تعتبر هذه الاتفاقية لمعالجة البيانات بما في ذلك الملاحق ("DPA") جزءًا من الاتفاق بين العميل والكيان المتعاقد المذكور في القسم 15 (الكيان المتعاقد) من الشروط والأحكام العامة، ما لم يُذكر خلاف ذلك في نموذج الطلب الخاص بك. في هذه الاتفاقية، تشير المصطلحات "أنت"، "خاصتك"، أو "العميل" إليك (خاضعًا للقسم 1.2 أدناه)، وتُشير المصطلحات "نحن"، "نحن،" "خاصتنا" أو "MessageBird" إلينا.
1. النطاق، الشركات التابعة للعميل ومدة الاتفاقية
1.1 النطاق. تنظم هذه الاتفاقية (DPA) معالجة بيانات العملاء الشخصية من قبل MessageBird كمعالج.
1.2 الشركات التابعة للعميل. يدخل العميل في هذه الاتفاقية (DPA) نيابة عن نفسه، وإلى الحد الذي يتطلبه تشريع حماية البيانات، باسم وأصالة عن الشركات التابعة له (كما هو معرف في الشروط)، إذا قمت ولدى الحدود التي توفر فيها مثل هذه الشركات التابعة إمكانية الوصول إلى الخدمات ونقوم بمعالجة بيانات العميل الشخصية التي تؤهل مثل هذه الشركات التابعة كجهة تحكم البيانات (“الشركات التابعة للعميل”). لأغراض هذه الاتفاقية (DPA) فقط، واستثناءً مما هو مذكور خلاف ذلك، فإن المصطلحات “العميل” و“أنت” تشمل العميل والشركات التابعة.
1.3 المدة. ستظل هذه الاتفاقية (DPA) سارية طالما تواصل MessageBird معالجة بيانات العملاء الشخصية الخاضعة لهذه الاتفاقية (DPA)، بغض النظر عن انتهاء أو إنهاء الاتفاقية.
2. التعريفات
تُستخدم المصطلحات المكتوبة بأحرف كبيرة ولكن غير المحددة في هذا الاتفاق يجب أن تأخذ المعنى المعطى لها في الاتفاقية. يتم استخدام المصطلحات المحددة التالية في هذا الاتفاق:
2.1 "CCPA" تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018 وأي لوائح صادرة بموجبه، في كل حالة، كما تم تعديلها من وقت لآخر.
2.2 "بيانات العميل" تعني أي بيانات ومعلومات أخرى أو محتوى تقدمه أنت أو نيابة عنك (أو من قبل مستخدم تطبيق العميل الخاص بك) بموجب الاتفاقية والمعالجة أو التخزين بواسطة الخدمات.
2.3 "البيانات الشخصية للعميل" تعني البيانات الشخصية المحتواة في بيانات العميل. بيانات الحساب ليست بيانات شخصية للعميل. بيانات الحساب هي أي بيانات مقدمة بواسطة أو نيابة عنك إلى MessageBird فيما يتعلق بالدخول إلى الاتفاقية وإدارتها وحسابك، بما في ذلك على سبيل المثال لا الحصر معلومات الاتصال وتفاصيل فواتير العميل والمراسلات المتعلقة بالدخول إلى الاتفاقية وإدارتها.
2.4 "تشريعات حماية البيانات" تعني جميع القوانين واللوائح في أي ولاية قضائية سارية على السرية والخصوصية والأمان أو معالجة البيانات الشخصية بموجب الاتفاقية، بما في ذلك، عند الاقتضاء، اللائحة العامة لحماية البيانات، وCCPA وجميع القوانين واللوائح الأخرى المتعلقة بالخصوصية أو التسويق المباشر أو حماية البيانات.
2.5 "EEA" تعني، لأغراض هذا الاتفاق، المنطقة الاقتصادية الأوروبية وسويسرا.
2.6 "بنود التعاقد القياسية من مُتحكم إلى مُعالِج EU" تعني وحدات "متحكم إلى مُعالِج" (الوحدة 2) من بنود التعاقد القياسية لنقل البيانات الشخصية إلى الدول الثالثة وفقًا للائحة العامة لحماية البيانات وقرار التنفيذ من المفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
2.7 "بنود التعاقد القياسية من مُعالِج إلى مُعالِج فرعي في EU" تعني وحدات "مُعالِج إلى مُعالِج" (الوحدة 3) من بنود التعاقد القياسية لنقل البيانات الشخصية إلى الدول الثالثة وفقًا للائحة العامة لحماية البيانات وقرار التنفيذ من المفوضية الأوروبية (EU) 2021/914 بتاريخ 4 يونيو 2021.
2.8 "GDPR" تعني إما (i) اللائحة 2016/679 للبرلمان الأوروبي والمجلس بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحركة هذه البيانات بحرية (اللائحة العامة لحماية البيانات)؛ أو (ii) فقط فيما يتعلق بالمملكة المتحدة، قانون حماية البيانات 2018.
2.9 "LGPD" تعني قانون حماية البيانات العامة لعام 2018 وأي لوائح صدرت بموجبه، في كل حالة، كما تم تعديلها من وقت لآخر.
2.10 "البيانات الشخصية" تعني أي معلومات تتعلق بشخص طبيعي معروف أو قابل للتعرف عليه بشكل مباشر أو غير مباشر.
2.11 "PDPA" تعني قانون حماية البيانات الشخصية لعام 2012 وأي لوائح صدرت بموجبه، في كل حالة، كما تم تعديلها من وقت لآخر.
2.12 "بيان الخصوصية" تعني بيان الخصوصية الحالي للخدمات، كما هو موضح في بيان خصوصية الطائر.
2.13 "خرق البيانات الشخصية" تعني أي تدمير أو فقد أو تغيير أو كشف عن بيانات العميل الشخصية بشكل عرضي أو غير مصرح به أو غير قانوني.
2.14 "الخدمات" تعني جميع المنتجات والخدمات المقدمة من قبلنا أو من قبل الشركات التابعة لنا والتي (أ) تم طلبها بواسطةكم بموجب أي نموذج طلب؛ أو (ب) مستخدمة من قبلكم.
2.15 "بنود التعاقد القياسية" تعني إما (i) بنود التعاقد القياسية من مُتحكم إلى مُعالِج في EU؛ أو (ii) بنود التعاقد القياسية من مُعالِج إلى مُعالِج فرعي في EU، سواء بشكل فردي أو جماعي، حسب الاقتضاء.
2.16 "المُعالِج الفرعي" تعني الكيان الذي يعالج البيانات الشخصية للعميل نيابة عن كيان يعمل كمُعالِج للبيانات أو مُعالِج فرعي.
2.17 "بنود التعاقد القياسية من مُتحكم إلى مُعالِج في المملكة المتحدة" تعني بنود التعاقد القياسية لنقل البيانات الشخصية إلى المُعالِجين الموجودين في الدول الثالثة بالشكل المحدد من قبل قرار المفوضية الأوروبية 2010/87/EU، كما قد يتم تعديلها أو تغييرها أو إلغاؤها من قبل المفوضية الأوروبية.
المصطلحات مثل "المعالجة" و"الجهة المتحكمة في البيانات" و"معالج البيانات" و"موضوع البيانات"، إلخ. سوف تكون لديها المعاني المعطاة لها بموجب اللائحة العامة لحماية البيانات. تعريف "الجهة المتحكمة في البيانات" يشمل "الأعمال" و"الجهة المتحكمة" و"المنظمة"؛ "معالج البيانات" يشمل "موفر الخدمة" و"المعالج" و"الوسيط البيانات"؛ "موضوع البيانات" يشمل "المستهلك" و"الفرد"؛ و"البيانات الشخصية" تشمل "المعلومات الشخصية"، في كل حالة كما تم تعريفها بموجب CCPA وLGPD أو PDPA.
3. معالجة البيانات الشخصية للعملاء
3.1 الأغراض. سنقوم بمعالجة بيانات العملاء الشخصية فقط بالقدر اللازم (i) لتقديم الخدمات، بما في ذلك نقل الاتصالات، وضمان أمان الخدمات، وتقديم التقارير الفنية والتسليم، وتقديم الدعم، وتطوير وتنفيذ التحسينات والتحديثات وفقًا لتعليماتك الموثقة لنا كمعالج بيانات كما هو مذكور في القسم 3.2 من هذه الاتفاقية، و(ii) لأغراضنا التجارية المشروعة كما هو محدد في القسم 3.4 من هذه الاتفاقية كجهة تحكم بيانات. نحن لا نبيع أي بيانات شخصية، بما في ذلك بيانات العملاء الشخصية، ولا نشارك البيانات الشخصية مع أطراف ثالثة مقابل تعويض أو لمصالح تلك الأطراف التجارية الخاصة.
3.2 التعليمات. تشكل الاتفاقية وهذه الاتفاقية الخاصة بك تعليماتك الكاملة لنا كمعالج بيانات في وقت توقيع هذه الاتفاقية. سنمتثل للتعليمات الأخرى الموثقة بطريقة معقولة شريطة أن تكون تلك التعليمات متوافقة مع شروط الاتفاقية.
3.3 تفاصيل المعالجة. الملحق I، الجزء B. (وصف النقل) من هذه الاتفاقية يحدد بشكل أكبر طبيعة الغرض من المعالجة، وأنشطة المعالجة، ومدة المعالجة، وأنواع البيانات الشخصية وفئات موضوعات البيانات من قبلنا كمعالج بيانات أو معالج بيانات فرعي.
3.4 الأغراض التجارية المشروعة. أنت تقر أننا نعالج بيانات العملاء الشخصية كجهة تحكم بيانات مستقلة بالقدر اللازم للأغراض التجارية المشروعة التالية: الفواتير، إدارة الحسابات، التقارير المالية والداخلية، مكافحة ومنع التهديدات الأمنية، والهجمات الإلكترونية، والجرائم الإلكترونية التي قد تؤثر علينا أو على خدماتنا، نمذجة الأعمال (مثل التنبؤ، تخطيط السعة والإيرادات، استراتيجية المنتجات)، الاحتيال، ومنع واكتشاف البريد المزعج، وتحسين المنتجات، والامتثال لالتزاماتنا القانونية.
4. التزامات العميل
4.1 الشرعية. حيث أنك تعمل كجهة تحكم بيانات العميل الشخصية، تضمن أن جميع أنشطة المعالجة قانونية، ولها غرض محدد، وأي إشعارات أو موافقات مطلوبة أو أي أساس قانوني مناسب في مكانه لتمكين النقل القانوني لبيانات العميل الشخصية. إذا كنت معالج بيانات (في هذه الحالة، سنعمل كمعالج فرعي)، ستضمن أن الجهة المعنية تضمن أن الشروط المدرجة في هذا القسم 4.1 قد تم الوفاء بها.
4.2 الامتثال. أنت المسؤول الوحيد عن (أ) ضمان امتثالك لقوانين حماية البيانات المعمول بها لاستخدامك للخدمات ولحصرك الخاص للبيانات الشخصية للعملاء، (ب) إجراء تقييم مستقل حول ما إذا كانت التدابير التقنية والتنظيمية للخدمات تلبي متطلباتك، و(ج) تنفيذ وصيانة تدابير الخصوصية والأمان للمكونات التي تقدمها أو تتحكم فيها (بما في ذلك على سبيل المثال لا الحصر، كلمات المرور، والأجهزة المستخدمة مع الخدمات وطلبات العملاء).
5. الأمان
5.1 إجراءات الأمن. مع مراعاة أحدث التقنيات وتكاليف التنفيذ وطبيعة ومدى وسياق وأغراض المعالجة بالإضافة إلى مخاطر احتمالية وشدة حقوق وحريات الأشخاص الطبيعيين، سنقوم بتنفيذ وصيانة تدابير أمنية تقنية وتنظيمية مناسبة لحماية بيانات العملاء الشخصية من انتهاكات البيانات الشخصية وللحفاظ على الأمن وسلامة وتوافر ومرونة وسرية بيانات العملاء التي تستخدمها أنظمتنا في معالجة بيانات العملاء. يتم وصف إجراءات الأمان التي نطبقها في الملحق الثاني.
5.2 التحديثات على إجراءات الأمن. أنت مسؤول عن مراجعة المعلومات المتاحة لدينا المتعلقة بأمان بيانات العملاء الشخصية واتخاذ قرار مستقل بشأن ما إذا كانت تلك المعلومات تلبي متطلباتك والتزاماتك القانونية بموجب تشريعات حماية البيانات. أنت تعترف بأن تدابير الأمن تخضع للتقدم والتطوير التقني، وأننا قد نقوم بتحديث أو تعديل تدابير الأمن الخاصة بنا من وقت لآخر، شريطة أن لا تؤدي هذه التحديثات والتعديلات إلى تدهور الأمن العام لبيانات العملاء الشخصية.
5.3 تحكم الوصول. نحن نطبق مبادئ
6. المساعدة
6.1 مساعدة في حماية البيانات. سنقوم بتقديم المساعدة التي تطلبها بشكل معقول من أجل السماح لك بالامتثال لالتزاماتك بموجب تشريعات حماية البيانات، بما في ذلك الإبلاغ عن خرق بيانات شخصية، وتقييم مستوى الأمان المناسب للمعالجة، ومساعدتك في أداء تقييم تأثير حماية البيانات ذي الصلة.
6.2 المساعدة في طلبات موضوع البيانات. سنقوم بتقديم المساعدة المعقولة لك من أجل السماح لك بالامتثال لالتزاماتك تجاه موضوعات البيانات الذين يمارسون حقوقهم بموجب تشريعات حماية البيانات من خلال توفير تدابير تقنية وتنظيمية عبر حسابك. ولتجنب الشك، أنت كجهة تحكم البيانات مسؤول عن معالجة أي طلب أو شكوى من موضوعات البيانات فيما يتعلق ببيانات العميل الشخصية لموضوع البيانات.
7. الإفصاح وطلبات الإفصاح
7.1 القيود على الكشف والوصول. لن نقدم حق الوصول إلى أو نكشف عن بيانات العملاء الشخصية إلا (أ) كما هو موجه من قبلك، (ب) كما هو موضح في الاتفاقية وهذه الاتفاقية للبيانات، أو (ج) كما هو مطلوب بموجب القانون.
7.2 طلبات الكشف. سنقوم بإعلامك في أقرب وقت ممكن إذا تلقينا طلبًا من جهة حكومية أو تنظيمية لكشف بيانات العملاء الشخصية، ما لم يكن هذا الإشعار محظورًا بموجب القانون. سنتعامل مع طلبات الكشف وفقًا لسياسة طلبات الكشف الخاصة بنا.
8. المعالجات الفرعية
8.1 المعالجون الفرعيون الحاليون. توافق على انخراط المعالجين الفرعيين المدlistedين تحت عنوان "بيانات المستخدم الشخصية النهائية" في قائمة المعالجين الفرعيين لبيرد، والتي تحتوي أيضًا على إجراء لك للاشتراك في إشعارات التغييرات في استخدامنا للمعالجين الفرعيين. إذا قمت بالاشتراك في مثل هذه الإشعارات، وآخذًا في الاعتبار القسم 8.3 من هذا الاتفاق، سنشارك تفاصيل أي تغييرات في المعالجين الفرعيين في أقرب وقت ممكن بشكل معقول.
8.2 استخدام المعالجين الفرعيين. بموجب هذا الاتفاق، توفر لنا تفويضًا مكتوبًا عامًا للانخراط مع المعالجين الفرعيين لمعالجة بيانات العملاء الشخصية، رهناً بالقسم 8.3 من هذا الاتفاق والمتطلبات التالية:
a. سنقوم بتقييد الوصول إلى بيانات العملاء الشخصية بواسطة المعالجين الفرعيين فيما هو ضروري بشكل صارم لتقديم الخدمات المحددة في اتفاقية المعالج الفرعي؛
b. سنوافق على التزامات حماية البيانات مع المعالج الفرعي التي تكون بشكل كبير مشابهة للالتزامات بموجب هذا الاتفاق؛ و
c. سنبقى مسؤولين تجاهك بموجب هذا الاتفاق عن أداء التزامات حماية البيانات لدى المعالج الفرعي.
8.3 إشعار بالتغييرات على المعالجين الفرعيين وحق الاعتراض. قبل استبدال أو الانخراط مع معالجين فرعيين جدد ("تغيير المعالج الفرعي"), سنمنحك الخيار للاعتراض على تغيير المعالج الفرعي.
يمكنك الاعتراض على تغيير المعالج الفرعي بشرط أن (ط) يتم تقديم الاعتراض كتابيًا خلال عشرة (10) أيام عمل من إشعارنا بتغيير المعالج الفرعي و (ii) يستند الاعتراض إلى ويشرح بوضوح الأسس المعقولة المتعلقة بحماية بيانات العملاء الشخصية. عندما تعترض على تغيير معالج فرعي مقترح، سنعمل معك بحسن نية لإجراء تغيير تجاري معقول في تقديم الخدمات يتجنب استخدام المعالج الفرعي المعني. إذا لم يمكن إجراء مثل هذا التغيير بشكل معقول خلال ثلاثين (30) يومًا عمل من استلامنا لإشعار الاعتراض الخاص بك، أو إذا كان التغيير غير معقول تجاريًا بالنسبة لنا، يجوز لأي طرف إنهاء الميزات المعنية من الخدمات التي لا يمكن تقديمها بدون استخدام المعالج الفرعي المعني. هذا الحق في إنهاء هو remedy الوحيد والحصري لك إذا اعترضت على تغيير المعالج الفرعي.
9. تحويلات البيانات الشخصية للعملاء عبر الحدود
9.1 نقل بيانات العملاء الشخصية. قد نقوم بنقل بيانات العملاء الشخصية بشرط أن تكون جميع الضمانات المناسبة المطلوبة بموجب تشريعات حماية البيانات سارية. قد يتضمن ذلك تقييم تأثير نقل البيانات مسبقًا، واعتماد ومراقبة وتقييم التدابير الفنية والتنظيمية والقانونية الإضافية، وحقوق قابلة للتنفيذ للأشخاص المعنيين، وأن تكون الحلول القانونية الفعالة متاحة للأشخاص المعنيين.
9.2 بنود التعاقد القياسية للمعالجين الفرعيين. ما لم يكن هناك قرار بملاءمة أو آلية نقل بديلة سارية، فقد دخلنا في بنود التعاقد القياسية مع المعالجين الفرعيين (بما في ذلك الشركات التابعة لنا) الواقعة خارج المنطقة الاقتصادية الأوروبية، وذلك وفقًا للشروط المنصوص عليها في القسم 9.1 من هذه الاتفاقية.
9.3 آليات النقل لنقل بيانات العملاء الشخصية. بقدر ما تتطلب استخدامك للخدمات آلية نقل بيانات عبر الحدود لتصدير بيانات العملاء الشخصية بشكل قانوني من ولاية قضائية (مثل: المنطقة الاقتصادية الأوروبية، كاليفورنيا، سنغافورة، سويسرا، أو المملكة المتحدة) إلينا الموجودة خارج تلك الولاية القضائية، ينطبق هذا القسم. إذا تم نقل بيانات العملاء الشخصية التي تخضع للائحة العامة لحماية البيانات أو أي قانون آخر يتعلق بحماية أو خصوصية الأفراد والذي ينطبق على هذه الاتفاقية إلى MessageBird الموجودة في دول لا تؤمن مستوىً كافيًا من حماية البيانات بمعنى تشريعات حماية البيانات، فإن آليات النقل المدرجة أدناه ستنطبق على مثل هذه النقلات ويمكن تنفيذها مباشرة من قبل الأطراف بقدر ما تكون هذه النقلات خاضعة لتشريعات حماية البيانات:
9.3.1 تتفق الأطراف على أن بنود التعاقد القياسية ستنطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المنطقة الاقتصادية الأوروبية أو سويسرا، سواء بشكل مباشر أو عن طريق النقل المستمر، إلى كيان MessageBird الموجود في دولة خارج المنطقة الاقتصادية الأوروبية أو سويسرا والتي لا تت recognized من قبل المفوضية الأوروبية (أو، في حالة النقل من سويسرا، السلطة المختصة في سويسرا) باعتبارها توفر مستوى كافٍ من الحماية للبيانات الشخصية.
9.3.1.1 عندما تعمل كمسؤول بيانات وMessageBird كمعالج بيانات، ستطبق بنود التعاقد القياسية الخاصة بالجهات المسؤولة إلى المعالج على أي نقل من بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية. عندما تعمل كمعالج بيانات وMessageBird كمعالج فرعي، ستطبق بنود التعاقد القياسية الخاصة بالمعالج إلى المعالج الفرعي على أي نقل من بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.2 سيتم اعتبار MessageBird المستورد للبيانات وستعتبر أنت المصدر للبيانات بموجب بنود التعاقد القياسية. توقيع كل طرف على هذه الاتفاقية، سيتم اعتباره توقيعًا على بنود التعاقد القياسية السارية، التي سيتم اعتبارها مدمجة في هذه الاتفاقية. المعلومات المطلوبة بموجب الملحق 1 والملحق 2 لبنود التعاقد القياسية متاحة في الملحق I والملحق II لهذه الاتفاقية. في حالة وجود أي تعارض أو تناقض بين هذه الاتفاقية وبنود التعاقد القياسية، ستظل بنود التعاقد القياسية تسود فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المنطقة الاقتصادية الأوروبية.
9.3.1.3 حيث تتطلب بنود التعاقد القياسية من الأطراف الاختيار بين البنود الاختيارية وإدخال المعلومات، فقد قامت الأطراف بذلك كما هو موضح أدناه:
لن يتم اعتماد البند الاختياري 7 "بند الربط".
بالنسبة للبند 9 "استخدام المعالجين الفرعيين"، تختار الأطراف الخيار التالي: "الخيار 2 التفويض الكتابي العام: المستورد للبيانات لديه التفويض العام للمسؤول عن الاشتراك مع المعالجين الفرعيين من قائمة متفق عليها. يجب على المستورد للبيانات أن يقوم بإخطار المسؤول كتابيًا بأي تغييرات مقصودة في تلك القائمة من خلال إضافة أو استبدال المعالجين الفرعيين قبل 10 أيام عمل، مما يمنح المسؤول وقتًا كافيًا للاعتراض على هذه التغييرات قبل التعاقد مع المعالجين الفرعيين. يجب على المستورد للبيانات تزويد المُصدِّر للمعلومات اللازمة لتمكين المُصدِّر من ممارسة حقه في الاعتراض. يجب على المستورد للبيانات إخطار المُصدِّر بشأن اشتراك المعالجين الفرعيين."
بالنسبة للبند 11 (أ) "التعويض"، لم تعتمد الأطراف الخيار.
بالنسبة للبند 17 "القانون الحاكم"، تختار الأطراف الخيار التالي: "الخيار 1. يجب أن تكون هذه البنود خاضعة لقانون أحد دول الاتحاد الأوروبي، شريطة أن يسمح هذا القانون بحقوق المستفيد الثالث. تتفق الأطراف على أن يكون هذا هو قانون هولندا."
بالنسبة للبند 18 (ب) "اختيار المنتدى والاختصاص": "تتفق الأطراف على أن تكون المحاكم هي محاكم هولندا."
9.3.2 تتفق الأطراف على أن بنود التعاقد القياسية من المملكة المتحدة ستنطبق على بيانات العملاء الشخصية التي يتم نقلها عبر الخدمات من المملكة المتحدة، سواء بشكل مباشر أو عن طريق نقل مستمر، إلى كيان MessageBird الموجود في دولة خارج المملكة المتحدة والتي لا تُعترف بها السلطة التنظيمية البريطانية المختصة أو الهيئة الحكومية للمملكة المتحدة باعتبارها توفر مستوى كافٍ من الحماية للبيانات الشخصية.
9.3.2.1 سيتم اعتبار MessageBird المستورد للبيانات وستعتبر أنت المصدر للبيانات بموجب بنود التعاقد القياسية من المملكة المتحدة. سيتم اعتبار توقيع كل طرف على هذه الاتفاقية بمثابة توقيع على بنود التعاقد القياسية من المملكة المتحدة، التي سيتم اعتبارها مدمجة في هذه الاتفاقية. المعلومات المطلوبة بموجب الملحق 1 والملحق 2 لبنود التعاقد القياسية من المملكة المتحدة متاحة في الملحق I والملحق II لهذه الاتفاقية. في حالة وجود أي تعارض أو تناقض بين هذه الاتفاقية وبنود التعاقد القياسية من المملكة المتحدة، فإن بنود التعاقد القياسية من المملكة المتحدة ستسود فقط فيما يتعلق بنقل بيانات العملاء الشخصية من المملكة المتحدة.
10. المراجعة
10.1 تقرير التدقيق. سيتم تدقيق منصة الاتصال الخاصة بنا بانتظام وفقًا لمعيار ISO 27001:2013 (أو ما يعادله). قد يكون التدقيق، حسب تقديرنا الخاص، تدقيقًا داخليًا، أو تدقيقًا يتم بواسطة جهة خارجية. بناءً على طلب مكتوب، سنوفر لك ملخصًا لتقرير التدقيق (“تقرير التدقيق”)، حتى تتمكن من التحقق من التزامنا بمعايير التدقيق وهذا الاتفاق. تعتبر تقارير التدقيق هذه، بالإضافة إلى أي استنتاجات أو نتائج محددة فيها، من معلوماتنا السرية.
10.2 طلبات معلومات العملاء. سنوفر لك كل المعلومات الضرورية بشكل معقول لإثبات الامتثال بالالتزامات المنصوص عليها في هذا الاتفاق. سنقدم ردودًا مكتوبة على الطلبات المعقولة للمعلومات المقدمة من قبلك، بما في ذلك الردود على استبيانات أمان المعلومات والتدقيق التي تكون معقولة من حيث النطاق وضرورية لتأكيد الامتثال لهذا الاتفاق، بشرط أن (i) تكون قد بذلت أولاً جهدًا معقولًا للحصول على المعلومات المطلوبة من الوثائق، وتقارير التدقيق وغيرها من المعلومات المقدمة أو المعروضة علنًا من قبلنا، و (ii) لن تمارس هذا الحق أكثر من مرة واحدة في السنة، ما لم يتطلب حدوث خرق للبيانات الشخصية أو تغيير كبير في أنشطتنا المعالجة المتعلقة بالخدمات تنفيذ استبيان إضافي. جميع الردود المقدمة هي معلوماتنا السرية.
10.3 تدقيق العملاء. إذا كان تقرير التدقيق المقدم من قبلنا لك يمنحك أسبابًا موثوقة للاعتقاد بأننا مخالفون لالتزاماتنا بموجب هذا الاتفاق، المتعلقة بالبيانات الشخصية للعملاء التي قدمتها، سنسمح لمُدقق مستقل ومؤهل، يتم تعيينه من قبلك وموافق عليه من قبلنا، بتدقيق أنشطة المعالجة المتعلقة بالبيانات الشخصية القابلة للتطبيق، بشرط أن يتم استيفاء المتطلبات التالية:
a. يجب أن تعطينا إشعارًا مسبقًا معقولًا لمدة ستين (60) يومًا على الأقل قبل ممارسة الحق في التدقيق;
b. يوافق المدقق على الالتزامات القياسية للسرية معنا;
c. تتخذ أنت والمدقق تدابير لتقليل الاضطرابات لعملياتنا التجارية;
d. سيتم إجراء التدقيق خلال ساعات العمل العادية;
e. لن نكون ملزمين بتوفير الوصول إلى بيانات العملاء الخاصة بعملاء آخرين أو أنظمة غير متعلقة بتقديم الخدمات؛ و
f. يجب عليك دفع جميع تكاليف التدقيق.
11. حذف وإرجاع بيانات العميل الشخصية
عند إنهاء أو انتهاء الاتفاقية، سنقوم (باختيارك) بحذف أو إعادة جميع بيانات العملاء الشخصية (بما في ذلك النسخ) التي بحوزتنا أو تحت سيطرتنا، مع العلم أن هذا المتطلب لن ينطبق إلى الحد الذي يُطلب منا بموجب القانون الاحتفاظ ببعض أو كل بيانات العملاء الشخصية. إذا قمت بتوجيهنا لحذف بيانات العميل الشخصية، ستُحمى بيانات العميل الشخصية الم archived على أنظمة النسخ الاحتياطي لدينا من المعالجة الإضافية، وسيتم حذفها عند انتهاء فترة الاحتفاظ المطلوبة.
12. التواصل وحقوق الشركاء العملاء
إن الدخول في هذا الاتفاق بخصوص البيانات الشخصية نيابة عن وبدلاً من أحد العملاء الفرعيين وفقًا لما هو موضح في القسم 1.2 يُشكل اتفاقًا منفصلًا بشأن البيانات بيننا وبين ذلك العميل الفرعي، مع مراعاة ما يلي:
12.1. التواصل. يظل العميل الذي هو الطرف المتعاقد مع الاتفاق مسؤولاً عن تنسيق جميع الاتصالات معنا بموجب هذا الاتفاق ويكون له الحق في إجراء واستلام أي اتصالات تتعلق بهذا الاتفاق نيابةً عن عملائه الفرعيين.
12.2 حقوق العملاء الفرعيين. عندما يصبح أحد العملاء الفرعيين طرفًا في الاتفاق الخاص بالبيانات معنا، فإن له الحق، بقدر ما يتطلبه ذلك بموجب تشريعات حماية البيانات، في ممارسة الحقوق وطلب التعويضات بموجب هذا الاتفاق، مع مراعاة ما يلي:
(i) ما لم تتطلب تشريعات حماية البيانات من العميل الفرعي ممارسة حق أو طلب تعويض بموجب هذا الاتفاق ضد MessageBird مباشرةً بنفسه، يتفق الطرفان على أن (i) فقط العميل الذي هو الطرف المتعاقد مع الاتفاق يجب أن يمارس أي حق من هذا القبيل أو يطلب أي تعويض من هذا القبيل نيابةً عن العميل الفرعي، و (ii) يجب على العميل الذي هو الطرف المتعاقد مع الاتفاق ممارسة أي حقوق بموجب هذا الاتفاق ليس بشكل منفصل لكل عميل فرعي على حدة ولكن بطريقة مجمعة لنفسه ولجميع عملائه الفرعيين معًا.
(ii) يتفق الطرفان على أن العميل الذي هو الطرف المتعاقد مع الاتفاق يجب، عندما يتم إجراء تدقيق على الموقع لإجراءات حماية البيانات الشخصية للعملاء يتم تنفيذه نيابة عنه كما هو موضح في القسم 10.3 من هذا الاتفاق، أن يتخذ جميع التدابير المعقولة لتقليل أي تأثير علينا من خلال دمج، إلى الحد الذي يمكن تحقيقه بشكل معقول، عدة طلبات تدقيق يتم تنفيذها نيابة عنه ولجميع عملائه الفرعيين في تدقيق واحد.
للتوضيح، فإن العميل الفرعي لا يصبح طرفًا متعاقدًا في الاتفاق.
13. قانون خصوصية المستهلك في كاليفورنيا
نحن نقدم الالتزامات الإضافية التالية لك فيما يتعلق بمعالجة بيانات العميل الشخصية ضمن نطاق CCPA.
13.1 التزاماتنا. سوف نمتثل لـ CCPA ونعامل جميع بيانات العميل الشخصية الخاضعة لـ CCPA (“بيانات CCPA الشخصية”) وفقًا لأحكام CCPA. فيما يتعلق ببيانات CCPA الشخصية، نحن مزود خدمة بموجب CCPA. لن نقوم (أ) ببيع بيانات CCPA الشخصية؛ (ب) بالاحتفاظ أو الاستخدام أو الكشف عن أي بيانات CCPA الشخصية لأي غرض آخر غير الغرض المحدد لتقديم الخدمات، بما في ذلك الاحتفاظ أو الاستخدام أو الكشف عن بيانات CCPA الشخصية لأغراض تجارية مختلفة عن تقديم الخدمات؛ أو (ج) الاحتفاظ أو الاستخدام أو الكشف عن بيانات CCPA الشخصية خارج علاقتنا التجارية المباشرة معك. تعتبر معالجة بيانات CCPA الشخصية المصرح بها بموجب تعليماتك في الشروط وهذا DPA جزءًا أساسيًا من تقديمنا للخدمات. أنت تقر وتوافق على أن وصولنا إلى بيانات العميل لا يشكل جزءًا من الاعتبار المتبادل المتفق عليه بموجب الاتفاقية. بالقدر الذي تعتبر فيه أي بيانات استخدام بيانات CCPA الشخصية، نحن العمل التجاري فيما يتعلق بهذه البيانات وسنقوم بمعالجتها وفقًا لبيان الخصوصية الخاص بنا. المصطلحات
14. القانون الحاكم وحل النزاعات
البند 13 من الشروط ينطبق على أي نزاعات تنشأ عن هذا DPA أو تتعلق به، ما لم يتطلب غير ذلك بموجب تشريعات حماية البيانات.
الملحق الأول - تفاصيل المعالجة
عند الاقتضاء، ستخدم هذه الجدول 1 كملحق I لبنود العقد القياسية في المنطقة الاقتصادية الأوروبية.
الملحق I، الجزء أ. قائمة الأطراف
مُصدّر البيانات: العميل
تفاصيل الاتصال بمُصدّر البيانات: العنوان المذكور في حساب العميل، أو عنوان البريد الإلكتروني لمالك حساب العميل، أو إلى عنوان البريد الإلكتروني الذي يختاره العميل لتلقي الإشعارات بموجب الاتفاق.
دور مُصدّر البيانات: يُحدد دور مُصدّر البيانات في القسم 4 من دPA.
التوقيع والتاريخ: إذا كان ذلك مناسباً، يعتبر مُصدّر البيانات قد وقع بنود العقد القياسية المضمنة هنا اعتباراً من تاريخ سريان العقد.
مُستورد البيانات: MessageBird B.V.
تفاصيل الاتصال بمُستورد البيانات: Trompenburgstraat 2-C, 1079TX, أمستردام، هولندا، ضابط حماية البيانات - privacy@bird.com
دور مُستورد البيانات: يُعتبر مُستورد البيانات معالج البيانات.
التوقيع والتاريخ: إذا كان ذلك ملائماً، يُعتبر مُستورد البيانات قد وقع بنود العقد القياسية المضمنة هنا اعتباراً من تاريخ سريان العقد.
الملحق I، الجزء ب. وصف النقل
1. فئات الأشخاص المعنيين الذين يتم نقل بياناتهم الشخصية: المستخدمون. الأشخاص الذين يتواصل معهم العميل (أشخاص طبيعيون) أو الموظفون أو المتعاقدون أو العمال المؤقتون (الحاليون أو المحتملون أو السابقون) الذين يستخدمون الخدمات من خلال حساب العميل (“المستخدمون”)؛المستخدمون النهائيون. أي فرد (i) تتضمن تفاصيل الاتصال الخاصة به في قائمة اتصالات العميل؛ (ii) يتم تخزين معلوماته على أو جمعها عبر الخدمات، أو (ii) يرسل العميل له اتصالات أو يتفاعل أو يتواصل معه عبر الخدمات (مجموعة، “المستخدمون النهائيون”). أنت كعميل تحدد وحدك فئات الأشخاص المعنيين المضمنة في الاتصالات المرسلة عبر منصتنا للتواصل.
2. فئات بيانات الشخصية المنقولة: بيانات العميل الشخصية المتضمنة في، محتوى الاتصالات، بيانات المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل.محتوى الاتصالات، الذي قد يتضمن بيانات شخصية أو سمات شخصية أخرى، حسب محتوى الاتصالات كما تحدده أنت كعميل.بيانات المرور، التي قد تتضمن بيانات شخصية عن التوجيه، المدة أو توقيت اتصال مثل مكالمة صوتية، SMS أو بريد إلكتروني، سواء كانت تتعلق بفرد أو شركة.بيانات المستخدم النهائي، مثل رقم الهاتف، عنوان البريد الإلكتروني، الاسم الأول، اسم العائلة، اسم الملف الشخصي، الدولة، معرّف القناة.بيانات استخدام العميل، قد تحتوي على بيانات يمكن ربطها بك كفرد متضمنة في البيانات والإحصائيات المتعلقة بحسابك ونشاطات الخدمة، والأفكار المتعلقة بالخدمة والتقارير التحليلية بشأن الاتصالات المرسلة ودعم العملاء.
3. البيانات الحساسة المنقولة (إذا كان ذلك مناسباً) والقيود أو التدابير الوقائية المطبقة التي تأخذ في الاعتبار طبيعة البيانات والمخاطر المعنية، مثل، على سبيل المثال، القيود الصارمة للأغراض، القيود على الوصول (بما في ذلك الوصول فقط للموظفين الذين حصلوا على تدريب متخصص)، الحفاظ على سجل الوصول إلى البيانات، القيود على النقل اللاحق أو التدابير الأمنية الإضافية.
(أ) محتوى الاتصالات. قد تتم معالجة البيانات الحساسة، من وقت لآخر، عبر الخدمات where you or your End-Users choose to include sensitive data within the communications that are transmitted using the Services. أنت مسؤول عن ضمان وجود ضمانات مناسبة يجب أن تتواجد قبل نقل أو معالجة أي بيانات حساسة عبر الخدمات، وفقاً للقسم 3.2 من الاتفاق.
(ب) بيانات المرور، بيانات المستخدم النهائي، وبيانات استخدام العميل. لا تتضمن بيانات المرور، أو بيانات المستخدم النهائي، أو بيانات استخدام العميل أي بيانات حساسة.
4. تكرار النقل (مثل: هل يتم نقل البيانات على أساس لمرة واحدة أو بشكل مستمر): تُنقل بيانات العميل الشخصية بشكل مستمر طوال مدة الاتفاق.
5. طبيعة المعالجة: سنقوم بمعالجة بيانات العميل الشخصية بالقدر اللازم لتوفير الخدمات بموجب الاتفاق. نحن لا نبيع أي بيانات شخصية، بما في ذلك بيانات العميل الشخصية، ولا نشارك البيانات الشخصية مع أطراف ثالثة مقابل مكافأة أو لمصالح هؤلاء الأطراف التجارية الخاصة بهم.
6. الغرض (الأغراض) من النقل ومعالجة البيانات الإضافية: سنقوم بمعالجة بيانات العميل الشخصية كمعالج بيانات وفقاً لتعليمات العميل كما هو محدد في هذا DPA، ما لم تكن المعالجة ضرورية للامتثال لالتزام قانوني نحن ملزمون به، وفي هذه الحالة سنصنف كجهة تحكم البيانات.
محتوى الاتصالات، بيانات المرور, بيانات المستخدم النهائي، وبيانات استخدام العميل. ستخضع البيانات الشخصية المتضمنة في محتوى الاتصالات، وبيانات المرور، وبيانات المستخدم النهائي، وبيانات استخدام العميل للأنشطة الأساسية التالية:
(أ) محتوى الاتصالات. تقديم منتجات وخدمات الاتصالات القابلة للبرمجة، المقدمة في شكل واجهات برمجة التطبيقات (APIs) أو عبر لوحة التحكم، للعميل، بما في ذلك النقل إلى أو من تطبيق البرمجيات الخاص بالعميل من أو إلى منصة التواصل الخاصة بنا، وشبكات الاتصالات الأخرى.
(ب) بيانات المرور. تتم معالجة بيانات المرور لغرض نقل الاتصالات على شبكة الاتصالات الإلكترونية أو للفوترة بالنسبة لتلك الاتصالات. قد تشمل ذلك بيانات العميل الشخصية حول التوجيه، المدة أو توقيت اتصال مثل مكالمة صوتية، SMS أو بريد إلكتروني، سواء كانت تتعلق بفرد أو شركة.
(ج) بيانات المستخدم النهائي. البيانات الشخصية لمستخدمي نهاية البيانات مطلوبة لأداء الخدمات ولن تتم معالجتها إلا لأغراض نقل الاتصالات، دعم العملاء، وضمان الامتثال للالتزامات القانونية لMessageBird.
(د) بيانات استخدام العميل. ستخضع البيانات الشخصية المتضمنة في بيانات استخدام العميل لأنشطة المعالجة الخاصة بتقديم الخدمات بموجب الاتفاق، بهدف تزويد العميل بأفكار متعلقة بالخدمات وتقارير تحليلية بشأن الاتصالات المرسلة، ودعم العملاء، والتحسين المستمر للخدمات.
7. الفترة التي ستظل خلالها البيانات الشخصية محفوظة، أو، إذا لم يكن ذلك ممكناً، المعايير المستخدمة لتحديد تلك الفترة:
(أ) محتوى الاتصالات وبيانات المرور. بالنسبة لمحتوى العملاء وبيانات المرور المتضمنة في خدمات SMS والصوت، تنطبق فترة احتفاظ مدتها ستة أشهر؛
بالنسبة لخدمات 24sessions، يتم الاحتفاظ بمحتوى العملاء وبيانات المرور لمدة أولية لا تقل عن 30 يوماً حتى المدة المتفق عليها معك؛
بالنسبة لجميع الخدمات الأخرى، يتم الاحتفاظ بمحتوى العملاء وبيانات المرور لمدة الخدمات، باستثناء إذا قمت بحذف محتوى العملاء أو بيانات المرور من خلال التدابير الفنية والتنظيمية المقدمة لك عبر الخدمات.
(ب) بيانات المستخدم النهائي. سيتم معالجة بيانات المستخدم النهائي للمدة التي يحددها العميل، عندما يتم تضمين بيانات المستخدم النهائي في ملفات التعريف الخاصة بك، فإن فترة الاحتفاظ الافتراضية تكون لمدة الخدمات، وفقًا للقسم 6 (ج) من هذا الملحق I، الجزء ب.
(ج) بيانات استخدام العميل. عند إنهاء الاتفاق، قد نحتفظ، نستخدم، ونكشف بيانات استخدام العميل للأغراض المذكورة في القسم 6 (د) من هذا الملحق I، الجزء ب، مع الالتزام بالالتزامات السرية المنصوص عليها في الاتفاق. سنقوم بتجميع بيانات الاستخدام الخاصة بالعميل أو حذفها عندما لم نعد نحتاج إليها للأغراض المذكورة في القسم 6 (د) من هذا الملحق I، الجزء ب.
8. بالنسبة للنقل إلى (معالجات فرعية)، حدد أيضاً موضوع ومحتوى وطبيعة ومدة المعالجة: بالنسبة للنقل إلى المعالجات الفرعية، يتم تحديد موضوع وطبيعة المعالجة في قائمة المعالجين الفرعيين المقدمة من Bird، ومدة تلك المعالجة تتوافق مع مدة الاتفاق.
الملحق I، الجزء ج. السلطة الإشرافية المختصة
ستكون هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens) هي السلطة الإشرافية المختصة.
الملحق الثاني للشروط التعاقدية القياسية
حيثما كان ذلك مناسبًا، ستعمل هذه الملحق II كملحق II لبنود العقد القياسية. يوفر ما يلي مزيدًا من المعلومات بشأن تدابيرنا الفنية والتنظيمية للأمن الموضحة أدناه.
التدابير الفنية والتنظيمية للأمن:
تدابير التحويل وإ حماية البيانات الشخصية في التخزين والنقل: يتم تشفير جميع البيانات الشخصية أثناء النقل وفي حالة السكون، وبالقدر الذي يكون ذا صلة من منظور الأمان، تُعامل كما لو كانت مصنفة كبيانات حساسة. يتم دائمًا نقل المعلومات عبر TLS باستخدام منهجيات تشفير محدثة بشكل افتراضي.
التدابير لضمان استمرارية سرية وسلامة وتوافر ومرونة أنظمة المعالجة والخدمات: ندخل في اتفاقيات تحتوي على أحكام سرية مع موظفينا ومقاولينا والموردين وموفري الخدمات من الباطن. سياسة استمرارية الأعمال لدينا هي إعداد أعمالنا وخدماتنا في حال حدوث انقطاعات ممتدة ناتجة عن عوامل خارج عن إرادتنا واستعادة الخدمات إلى أوسع نطاق ممكن في أقل فترة زمنية. نحن نفهم أن الخدمات التي نقدمها حيوية لعملائنا، وبالتالي فإن تحملنا لانقطاع الخدمة ضعيف جدًا. تم تصميم أطر الجداول الزمنية لدينا لضمان أننا يمكن أن نفي بالتزاماتنا تجاه جميع عملائنا.
العمليات للاختبار والتقييم والتقييم المنتظم لفعالية التدابير الفنية والتنظيمية لضمان أمن المعالجة: الهدف من أمن المعلومات ونظام إدارة أمن المعلومات لدينا (ISMS) هو حماية السرية وسلامة وتوافر المعلومات للمنظمة والموظفين والشركاء والعملاء وأنظمة المعلومات (المصرح بها)، وتقليل خطر وقوع أضرار من خلال منع الحوادث الأمنية وإدارة التهديدات والثغرات الأمنية. يتأكد فريقنا القانوني وموظف حماية البيانات وفريق الأمان والامتثال من أن القوانين والمعايير ذات الصلة تؤخذ بعين الاعتبار في أطر أمننا.
التدابير لتحديد هوية المستخدم والسلطة: نتبع مبادئ "الحاجة إلى المعرفة" و"الأقل امتيازًا". نشجع على استخدام التحكم في الوصول المعتمد على الدور. يتم الإشراف على تجهيز وإلغاء تجهيز الوصول من قبل فريق الأمان، مع تسجيل الدخول الموحد والمصادقة الثنائية بشكل افتراضي. تم تعريف مالكين لكل أصل معلومات يكونون مسؤولين عن ضمان أن الوصول إلى أنظمتهم مناسب ويتم مراجعته بشكل دوري. كلما تعاملنا مع معلومات حساسة أو اتخذنا إجراءً حيويًا، نستخدم مبدأ الأربعة أعين.
التدابير لضمان تسجيل الأحداث: يتم تخزين سجلات التدقيق مركزيًا ومراقبتها بشكل منتظم لأحداث الأمان وتبقى مؤمنة لتجنب مخاطر العبث. تفرض سياسة إدارة الحوادث خطة الاستجابة للحوادث وإجراءاتها. يتم اتباع هذه الإرشادات إذا حدث أي نوع من الحوادث الأمنية أو التقنية. في حالة حدوث حوادث للأمن، سيتم مراجعتها بانتظام من قبل لجنة توجيه الأمن التي تتكون من أصحاب المصلحة الكبار من كافة أنحاء العمل.
التدابير لضمان تكوين الأنظمة، بما في ذلك التكوين الافتراضي: نتبع عملية إدارة تغييرات متسقة لجميع التغييرات في بيئة الإنتاج لمنصة الاتصال كخدمة. لتوضيح الأمر أكثر، تحتاج جميع طلبات التغيير (RFC) إلى أن تتم الموافقة عليها من قبل طرف معين وتنفيذها وفقًا لعملية السيطرة على التغيير الرسمية. تضمن عملية التحكم أن التغييرات المقترحة تتم مراجعتها والتصريح بها واختبارها وتنفيذها وإطلاقها بطريقة منضبطة؛ وأن حالة كل تغيير مقترح تتم مراقبتها. يتم اتباع قواعد أساسية للتكوين لتكوين الأنظمة بأمان من خلال اتباع أفضل الممارسات. أيضًا، داخل قسم الهندسة، يتم استخدام رادار تقني لتحديد أي تقنيات (لغات، أدوات منصات، قواعد بيانات وأدوات إدارة البيانات) يمكن اعتمادها أو يجب تجنبها أثناء التطوير.
تدابير للأمن الفيزيائي: نحن نشجع بنشاط على سياسة "العمل من أي مكان" حتى يتمكن موظفونا من العمل من أي مكان يريدون. ومع ذلك، ما زلنا نحتفظ بمقرات مكاتبنا. ليس لدينا مناطق آمنة/مركز بيانات في مقراتنا حيث أننا شركة تعتمد كليًا على السحاب. تتم حماية طوابق مكاتبنا بوسائل التحكم في الوصول الفيزيائي، وكاميرات المراقبة، والأمن المأهول.
التدابير للحكومة وإدارة تكنولوجيا المعلومات وأمن المعلومات الداخلي: نحن نحافظ على برنامج تقييم أمني قائم على المخاطر، والذي يتضمن تدابير إدارية وتنظيمية وتقنية وفيزيائية تهدف إلى حماية الخدمات وسرية وسلامة وتوافر بيانات العملاء. تم إعداد برنامج أمن المعلومات لدينا بطريقة منهجية ومنظمة جيدًا. بالإضافة إلى ذلك، تنطبق المتطلبات القانونية والتنظيمية لضمان سرية وسلامة وتوافر المعلومات للمنظمة والموظفين والشركاء والعملاء. يتم ترجمة كل هذه إلى سياسات وإجراءات وإرشادات أمن المعلومات لدينا. لدينا لجنة توجيه الأمن المسؤولة عن مستوى تكتيكي لأمن المعلومات. يتطلب ذلك تنسيق أنشطة أمن المعلومات وترجمة الأنشطة الاستراتيجية إلى أنشطة تشغيلية لأمننا، وصيانة الامتثال التنظيمي لدينا. جميع الموظفين مسؤولون عن حماية أصول الشركة. يتم فحص جميع موظفينا من حيث الخبرة والقدرة والنزاهة. يتم إبلاغ الموظفين عن الأمن وحماية البيانات في مرحلة التوظيف، فضلاً عن ذلك من خلال تدريب دوري خاص بالفرق، وعروض تقديمية شاملة عبر الشركة حول أهمية حماية البيانات والامتثال للأمن. MessageBird معتمد وفقًا لمعيار ISO/IEC 27001:2013، المعايير المعترف بها عالميًا لإدارة أمن المعلومات (ISMS).
جميع مزودي الخدمة الذين نستضيفهم متوافقون مع معيار ISO/IEC 27001:2013.
نحن أيضًا مسجلون لدى السلطة الهولندية للمستهلكين والأسواق. وهذا يعني أننا دائمًا مسؤولون وشفافون تمامًا مع عملائنا.
نحن عضو معاون في جمعية الهواتف المحمولة الخاصة (GSMA). تمثل GSMA مصالح مشغلي الهاتف المحمول في جميع أنحاء العالم. نحن دائمًا على اطلاع بأحدث القوانين واللوائح المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات.
التدابير للشهادات/التأكيد على العمليات والمنتجات: نتعرض لمراقبة صارمة وكذلك تدقيقات الشهادات كجزء من التزامنا بمعيار ISO/IEC 27001:2013، وننفذ بانتظام اختبارات ضعف التطبيقات واختبارات الاختراق. تتبنى MessageBird نهجًا موحدًا لإدارة التصحيحات والثغرات لضمان أن تظل جداول زمنية اتفاقية مستوى الخدمة لدينا محفوظة على الرغم من وجود ثغرات في بنية التحتية لدينا أو المنصات التشغيلية أو شفرة المصدر.
التدابير لأمن التطبيقات: نضمن أمان تطبيقاتنا خلال مرحلة التصميم والتطوير استنادًا إلى إرشادات رمز MessageBird الآمن.
يتم تنفيذ التصحيحات المناسبة قبل الإصدار.
يتم مراجعة تغييرات الشفرة من قبل أفراد ذوي مهارات (مألوفين بمراجعة الشفرات والتطوير الآمن) بخلاف المطورين الأصليين.
ستخضع التطبيقات لاختبارات أمان تطبيق صارمة لتحديد أي تهديدات أو ثغرات جديدة على الأقل سنويًا (وفقًا للمعايير الصناعية وأفضل الممارسات).
يتم مراجعة جميع تغييرات الشفرات للتطبيقات التي يتم دفعها إلى بيئات الإنتاج باستخدام عمليات يدوية و/أو آلية.
تُجرى اختبارات الاختراق سنويًا وحالة بحالة على المنتجات/ الميزات الجديدة. يتم استخدام أدوات تحليل شفرة المصدر الآلية للكشف عن العيوب الأمنية في الشفرة قبل النشر، بناءً على اللغة.
التدابير للإفصاح عن الثغرات: نقدر الباحثين الأمنيين الذين وجدوا ثغرات على منصتنا للتواصل معنا وإرسال نتائجهم إلى security@bird.com. لدينا فريق أمان مخصص يتابع ويرسل دعوات إلى برنامج مكافأة الثغرات للاستقصاء وإصلاح حيثما دعت الحاجة.
التدابير لضمان المساءلة: ننفذ سياسات أمن المعلومات وحماية البيانات وفقًا للقوانين المعمول بها وننشر نظرة عامة على معلومات ISMS الخاصة بنا ذات الصلة في وثائق Bird. لقد عيننا نائب رئيس مخصص، للامتثال وأمن المعلومات وموظف حماية البيانات، ونحافظ على وثائق نشاطاتنا المتعلقة بالمعالجة، بما في ذلك تسجيل وإبلاغ الحوادث الأمنية التي تشمل البيانات الشخصية حيثما كان ذلك ممكنًا.
