراف ثالثة للحصول على تعويض أو لمصالح الأعمال الخاصة بتلك الأطراف الثالثة.
3.2 التعليمات. تشكل الاتفاقية وهذه الاتفاقية التعليمات الكاملة لك كمُعالج بيانات عند توقيع هذه الاتفاقية. سنلتزم بالتعليمات الموثقة الأخرى المعقولة بشرط أن تكون تلك التعليمات متسقة مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. الملحق I، الجزء B. (وصف النقل) من هذه الاتفاقية يحدد بشكل أكبر طبيعة وغرض المعالجة، أنشطة المعالجة، مدة المعالجة، أنواع البيانات الشخصية وفئات أصحاب البيانات من جانبنا كمُعالج بيانات أو مُعالج فرعي.
3.4 أغراض العمل المشروعة. تقر بأننا نعالج البيانات الشخصية للعملاء كجهة تحكم بيانات مستقلة بالقدر الضروري للأغراض المشروعة التالية: الفوترة، إدارة الحسابات، إعداد التقارير المالية والداخلية، مكافحة ومنع التهديدات الأمنية والهجمات الإلكترونية والجريمة الإلكترونية التي قد تؤثر علينا أو على خدماتنا، نمذجة الأعمال (مثل التنبؤ، تخطيط القدرة والدخل، إستراتيجية المنتجات)، منع واكتشاف الاحتيال، البريد العشوائي، وسوء الاستخدام، تحسين المنتجات، والامتثال لالتزاماتنا القانونية.
4. التزامات العميل
4.1 قانونية. حيث أنك تتصرف كمتصرف بالبيانات الخاصة بالعميل، فإنك تضمن أن جميع أنشطة المعالجة قانونية، لها غرض محدد، وأن أي إشعارات وإقرارات لازمة أو قاعدة قانونية مناسبة أخرى موجودة لتمكين النقل القانوني للبيانات الشخصية الخاصة بالعميل. إذا كنت معالج بيانات (وفي هذه الحالة سنعمل كمعالج فرعي)، فسوف تضمن أن المتحكم بالبيانات المعني يضمن استيفاء الشروط المدرجة في هذا القسم 4.1.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان امتثالك لتشريعات حماية البيانات المعمول بها فيما يخص استخدامك للخدمات ومعالجتك الخاصة لبيانات العملاء الشخصية، (ب) إجراء تقييم مستقل عما إذا كانت التدابير التقنية والتنظيمية للخدمات تلبي متطلباتك، و (ج) تنفيذ وصيانة تدابير الخصوصية والأمان للمكونات التي تقدمها أو تتحكم فيها (بما في ذلك وليس على سبيل الحصر كلمات المرور والأجهزة المستخدمة مع الخدمات وتطبيقات العملاء).
5. الأمان
5.1 إجراءات الأمان. مع مراعاة حالة الفن وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة بالإضافة إلى مخاطر التباين في احتمالية وشدة التأثيرات على حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ والحفاظ على إجراءات تقنية وتنظيمية مناسبة لحماية البيانات الشخصية للعملاء من خروقات البيانات الشخصية وللحفاظ على أمان وسلامة وتوافر ومرونة وسرية البيانات التي تستخدمها أنظمتنا لمعالجة بيانات العملاء. الإجراءات الأمنية التي نطبقها موصوفة في الملحق الثاني.
5.2 تحديثات على إجراءات الأمان. أنت مسؤول عن مراجعة المعلومات التي نقدمها والمتعلقة بأمن البيانات الشخصية للعملاء واتخاذ قرار مستقل حول ما إذا كانت تلك المعلومات تفي بمتطلباتك والالتزامات القانونية بموجب تشريعات حماية البيانات. أنت تقر بأن إجراءات الأمان عرضة للتقدم والتطور التقني، وأنه قد نقوم بتحديث أو تعديل إجراءات الأمان من وقت لآخر، بشرط ألا تؤدي تلك التحديثات والتعديلات إلى تدهور شامل في أمان البيانات الشخصية للعملاء.
5.3 التحكم في الوصول. نحن نطبق مبادئ "الحاجة إلى المعرفة" والحد الأدنى من الامتيازات.
5.4 سرية المعالجة. سنضمن أن أي شخص أو طرف مفوض من قبلنا لمعالجة البيانات الشخصية للعملاء (بما في ذلك موظفينا ووكلائنا والمعالجات الفرعية) يتم إبلاغه بالطبيعة السرية لمثل هذه البيانات الشخصية وسيكون تحت التزام مناسب بالسرية (سواء كان واجب تعاقدي أو تشريعي) يظل قائماً بعد انتهاء فترة ارتباطهم معنا.
5.5 استجابة خروقات البيانات الشخصية وإخطارها. عند العلم بحدوث اختراق للبيانات الشخصية، سنقوم دون تأخير لا مبرر له (i) بإخطارك، (ii) التحقيق في اختراق البيانات الشخصية، (iii) تقديم معلومات فورية تتعلق باختراق البيانات الشخصية كما يصبح معروفًا أو كما تطلبه بشكل معقول، و(iv) اتخاذ خطوات معقولة تجارية للتخفيف من آثار الاختراق ومنع تكراره.
6. المساعدة
6.1 المساعدة في حماية البيانات. سنقدم لك المساعدة المطلوبة بشكل معقول للسماح لك بالامتثال لالتزاماتك بموجب تشريعات حماية البيانات، بما في ذلك الإبلاغ عن خرق البيانات الشخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في إجراء تقييم تأثير حماية البيانات ذات الصلة.
6.2 المساعدة في طلبات موضوع البيانات. سنقدم لك المساعدة المعقولة للسماح لك بالامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب تشريعات حماية البيانات عن طريق توفير وسائل تقنية وتنظيمية عبر حسابك. ولإزالة أي شك، فإنك كمسؤول عن البيانات تتحمل مسؤولية معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق بالبيانات الشخصية للعميل لموضوع البيانات.
٧. الإفصاح وطلبات الإفصاح
7.1 القيود على الكشف والوصول. لن نقدم الوصول إلى أو الكشف عن البيانات الشخصية للعميل إلا (i) بناءً على توجيهك، (ii) كما هو موضح في الاتفاقية وهذه DPA، أو (iii) كما يقتضيه القانون.
7.2 طلبات الكشف. سنقوم بإخطارك في أقرب وقت ممكن بشكل معقول إذا استلمنا طلبًا من هيئة حكومية أو تنظيمية للكشف عن البيانات الشخصية للعميل، ما لم يكن مثل هذا الإخطار محظورًا بموجب القانون. سنتعامل مع طلبات الكشف وفقًا لـ سياسة طلب الكشف الخاصة بنا.
٨. المعالِجون الفرعيون
8.1 المعالجون الفرعيون الحاليون. أنت توافق على إشراك المعالجين الفرعيين المدرجين تحت عنوان "بيانات المستخدم النهائي الشخصية" في قائمة المعالجين الفرعيين لـ Bird، والتي تحتوي أيضًا على إجراء للاشتراك في إشعارات التغييرات في استخدامنا للمعالجين الفرعيين. إذا اشتركت في مثل هذه الإشعارات، ومع الأخذ في الاعتبار القسم 8.3 من هذه الاتفاقية، سنشارك تفاصيل أي تغييرات في المعالجين الفرعيين في أسرع وقت ممكن بقدر المعقول.
8.2 استخدام المعالجين الفرعيين. بموجب هذه الاتفاقية، تقدم لنا تفويضًا مكتوبًا عامًا لإشراك المعالجين الفرعيين لمعالجة بيانات العميل الشخصية، وذلك وفقًا للقسم 8.3 من هذه الاتفاقية والمتطلبات التالية:
a. سنقوم بتقييد الوصول إلى بيانات العميل الشخصية من قبل المعالجين الفرعيين بما هو ضروري للغاية لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي؛
b. سنتفق على التزامات حماية البيانات مع المعالج الفرعي تكون مماثلة إلى حد كبير لالتزامات هذه الاتفاقية؛ و
c. نبقى مسؤولين أمامك بموجب هذه الاتفاقية عن أداء التزامات حماية البيانات للمعالج الفرعي.
8.3 إشعار التغييرات في المعالجين الفرعيين والحق في الاعتراض. قبل استبدال أو إشراك معالجين فرعيين جدد ("تغيير المعالج الفرعي")، سنعطيك الخيار للاعتراض على تغيير المعالج الفرعي.
يمكنك الاعتراض على تغيير المعالج الفرعي بشرط أن (i) يتم الاعتراض كتابةً خلال عشرة (10) أيام عمل من إشعارنا بتغيير المعالج الفرعي و (ii) يكون الاعتراض مبنيًا ويوضح بوضوح الأسباب المبررة المتعلقة بحماية بيانات العميل الشخصية. عندما تعترض على تغيير معالج فرعي مقترح، سنتعاون معك بحسن نية لإجراء تغيير معقول تجاريًا في تقديم الخدمات يتجنب استخدام المعالج الفرعي المعني. إذا تعذر إجراء هذا التغيير بشكل معقول خلال ثلاثين (30) يوم عمل من استلامنا لإشعار اعتراضك، أو إذا كان التغيير غير معقول تجارياً بالنسبة لنا، يمكن لأي من الطرفين إنهاء الميزات المعمول بها في الخدمات والتي لا يمكن تقديمها دون استخدام المعالج الفرعي المعني. هذا الحق في الإنهاء هو وسيلتك الوحيدة والحصرية إذا اعترضت على تغيير معالج فرعي.
9. التحويلات عبر الحدود للبيانات الشخصية للعملاء
9.1 نقل بيانات العملاء الشخصية. يجوز لنا نقل بيانات العملاء الشخصية بشرط اتخاذ جميع الضمانات المناسبة المطلوبة بموجب تشريعات حماية البيانات. قد يشمل ذلك إجراء تقييم تأثير لنقل البيانات مسبقًا، واعتماد ورصد وتقييم التدابير الفنية والتنظيمية والقانونية التكميلية، وحقوق موضوع البيانات القابلة للتنفيذ، وتوفر سبل الانتصاف القانونية الفعالة لموضوعات البيانات.
9.2 البنود التعاقدية القياسية للمعالج الفرعي. ما لم يكن هناك قرار كفاية أو آلية نقل بديلة تنطبق، فقد أبرمنا وسنحافظ على البنود التعاقدية القياسية مع المعالجات الفرعية (بما في ذلك الشركات التابعة لنا) الموجودة خارج المنطقة الاقتصادية الأوروبية، وذلك وفقًا للشروط المنصوص عليها في القسم 9.1 من هذه الاتفاقية.
9.3 آليات نقل بيانات العملاء الشخصية. إلى الحد الذي يتطلب فيه استخدامك للخدمات وجود آلية لنقل البيانات عبر الحدود بشكل قانوني لتصدير بيانات العملاء الشخصية من نطاق قضائي (مثل المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودين خارج ذلك النطاق القضائي، ينطبق هذا القسم. إذا تم، في أداء الخدمات، نقل بيانات العملاء الشخصية الخاضعة للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد والذي ينطبق على هذه الاتفاقية إلى MessageBird الموجود في بلدان لا تضمن مستوى كاف من حماية البيانات الشخصية بالمعنى المقصود في تشريعات حماية البيانات، يتم تطبيق آليات النقل المدرجة أدناه على تلك النقلات ويمكن إنفاذها مباشرة من قبل الأطراف إلى الحد الذي تخضع فيه تلك النقلات لتشريعات حماية البيانات:
9.3.1 يتفق الأطراف على أن البنود التعاقدية القياسية ستطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، إما بشكل مباشر أو عبر نقل لاحق، إلى كيان MessageBird الموجود في بلد خارج المنطقة الاقتصادية الأوروبية أو سويسرا والذي لا تعترف به المفوضية الأوروبية (أو، في حالة النقلات من سويسرا، السلطة المختصة في سويسرا) على أنه يقدم مستوى كافٍ من حماية البيانات الشخصية.
9.3.1.1 عندما تكون أنت تعمل كمتحكم بيانات وMessageBird كمحافظ بيانات، سيتم تطبيق البنود التعاقدية القياسية للمتحكم إلى المحافظ على أي نقل لبيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية. عندما تعمل أنت كمعالج بيانات وMessageBird كمعالج فرعي، سيتم تطبيق البنود التعاقدية القياسية من المعالج إلى المعالج الفرعي على أي نقل لمثل هذه البيانات من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سيتم اعتبار MessageBird مستورداً للبيانات وستكون أنت مصدراً للبيانات بموجب البنود التعاقدية القياسية. سيتم اعتبار توقيع كل من الطرفين لهذه الاتفاقية كتوقيع للبنود التعاقدية القياسية المعمول بها، والتي سيتم اعتبارها مدرجة في هذه الاتفاقية. تتوفر التفاصيل المطلوبة بموجب الملحق 1 وملحق 2 للبنود التعاقدية القياسية في الملحق الأول والملحق الثاني لهذه الاتفاقية. في حال وجود أي تعارض أو عدم تناسق بين هذه الاتفاقية والبنود التعاقدية القياسية، يجب أن تسود البنود التعاقدية القياسية فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيثما تتطلب البنود التعاقدية القياسية من الأطراف الاختيار بين البنود الاختيارية وإدخال المعلومات، فقد قام الأطراف بذلك كما هو موضح أدناه:
لن يتم اعتماد البند الاختياري 7 "شرط الربط".
بالنسبة للبند 9 "استخدام المعالجين الفرعيين"، يختار الأطراف الخيار التالي: "الخيار 2 تفويض كتابي عام: يمتلك المستورد للبيانات التفويض العام للمعالج للاعتماد على معالج فرعي من قائمة متفق عليها. يجب على المستورد للبيانات إبلاغ المعالج بأي تغييرات مقترحة على تلك القائمة من خلال إضافة أو استبدال معالج فرعي، على الأقل 10 أيام عمل مسبقًا، مما يتيح للمعالجالوقت الكافي للاعتراض على هذه التغييرات قبل الدخول في العلاقة مع المعالج الفرعي. يجب أن يوفر المستورد للبيانات للمورد للبيانات المعلومات اللازمة لتمكين المورد للبيانات من ممارسة حقه في الاعتراض. يجب على المستورد للبيانات إبلاغ المورد للبيانات بعلاقة المعالج الفرعي.
بالنسبة للبند 11 (أ) "تعويض": لن يعتمد الأطراف البند الاختياري.
بالنسبة للبند 17 "القانون الحاكم": يختار الأطراف الخيار التالي: "الخيار 1. تُحكم هذه البنود بقانون إحدى دول الاتحاد الأوروبي، بشرط أن يسمح هذا القانون بحقوق المستفيد الثالث. يتفق الأطراف أن يكون هذا قانون هولندا."
بالنسبة للبند 18 (ب) "اختيار المنتدى والاختصاص القضائي": "يتفق الأطراف أن تكون تلك في محاكم هولندا."
9.3.2 يتفق الأطراف على أن اتفاقية المعالج إلى المتحكم في المملكة المتحدة القياسية ستطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المملكة المتحدة، إما مباشرة أو عبر نقل لاحق، إلى كيان MessageBird الموجود في بلد خارج المملكة المتحدة الذي لا تعترف به السلطة التنظيمية المعنية في المملكة المتحدة أو الجهة الحكومية للمملكة المتحدة كأنه يوفر مستوى كافٍ من حماية البيانات الشخصية.
9.3.2.1 سيتم اعتبار MessageBird مستورداً للبيانات وستكون أنت مصدراً للبيانات بموجب البنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة. سيتم اعتبار توقيع كل من الطرفين لهذه الاتفاقية كتوقيع للبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة، والتي سيتم اعتبارها مدرجة في هذه الاتفاقية. تتوفر التفاصيل المطلوبة بموجب الملحق 1 وملحق 2 للبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة في الملحق الأول والملحق الثاني لهذه الاتفاقية. في حال وجود أي تعارض أو عدم تناسق بين هذه الاتفاقية والبنود التعاقدية القياسية المعتمدة من المتحكم إلى المعالج في المملكة المتحدة، يجب أن ت
١٠. مراجعة الحسابات
10.1 تقرير التدقيق. سيتم تدقيق منصة الاتصالات الخاصة بنا بانتظام وفقًا لمعيار ISO 27001:2013 (أو ما يعادله). قد يكون التدقيق، وفقًا لتقديرنا الخاص، تدقيقًا داخليًا أو تدقيقًا يتم إجراؤه من قبل طرف ثالث. عند الطلب الخطي، سنزودك بملخص لتقرير التدقيق (“تقرير التدقيق”)، حتى تتمكن من التحقق من امتثالنا لمعايير التدقيق وهذه الاتفاقية. تُعتبر هذه تقارير التدقيق، وأي استنتاجات أو نتائج محددة فيها، معلوماتنا السرية.
10.2 طلبات معلومات العميل. سنوفر لك جميع المعلومات الضرورية بشكل معقول لإثبات الامتثال للالتزامات المنصوص عليها في هذه الاتفاقية. سنقدم ردودًا خطية على الطلبات المعقولة للحصول على المعلومات المقدمة من قبلك، بما في ذلك الردود على استبيانات الأمان والمراجعة التي تكون في نطاق معقول وضرورية لتأكيد الامتثال لهذه الاتفاقية، بشرط أنك (i) قد بذلت جهدًا معقولًا في البداية للحصول على المعلومات المطلوبة من التوثيق وتقارير التدقيق والمعلومات الأخرى المقدمة أو المعلنة من قبلنا، و(ii) لن تمارس هذا الحق أكثر من مرة في السنة، ما لم يكن خرق للبيانات الشخصية أو تغيير كبير في أنشطة المعالجة الخاصة بنا فيما يتعلق بالخدمات يتطلب إجراء استبيان إضافي. جميع الردود المقدمة هي معلوماتنا السرية.
10.3 تدقيق العميل. إذا وفرنا لك تقرير تدقيق يمنحك أسبابًا موثوقة للاعتقاد بأننا في خرق لالتزاماتنا بموجب هذه الاتفاقية، المتعلقة بالبيانات الشخصية للعميل المقدمة منك، سنسمح لمراجع حسابات مستقل ومؤهل يتم تعيينه من قبلك ويوافق عليه منا، بتدقيق أنشطة معالجة البيانات الشخصية المعنية، بشرط استيفاء المتطلبات التالية:
a. يجب عليك إعطاؤنا إشعارًا مسبقًا معقولًا لمدة ستين (60) يومًا على الأقل قبل ممارسة حق التدقيق؛
b. يوافق المراجع على التزامات السرية المتعارف عليها في السوق معنا؛
c. تتخذ أنت والمراجع خطوات لتقليل الاضطراب في عملياتنا التجارية؛
d. سيتم إجراء المراجعة خلال ساعات العمل العادية؛
e. لن نكون ملزمين بتوفير الوصول إلى بيانات العملاء لعملاء آخرين أو أنظمة غير معنية بتوفير الخدمات؛ و
f. يجب أن تدفع جميع تكاليف المراجعة.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (بحسب اختيارك) بحذف أو إعادة جميع بيانات العملاء الشخصية الموجودة في حوزتنا أو تحت سيطرتنا إليك، باستثناء أن هذا الشرط لن ينطبق إلى الحد الذي نكون فيه ملزمين قانونيًا بالاحتفاظ ببعض أو كل بيانات العملاء الشخصية. إذا طلبت منا حذف بيانات العملاء الشخصية، فستتم حماية بيانات العملاء الشخصية المؤرشفة على أنظمة النسخ الاحتياطي الخاصة بنا من المزيد من المعالجة، وستُحذف عند انتهاء فترة الاحتفاظ المطلوبة.
12. اتصالات وحقوق العملاء التابعين
إن الدخول في هذه الاتفاقية لحماية البيانات (DPA) باسم ونيابة عن أحد فروع العميل كما هو موضح في القسم 1.2 يشكل اتفاقية DPA منفصلة بيننا وبين ذلك الفرع، وذلك وفقًا لما يلي:
12.1. الاتصال. يظل العميل الذي هو الطرف المتعاقد في الاتفاقية مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذه الاتفاقية ويحق له صنع واستقبال أي اتصال يتعلق بهذه الاتفاقية نيابة عن فروعه.
12.2 حقوق فروع العميل. عندما يصبح فرع العميل طرفًا في اتفاقية DPA معنا، يكون له الحق في ممارسة الحقوق ومطالبة بالإنصاف بموجب هذه الاتفاقية إلى الحد المطلوب بموجب تشريعات حماية البيانات، وذلك وفقًا لما يلي:
(i) ما لم تتطلب تشريعات حماية البيانات من الفرع ممارسة حق أو طلب إنصاف بموجب هذه الاتفاقية ضد MessageBird مباشرة بنفسه، تتفق الأطراف على أن (i) العميل الوحيد الذي هو الطرف المتعاقد في الاتفاقية هو الذي يمارس أي حق من هذا القبيل أو يسعى لأي إنصاف من هذا القبيل نيابة عن فرع العميل، و(ii) يمارس العميل الذي هو الطرف المتعاقد في الاتفاقية هذه الحقوق بموجب هذه الاتفاقية وليس بشكل منفصل لكل فرع على حدة، بل بطريقة مجتمعة لنفسه وجميع فروعه مجتمعة.
(ii) تتفق الأطراف على أن العميل الذي هو الطرف المتعاقد في الاتفاقية، عند إجراء تدقيق في الموقع للإجراءات المتعلقة بحماية البيانات الشخصية للعميل كما هو موضح في القسم 10.3 من هذه الاتفاقية، يتخذ جميع التدابير المعقولة لتقليل أي تأثير علينا من خلال دمج، بقدر المستطاع بشكل معقول، عدة طلبات تدقيق تُنفذ نيابة عن نفسه وجميع فروعه في تدقيق واحد.
للتوضيح، الفرع العميل لا يصبح طرفًا متعاقدًا في الاتفاقية.
13. قانون خصوصية المستهلك في كاليفورنيا
نحن نقدم لك الالتزامات الإضافية التالية فيما يتعلق بمعالجة بيانات العملاء الشخصية ضمن نطاق CCPA.
13.1 التزاماتنا. سنلتزم بـ CCPA ونعامل جميع بيانات العملاء الشخصية التي تخضع لـ CCPA (“CCPA Personal Data”) وفقًا لأحكام CCPA. فيما يتعلق ببيانات CCPA الشخصية، نحن مزود خدمة بموجب CCPA. لن نقوم (أ) ببيع بيانات CCPA الشخصية؛ (ب) الاحتفاظ أو استخدام أو كشف أي بيانات CCPA شخصية لأي غرض آخر غير الغرض المحدد لتقديم الخدمات، بما في ذلك الاحتفاظ أو استخدام أو كشف بيانات CCPA الشخصية لغرض تجاري آخر غير تقديم الخدمات؛ أو (ج) الاحتفاظ أو استخدام أو كشف بيانات CCPA الشخصية خارج نطاق علاقتنا التجارية المباشرة معك. تعتبر معالجة بيانات CCPA الشخصية التي تتم بموجب توجيهاتك في الشروط وهذه الاتفاقية المتخصصة جزءًا أساسيًا من تقديمنا للخدمات. تقر وتوافق على أن وصولنا إلى بيانات العملاء لا يشكل جزءًا من المقابل المتبادل بموجب الاتفاقية. إلى الحد الذي تعتبر فيه أي بيانات استخدام بيانات شخصية لـ CCPA، نحن نعتبرها أصولًا وسنقوم بمعالجتها وفقًا لبيان الخصوصية الخاص بنا. وتحتفظ المصطلحات “أعمال”، “غرض تجاري”، “مزود خدمة”، و“بيع” كما هي مستخدمة في القسم 13.1 بالمعاني التي أعطاها إياها CCPA. وكلا الطرفين يؤكدان أنهما يفهمان ويلتزمان بالالتزامات والقيود الواردة في هذه الاتفاقية و CCPA كما هو مطلوب فيها.
13.2 التزامات العملاء. أنت تمثل وتضمن أنك قدمت إشعارًا للمستخدم النهائي بأن البيانات الشخصية يتم استخدامها أو مشاركتها وفقًا للشروط والأحكام المتوقعة في القسم 1798.140(t)(2)(C)(i) من CCPA. أنت مسؤول عن الامتثال لمتطلبات CCPA المطبقة عليك كمتحكم في البيانات.
١٤. القانون الحاكم وتسوية النزاعات
القسم 13 من الشروط يجب أن يطبق على أي نزاعات ناتجة عن أو متعلقة بهذا DPA، ما لم يكن هناك متطلبات أخرى من تشريعات حماية البيانات.
الملحق الأول - تفاصيل المعالجة
عند الاقتضاء، سيعمل هذا الملحق 1 كمرفق I لبنود التعاقد القياسية للمنطقة الاقتصادية الأوروبية.
المرفق I، الجزء A. قائمة الأطراف
مصدر البيانات: العميل
تفاصيل الاتصال بمصدر البيانات: العنوان المدرج في حساب العميل، أو عنوان البريد الإلكتروني لمالك حساب العميل، أو إلى عنوان(عناوين) البريد الإلكتروني التي يختار العميل استقبال الإشعارات بموجب الاتفاقية.
دور مصدر البيانات: دور مصدر البيانات موضح في القسم 4 من اتفاقية معالجة البيانات.
التوقيع والتاريخ: إذا ومتى كان ذلك ممكنًا، يُعتبر مصدر البيانات قد وقع على البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ سريان اتفاقية معالجة البيانات.
مستورد البيانات: MessageBird B.V.
تفاصيل الاتصال بمستورد البيانات: Trompenburgstraat 2-C, 1079TX, أمستردام، هولندا، مسؤول حماية البيانات - privacy@bird.com
دور مستورد البيانات: يعمل مستورد البيانات كمعالج للبيانات.
التوقيع والتاريخ: إذا ومتى كان ذلك ممكنًا، يُعتبر مستورد البيانات قد وقع على البنود التعاقدية القياسية المدمجة هنا اعتبارًا من تاريخ سريان اتفاقية معالجة البيانات.
المرفق I، الجزء B. وصف النقل
1. فئات موضوعات البيانات التي يتم نقل بياناتها الشخصية: المستخدمون. جهات اتصال العميل (أشخاص طبيعيون) أو الموظفون، المتعاقدون أو العمال المؤقتون (الحاليون، المستقبليون، السابقون) الذين يستخدمون الخدمات من خلال حساب العميل (“المستخدمون”); المستخدمون النهائيون. أي فرد (i) تفاصيل الاتصال بهم مدرجة في قائمة جهات اتصال العميل؛ (ii) معلوماتهم مخزنة أو مجمعة عبر الخدمات، أو (ii) يتم إرسال الاتصالات إليهم أو التفاعل أو التواصل معهم عبر الخدمات (ويشار إليهم جماعياً، “المستخدمون النهائيون”). أنت بصفتك العميل تقوم بتحديد فئات موضوعات البيانات المتضمنة في الاتصالات المرسلة عبر منصتنا للاتصالات.
2. فئات البيانات الشخصية التي يتم نقلها: البيانات الشخصية للعميل الموجودة في، محتوى الاتصال، بيانات حركة المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل.محتوى الاتصال، الذي قد يتضمن بيانات شخصية أو خصائص أخرى مخصصة، بحسب محتوى الاتصال كما تحدده أنت كعميل.بيانات حركة المرور، التي قد تتضمن بيانات شخصية للعميل عن مسار الاتصال، مدة أو توقيت الاتصال مثل المكالمة الصوتية، الرسائل القصيرة أو البريد الإلكتروني، سواء كان ذلك يتعلق بفرد أو شركة.بيانات المستخدم النهائي، مثل رقم الهاتف، عنوان البريد الإلكتروني، الاسم الأول، الاسم الأخير، اسم الملف الشخصي، البلد، معرّف القناة.بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد مدرجة في بيانات إحصائية ومعلومات متعلقة بحسابك وأنشطة الخدمة، رؤى متعلقة بالخدمة وتقارير تحليلات بخصوص الاتصالات المرسلة والدعم الفني.
3. البيانات الحساسة المنقولة (إن أمكن) والقيود أو الضمانات المطبقة التي تأخذ بعين الاعتبار طبيعة البيانات والمخاطر المتضمنة، مثل على سبيل المثال لا الحصر تحديد الغرض بشكل صارم، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل الوصول إلى البيانات، قيود النقل المستقبلي أو تدابير أمنية إضافية.
(أ) محتوى الاتصال. قد تتم معالجة البيانات الحساسة من وقت لآخر عبر الخدمات حيث تختار أنت أو المستخدمون النهائيون تضمين بيانات حساسة ضمن الاتصالات المرسلة باستخدام الخدمات. أنت مسؤول عن ضمان وضع ضمانات مناسبة قبل إرسال أو معالجة، أو السماح للمستخدمين النهائيين بإرسال أو معالجة أية بيانات حساسة عبر الخدمات، وفقًا للقسم 3.2 من الاتفاقية.
(ب) بيانات حركة المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل. لا توجد بيانات حساسة محتواة في بيانات حركة المرور، بيانات المستخدم النهائي، أو بيانات استخدام العميل.
4. تكرار النقل (على سبيل المثال ما إذا كانت البيانات تُنقل مرة واحدة أو بشكل مستمر): يتم نقل البيانات الشخصية للعميل بشكل مستمر طوال مدة الاتفاقية.
5. طبيعة المعالجة: سنقوم بمعالجة البيانات الشخصية للعميل بالقدر اللازم لتقديم الخدمات بموجب الاتفاقية. لا نبيع أية بيانات شخصية، بما في ذلك البيانات الشخصية للعميل، ولا نقوم بمشاركة البيانات الشخصية مع أطراف ثالثة مقابل تعويض أو لمصالح تجارية خاصة للأطراف الثالثة.
6. الغرض من نقل البيانات والمعالجة اللاحقة: سنعالج البيانات الشخصية للعميل كمعالج للبيانات وفقًا لتعليمات العميل المنصوص عليها في اتفاقية معالجة البيانات، إلا إذا كانت المعالجة ضرورية للامتثال لالتزام قانوني نخضع له، وفي هذه الحالة سنقوم بالتصنيف كمسؤول عن البيانات.
محتوى الاتصال، بيانات حركة المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل. سيتم إخضاع البيانات الشخصية الموجودة في محتوى الاتصال، بيانات حركة المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل للأنشطة الأساسية التالية في المعالجة:
(أ) محتوى الاتصال. توفير منتجات وخدمات الاتصال القابلة للبرمجة، المقدمة في شكل تطبيقات برمجة (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك إرسالها إلى أو من تطبيق البرنامج الخاص بالعميل من أو إلى منصتنا للاتصالات، وشبكات الاتصالات الأخرى.
(ب) بيانات حركة المرور. يتم معالجة بيانات الحركة لأغراض إرسال الاتصال على شبكة الاتصالات الإلكترونية أو للفوترة بالنسبة لذلك الاتصال. قد يشمل ذلك بيانات شخصية للعميل عن مسار الاتصال، مدة أو توقيت الاتصال مثل المكالمة الصوتية، الرسائل القصيرة أو البريد الإلكتروني، سواء كان ذلك يتعلق بفرد أو شركة.
(ج) بيانات المستخدم النهائي. تعد البيانات الشخصية للمستخدمين النهائيين مطلوبة من أجل أداء الخدمات ولن تتم معالجتها إلا لأغراض إرسال الاتصالات، الدعم الفني، وضمان الامتثال للالتزامات القانونية لـ MessageBird.
(د) بيانات استخدام العميل. سيتم إخضاع البيانات الشخصية الموجودة في بيانات استخدام العميل لأنشطة المعالجة المتمثلة في توفير الخدمات بموجب الاتفاقية، بهدف توفير رؤى تتعلق بالخدمات للعميل وتقارير تحليلات بشأن الاتصالات المرسلة، الدعم الفني، والتحسين المستمر للخدمات.
7. المدة التي سيتم فيها الاحتفاظ بالبيانات الشخصية، أو، إذا تعذر ذلك، المعايير المستخدمة لتحديد تلك الفترة:
(أ) محتوى الاتصال وبيانات الحركة. بالنسبة لمحتوى العميل وبيانات الحركة المحتواة في خدمات الرسائل القصيرة والصوتية تنطبق فترة احتفاظ لمدة ستة أشهر؛
بالنسبة لخدمات 24sessions يتم الاحتفاظ بمحتوى العميل وبيانات الحركة لمدة لا تقل عن 30 يومًا وحتى مدة كما تم الاتفاق عليها معك؛
بالنسبة لجميع الخدمات الأخرى، يتم الاحتفاظ بمحتوى العميل وبيانات الحركة لمدة الخدمات إلا إذا قمت بحذف محتوى العميل أو بيانات الحركة عبر التدابير الفنية والتنظيمية المقدمة لك عبر الخدمات.
(ب) بيانات المستخدم النهائي. ستتم معالجة بيانات المستخدم النهائي للمدة التي يحددها العميل، عند تضمين بيانات المستخدم النهائي في ملفات تعريف الاتصال الخاصة بك تكون فترة الاحتفاظ الافتراضية هي لمدة الخدمات، وفقًا للقسم 6(ج) من هذا المرفق I، الجزء B.
(ج) بيانات استخدام العميل. عند إنهاء الاتفاقية، قد نحتفظ، نستخدم، ونكشف عن بيانات استخدام العميل للأغراض الموضحة في القسم 6(د) من هذا المرفق I، الجزء B، مع مراعاة الالتزامات السرية المحددة في الاتفاقية. سنقوم بتحديد هوية أو حذف بيانات استخدام العميل عندما لم نعد بحاجة إليها للأغراض الموضحة في القسم 6(د) من هذا المرفق I، الجزء B.
8. لنقل إلى (معالجي) معينين، حدد أيضًا موضوع المعالجة، طبيعة، ومدة المعالجة: لنقل إلى المعالجات الفرعية، موضوع المعالجة وطبيعتها موضح في قائمة معالجي Bird الفرعيين، ومدة تلك المعالجة تتوافق مع مدة الاتفاقية.
المرفق I، الجزء C. السلطة الإشرافية المختصة
ستكون السلطة المعنية بحماية البيانات في هولندا (Autoriteit Persoonsgegevens) هي السلطة الإشرافية المختصة.
الملحق الثاني من البنود التعاقدية المعيارية
عند الاقتضاء، ستعمل هذه المرفق الثاني كملحق ثاني للبنود التعاقدية القياسية. يوفر ما يلي مزيدًا من المعلومات حول تدابير الأمن الفني والتنظيمي الموضحة أدناه.
التدابير الأمنية الفنية والتنظيمية:
تدابير التقنيع وحماية البيانات الشخصية في التخزين والنقل: يتم تشفير جميع البيانات الشخصية أثناء النقل وفي حالتها الساكنة، وإلى الحد الذي يتعلق بالجانب الأمني، تُعامل كما لو كانت مصنفة كبيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS بمنهجيات التشفير المحدثة افتراضيًا.
تدابير لضمان السرية المستمرة والنزاهة وتوافر ومرونة نظم المعالجة والخدمات: ندخل في اتفاقيات تحتوي على بنود سرية مع موظفينا ومتعاقدينا والبائعين والمعالجات الفرعية. سياسة استمرارية أعمالنا هي إعداد أعمالنا وخدماتنا في حالة الانقطاعات الطويلة الناجمة عن عوامل خارجة عن سيطرتنا واستعادة الخدمات إلى أوسع حد ممكن في أقصر وقت ممكن. نحن ندرك أن الخدمات التي نقدمها مهمة للغاية لعملائنا وبالتالي لدينا تحمل قليل جدًا لانقطاعات الخدمة. صممت جداول الزمن الخاصة بنا للتعافي لضمان قدرتنا على الوفاء بالتزاماتنا تجاه جميع عملائنا.
عمليات الاختبار والتقييم المنتظم لفعالية التدابير الفنية والتنظيمية لضمان أمان المعالجة: الهدف من أمن المعلومات ونظام إدارة أمن المعلومات لدينا (ISMS) هو حماية سرية ونزاهة وتوفر المعلومات للمنظمة والموظفين والشركاء والعملاء ونظم المعلومات (المصرح بها) وتقليل خطر حدوث أضرار عن طريق منع الحوادث الأمنية وإدارة التهديدات الأمنية ونقاط الضعف. يضمن فريقنا القانوني ومسؤول حماية البيانات وفريق الأمن والامتثال أن يتم احتساب اللوائح والمعايير المطبقة في أطر عملنا الأمنية.
تدابير لتحديد تعريف المستخدم وتفويضه: نتبع مبادئ "الحاجة إلى المعرفة" و"الحد الأدنى من الصلاحيات". نشجع على استخدام التحكم المبني على الدور. يشرف فريق الأمان على إعداد وتفكيك التفويض بشكل افتراضي مع تسجيل الدخول الأحادي (Single-Sign-On) والمصادقة ذات العاملين (2FA). تم تحديد مالكين لكل أصل من أصول المعلومات وهم المسؤولون عن ضمان أن الوصول إلى أنظمتهم ملائم وتم مراجعته بانتظام. كلما تم التعامل مع المعلومات الحساسة أو اتخاذ إجراء حاسم، نستخدم مبدأ العينين الأربع.
تدابير لضمان تسجيل الأحداث: يتم تخزين سجلات التدقيق ومراقبتها بانتظام لأحداث الأمان ويتم الاحتفاظ بها آمنة لتجنب خطر العبث. تفرض سياسة إدارة الحوادث خطة الاستجابة للحوادث وإجراءاتها. يتم اتباع هذه الإرشادات إذا حدث أي نوع من الحوادث الأمنية أو الفنية. في حالة وقوع حوادث أمنية، سيتم مراجعتها بانتظام من قبل لجنة توجيه الأمان التي تتكون من أصحاب المصلحة البارزين من جميع أنحاء العمل.
تدابير لضمان تكوين الأنظمة، بما في ذلك التكوين الافتراضي: نتبع عملية إدارة التغيير المتسقة لجميع التغييرات في بيئة الإنتاج بمنصة الاتصال كخدمة. للتوسع أكثر، يجب الموافقة على جميع طلبات التغيير (RFC) من قبل الجهة المعينة وتنفيذها وفقًا لعملية التحكم في التغيير الرسمية. تضمن عملية التحكم أن التغييرات المقترحة قد تم مراجعتها وترخيصها واختبارها وتنفيذها وإصدارها بطريقة محكمة؛ وأنه يتم مراقبة حالة كل تغيير مقترح. يتم اتباع خطوط الأساس لتكوين الأنظمة بشكل آمن باتباع أفضل الممارسات. أيضًا، داخل قسم الهندسة، يتم استخدام رادار تقني لتحديد التقنيات (اللغات وأدوات الأنظمة الأساسية وقواعد البيانات وأدوات إدارة البيانات) التي يمكن تبنيها أو التي يجب تجنبها أثناء التطوير.
تدابير للأمن الفيزيائي: ندعم بقوة سياسة "العمل من أي مكان" حتى يتمكن موظفونا من العمل من أي مكان يريدون. ومع ذلك، لا تزال لدينا مكاتبنا. لا يوجد لدينا مناطق آمنة/مركز بيانات في مبانينا لأننا شركة تعتمد كليًا على السحابة. الطوابق المكتبية لدينا محمية بعناصر تحكم في الوصول المادي، وكاميرات المراقبة، والأمن المقيم.
تدابير لحوكمة الإدارة الداخلية وتقنيات المعلومات والأمن: نحن نحافظ على برنامج أمن قائم على تقييم المخاطر، والذي يشمل ضمانات إدارية وتنظيمية وفنية وفيزيائية مصممة لحماية الخدمات وسرية ونزاهة وتوفر بيانات العملاء. يدير برنامج أمن المعلومات لدينا منظم ومنتظم بشكل جيد. بالإضافة إلى ذلك، تنطبق المتطلبات القانونية والتنظيمية لضمان سرية ونزاهة وتوفر المعلومات للمنظمة والموظفين والشركاء والعملاء. يتم ترجمة كل هذا إلى سياسات وإجراءات وتوجيهات خاصة بأمن المعلومات لدينا. لدينا لجنة توجيه الأمان الأمنية المتسؤولة عن المستوى التكتيكي لأمن المعلومات. وهذا يشمل تنسيق أنشطة الأمن المعلوماتي وتحويل الأنشطة الاستراتيجية إلى أنشطة تشغيلية لأماننا، وصيانة مستمرة لامتثال اللوائح. جميع الموظفين مسؤولون عن حماية أصول الشركة. جميع موظفينا مفحوصون من حيث الخبرة والمهارات والنزاهة. يتم إعلام الموظفين حول الأمان وحماية البيانات في مرحلة الانضمام، وكذلك عن طريق التدريب الفريق-الخاص المنتظم، والعروض العامة للشركة حول أهمية حماية البيانات والامتثال الأمني. Bird معتمد وفقًا لمعيار الأمان المعلوماتي العالمي ISO/IEC 27001:2013، والمعايير المعترف بها عالميًا لنظم إدارة أمن المعلومات (ISMS).
جميع مقدمي الاستضافة لدينا متوافقون مع ISO/IEC 27001:2013.
نحن مسجلون أيضًا مع هيئة المستهلكين والأسواق الهولندية. هذا يعني أننا دائمًا ما نكون مسؤولين وشفافين تمامًا مع عملائنا.
نحن عضو مشارك في اتحاد مجموعة الاتصالات العالمية الخاصة بالهواتف المحمولة (GSMA). تمثل GSMA مصالح مشغلي الهواتف المحمولة في جميع أنحاء العالم. نحن دائمًا مواكبون لجميع القوانين واللوائح المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات.
تدابير للشهادات/ضمان العمليات والمنتجات: نخضع لمراقبة دقيقة وكذلك تدقيقات الشهادات كجزء من توافقنا مع ISO/IEC 27001:2013، ونقوم بانتظام بتنفيذ اختبار الثغرات والتغلب على التسلل. تتبنى Bird نهجًا موحدًا لإدارة الثغرات والرقع لضمان الحفاظ على الخطوط الزمنية القياسية لاتفاقيات مستوى الخدمة لدينا سواء وجدت الثغرات في بنيتنا التحتية الأساسية، المنصات التشغيلية، أو كود المصدر.
تدابير لأمن التطبيقات: نضمن أمان تطبيقاتنا خلال مرحلة التصميم والتطوير استنادًا إلى إرشادات الكود الآمن الخاص بـ Bird.
يتم تنفيذ التصحيحات المناسبة قبل الإصدار.
يتم مراجعة تغييرات الكود من قبل أفراد مهرة (الذين هم على دراية بمراجعة الكود والتطوير الآمن) غير المطورين الأصليين.
ستخضع التطبيقات لاختبار أمان التطبيقات الشديد لتحديد أي تهديدات ونقاط ضعف جديدة على الأقل سنويًا (وفقًا للمعايير الصناعية وأفضل الممارسات).
يتم مراجعة جميع تغييرات الأكواد للتطبيقات التي يتم دفعها إلى بيئات الإنتاج باستخدام العمليات اليدوية و/أو الآلية.
يتم تنفيذ اختبارات الاختراق سنويًا وعلى أساس كل حالة على المنتجات/الميزات الجديدة. يتم استخدام أدوات تحليل كود المصدر التلقائية لاكتشاف العيوب الأمنية في الكود قبل النشر، بناءً على اللغة.
تدابير للكشف عن الثغرات: نحن نقدر الباحثين في الأمان الذين وجدوا ثغرات على منصتنا للاتصال بنا وإرسال استنتاجاتهم إلى security@bird.com. لدينا فريق أمان مخصص يتابع ويرسل دعوات إلى برنامجنا لمكافأة البحث للكشف والتحقيق وإصلاحها عند الضرورة.
تدابير لضمان المساءلة: نحن ننفذ سياسات حماية المعلومات وحماية البيانات وفقًا للقوانين المعمول بها وننشر نظرة عامة على معلومات ISMS الخاصة بنا ذات الصلة في وثائق Bird. لقد قمنا بتعيين نائب رئيس مخصص للامتثال وأمن المعلومات ومسؤول حماية البيانات، ونحافظ على وثائق أنشطتنا المعالجة، بما في ذلك تسجيل وإبلاغ الحوادث الأمنية التي تنطوي على البيانات الشخصية عند الاقتضاء.
