Perjanjian Pemrosesan Data
Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan MessageBird (termasuk melalui afiliasinya) pada atau setelah 28 Februari 2022 dan sebelum 1 Januari 2024. Efektif sejak 15 April 2022, Perjanjian Pemrosesan Data ini juga akan berlaku untuk pelanggan yang mendaftar untuk Layanan MessageBird sebelum 28 Februari 2022. Perjanjian Pemrosesan Data kami yang diarsipkan tersedia di sini.
Perjanjian pengolahan data ini termasuk lampiran-lampirannya (yang disebut sebagai “DPA”) adalah bagian dari Perjanjian antara Pelanggan dan entitas kontrak yang terdaftar di Bagian 15 (Entitas Kontrak) dari Syarat dan Ketentuan Umum, kecuali dinyatakan lain dalam Formulir Pesanan Anda. Dalam DPA ini, istilah “Anda”, “Anda”, atau “Pelanggan” merujuk kepada Anda (tergantung pada Bagian 1.2 di bawah), dan istilah “kami”, “kami,” “kita” atau “MessageBird” merujuk kepada kami.
1. Scope, Customer Affiliates and Term
1.1 Cakupan. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan memasuki DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi.
1.3 Jangka Waktu. DPA ini akan tetap berlaku selama MessageBird memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, terlepas dari berakhirnya atau penghentian Perjanjian.
2. Definisi
Istilah yang ditulis dengan huruf kapital yang digunakan tetapi tidak didefinisikan dalam DPA ini akan memiliki arti yang diberikan kepada mereka dalam Perjanjian. Istilah yang didefinisikan berikut digunakan dalam DPA ini:
2.1 “CCPA” berarti Undang-Undang Privasi Konsumen California tahun 2018 dan peraturan apa pun yang diterbitkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.2 “Data Pelanggan” berarti data dan informasi atau konten lain yang dikirimkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.
2.3 “Data Pribadi Pelanggan” berarti Data Pribadi yang terdapat dalam Data Pelanggan. Data akun bukanlah Data Pribadi Pelanggan. Data akun adalah data apa pun yang diberikan oleh atau untuk Anda kepada MessageBird sehubungan dengan masuk dan administrasi Perjanjian dan akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan Pelanggan dan korespondensi tentang masuk dan administrasi Perjanjian.
2.4 “Peraturan Perlindungan Data” berarti semua undang-undang dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA dan semua undang-undang serta peraturan lain yang berkaitan dengan privasi, pemasaran langsung atau perlindungan data.
2.5 “EEA” berarti, untuk tujuan DPA ini, Kawasan Ekonomi Eropa dan Swiss.
2.6 “Ketentuan Kontrak Standar Pengendali ke Pemroses EU” berarti modul “Pengendali ke Pemroses” (Modul 2) dari Ketentuan Kontrak Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
2.7 “Ketentuan Kontrak Standar Pemroses ke Subpemroses EU” berarti modul “Pemroses ke Pemroses” (Modul 3) dari Ketentuan Kontrak Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
2.8 “GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang fisik terkait pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris Raya, Undang-Undang Perlindungan Data 2018.
2.9 “LGPD” berarti Lei Geral de Proteção de Dados tahun 2018 dan peraturan apa pun yang diterbitkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.10 “Data Pribadi” berarti informasi apa pun yang berkaitan dengan orang fisik yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung.
2.11 “PDPA” berarti Undang-Undang Perlindungan Data Pribadi tahun 2012 dan peraturan apa pun yang diterbitkan di bawahnya, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.12 “Pernyataan Privasi” berarti Pernyataan Privasi yang berlaku saat itu untuk Layanan yang tersedia di https://bird.com/legal/privacy.
2.13 “Pelanggaran Data Pribadi” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak sengaja, tidak sah atau ilegal terhadap Data Pribadi Pelanggan.
2.14 “Layanan” berarti semua produk dan layanan yang diberikan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda berdasarkan Formulir Pesanan; atau (b) digunakan oleh Anda.
2.15 “Ketentuan Kontrak Standar” berarti (i) Ketentuan Kontrak Standar Pengendali ke Pemroses EU; atau (ii) Ketentuan Kontrak Standar Pemroses ke Subpemroses EU, baik secara individu atau kolektif, sesuai kebutuhan.
2.16 “Subpemroses” berarti entitas yang memproses Data Pribadi Pelanggan atas nama entitas yang bertindak sebagai pemroses data atau Subpemroses.
2.17 “Ketentuan Kontrak Standar Pengendali ke Pemroses UK” berarti ketentuan kontrak standar untuk transfer Data Pribadi ke pemroses yang didirikan di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, yang dapat diubah, dimodifikasi, atau diganti oleh Komisi Eropa.
Istilah seperti “pemrosesan”, “pengendali data”, “pemroses data”, “subjek data”, dll. akan memiliki arti yang ditugaskan kepada mereka berdasarkan GDPR. Definisi “pengendali data” mencakup “bisnis”, “pengendali”, dan “organisasi”; "pemroses data" mencakup “penyedia layanan”, “pemroses”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan berdasarkan CCPA, LGPD, atau PDPA.
3. Pengolahan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk pengiriman komunikasi, memastikan keamanan layanan, memberikan laporan teknis dan pengiriman, memberikan dukungan dan mengembangkan serta menerapkan perbaikan dan pembaruan sesuai dengan instruksi tertulis Anda kepada kami sebagai pengolah data seperti yang ditentukan dalam Pasal 3.2 DPA ini, dan (ii) untuk kepentingan bisnis sah kami seperti yang ditentukan dalam Pasal 3.4 DPA ini sebagai pengendali data. Kami tidak menjual Data Pribadi apapun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
3.2 Instruksi. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pengolah data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang secara wajar didokumentasikan dengan syarat instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Detail pemrosesan. Lampiran I, Bagian B. (Deskripsi transfer) dari DPA ini lebih lanjut menjelaskan alam dan tujuan pemrosesan, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi dan kategori subjek data oleh kami sebagai pengolah data atau Subprocessor.
3.4 Kepentingan bisnis yang sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk kepentingan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, melawan dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang mungkin mempengaruhi kami atau layanan kami, pemodelan bisnis (misalnya perkiraan, perencanaan kapasitas dan pendapatan, strategi produk), penipuan, spam, dan pencegahan serta deteksi penyalahgunaan, perbaikan produk, dan untuk mematuhi kewajiban hukum kami.
4. Customer Obligations
4.1 Kepatuhan hukum. Di mana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua aktivitas pemrosesan adalah sah, memiliki tujuan tertentu, dan semua pemberitahuan serta persetujuan yang diperlukan atau dasar hukum yang sesuai lainnya telah ada untuk memungkinkan transfer sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Subprosesor), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini dipenuhi.
4.2 Kepatuhan. Anda bertanggung jawab sepenuhnya atas (a) memastikan bahwa Anda mematuhi Peraturan Perlindungan Data yang berlaku untuk penggunaan Anda atas Layanan dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) mengimplementasikan serta mempertahankan langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk tetapi tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan, dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-langkah keamanan. Dengan memperhitungkan keadaan seni, biaya implementasi serta sifat, ruang lingkup, konteks, dan tujuan pemrosesan serta risiko yang bervariasi dalam kemungkinan dan keparahan terhadap hak dan kebebasan orang-orang, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan dalam Lampiran II.
5.2 Pembaruan terhadap langkah-langkah keamanan. Anda bertanggung jawab untuk meninjau informasi yang tersedia oleh kami terkait dengan keamanan Data Pribadi Pelanggan dan membuat penentuan independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tersebut tunduk pada kemajuan dan perkembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Data Pribadi Pelanggan.
5.3 Kontrol akses. Kami menerapkan prinsip “perlu tahu” dan hak akses paling sedikit.
5.4 Kerahasiaan pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diberi wewenang oleh kami untuk memproses Data Pribadi Pelanggan (termasuk staf kami, agen, dan Subprosesor) diinformasikan tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang sesuai (baik itu kewajiban kontraktual atau statutori) yang tetap ada setelah pemutusan keterlibatan mereka.
5.5 Tanggapan dan pemberitahuan terhadap Pelanggaran Data Pribadi. Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak perlu (i) memberitahukan Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi yang tepat waktu terkait dengan Pelanggaran Data Pribadi saat itu menjadi diketahui atau saat secara wajar diminta oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi efek dan mencegah terulangnya Pelanggaran Data Pribadi tersebut.
6. Bantuan
6.1 Asistensi perlindungan data. Kami akan memberikan Anda bantuan yang diminta secara wajar untuk memungkinkan Anda mematuhi kewajiban Anda berdasarkan Legislasi Perlindungan Data, termasuk pemberitahuan adanya Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang tepat, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Asistensi dengan permintaan subjek data. Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda kepada subjek data yang menjalankan hak mereka berdasarkan Legislasi Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan dari subjek data terkait Data Pribadi Pelanggan dari seorang subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Batasan pada pengungkapan dan akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diarahkan oleh Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana yang diwajibkan oleh hukum.
7.2 Permintaan pengungkapan. Kami akan memberi tahu Anda secepatnya jika kami menerima permintaan dari badan pemerintah atau regulator untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan yang tersedia di https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Subprosesor Saat Ini. Anda setuju untuk terlibat dengan Subprosesor yang terdaftar di https://www.bird.com/en/legal/privacy#processorList di bawah judul “Data Pribadi Pengguna Akhir”, yang berisi prosedur bagi Anda untuk berlangganan pemberitahuan tentang perubahan dalam penggunaan Subprosesor kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan mempertimbangkan Bagian 8.3 dari DPA ini, kami akan membagikan rincian tentang setiap perubahan pada Subprosesor sesegera mungkin.
8.2 Penggunaan Subprosesor. Dengan DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Subprosesor untuk pemrosesan Data Pribadi Pelanggan, dengan ketentuan Bagian 8.3 dari DPA ini dan persyaratan berikut:
a. Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Subprosesor hanya pada apa yang benar-benar diperlukan untuk menyediakan layanan yang ditentukan dalam perjanjian subprosesor;
b. Kami akan menyepakati kewajiban perlindungan data dengan Subprosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
c. Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini atas pelaksanaan kewajiban perlindungan data dari Subprosesor.
8.3 Pemberitahuan perubahan pada Subprosesor dan hak untuk menolak. Sebelum mengganti atau melibatkan Subprosesor baru (“Perubahan Subprosesor”), kami akan memberikan Anda opsi untuk menolak Perubahan Subprosesor.
Anda dapat menolak Perubahan Subprosesor dengan syarat bahwa (i) penolakan dibuat secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami tentang Perubahan Subprosesor dan (ii) penolakan tersebut didasarkan pada dan dengan jelas menjelaskan alasan yang wajar terkait perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Subprosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk melakukan perubahan komersial yang wajar dalam pemberian Layanan yang menghindari penggunaan Subprosesor yang relevan. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari kerja sejak penerimaan pemberitahuan penolakan Anda, atau jika perubahan tersebut tidak masuk akal secara komersial bagi kami, salah satu pihak dapat mengakhiri fitur Layanan yang berlaku yang tidak dapat diberikan tanpa penggunaan Subprosesor yang relevan. Hak penghentian ini adalah satu-satunya dan eksklusif remedimu jika Anda menolak Perubahan Subprosesor.
9. Transfer Lintas Batas Data Pribadi Pelanggan
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua perlindungan yang diperlukan berdasarkan Peraturan Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, penerapan, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek yang dapat ditegakkan, dan bahwa perbaikan hukum yang efektif untuk subjek data tersedia.
9.2 Ketentuan Kontrak Standar Subprosesor. Kecuali jika keputusan kesesuaian atau mekanisme transfer alternatif berlaku, kami telah mengadakan dan akan memelihara Ketentuan Kontrak Standar dengan Subprosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, sesuai dengan ketentuan yang ditetapkan dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor secara sah Data Pribadi Pelanggan dari suatu yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) ke kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang terkait dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang terletak di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai sesuai dengan pengertian Peraturan Perlindungan Data, mekanisme transfer yang terdaftar di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan secara langsung oleh pihak-pihak sejauh transfer tersebut tunduk pada Peraturan Perlindungan Data:
9.3.1 Para pihak setuju bahwa Ketentuan Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, oleh otoritas yang berwenang untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird sebagai pengolah data, Ketentuan Kontrak Standar Pengendali-ke-Pengolah UE akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pengolah data dan MessageBird sebagai subprosesor, Ketentuan Kontrak Standar Pengolah-ke-Subprosesor akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksport data berdasarkan Ketentuan Kontrak Standar. Tanda tangan masing-masing pihak pada DPA ini akan diperlakukan sebagai tanda tangan ketentuan kontrak standar yang berlaku, yang akan dianggap dimasukkan ke dalam DPA ini. Detail yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 dari Ketentuan Kontrak Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar, Ketentuan Kontrak Standar akan berlaku murni sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Di mana Ketentuan Kontrak Standar mengharuskan para pihak untuk memilih antara ketentuan opsional dan memasukkan informasi, para pihak telah melakukannya seperti yang dijelaskan di bawah:
Ketentuan Opsional 7 “Ketentuan penambahan” tidak akan diterima.
Untuk Ketentuan 9 “Penggunaan subprosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum pengendali untuk melibatkan subprosesor dari daftar yang disepakati. Pengimpor data harus secara khusus memberitahukan pengendali secara tertulis tentang setiap perubahan yang dimaksudkan di daftar tersebut melalui penambahan atau penggantian subprosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan waktu yang cukup bagi pengendali untuk dapat menolak perubahan tersebut sebelum keterlibatan subprosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada pengeksport data untuk memungkinkan pengeksport data menggunakan haknya untuk menolak. Pengimpor data harus memberitahu pengeksport data tentang keterlibatan subprosesor.”
Untuk Ketentuan 11 (a) “Perbaikan”, para pihak tidak mengadopsi Opsi.
Untuk Ketentuan 17 “Hukum yang berlaku”, para pihak memilih opsi berikut: “Opsi 1. Ketentuan ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut memungkinkan hak pihak ketiga. Para Pihak sepakat bahwa ini akan menjadi hukum Belanda.”
Untuk Ketentuan 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak sepakat bahwa itu akan menjadi pengadilan Belanda.”
9.3.2 Para pihak sepakat bahwa Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar Inggris yang tidak diakui oleh otoritas regulatori atau badan pemerintah Inggris yang berwenang sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.2.1 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksport data berdasarkan Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris. Tanda tangan masing-masing pihak pada DPA ini akan diperlakukan sebagai tanda tangan ketentuan kontrak standar pengendali-ke-pengolah Inggris yang akan dianggap dimasukkan ke dalam DPA ini. Detail yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 dari Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris, Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris akan berlaku murni sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara teratur sesuai dengan standar ISO 27001:2013 (atau setara). Audit dapat, atas kebijakan kami sendiri, berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan Anda ringkasan laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan jawaban tertulis atas permintaan informasi yang wajar yang diajukan oleh Anda, termasuk jawaban terhadap pertanyaan keamanan informasi dan audit yang wajar dalam lingkup dan diperlukan untuk mengonfirmasi kepatuhan terhadap DPA ini, dengan ketentuan bahwa Anda (i) telah terlebih dahulu melakukan upaya wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang disediakan atau diumumkan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami sehubungan dengan Layanan mengharuskan agar kuesioner tambahan dilaksanakan. Semua jawaban yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang kami berikan kepada Anda memberikan Anda alasan yang substansial untuk percaya bahwa kami melanggar kewajiban kami di bawah DPA ini, yang terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan terqualified yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi terkait yang berlaku, dengan ketentuan bahwa persyaratan berikut dipenuhi:
a. Anda harus memberi kami pemberitahuan dengan bantuan setidaknya enam puluh (60) hari sebelumnya sebelum menjalankan hak untuk audit;
b. Auditor setuju untuk menjaga kewajiban kerahasiaan standar pasar dengan kami;
c. Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;
d. Audit akan dilakukan selama jam kerja reguler;
e. Kami tidak berkewajiban untuk memberikan akses kepada data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
f. Anda harus membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan semua Data Pribadi Pelanggan (termasuk salinan) yang berada di tangan atau kendali kami, kecuali bahwa persyaratan ini tidak akan berlaku sejauh kami diharuskan oleh hukum untuk mempertahankan beberapa atau semua Data Pribadi Pelanggan. Jika Anda memberi instruksi kepada kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan akan dihapus ketika periode retensi yang diperlukan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuknya ke dalam DPA ini atas nama dan atas behalf dari Customer Affiliate seperti yang diatur dalam Pasal 1.2 merupakan DPA terpisah antara kami dan Customer Affiliate tersebut, tunduk pada hal-hal berikut:
12.1. Komunikasi. Customer yang merupakan pihak yang mengontrak dalam Perjanjian tetap bertanggung jawab untuk mengkoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk melakukan dan menerima komunikasi terkait dengan DPA ini atas nama Customer Affiliates-nya.
12.2 Hak Customer Affiliates. Ketika Customer Affiliate menjadi pihak dalam DPA dengan kami, dia berhak untuk menggunakan hak-hak dan mencari remedial sesuai dengan DPA ini, sejauh yang diperlukan berdasarkan Peraturan Perlindungan Data, tunduk pada hal-hal berikut:
(i) Kecuali jika Peraturan Perlindungan Data mengharuskan Customer Affiliate untuk menggunakan hak atau mencari remedial berdasarkan DPA ini secara langsung terhadap MessageBird, para pihak sepakat bahwa (i) hanya Customer yang merupakan pihak pengontrak dalam Perjanjian yang akan menggunakan hak tersebut atau mencari remedial tersebut atas behalf Customer Affiliate, dan (ii) Customer yang merupakan pihak pengontrak dalam Perjanjian akan menggunakan hak-hak tersebut di bawah DPA ini tidak secara terpisah untuk setiap Customer Affiliate secara individual tetapi dengan cara yang terintegrasi untuk dirinya sendiri dan semua Customer Affiliates-nya.
(ii) Para pihak sepakat bahwa Customer yang merupakan pihak pengontrak dalam Perjanjian akan, ketika audit langsung dilakukan terhadap prosedur yang relevan untuk perlindungan Data Pribadi Customer dilakukan atas behalf-nya seperti yang diatur dalam Pasal 10.3 DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak pada kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas behalf dirinya sendiri dan semua Customer Affiliates-nya dalam satu audit tunggal.
Untuk kejelasan, Customer Affiliate tidak menjadi pihak pengontrak dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California
Kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami. Kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA (“Data Pribadi CCPA”) sesuai dengan ketentuan CCPA. Sehubungan dengan Data Pribadi CCPA, kami adalah penyedia layanan di bawah CCPA. Kami tidak akan (a) menjual Data Pribadi CCPA; (b) menyimpan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan lain selain tujuan spesifik menyediakan Layanan, termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan komersial selain menyediakan Layanan; atau (c) menyimpan, menggunakan, atau mengungkapkan Data Pribadi CCPA di luar hubungan bisnis langsung kami dengan Anda. Pemrosesan Data Pribadi CCPA yang disahkan oleh instruksi Anda dalam Syarat dan DPA ini adalah bagian integral dari penyediaan Layanan kami. Anda mengakui dan setuju bahwa akses kami terhadap Data Pelanggan tidak merupakan bagian dari imbalan yang dipertukarkan di bawah Perjanjian. Sejauh data penggunaan apa pun dianggap sebagai Data Pribadi CCPA, kami adalah bisnis terkait data tersebut dan akan Memproses data itu sesuai dengan Pernyataan Privasi kami. Istilah “bisnis”, “tujuan komersial”, “penyedia layanan”, dan “menjual” seperti yang digunakan dalam Bagian 13.1 ini memiliki arti yang ditetapkan dalam CCPA. Kedua belah pihak menyatakan bahwa mereka memahami dan akan mematuhi kewajiban dan pembatasan yang ditetapkan dalam DPA ini dan Perjanjian sebagaimana diwajibkan di bawah CCPA.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi digunakan atau dibagikan sesuai dengan syarat dan ketentuan yang diharapkan dalam Bagian 1798.140(t)(2)(C)(i) dari CCPA. Anda bertanggung jawab untuk mematuhi persyaratan CCPA yang berlaku untuk Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Bagian 13 dari Ketentuan berlaku untuk setiap Sengketa yang muncul dari atau terkait dengan DPA ini, kecuali diharuskan sebaliknya oleh Perundang-undangan Perlindungan Data.
LAMPIRAN I - DETAIL PROSES
Jika berlaku, Jadwal 1 ini akan berfungsi sebagai Lampiran I untuk Klausul Kontraktual Standar EEA.
Lampiran I, Bagian A. Daftar Pihak
Pengekspor Data: Pelanggan
Detail kontak pengeksport data: Alamat yang tercantum di akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran pengeksport data: Peran pengeksport data dijelaskan dalam Bagian 4 dari DPA.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengeksport data dianggap telah menandatangani Klausul Kontraktual Standar yang disertakan di sini sejak Tanggal Berlaku DPA.
Pengekspor Data: MessageBird B.V.
Detail kontak pengeksport data: Trompenburgstraat 2-C, 1079TX, Amsterdam, Belanda, Pejabat Perlindungan Data - privacy@bird.com
Peran pengeksport data: Pengekspor data bertindak sebagai pengolah data.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengeksport data dianggap telah menandatangani Klausul Kontraktual Standar yang disertakan di sini sejak Tanggal Berlaku DPA.
Lampiran I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang Data Pribadinya ditransfer: Pengguna. Kontak person Pelanggan (individu) atau karyawan, kontraktor, atau pekerja sementara (saat ini, calon, mantan) yang menggunakan Layanan melalui akun Pelanggan (“Pengguna”); Pengguna Akhir. Setiap individu (i) yang detail kontaknya ada dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan menentukan sendiri kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.
2. Kategori Data Pribadi yang ditransfer: Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Konten komunikasi, yang mungkin mencakup Data Pribadi atau karakteristik yang dipersonalisasi, tergantung pada konten komunikasi sebagaimana ditentukan oleh Anda sebagai Pelanggan. Data lalu lintas, yang mungkin mencakup Data Pribadi Pelanggan tentang pengalihan, durasi, atau waktu dari komunikasi seperti panggilan suara, SMS, atau email, baik itu berkaitan dengan individu atau perusahaan. Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran. Data penggunaan pelanggan, yang mungkin berisi data yang dapat dipautkan kepada Anda sebagai individu yang termasuk dalam data dan informasi statistik terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan, dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang ditransfer (jika berlaku) dan penerapan pembatasan atau perlindungan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menyimpan catatan akses ke data, pembatasan untuk pengalihan lebih lanjut, atau langkah-langkah keamanan tambahan.
(a) Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk menyertakan data sensitif dalam komunikasi yang ditransmisikan menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa perlindungan yang sesuai ada sebelum mengirimkan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mengirimkan atau memproses data sensitif apa pun melalui Layanan, sesuai dengan Bagian 3.2 dari Perjanjian.
(b) Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer (misalnya apakah data ditransfer sekali atau secara berkelanjutan): Data Pribadi Pelanggan ditransfer secara berkelanjutan selama Perjanjian.
5. Sifat pemrosesan: Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan berdasarkan Perjanjian. Kami tidak menjual Data Pribadi, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
6. Tujuan transfer data dan pemrosesan lebih lanjut: Kami akan memproses Data Pribadi Pelanggan sebagai pengolah data sesuai dengan instruksi Pelanggan sebagaimana ditetapkan dalam DPA ini, kecuali pemrosesan diperlukan untuk memenuhi kewajiban hukum yang menjadi tanggung jawab kami, dalam hal ini kami akan diklasifikasikan sebagai pengendali data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terkandung dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan dasar berikut:
(a) Konten komunikasi. Penyediaan produk dan layanan komunikasi terprogram, yang ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dasbor, kepada Pelanggan, termasuk pengiriman ke atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
(b) Data lalu lintas. Data lalu lintas diproses untuk tujuan mentransmisikan komunikasi di jaringan komunikasi elektronik atau untuk penagihan terkait komunikasi tersebut. Ini mungkin mencakup Data Pribadi Pelanggan tentang pengalihan, durasi, atau waktu dari komunikasi seperti panggilan suara, SMS, atau email, baik itu berkaitan dengan individu atau perusahaan.
(c) Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melakukan Layanan dan hanya akan diproses untuk tujuan pengiriman komunikasi, dukungan pelanggan, dan memastikan kepatuhan terhadap kewajiban hukum MessageBird.
(d) Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan untuk menyediakan Layanan sesuai dengan Perjanjian, dengan tujuan memberikan Wawasan terkait Layanan kepada Pelanggan dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan perbaikan berkelanjutan terhadap Layanan.
7. Periode penyimpanan Data Pribadi, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode itu:
(a) Konten komunikasi dan data lalu lintas. Untuk konten pelanggan dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara terdapat periode retensi enam bulan;
Untuk Layanan 24sessions, konten pelanggan dan data lalu lintas disimpan selama minimum 30 hari hingga jangka waktu yang disepakati dengan Anda;
Untuk semua layanan lainnya, konten pelanggan dan data lalu lintas disimpan selama jangka waktu Layanan, kecuali jika Anda menghapus konten pelanggan atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan untuk Anda melalui Layanan.
(b) Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama jangka waktu yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir dimasukkan dalam profil kontak Anda, periode retensi default adalah selama Layanan berlangsung, tunduk pada Bagian 6(c) dari Lampiran I, Bagian B ini.
(c) Data penggunaan pelanggan. Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B.
8. Untuk transfer ke (sub)pemroses, juga sebutkan pokok bahasan, sifat, dan durasi pemrosesan: Untuk transfer ke Subpemroses, pokok bahasan dan sifat pemrosesan dijelaskan di https://www.bird.com/legal/privacy#processorList dan durasinya adalah untuk durasi Perjanjian.
Lampiran I, Bagian C. Otoritas Pengawas yang Kompeten
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontrak Standar. Berikut memberikan informasi lebih lanjut mengenai ukuran keamanan teknis dan organisasi kami yang ditetapkan di bawah ini.
Ukuran Keamanan Teknis dan Organisasi:
Ukuran pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit: Semua Data Pribadi dienkripsi dalam transit dan saat tersimpan, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu ditransmisikan melalui TLS dengan metodologi enkripsi terbaru secara default.
Ukuran untuk memastikan kerahasiaan, integritas, dan ketersediaan yang berkelanjutan serta ketahanan sistem dan layanan pemrosesan: kami membuat perjanjian yang mengandung ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Subprosesor kami. Kebijakan keberlanjutan bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam hal terjadinya pemadaman yang berkepanjangan yang disebabkan oleh faktor di luar kendali kami dan untuk memulihkan layanan sejauh mungkin dalam waktu minimum. Kami memahami layanan yang kami berikan adalah misi kritis bagi pelanggan kami dan oleh karena itu memiliki toleransi yang sangat sedikit terhadap gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.
Proses untuk pengujian, penilaian, dan evaluasi efektivitas ukuran teknis dan organisasi secara teratur untuk memastikan keamanan pemrosesan: Tujuan dari keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang diizinkan), serta untuk meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan, Tim Keamanan dan Kepatuhan memastikan bahwa regulasi dan standar yang berlaku dipertimbangkan dalam kerangka keamanan kami.
Ukuran untuk identifikasi dan otorisasi pengguna: Kami mengikuti prinsip “perlu tahu“ dan “hak paling sedikit”. Kami mempromosikan penggunaan kontrol akses berbasis peran. Pemberian dan pencabutan otorisasi diawasi oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditetapkan untuk setiap aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka sesuai dan ditinjau secara teratur. Setiap kali berurusan dengan informasi sensitif atau melakukan tindakan kritis, kami menggunakan prinsip empat mata.
Ukuran untuk memastikan pencatatan peristiwa: Log audit disimpan dan dipantau secara terpusat secara teratur untuk peristiwa keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden menegakkan rencana respons insiden dan prosedurnya. Pedoman ini diikuti jika terjadi jenis insiden keamanan atau teknis. Dalam hal terjadi insiden Keamanan, insiden tersebut akan ditinjau secara teratur oleh Komite Pengarah Keamanan yang terdiri dari pemangku kepentingan senior dari seluruh bisnis.
Ukuran untuk memastikan konfigurasi sistem, termasuk konfigurasi default: Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan pada lingkungan produksi Platform Komunikasi sebagai Layanan. Untuk lebih jelasnya, semua permintaan perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dilaksanakan sesuai dengan proses kontrol perubahan formal. Proses kontrol memastikan bahwa perubahan yang diusulkan ditinjau, disetujui, diuji, diterapkan, dan dirilis dengan cara yang terkendali; dan bahwa status setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem dengan aman dengan mengikuti praktik terbaik. Juga, di dalam departemen Teknik, radar teknologi digunakan untuk mendefinisikan teknologi mana (bahasa, alat platform, basis data dan alat manajemen data) yang dapat diadopsi atau perlu dihindari selama pengembangan.
Ukuran untuk keamanan fisik: Kami secara aktif mempromosikan kebijakan “Bekerja dari Mana Saja” sehingga karyawan kami bebas untuk bekerja dari tempat yang mereka inginkan. Namun, kami tetap memiliki kantor kami. Kami tidak memiliki area aman/ pusat data di tempat kami karena kami adalah perusahaan yang sepenuhnya berbasis cloud. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan yang dijaga.
Ukuran untuk tata kelola dan manajemen TI internal dan keamanan TI: Kami memelihara program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan dan kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan regulasi berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab atas tingkat taktis keamanan informasi. Ini mencakup koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis ke dalam kegiatan operasional untuk keamanan kami, dan pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring untuk keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap orientasi, serta melalui pelatihan khusus tim secara reguler, dan presentasi perusahaan secara keseluruhan tentang pentingnya perlindungan data dan kepatuhan keamanan. MessageBird memiliki sertifikasi ISO/IEC 27001:2013, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).
Semua penyedia hosting kami mematuhi ISO/IEC 27001:2013.
Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan kepada klien kami.
Kami adalah Anggota Asosiasi dari Asosiasi Seluler Spesial Global (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia. Kami selalu mengikuti semua hukum dan peraturan yang berlaku, termasuk Regulasi Perlindungan Data Umum.
Ukuran untuk sertifikasi/jaminan proses dan produk: Kami menjalani pengawasan yang ketat serta audit sertifikasi sebagai bagian dari kepatuhan kami terhadap ISO/IEC 27001:2013, dan secara rutin menjalankan pengujian kerentanan aplikasi serta pengujian penetrasi. MessageBird mengambil pendekatan terpadu terhadap manajemen tambalan dan kerentanan untuk memastikan bahwa garis waktu SLA standar kami dipertahankan apakah kerentanan ada dalam infrastruktur dasar kami, platform operasional, atau kode sumber.
Ukuran untuk keamanan aplikasi: Kami memastikan keamanan aplikasi kami selama fase desain dan pengembangan berdasarkan Pedoman Kode Aman MessageBird.
Perbaikan yang sesuai diterapkan sebelum dirilis.
Perubahan kode ditinjau oleh individu yang terampil (yang familiar dengan tinjauan kode dan pengembangan yang aman) selain pengembang yang mengusulkan.
Aplikasi akan menjalani pengujian keamanan aplikasi yang ketat untuk mengidentifikasi ancaman dan kerentanan baru setidaknya setiap tahun (sesuai dengan standar industri dan praktik terbaik).
Semua perubahan kode untuk aplikasi yang didorong ke lingkungan produksi ditinjau menggunakan proses manual dan/atau otomatis.
Pengujian penetrasi dilakukan setiap tahun dan berdasarkan kasus untuk produk/fitur baru. Alat analisis kode sumber otomatis digunakan untuk mendeteksi cacat keamanan dalam kode sebelum penerapan, berdasarkan bahasa.
Ukuran untuk pengungkapan kerentanan: Kami menghargai peneliti keamanan yang telah menemukan kerentanan di platform kami untuk menghubungi kami dan mengirimkan temuan mereka ke security@bird.com. Kami memiliki tim keamanan khusus yang menindaklanjuti dan mengirim undangan ke program bug bounty kami untuk menyelidiki dan memperbaiki jika perlu.
Ukuran untuk memastikan akuntabilitas: Kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran informasi relevan ISMS kami (link). Kami telah menunjuk seorang VP khusus, Kepatuhan dan Keamanan Informasi serta seorang Pejabat Perlindungan Data, dan memelihara dokumentasi aktivitas pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.
Konten