Perjanjian pemrosesan data ini termasuk lampiran-lampirannya (disebut sebagai “DPA”) adalah bagian dari Perjanjian antara Pelanggan dan entitas kontraktual yang terdaftar di Bagian 15 (Entitas Kontraktual) dari Syarat dan Ketentuan Umum, kecuali dinyatakan lain di Formulir Pesanan Anda. Dalam DPA ini, istilah “Anda”, “anda”, atau “Pelanggan” mengacu pada Anda (tergantung pada Bagian 1.2 di bawah), dan istilah “kami”, “kami,” “kita” atau “MessageBird” mengacu kepada kami.
1. Ruang Lingkup, Afiliasi Pelanggan dan Jangka Waktu
1.1 Ruang Lingkup. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.
1.2 Afiliasi Pelanggan. Pelanggan memasuki DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan akses kepada Afiliasi tersebut terhadap Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali jika dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi.
1.3 Jangka Waktu. DPA ini akan tetap berlaku selama MessageBird memproses Data Pribadi Pelanggan yang menjadi subjek DPA ini, terlepas dari kedaluwarsa atau pengakhiran Perjanjian.
2. Definisi
Istilah-istilah yang ditulis dengan huruf kapital tetapi tidak didefinisikan dalam DPA ini akan memiliki arti yang diberikan kepada mereka dalam Perjanjian. Istilah-istilah yang didefinisikan berikut ini digunakan dalam DPA ini:
2.1 “CCPA” berarti Undang-undang Privasi Konsumen California tahun 2018 dan setiap peraturan yang ditetapkan berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.2 “Data Pelanggan” berarti data dan informasi atau konten lain yang disubmit oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.
2.3 “Data Pribadi Pelanggan” berarti Data Pribadi yang terdapat dalam Data Pelanggan. Data akun bukanlah Data Pribadi Pelanggan. Data akun adalah data yang diberikan oleh atau untuk Anda kepada MessageBird sehubungan dengan masuk dan pengelolaan Perjanjian dan akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan Pelanggan, dan korespondensi tentang masuk dan pengelolaan Perjanjian.
2.4 “Peraturan Perlindungan Data” berarti semua hukum dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA, dan semua hukum serta peraturan lain yang berkaitan dengan privasi, pemasaran langsung atau perlindungan data.
2.5 “EEA” berarti, untuk tujuan DPA ini, Wilayah Ekonomi Eropa dan Swiss.
2.6 “Klausul Kontraktual Standar EU untuk Pengendali-ke-Pemroses” berarti modul “Pengendali ke Pemroses” (Modul 2) dari Klausul Kontraktual Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
2.7 “Klausul Kontraktual Standar EU untuk Pemroses-ke-Subpemroses” berarti modul “Pemroses ke Pemroses” (Modul 3) dari Klausul Kontraktual Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.
2.8 “GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang yang teridentifikasi secara langsung atau tidak langsung terkait dengan pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut (Regulasi Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Britania Raya, Undang-Undang Perlindungan Data 2018.
2.9 “LGPD” berarti Lei Geral de Proteção de Dados tahun 2018 dan setiap peraturan yang ditetapkan berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.10 “Data Pribadi” berarti setiap informasi yang berkaitan dengan orang fisik yang teridentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung.
2.11 “PDPA” berarti Undang-Undang Perlindungan Data Pribadi tahun 2012 dan setiap peraturan yang ditetapkan berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.
2.12 “Pernyataan Privasi” berarti Pernyataan Privasi saat ini untuk Layanan, sebagaimana ditetapkan dalam Pernyataan Privasi Bird.
2.13 “Pelanggaran Data Pribadi” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, akses yang tidak sengaja, tidak sah, atau ilegal dari Data Pribadi Pelanggan.
2.14 “Layanan” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda berdasarkan Formulir Pesanan mana pun; atau (b) digunakan oleh Anda.
2.15 “Klausul Kontraktual Standar” berarti (i) Klausul Kontraktual Standar Pengendali-ke-Pemroses EU; atau (ii) Klausul Kontraktual Standar Pemroses-ke-Subpemroses EU, baik secara individu maupun kolektif, sebagaimana berlaku.
2.16 “Subpemroses” berarti entitas yang memproses Data Pribadi Pelanggan atas nama entitas yang bertindak sebagai pemroses data atau subpemroses.
2.17 “Klausul Kontraktual Standar Pengendali-ke-Pemroses Inggris” berarti klausul kontraktual standar untuk transfer Data Pribadi ke pemroses yang berkedudukan di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, sebagaimana dapat diubah, dimodifikasi, atau digantikan oleh Komisi Eropa.
Istilah seperti “pemrosesan”, “pengendali data”, “pemroses data”, “subjek data”, dll. akan memiliki arti yang ditugaskan kepada mereka berdasarkan GDPR. Definisi “pengendali data” mencakup “bisnis”, “pengendali”, dan “organisasi”; “pemroses data” mencakup “penyedia layanan”, “pemroses”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus sebagaimana didefinisikan berdasarkan CCPA, LGPD, atau PDPA.
3. Pemrosesan Data Pribadi Pelanggan
3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, menyediakan dukungan dan mengembangkan serta menerapkan perbaikan dan pembaruan sesuai dengan instruksi tertulis Anda kepada kami sebagai pengolah data seperti yang ditentukan dalam Pasal 3.2 DPA ini, dan (ii) untuk tujuan bisnis sah kami seperti yang ditentukan dalam Pasal 3.4 DPA ini sebagai pengendali data. Kami tidak menjual Data Pribadi apa pun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
3.2 Instruksi. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pengolah data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan secara wajar dengan syarat instruksi tersebut konsisten dengan ketentuan Perjanjian.
3.3 Rincian pemrosesan. Lampiran I, Bagian B. (Deskripsi transfer) dari DPA ini lebih lanjut menjelaskan jenis dan tujuan pemrosesan, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi dan kategori subjek data oleh kami sebagai pengolah data atau Subpengolah.
3.4 Tujuan bisnis yang sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, pengelolaan akun, pelaporan keuangan dan internal, melawan dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat mempengaruhi kami atau layanan kami, pemodelan bisnis (mis. peramalan, perencanaan kapasitas dan pendapatan, strategi produk), penipuan, spam, dan pencegahan serta deteksi penyalahgunaan, perbaikan produk, dan untuk mematuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Kepatuhan. Di mana Anda bertindak sebagai pengendali data untuk Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu, dan setiap pemberitahuan serta persetujuan yang diperlukan atau dasar hukum lainnya yang sesuai telah ada untuk memungkinkan transfer yang sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Subprosesor), Anda akan memastikan bahwa pengendali data terkait menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini terpenuhi.
4.2 Kepatuhan. Anda bertanggung jawab penuh atas (a) memastikan bahwa Anda mematuhi Perundang-undangan Perlindungan Data yang berlaku untuk penggunaan Layanan Anda dan untuk pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) menerapkan serta memelihara langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kontrol (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan, dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-langkah keamanan. Mengingat perkembangan terkini, biaya implementasi, serta sifat, cakupan, konteks, dan tujuan pemrosesan, serta risiko yang bervariasi dalam kemungkinan dan tingkat keparahan terhadap hak dan kebebasan individu, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pelanggan. Langkah-langkah keamanan yang kami terapkan dijelaskan dalam Lampiran II.
5.2 Pembaruan langkah-langkah keamanan. Anda bertanggung jawab untuk meninjau informasi yang kami sediakan terkait dengan keamanan Data Pribadi Pelanggan dan membuat penilaian independen apakah informasi tersebut memenuhi kebutuhan dan kewajiban hukum Anda berdasarkan Peraturan Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tunduk pada kemajuan dan perkembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan dari Data Pribadi Pelanggan.
5.3 Kontrol akses. Kami menerapkan prinsip
6. Bantuan
6.1 bantuan perlindungan data. Kami akan memberikan bantuan yang diminta dengan wajar untuk memungkinkan Anda mematuhi kewajiban Anda di bawah Undang-Undang Perlindungan Data, termasuk pemberitahuan Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang tepat, dan membantu Anda dalam pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan permintaan subjek data. Kami akan memberikan bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda kepada subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengontrol data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data terkait Data Pribadi Pelanggan subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Dengan batasan pada pengungkapan dan akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) atas arahan Anda, (ii) seperti yang diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan. Kami akan memberi tahu Anda sesegera mungkin jika kami menerima permintaan dari badan pemerintah atau regulasi untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan Kebijakan Permintaan Pengungkapan kami.
8. Subprosesor
8.1 Subprosesor Saat Ini. Anda setuju untuk melibatkan Subprosesor yang tercantum di bawah header "Data Pribadi Pengguna Akhir" dalam Daftar Subprosesor Bird, yang juga mengandung prosedur bagi Anda untuk berlangganan pemberitahuan tentang perubahan dalam penggunaan Subprosesor kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan memperhatikan Bagian 8.3 dari DPA ini, kami akan membagikan rincian tentang perubahan pada Subprosesor sesegera mungkin.
8.2 Penggunaan Subprosesor. Melalui DPA ini, Anda memberikan otorisasi tertulis secara umum kepada kami untuk melibatkan Subprosesor untuk pemrosesan Data Pribadi Pelanggan, dengan ketentuan pada Bagian 8.3 dari DPA ini dan persyaratan berikut:
a. Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Subprosesor hanya untuk kebutuhan yang ketat dalam memberikan layanan yang ditentukan dalam perjanjian subprosesor;
b. Kami akan menyepakati kewajiban perlindungan data dengan Subprosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan
c. Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini atas pelaksanaan kewajiban perlindungan data dari Subprosesor.
8.3 Pemberitahuan perubahan pada Subprosesor dan hak untuk keberatan. Sebelum mengganti atau melibatkan Subprosesor baru (“Perubahan Subprosesor”), kami akan memberikan Anda pilihan untuk mengajukan keberatan terhadap Perubahan Subprosesor.
Anda dapat mengajukan keberatan terhadap Perubahan Subprosesor dengan syarat bahwa (i) keberatan diajukan secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami mengenai Perubahan Subprosesor dan (ii) keberatan tersebut didasarkan pada dan jelas menjelaskan alasan yang wajar terkait dengan perlindungan Data Pribadi Pelanggan. Ketika Anda mengajukan keberatan terhadap Perubahan Subprosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk membuat perubahan yang secara komersial wajar dalam penyediaan Layanan yang menghindari penggunaan Subprosesor terkait. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari kerja setelah kami menerima pemberitahuan keberatan Anda, atau jika perubahan itu secara komersial tidak wajar bagi kami, kedua pihak dapat mengakhiri fitur Layanan yang berlaku yang tidak dapat disediakan tanpa penggunaan Subprosesor yang relevan. Hak pengakhiran ini adalah satu-satunya dan eksklusif Anda jika Anda mengajukan keberatan terhadap Perubahan Subprosesor.
9. Transfer Data Pribadi Pelanggan Lintas Perbatasan
9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat semua langkah perlindungan yang diperlukan oleh Perundang-undangan Perlindungan Data telah diterapkan. Ini dapat mencakup penilaian dampak transfer data sebelumnya, adopsi, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa solusi hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontrak Standar Subprosesor. Kecuali terdapat keputusan kesesuaian atau mekanisme transfer alternatif yang berlaku, kami telah menandatangani dan akan mempertahankan Klausul Kontrak Standar dengan Subprosesor (termasuk Afiliasi kami) yang terletak di luar EEA, sesuai dengan ketentuan yang diatur dalam Bagian 9.1 dari DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (mis. EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang terletak di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang terletak di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai dalam pengertian Perundang-undangan Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan secara langsung oleh pihak-pihak jika transfer tersebut tunduk pada Perundang-undangan Perlindungan Data:
9.3.1 Pihak-pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam kasus transfer dari Swiss, otoritas yang berwenang di Swiss) sebagai menyediakan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird adalah pemroses data, Klausul Kontrak Standar Pengendali ke Pemroses UE akan berlaku untuk setiap transfer Data Pribadi Pelanggan tersebut dari EEA. Ketika Anda bertindak sebagai pemroses data dan MessageBird adalah subprosesor, Klausul Kontrak Standard Pemroses ke Subprosesor akan berlaku untuk setiap transfer Data Pribadi Pelanggan tersebut dari EEA.
9.3.1.2 MessageBird akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data berdasarkan Klausul Kontrak Standar. Penandatanganan DPA ini oleh masing-masing pihak akan diperlakukan sebagai penandatanganan Klausul Kontrak Standar yang berlaku, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan berdasarkan Annex 1 dan Annex 2 untuk Klausul Kontrak Standar tersedia dalam Lampiran I dan Lampiran II untuk DPA ini. Jika terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3 Ketika Klausul Kontrak Standar mengharuskan para pihak untuk memilih antara klausul opsional dan untuk memasukkan informasi, para pihak telah melakukannya seperti yang diatur di bawah ini:
Klausul Opsional 7 “Klausul docking” tidak akan diadopsi.
Untuk Klausul 9 “Penggunaan sub-prosesor”, pihak-pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: importir data telah mendapat otorisasi umum pengendali untuk melibatkan sub-prosesor dari daftar yang disepakati. Importir data harus secara khusus memberitahukan pengendali secara tertulis tentang setiap perubahan yang dimaksudkan untuk daftar tersebut melalui penambahan atau penggantian subprosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan pengendali waktu yang cukup untuk menolak perubahan tersebut sebelum keterlibatan sub-prosesor. Importir data harus memberikan informasi yang diperlukan kepada eksportir data untuk memungkinkan eksportir data menggunakan haknya untuk menolak. Importir data harus memberitahu eksportir data tentang keterlibatan sub-prosesor.”
Untuk Klausul 11 (a) “Pemulihan”, pihak-pihak tidak mengadopsi Opsi.
Untuk Klausul 17 “Hukum yang Mengatur”, pihak-pihak memilih opsi berikut: “Opsi 1. Klausul-klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, dengan syarat hukum tersebut mengizinkan hak pihak ketiga. Para Pihak menyetujui bahwa ini akan menjadi hukum Belanda.”
Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak setuju bahwa itu akan menjadi pengadilan di Belanda.”
9.3.2 Pihak-pihak setuju bahwa Klausul Kontrak Standar Pengendali ke Pemroses Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung atau melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar Inggris yang tidak diakui oleh otoritas pengatur atau badan pemerintah Inggris yang berwenang untuk Inggris sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.
9.3.2.1 MessageBird akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data berdasarkan Klausul Kontrak Standar Pengendali ke Pemroses Inggris. Penandatanganan DPA ini oleh masing-masing pihak akan diperlakukan sebagai penandatanganan Klausul Kontrak Standar Pengendali ke Pemroses Inggris, yang akan dianggap terintegrasi ke dalam DPA ini. Rincian yang diperlukan berdasarkan Annex 1 dan Annex 2 untuk Klausul Kontrak Standar Pengendali ke Pemroses Inggris tersedia dalam Lampiran I dan Lampiran II untuk DPA ini. Jika terjadi konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar Pengendali ke Pemroses Inggris, Klausul Kontrak Standar Pengendali ke Pemroses Inggris akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.
10. Audit
10.1 Laporan Audit. Platform komunikasi kami akan secara rutin diaudit sesuai dengan standar ISO 27001:2013 (atau yang setara). Audit dapat, atas kebijakan kami sendiri, menjadi audit internal, atau audit yang dilakukan oleh pihak ketiga. Berdasarkan permintaan tertulis, kami akan memberikan ringkasan laporan audit kepada Anda (“Laporan Audit”), agar Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang dianggap perlu untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan tanggapan tertulis terhadap permintaan informasi yang wajar dari Anda, termasuk tanggapan terhadap kuesioner keamanan informasi dan audit yang wajar dalam ruang lingkup dan diperlukan untuk mengonfirmasi kepatuhan terhadap DPA ini, dengan ketentuan bahwa Anda (i) terlebih dahulu telah melakukan upaya yang wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang diberikan atau dipublikasikan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali terjadi Pelanggaran Data Pribadi atau perubahan signifikan dalam aktivitas pemrosesan kami terkait Layanan yang mengharuskan kuesioner tambahan dilaksanakan. Semua tanggapan yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan. Jika Laporan Audit yang kami berikan kepada Anda memberikan alasan yang didukung untuk percaya bahwa kami melanggar kewajiban kami berdasarkan DPA ini, terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan berkualitas yang Anda tunjuk dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi yang relevan, dengan ketentuan bahwa persyaratan berikut dipenuhi:
a. Anda harus memberi kami pemberitahuan sebelumnya yang wajar selama setidaknya enam puluh (60) hari sebelum menggunakan hak untuk melakukan audit;
b. Auditor setuju dengan kewajiban kerahasiaan standar pasar dengan kami;
c. Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan pada operasi bisnis kami;
d. Audit akan dilakukan selama jam kerja normal;
e. Kami tidak berkewajiban untuk memberikan akses ke data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan
f. Anda akan membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan semua Data Pribadi Pelanggan (termasuk salinan) yang kami miliki atau kendalikan, dengan syarat bahwa persyaratan ini tidak akan berlaku sejauh kami diwajibkan oleh hukum untuk menyimpan beberapa atau seluruh Data Pribadi Pelanggan. Jika Anda memerintahkan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut dan akan dihapus setelah periode retensi yang diwajibkan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuknya ke dalam DPA ini atas nama dan atas nama Afiliasi Pelanggan sebagaimana diatur dalam Bagian 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, tunduk pada hal-hal berikut:
12.1. Komunikasi. Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk melakukan dan menerima setiap komunikasi sehubungan dengan DPA ini atas nama Afiliasi Pelanggannya.
12.2 Hak Afiliasi Pelanggan. Ketika Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, ia akan berhak untuk menjalankan hak-hak dan mencari upaya hukum berdasarkan DPA ini, sebagaimana diatur dalam Undang-Undang Perlindungan Data, dengan ketentuan sebagai berikut:
(i) Kecuali Undang-Undang Perlindungan Data mewajibkan Afiliasi Pelanggan untuk menjalankan hak atau mencari upaya hukum berdasarkan DPA ini secara langsung kepada MessageBird, para pihak setuju bahwa (i) hanya Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian yang boleh menjalankan hak tersebut atau mencari upaya hukum tersebut atas nama Afiliasi Pelanggan, dan (ii) Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan menjalankan hak-hak tersebut di bawah DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individu tetapi secara bersama-sama untuk dirinya sendiri dan semua Afiliasi Pelanggannya.
(ii) Para pihak setuju bahwa Pelanggan yang merupakan pihak yang mengikat dalam Perjanjian akan, ketika audit di tempat atas prosedur yang relevan untuk perlindungan Data Pribadi Pelanggan dilakukan atas namanya sebagaimana diatur dalam Bagian 10.3 dari DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak apa pun terhadap kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak yang mengikat dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California
Kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami. Kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA (“Data Pribadi CCPA”) sesuai dengan ketentuan CCPA. Sehubungan dengan Data Pribadi CCPA, kami adalah penyedia layanan di bawah CCPA. Kami tidak akan (a) menjual Data Pribadi CCPA; (b) mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan lain selain untuk tujuan spesifik memberikan Layanan, termasuk mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA untuk tujuan komersial lain selain memberikan Layanan; atau (c) mempertahankan, menggunakan, atau mengungkapkan Data Pribadi CCPA di luar hubungan bisnis langsung kami dengan Anda. Pemrosesan Data Pribadi CCPA yang diotorisasi oleh instruksi Anda dalam Syarat dan DPA ini adalah bagian integral dari penyediaan Layanan kami. Anda mengakui dan setuju bahwa akses kami ke Data Pelanggan tidak merupakan bagian dari kompensasi yang diperoleh berdasarkan Perjanjian. Sepanjang data penggunaan dianggap sebagai Data Pribadi CCPA, kami adalah bisnis sehubungan dengan data tersebut dan akan Memproses data tersebut sesuai dengan Pernyataan Privasi kami. Istilah “bisnis”, “tujuan komersial”, “penyedia layanan”, dan “menjual” seperti yang digunakan dalam Bagian 13.1 memiliki arti yang diberikan kepada mereka dalam CCPA. Kedua belah pihak menyatakan bahwa mereka memahami dan akan mematuhi kewajiban dan pembatasan yang ditetapkan dalam DPA ini dan Perjanjian seperti yang diperlukan berdasarkan CCPA.
13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan syarat dan ketentuan yang diharapkan dalam Bagian 1798.140(t)(2)(C)(i) dari CCPA. Anda bertanggung jawab untuk mematuhi persyaratan CCPA yang berlaku untuk Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Bagian 13 dari Syarat dan Ketentuan akan berlaku untuk setiap Sengketa yang timbul dari atau terkait dengan DPA ini, kecuali ditentukan lain oleh Peraturan Perlindungan Data.
LAMPIRAN I - RINCIAN PROSES
Jika memungkinkan, Jadwal 1 ini akan berfungsi sebagai Lampiran I untuk Klausul Kontrak Standar EEA.
Lampiran I, Bagian A. Daftar Pihak
Ekspor data: Pelanggan
Detail kontak ekspor data: Alamat yang tertera di akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih oleh Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran ekspor data: Peran eksportir data dijelaskan dalam Bagian 4 DPA.
Tanda tangan dan tanggal: Jika dan ketika berlaku, eksportir data dianggap telah menandatangani Klausul Kontrak Standar yang tercantum di sini sejak Tanggal Efektif DPA.
Impor data: MessageBird B.V.
Detail kontak impor data: Trompenburgstraat 2-C, 1079TX, Amsterdam, Belanda, Petugas Perlindungan Data - privacy@bird.com
Peran impor data: Impor data bertindak sebagai pemroses data.
Tanda tangan dan tanggal: Jika dan ketika berlaku, impor data dianggap telah menandatangani Klausul Kontrak Standar yang tercantum di sini sejak Tanggal Efektif DPA.
Lampiran I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang data Pribadi mereka ditransfer: Pengguna. Kontak orang Pelanggan (individu) atau karyawan, kontraktor, atau pekerja sementara (saat ini, prospektif, mantan) yang menggunakan Layanan melalui akun Pelanggan (“Pengguna”);Pengguna Akhir. Setiap individu (i) yang detail kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) yang mana Pelanggan mengirimkan komunikasi atau berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan menentukan secara eksklusif kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.
2. Kategori Data Pribadi yang ditransfer: Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Konten komunikasi, yang mungkin mencakup Data Pribadi atau karakteristik pribadi lainnya, tergantung pada konten komunikasi sebagaimana ditentukan oleh Anda sebagai Pelanggan. Data lalu lintas, yang mungkin mencakup Data Pribadi Pelanggan tentang rute, durasi, atau waktu komunikasi seperti panggilan suara, SMS, atau email, apakah itu terkait dengan individu atau perusahaan. Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran. Data penggunaan pelanggan, dapat berisi data yang dapat dikaitkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan, dan laporan analitik mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang ditransfer (jika berlaku) dan pembatasan atau perlindungan yang diterapkan yang sepenuhnya memperhitungkan sifat data dan risiko yang terlibat, seperti misalnya batasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menyimpan catatan akses ke data, pembatasan untuk transfer selanjutnya atau langkah-langkah keamanan tambahan.
(a) Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan dimana Anda atau Pengguna Akhir Anda memilih untuk menyertakan data sensitif dalam komunikasi yang ditransmisikan menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa perlindungan yang sesuai ada sebelum mentransmisikan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mentransmisikan atau memproses data sensitif apapun melalui Layanan, sesuai dengan Bagian 3.2 Perjanjian.
(b) Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer (misalnya apakah data ditransfer sekali saja atau terus menerus): Data Pribadi Pelanggan ditransfer secara terus-menerus untuk durasi Perjanjian.
5. Sifat pemrosesan: Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk memberikan Layanan berdasarkan Perjanjian. Kami tidak menjual Data Pribadi apa pun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.
6. Tujuan transfer data dan pemrosesan lebih lanjut: Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana diatur dalam DPA ini, kecuali pemrosesan diperlukan untuk mematuhi kewajiban hukum yang kami hadapi, dalam hal ini kami akan menentukan sebagai pengendali data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terdapat dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan dasar berikut:
(a) Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dasbor, kepada Pelanggan, termasuk pengiriman ke atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
(b) Data lalu lintas. Data lalu lintas diproses untuk tujuan mentransmisikan komunikasi pada jaringan komunikasi elektronik atau untuk penagihan berkaitan dengan komunikasi tersebut. Ini mungkin termasuk Data Pribadi Pelanggan mengenai rute, durasi, atau waktu komunikasi seperti panggilan suara, SMS, atau email, apakah itu terkait dengan individu atau perusahaan.
(c) Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melaksanakan Layanan dan hanya akan diproses untuk tujuan transmisi komunikasi, dukungan pelanggan, dan memastikan kepatuhan terhadap kewajiban hukum dari MessageBird.
(d) Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan untuk memberikan Layanan berdasarkan Perjanjian, dengan tujuan memberikan wawasan terkait Layanan kepada Pelanggan dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan perbaikan berkelanjutan terhadap Layanan.
7. Periode di mana Data Pribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan periode tersebut:
(a) Konten komunikasi dan data lalu lintas. Untuk konten pelanggan dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara, periode retensi enam bulan berlaku;
Untuk Layanan 24sessions, konten pelanggan dan data lalu lintas disimpan selama minimal 30 hari hingga durasi yang disepakati dengan Anda;
Untuk semua layanan lainnya, konten pelanggan dan data lalu lintas disimpan selama durasi Layanan, kecuali jika Anda menghapus konten pelanggan atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan kepada Anda melalui Layanan.
(b) Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama durasi yang ditentukan oleh Pelanggan, saat Data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama durasi Layanan, tunduk pada Bagian 6(c) dari Lampiran I, Bagian B ini.
(c) Data penggunaan pelanggan. Setelah terminasi Perjanjian, kami dapat mempertahankan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang diatur dalam Bagian 6(d) dari Lampiran I, Bagian B ini, tunduk pada kewajiban kerahasiaan yang diatur dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang diatur dalam Bagian 6(d) dari Lampiran I, Bagian B ini.
8. Untuk transfer ke (sub)pemroses, juga tentukan subjek, sifat, dan durasi pemrosesan: Untuk transfer ke Subpemroses, subjek dan sifat pemrosesan dijelaskan dalam Daftar Subpemroses Bird, dan durasi pemrosesan tersebut sesuai dengan durasi Perjanjian.
Lampiran I, Bagian C. Otoritas Pengawas yang Kompeten
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.
APENDIK II UNTUK KLAUSUL KONTRAK STANDARD
Di mana berlaku, Lampiran II ini akan berfungsi sebagai Annex II untuk Klausul Kontrak Standar. Berikut ini memberikan informasi lebih lanjut mengenai langkah-langkah keamanan teknis dan organisasi kami yang diuraikan di bawah ini.
Langkah-Langkah Keamanan Teknis dan Organisasi:
Langkah-langkah pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit: Semua Data Pribadi dienkripsi selama transit dan saat tidak aktif, dan, dalam hal relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu ditransmisikan melalui TLS dengan metodologi enkripsi terkini secara default.
Langkah-langkah untuk memastikan kerahasiaan, integritas, dan ketersediaan serta ketahanan sistem dan layanan pemrosesan yang berkelanjutan: kami memasuki perjanjian yang mengandung ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Subprosesor kami. Kebijakan kontinuitas bisnis kami adalah untuk mempersiapkan bisnis dan layanan kami dalam hal pemadaman yang berkepanjangan yang disebabkan oleh faktor di luar pengendalian kami dan untuk memulihkan layanan sejauh mungkin dalam jangka waktu minimal. Kami memahami layanan yang kami berikan adalah penting bagi pelanggan kami dan oleh karena itu kami memiliki toleransi yang sangat sedikit terhadap gangguan layanan. Kerangka waktu kami untuk pemulihan dirancang untuk memastikan kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.
Proses untuk pengujian, penilaian, dan evaluasi secara berkala efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan: Tujuan keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang berwenang), serta untuk meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman dan kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan Tim Keamanan dan Kepatuhan memastikan bahwa regulasi dan standar yang berlaku dipertimbangkan dalam kerangka keamanan kami.
Langkah-langkah untuk identifikasi dan otorisasi pengguna: Kami mengikuti prinsip “perlu tahu“ dan “hak paling sedikit”. Kami mendukung penggunaan kontrol akses berbasis peran. Penyediaan dan penghapusan diawasi oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditetapkan untuk setiap aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka sesuai dan ditinjau secara berkala. Setiap kali berhadapan dengan informasi sensitif atau mengambil tindakan kritis, kami menggunakan prinsip empat mata.
Langkah-langkah untuk memastikan pencatatan peristiwa: Log audit disimpan secara terpusat dan dipantau secara berkala untuk peristiwa keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden menegakkan rencana respons insiden dan prosedurnya. Pedoman ini diikuti jika terjadi insiden keamanan atau teknis apapun. Jika terjadi insiden Keamanan, mereka akan ditinjau secara berkala oleh Komite Pengarah Keamanan yang terdiri dari pemangku kepentingan senior dari seluruh bisnis.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default: Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan pada lingkungan produksi Platform Komunikasi sebagai Layanan. Untuk menjelaskan lebih lanjut, semua permintaan perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dilaksanakan sesuai dengan proses kontrol perubahan formal. Proses kontrol ini memastikan bahwa perubahan yang diusulkan ditinjau, disetujui, diuji, diterapkan, dan dirilis dengan cara yang terkontrol; dan status setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem dengan aman dengan mengikuti praktik terbaik. Selain itu, dalam departemen Teknik, radar teknologi digunakan untuk menentukan teknologi mana (bahasa, alat platform, basis data, dan alat manajemen data) yang dapat diadopsi atau perlu dihindari selama pengembangan.
Langkah untuk keamanan fisik: Kami secara aktif mempromosikan kebijakan “Bekerja dari Mana Saja” sehingga karyawan kami bebas bekerja dari tempat mana pun yang mereka inginkan. Namun, kami masih memiliki lokasi kantor kami. Kami tidak memiliki area aman/ pusat data di lokasi kami karena kami adalah perusahaan berbasis cloud sepenuhnya. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan berawak.
Langkah-langkah untuk tata kelola dan manajemen TI internal dan TI keamanan: Kami memelihara program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan dan kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami diatur dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan regulasi berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi bagi organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab untuk tingkat taktis keamanan informasi. Ini mencakup koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis menjadi kegiatan operasional untuk keamanan kami, serta pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring berdasarkan keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap orientasi, serta melalui pelatihan spesifik tim secara berkala, dan presentasi perusahaan secara menyeluruh tentang pentingnya perlindungan data dan kepatuhan keamanan. MessageBird telah bersertifikat ISO/IEC 27001:2013, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).
Semua penyedia hosting kami mematuhi ISO/IEC 27001:2013.
Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan kepada klien kami.
Kami adalah Anggota Associate dari Asosiasi Seluler Groupe Speciale (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia. Kami selalu mengikuti semua hukum dan regulasi yang berlaku, termasuk Peraturan Perlindungan Data Umum.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk: Kami menjalani pengawasan ketat serta audit sertifikasi sebagai bagian dari kepatuhan ISO/IEC 27001:2013 kami, dan secara rutin melakukan pengujian kerentanan aplikasi dan penetrasi. MessageBird mengambil pendekatan terpadu terhadap manajemen tambalan dan kerentanan untuk memastikan bahwa garis waktu SLA standar kami dipertahankan apakah kerentanan ada di infrastruktur dasar kami, platform operasional, atau kode sumber.
Langkah-langkah untuk keamanan aplikasi: Kami memastikan keamanan aplikasi kami selama fase desain dan pengembangan berdasarkan Pedoman Kode Aman MessageBird.
Koreksi yang tepat diterapkan sebelum rilis.
Perubahan kode ditinjau oleh individu yang terampil (yang akrab dengan peninjauan kode dan pengembangan aman), selain pengembang asalnya.
Aplikasi akan menjalani pengujian keamanan aplikasi yang ketat untuk mengidentifikasi ancaman dan kerentanan baru setidaknya setahun sekali (sesuai dengan standar industri dan praktik terbaik).
Semua perubahan kode untuk aplikasi yang didorong ke lingkungan produksi ditinjau menggunakan proses manual dan/atau otomatis.
Pengujian penetrasi dilakukan setiap tahun dan berdasarkan kasus per kasus pada produk/fitur baru. Alat analisis kode sumber otomatis digunakan untuk mendeteksi cacat keamanan dalam kode sebelum penerapan, berdasarkan bahasanya.
Langkah-langkah untuk pengungkapan kerentanan: Kami menghargai peneliti keamanan yang telah menemukan kerentanan pada platform kami untuk menghubungi kami dan mengirimkan temuan mereka ke security@bird.com. Kami memiliki tim keamanan yang berdedikasi yang menindaklanjuti dan mengirimkan undangan ke program hadiah bug kami untuk menyelidiki dan memperbaiki jika diperlukan.
Langkah-langkah untuk memastikan akuntabilitas: kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan mempublikasikan ikhtisar informasi ISMS kami yang relevan dalam dokumentasi Bird. Kami telah menunjuk VP, Kepatuhan dan Keamanan Informasi yang berdedikasi dan seorang Pejabat Perlindungan Data, serta memelihara dokumentasi kegiatan pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.
