Perjanjian Pemrosesan Data

Perjanjian Pemrosesan Data ini berlaku untuk Anda jika Anda mendaftar untuk Layanan Bird (termasuk melalui afiliasinya) pada atau setelah 28 Februari 2022 dan sebelum 1 Januari 2024. Berlaku sejak 15 April 2022, Perjanjian Pemrosesan Data ini juga akan berlaku untuk pelanggan yang mendaftar untuk Layanan Bird sebelum 28 Februari 2022. Arsip Perjanjian Pemrosesan Data kami tersedia di sini.


Perjanjian pemrosesan data ini termasuk lampiran-lampirannya ("DPA") adalah bagian dari Perjanjian antara Pelanggan dan entitas kontrak yang terdaftar dalam Bagian 15 (Entitas Kontrak) dari Ketentuan Umum, kecuali dinyatakan lain pada Formulir Pesanan Anda. Dalam DPA ini, istilah anda”, “milik anda”, atau Pelanggan merujuk kepada Anda (tergantung pada Bagian 1.2 di bawah), dan istilah “kami”, “kita,” “milik kami atauMessageBird merujuk kepada kami.

1. Scope, Customer Affiliates and Term

1.1 Cakupan. DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh MessageBird sebagai pemroses.

1.2 Afiliasi Pelanggan. Pelanggan memasuki DPA ini atas nama dirinya sendiri dan, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan Afiliasi tersebut akses ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi.

1.3 Jangka Waktu. DPA ini akan tetap berlaku selama MessageBird memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, terlepas dari berakhirnya atau penghentian Perjanjian.

2. Definisi

Istilah-istilah yang diberi huruf kapital tetapi tidak didefinisikan dalam DPA ini harus memiliki makna yang diberikan kepada mereka dalam Perjanjian. Istilah-istilah yang didefinisikan berikut ini digunakan dalam DPA ini:

2.1 “CCPA” berarti California Consumer Privacy Act tahun 2018 dan peraturan apa pun yang dibuat berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.

2.2 “Customer Data” berarti data dan informasi lain atau konten yang diserahkan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.

2.3 “Customer Personal Data” berarti Data Pribadi yang terdapat dalam Customer Data. Data akun bukanlah Customer Personal Data. Data akun adalah data apa pun yang diberikan oleh atau untuk Anda kepada MessageBird sehubungan dengan penandatanganan dan pengelolaan Perjanjian dan akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan Pelanggan, dan korespondensi mengenai penandatanganan dan pengelolaan Perjanjian.

2.4 “Data Protection Legislation” berarti semua undang-undang dan peraturan dari yurisdiksi mana pun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, jika berlaku, GDPR, CCPA, dan semua undang-undang dan peraturan lain yang berkaitan dengan privasi, pemasaran langsung, atau perlindungan data.

2.5 “EEA” berarti, untuk tujuan DPA ini, Wilayah Ekonomi Eropa dan Swiss.

2.6 “EU Controller-to-Processor Standard Contractual Clauses” berarti modul “Controller to Processor” (Modul 2) dari Klausul Kontrak Standar untuk transfer Data Pribadi ke negara ketiga berdasarkan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.

2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” berarti modul “Processor to Processor” (Modul 3) dari Klausul Kontrak Standar untuk transfer Data Pribadi ke negara ketiga berdasarkan GDPR dan Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021.

2.8 “GDPR” berarti (i) Regulasi 2016/679 dari Parlemen Eropa dan Dewan tentang perlindungan orang fisik sehubungan dengan pemrosesan Data Pribadi dan pergerakan bebas data tersebut (Peraturan Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris Raya, Undang-Undang Perlindungan Data 2018.

2.9 “LGPD” berarti Lei Geral de Proteção de Dados tahun 2018 dan peraturan apa pun yang dibuat berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.

2.10 “Personal Data” berarti informasi apa pun yang terkait dengan orang yang teridentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung.

2.11 “PDPA” berarti Personal Data Protection Act tahun 2012 dan peraturan apa pun yang dibuat berdasarkan undang-undang tersebut, dalam setiap kasus, sebagaimana diubah dari waktu ke waktu.

2.12 Privacy Statement berarti Pernyataan Privasi terkini untuk Layanan yang tersedia di https://bird.com/legal/privacy.

2.13 “Personal Data Breach” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau melanggar hukum terhadap Customer Personal Data.

2.14 “Services” berarti semua produk dan layanan yang disediakan oleh kami atau afiliasi kami yang (a) dipesan oleh Anda di bawah Formulir Pesanan apa pun; atau (b) digunakan oleh Anda.

2.15 “Standard Contractual Clauses” berarti (i) EU Controller-to-Processor Standard Contractual Clauses; atau (ii) EU Processor-to-Subprocessor Standard Contractual Clauses, baik secara individu maupun kolektif, sebagaimana berlaku.

2.16 “Subprocessor” berarti entitas yang memproses Customer Personal Data atas nama entitas yang bertindak sebagai pemroses data atau Subprocessor.

2.17 “UK Controller-to-Processor Standard Contractual Clauses” berarti klausul kontrak standar untuk transfer Data Pribadi ke pemroses yang didirikan di negara ketiga dalam bentuk yang ditetapkan oleh Keputusan Komisi Eropa 2010/87/EU, sebagaimana dapat diubah, dimodifikasi, atau digantikan oleh Komisi Eropa.

Istilah-istilah seperti “processing”, “data controller”, “data processor”, “data subject”, dll. harus memiliki makna yang ditetapkan untuk mereka di bawah GDPR. Definisi “data controller” mencakup “business”, “controller”, dan “organization”; "data processor" mencakup “service provider”, “processor”, dan “data intermediary”; “data subject” mencakup “consumer”, dan “individual”; dan “Personal Data” mencakup “personal information”, dalam setiap kasus sebagaimana didefinisikan di bawah CCPA, LGPD, atau PDPA.

3. Pengolahan Data Pribadi Pelanggan

3.1 Tujuan. Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk pengiriman komunikasi, memastikan keamanan layanan, memberikan laporan teknis dan pengiriman, memberikan dukungan dan mengembangkan serta menerapkan perbaikan dan pembaruan sesuai dengan instruksi tertulis Anda kepada kami sebagai pengolah data seperti yang ditentukan dalam Pasal 3.2 DPA ini, dan (ii) untuk kepentingan bisnis sah kami seperti yang ditentukan dalam Pasal 3.4 DPA ini sebagai pengendali data. Kami tidak menjual Data Pribadi apapun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.

3.2 Instruksi. Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pengolah data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang secara wajar didokumentasikan dengan syarat instruksi tersebut konsisten dengan ketentuan Perjanjian.

3.3 Detail pemrosesan. Lampiran I, Bagian B. (Deskripsi transfer) dari DPA ini lebih lanjut menjelaskan alam dan tujuan pemrosesan, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi dan kategori subjek data oleh kami sebagai pengolah data atau Subprocessor.

3.4 Kepentingan bisnis yang sah. Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk kepentingan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, melawan dan mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang mungkin mempengaruhi kami atau layanan kami, pemodelan bisnis (misalnya perkiraan, perencanaan kapasitas dan pendapatan, strategi produk), penipuan, spam, dan pencegahan serta deteksi penyalahgunaan, perbaikan produk, dan untuk mematuhi kewajiban hukum kami.

4. Customer Obligations

4.1 Kepatuhan hukum. Di mana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua aktivitas pemrosesan adalah sah, memiliki tujuan tertentu, dan semua pemberitahuan serta persetujuan yang diperlukan atau dasar hukum yang sesuai lainnya telah ada untuk memungkinkan transfer sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Subprosesor), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa kondisi yang tercantum dalam Bagian 4.1 ini dipenuhi.

4.2 Kepatuhan. Anda bertanggung jawab sepenuhnya atas (a) memastikan bahwa Anda mematuhi Peraturan Perlindungan Data yang berlaku untuk penggunaan Anda atas Layanan dan pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan memenuhi persyaratan Anda, dan (c) mengimplementasikan serta mempertahankan langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kendalikan (termasuk tetapi tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan, dan Aplikasi Pelanggan).

5. Keamanan

5.1 Langkah-langkah keamanan. Dengan memperhitungkan keadaan seni, biaya implementasi serta sifat, ruang lingkup, konteks, dan tujuan pemrosesan serta risiko yang bervariasi dalam kemungkinan dan keparahan terhadap hak dan kebebasan orang-orang, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang tepat untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan dalam Lampiran II.

5.2 Pembaruan terhadap langkah-langkah keamanan. Anda bertanggung jawab untuk meninjau informasi yang tersedia oleh kami terkait dengan keamanan Data Pribadi Pelanggan dan membuat penentuan independen apakah informasi tersebut memenuhi persyaratan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tersebut tunduk pada kemajuan dan perkembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keseluruhan keamanan Data Pribadi Pelanggan.

5.3 Kontrol akses. Kami menerapkan prinsip “perlu tahu” dan hak akses paling sedikit.

5.4 Kerahasiaan pemrosesan. Kami akan memastikan bahwa setiap orang atau pihak yang diberi wewenang oleh kami untuk memproses Data Pribadi Pelanggan (termasuk staf kami, agen, dan Subprosesor) diinformasikan tentang sifat rahasia dari Data Pribadi Pelanggan tersebut dan akan berada di bawah kewajiban kerahasiaan yang sesuai (baik itu kewajiban kontraktual atau statutori) yang tetap ada setelah pemutusan keterlibatan mereka.

5.5 Tanggapan dan pemberitahuan terhadap Pelanggaran Data Pribadi. Setelah menyadari adanya Pelanggaran Data Pribadi, kami akan tanpa penundaan yang tidak perlu (i) memberitahukan Anda, (ii) menyelidiki Pelanggaran Data Pribadi, (iii) memberikan informasi yang tepat waktu terkait dengan Pelanggaran Data Pribadi saat itu menjadi diketahui atau saat secara wajar diminta oleh Anda, dan (iv) mengambil langkah-langkah yang wajar secara komersial untuk mengurangi efek dan mencegah terulangnya Pelanggaran Data Pribadi tersebut.

6. Bantuan

6.1 Asistensi perlindungan data. Kami akan memberikan Anda bantuan yang diminta secara wajar untuk memungkinkan Anda mematuhi kewajiban Anda berdasarkan Legislasi Perlindungan Data, termasuk pemberitahuan adanya Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang tepat, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.

6.2 Asistensi dengan permintaan subjek data. Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda kepada subjek data yang menjalankan hak mereka berdasarkan Legislasi Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari keraguan, Anda sebagai pengendali data bertanggung jawab untuk memproses permintaan atau keluhan dari subjek data terkait Data Pribadi Pelanggan dari seorang subjek data.

7. Pengungkapan dan Permintaan Pengungkapan

7.1 Pembatasan terhadap pengungkapan dan akses. Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diarahkan oleh Anda, (ii) sebagaimana tercantum dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.

7.2 Permintaan pengungkapan. Kami akan memberitahukan Anda secepat mungkin apabila kami menerima permintaan dari badan pemerintah atau badan regulasi untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan yang tersedia di https://bird.com/legal/disclosure-requests.

8. Subprocessors

8.1 Subprosesor Saat Ini. Anda setuju untuk keterlibatan Subprosesor yang terdaftar di https://www.bird.com/en/legal/privacy#processorList di bawah header “Data Pribadi Pengguna Akhir”, yang berisi prosedur bagi Anda untuk berlangganan pemberitahuan perubahan penggunaan Subprosesor kami. Jika Anda berlangganan pemberitahuan tersebut, dan dengan mempertimbangkan Bagian 8.3 dari DPA ini, kami akan membagikan detail perubahan Subprosesor sesegera mungkin.

8.2 Penggunaan Subprosesor. Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Subprosesor dalam pemrosesan Data Pribadi Pelanggan, tergantung pada Bagian 8.3 dari DPA ini dan persyaratan berikut:
a. Kami akan membatasi akses Subprosesor ke Data Pribadi Pelanggan hanya yang benar-benar diperlukan untuk menyediakan layanan yang ditentukan dalam perjanjian subprosesor;

b. Kami akan menyepakati kewajiban perlindungan data dengan Subprosesor yang secara substansial sama dengan kewajiban di bawah DPA ini; dan

c. Kami tetap bertanggung jawab kepada Anda di bawah DPA ini untuk pelaksanaan kewajiban perlindungan data dari Subprosesor.

8.3 Pemberitahuan perubahan Subprosesor dan hak untuk menolak. Sebelum mengganti atau melibatkan Subprosesor baru (“Perubahan Subprosesor”), kami akan memberi Anda opsi untuk menolak Perubahan Subprosesor tersebut.

Anda dapat menolak Perubahan Subprosesor dengan ketentuan bahwa (i) penolakan dilakukan secara tertulis dalam waktu sepuluh (10) hari kerja sejak pemberitahuan Perubahan Subprosesor kami dan (ii) penolakan didasarkan pada dan menjelaskan dengan jelas alasan yang wajar terkait perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Subprosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk membuat perubahan yang secara komersial masuk akal dalam penyediaan Layanan yang menghindari penggunaan Subprosesor yang relevan. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari kerja sejak kami menerima pemberitahuan penolakan Anda, atau jika perubahan tersebut tidak masuk akal secara komersial bagi kami, salah satu pihak dapat mengakhiri fitur Layanan yang berlaku yang tidak dapat disediakan tanpa menggunakan Subprosesor yang relevan. Hak untuk mengakhiri ini adalah satu-satunya dan eksklusif solusi Anda jika Anda menolak Perubahan Subprosesor.

9. Transfer Lintas Batas Data Pribadi Pelanggan

9.1 Transfer Data Pribadi Pelanggan. Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat bahwa semua perlindungan yang diperlukan berdasarkan Peraturan Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, penerapan, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek yang dapat ditegakkan, dan bahwa perbaikan hukum yang efektif untuk subjek data tersedia.

9.2 Ketentuan Kontrak Standar Subprosesor. Kecuali jika keputusan kesesuaian atau mekanisme transfer alternatif berlaku, kami telah mengadakan dan akan memelihara Ketentuan Kontrak Standar dengan Subprosesor (termasuk Afiliasi kami) yang berlokasi di luar EEA, sesuai dengan ketentuan yang ditetapkan dalam Bagian 9.1 dari DPA ini.

9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan. Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor secara sah Data Pribadi Pelanggan dari suatu yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) ke kami yang berlokasi di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau hukum lain yang terkait dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke MessageBird yang terletak di negara-negara yang tidak menjamin tingkat perlindungan data yang memadai sesuai dengan pengertian Peraturan Perlindungan Data, mekanisme transfer yang terdaftar di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan secara langsung oleh pihak-pihak sejauh transfer tersebut tunduk pada Peraturan Perlindungan Data:

9.3.1 Para pihak setuju bahwa Ketentuan Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam hal transfer dari Swiss, oleh otoritas yang berwenang untuk Swiss) sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.

9.3.1.1 Ketika Anda bertindak sebagai pengendali data dan MessageBird sebagai pengolah data, Ketentuan Kontrak Standar Pengendali-ke-Pengolah UE akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pengolah data dan MessageBird sebagai subprosesor, Ketentuan Kontrak Standar Pengolah-ke-Subprosesor akan berlaku untuk setiap transfer Data Pribadi Pelanggan dari EEA.

9.3.1.2 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksport data berdasarkan Ketentuan Kontrak Standar. Tanda tangan masing-masing pihak pada DPA ini akan diperlakukan sebagai tanda tangan ketentuan kontrak standar yang berlaku, yang akan dianggap dimasukkan ke dalam DPA ini. Detail yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 dari Ketentuan Kontrak Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar, Ketentuan Kontrak Standar akan berlaku murni sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.

9.3.1.3 Di mana Ketentuan Kontrak Standar mengharuskan para pihak untuk memilih antara ketentuan opsional dan memasukkan informasi, para pihak telah melakukannya seperti yang dijelaskan di bawah:

  • Ketentuan Opsional 7 “Ketentuan penambahan” tidak akan diterima.

  • Untuk Ketentuan 9 “Penggunaan subprosesor”, para pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: pengimpor data memiliki otorisasi umum pengendali untuk melibatkan subprosesor dari daftar yang disepakati. Pengimpor data harus secara khusus memberitahukan pengendali secara tertulis tentang setiap perubahan yang dimaksudkan di daftar tersebut melalui penambahan atau penggantian subprosesor setidaknya 10 hari kerja sebelumnya, sehingga memberikan waktu yang cukup bagi pengendali untuk dapat menolak perubahan tersebut sebelum keterlibatan subprosesor. Pengimpor data harus memberikan informasi yang diperlukan kepada pengeksport data untuk memungkinkan pengeksport data menggunakan haknya untuk menolak. Pengimpor data harus memberitahu pengeksport data tentang keterlibatan subprosesor.”

  • Untuk Ketentuan 11 (a) “Perbaikan”, para pihak tidak mengadopsi Opsi.

  • Untuk Ketentuan 17 “Hukum yang berlaku”, para pihak memilih opsi berikut: “Opsi 1. Ketentuan ini akan diatur oleh hukum salah satu Negara Anggota UE, asalkan hukum tersebut memungkinkan hak pihak ketiga. Para Pihak sepakat bahwa ini akan menjadi hukum Belanda.”

  • Untuk Ketentuan 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak sepakat bahwa itu akan menjadi pengadilan Belanda.”


9.3.2 Para pihak sepakat bahwa Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung maupun melalui transfer lanjutan, ke entitas MessageBird yang terletak di negara di luar Inggris yang tidak diakui oleh otoritas regulatori atau badan pemerintah Inggris yang berwenang sebagai memberikan tingkat perlindungan yang memadai untuk data pribadi.

9.3.2.1 MessageBird akan dianggap sebagai pengimpor data dan Anda akan dianggap sebagai pengeksport data berdasarkan Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris. Tanda tangan masing-masing pihak pada DPA ini akan diperlakukan sebagai tanda tangan ketentuan kontrak standar pengendali-ke-pengolah Inggris yang akan dianggap dimasukkan ke dalam DPA ini. Detail yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 dari Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal terjadi konflik atau ketidaksesuaian antara DPA ini dan Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris, Ketentuan Kontrak Standar Pengendali-ke-Pengolah Inggris akan berlaku murni sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.

10. Audit

10.1 Laporan Audit. Platform komunikasi kami akan diaudit secara teratur sesuai dengan standar ISO 27001:2013 (atau setara). Audit dapat, atas kebijakan kami sendiri, berupa audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan Anda ringkasan laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta kesimpulan atau temuan yang ditentukan di dalamnya, adalah Informasi Rahasia kami.

10.2 Permintaan informasi pelanggan. Kami akan menyediakan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang ditetapkan dalam DPA ini. Kami akan memberikan jawaban tertulis atas permintaan informasi yang wajar yang diajukan oleh Anda, termasuk jawaban terhadap pertanyaan keamanan informasi dan audit yang wajar dalam lingkup dan diperlukan untuk mengonfirmasi kepatuhan terhadap DPA ini, dengan ketentuan bahwa Anda (i) telah terlebih dahulu melakukan upaya wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit, dan informasi lain yang disediakan atau diumumkan oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali Pelanggaran Data Pribadi atau perubahan signifikan dalam kegiatan pemrosesan kami sehubungan dengan Layanan mengharuskan agar kuesioner tambahan dilaksanakan. Semua jawaban yang diberikan adalah Informasi Rahasia kami.

10.3 Audit Pelanggan. Jika Laporan Audit yang kami berikan kepada Anda memberikan Anda alasan yang substansial untuk percaya bahwa kami melanggar kewajiban kami di bawah DPA ini, yang terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan terqualified yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit kegiatan pemrosesan Data Pribadi terkait yang berlaku, dengan ketentuan bahwa persyaratan berikut dipenuhi:

a. Anda harus memberi kami pemberitahuan dengan bantuan setidaknya enam puluh (60) hari sebelumnya sebelum menjalankan hak untuk audit;

b. Auditor setuju untuk menjaga kewajiban kerahasiaan standar pasar dengan kami;

c. Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan terhadap operasi bisnis kami;

d. Audit akan dilakukan selama jam kerja reguler;

e. Kami tidak berkewajiban untuk memberikan akses kepada data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan; dan

f. Anda harus membayar semua biaya audit.

11. Penghapusan dan Pengembalian Data Pribadi Pelanggan

Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan semua Data Pribadi Pelanggan (termasuk salinan) yang berada di tangan atau kendali kami, kecuali bahwa persyaratan ini tidak akan berlaku sejauh kami diharuskan oleh hukum untuk mempertahankan beberapa atau semua Data Pribadi Pelanggan. Jika Anda memberi instruksi kepada kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut, dan akan dihapus ketika periode retensi yang diperlukan telah berlalu.

12. Komunikasi dan Hak Afiliasi Pelanggan

Masuknya ke dalam DPA ini atas nama dan atas behalf dari Customer Affiliate seperti yang diatur dalam Pasal 1.2 merupakan DPA terpisah antara kami dan Customer Affiliate tersebut, tunduk pada hal-hal berikut:

12.1. Komunikasi. Customer yang merupakan pihak yang mengontrak dalam Perjanjian tetap bertanggung jawab untuk mengkoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak untuk melakukan dan menerima komunikasi terkait dengan DPA ini atas nama Customer Affiliates-nya.

12.2 Hak Customer Affiliates. Ketika Customer Affiliate menjadi pihak dalam DPA dengan kami, dia berhak untuk menggunakan hak-hak dan mencari remedial sesuai dengan DPA ini, sejauh yang diperlukan berdasarkan Peraturan Perlindungan Data, tunduk pada hal-hal berikut:

(i) Kecuali jika Peraturan Perlindungan Data mengharuskan Customer Affiliate untuk menggunakan hak atau mencari remedial berdasarkan DPA ini secara langsung terhadap MessageBird, para pihak sepakat bahwa (i) hanya Customer yang merupakan pihak pengontrak dalam Perjanjian yang akan menggunakan hak tersebut atau mencari remedial tersebut atas behalf Customer Affiliate, dan (ii) Customer yang merupakan pihak pengontrak dalam Perjanjian akan menggunakan hak-hak tersebut di bawah DPA ini tidak secara terpisah untuk setiap Customer Affiliate secara individual tetapi dengan cara yang terintegrasi untuk dirinya sendiri dan semua Customer Affiliates-nya.

(ii) Para pihak sepakat bahwa Customer yang merupakan pihak pengontrak dalam Perjanjian akan, ketika audit langsung dilakukan terhadap prosedur yang relevan untuk perlindungan Data Pribadi Customer dilakukan atas behalf-nya seperti yang diatur dalam Pasal 10.3 DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak pada kami dengan menggabungkan, sejauh yang wajar mungkin, beberapa permintaan audit yang dilakukan atas behalf dirinya sendiri dan semua Customer Affiliates-nya dalam satu audit tunggal.

Untuk kejelasan, Customer Affiliate tidak menjadi pihak pengontrak dalam Perjanjian.

13. Undang-Undang Privasi Konsumen California

Kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pemrosesan Data Pribadi Pelanggan dalam lingkup CCPA.

13.1 Kewajiban Kami. Kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA (“CCPA Personal Data”) sesuai dengan ketentuan CCPA. Sehubungan dengan CCPA Personal Data, kami adalah penyedia layanan di bawah CCPA. Kami tidak akan (a) menjual CCPA Personal Data; (b) menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data untuk tujuan apa pun selain tujuan spesifik menyediakan Layanan, termasuk menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data untuk tujuan komersial selain menyediakan Layanan; atau (c) menyimpan, menggunakan, atau mengungkapkan CCPA Personal Data di luar hubungan bisnis langsung kami dengan Anda. Pemrosesan CCPA Personal Data yang diizinkan oleh instruksi Anda dalam Ketentuan dan DPA ini merupakan bagian integral dari penyediaan Layanan kami. Anda mengakui dan setuju bahwa akses kami ke Data Pelanggan bukan merupakan bagian dari pertimbangan yang dipertukarkan di bawah Perjanjian. Sejauh data penggunaan dianggap sebagai CCPA Personal Data, kami adalah bisnis sehubungan dengan data tersebut dan akan Memproses data tersebut sesuai dengan Pernyataan Privasi kami. Istilah “bisnis”, “tujuan komersial”, “penyedia layanan”, dan “menjual” seperti yang digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan dalam CCPA. Kedua belah pihak menyatakan bahwa mereka memahami dan akan mematuhi kewajiban dan batasan yang ditetapkan dalam DPA ini dan Perjanjian seperti yang dipersyaratkan di bawah CCPA.

13.2 Kewajiban Pelanggan. Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan syarat dan ketentuan yang dimaksudkan dalam Bagian 1798.140(t)(2)(C)(i) dari CCPA. Anda bertanggung jawab untuk mematuhi persyaratan CCPA yang berlaku untuk Anda sebagai pengendali data.

14. Hukum yang Mengatur dan Penyelesaian Sengketa

Bagian 13 dari Persyaratan akan berlaku untuk setiap Perselisihan yang timbul dari atau terkait dengan DPA ini, kecuali jika diwajibkan lain oleh Peraturan Perlindungan Data.

LAMPIRAN I - DETAIL PROSES

Jika berlaku, Jadwal 1 ini akan berfungsi sebagai Lampiran I untuk Klausul Kontraktual Standar EEA.

Lampiran I, Bagian A. Daftar Pihak

Eksportir Data: Pelanggan
Rincian kontak eksportir data: Alamat yang tercantum dalam akun Pelanggan, atau email pemilik akun Pelanggan, atau ke alamat email yang dipilih Pelanggan untuk menerima pemberitahuan di bawah Perjanjian.
Peran eksportir data: Peran eksportir data dijelaskan dalam Bagian 4 DPA.
Tanda tangan dan tanggal: Jika dan ketika berlaku, eksportir data dianggap telah menandatangani Klausul Kontraktual Standar yang diintegrasikan di sini sejak Tanggal Efektif DPA.
Pengimpor data: MessageBird B.V.
Rincian kontak pengimpor data: Trompenburgstraat 2-C, 1079TX, Amsterdam, Belanda, Petugas Perlindungan Data - privacy@bird.com
Peran pengimpor data: Pengimpor data bertindak sebagai pemroses data.
Tanda tangan dan tanggal: Jika dan ketika berlaku, pengimpor data dianggap telah menandatangani Klausul Kontraktual Standar yang diintegrasikan di sini sejak Tanggal Efektif DPA.

Lampiran I, Bagian B. Deskripsi Transfer​​

1. Kategori subjek data yang Data Pribadinya ditransfer:
Pengguna. Orang kontak Pelanggan (perorangan) atau karyawan, kontraktor, atau pekerja sementara (saat ini, calon, mantan) yang menggunakan Layanan melalui akun Pelanggan (“Pengguna”);Pengguna Akhir. Setiap individu (i) yang rincian kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasinya disimpan atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau berinteraksi atau berkomunikasi dengan melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan secara sendiri menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.

2. Kategori Data Pribadi yang ditransfer: Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Konten komunikasi, yang mungkin termasuk Data Pribadi atau karakteristik pribadi lainnya, tergantung pada konten komunikasi sebagaimana ditentukan oleh Anda sebagai Pelanggan. Data lalu lintas, yang mungkin termasuk Data Pribadi Pelanggan tentang pengalihan, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah terkait dengan individu atau perusahaan. Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengenal saluran. Data penggunaan pelanggan, dapat berisi data yang dapat dikaitkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait akun dan aktivitas layanan Anda, wawasan terkait layanan, dan laporan analitis mengenai komunikasi yang dikirim dan dukungan pelanggan.

3. Data sensitif yang ditransfer (jika berlaku) dan pembatasan atau pengamanan yang diterapkan yang sepenuhnya mempertimbangkan sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk staf yang telah mengikuti pelatihan khusus), menjaga catatan akses ke data, pembatasan untuk transfer lebih lanjut atau langkah-langkah keamanan tambahan.

(a) Konten komunikasi. Data sensitif dapat, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk memasukkan data sensitif dalam komunikasi yang dikirim menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa pengamanan yang sesuai ada sebelum mengirim atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda untuk mengirim atau memproses data sensitif apa pun melalui Layanan, sesuai dengan Bagian 3.2 dari Perjanjian.

(b) Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.

4. Frekuensi transfer (misalnya apakah data ditransfer secara satu kali atau secara terus menerus): Data Pribadi Pelanggan ditransfer secara terus menerus selama durasi Perjanjian.

5. Sifat pemrosesan: Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan di bawah Perjanjian. Kami tidak menjual Data Pribadi apa pun, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis pihak ketiga tersebut.

6. Tujuan transfer data dan pemrosesan lebih lanjut: Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan sebagaimana diatur dalam DPA ini, kecuali pemrosesan diperlukan untuk mematuhi kewajiban hukum yang kami tunduk padanya, dalam hal ini kami akan mengklasifikasikan sebagai pengendali data.

Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terkandung dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan dikenakan kegiatan pemrosesan dasar berikut:

(a) Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, yang ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dashboard, kepada Pelanggan, termasuk pengiriman ke atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.

(b) Data lalu lintas. Data lalu lintas diproses untuk tujuan mengirim komunikasi pada jaringan komunikasi elektronik atau untuk penagihan sehubungan dengan komunikasi tersebut. Ini mungkin termasuk Data Pribadi Pelanggan tentang pengalihan, durasi atau waktu komunikasi seperti panggilan suara, SMS atau email, apakah terkait dengan individu atau perusahaan.

(c) Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk menjalankan Layanan dan hanya akan diproses untuk tujuan transmisi komunikasi, dukungan pelanggan, dan memastikan kepatuhan dengan kewajiban hukum MessageBird.

(d) Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan dikenakan kegiatan pemrosesan penyediaan Layanan di bawah Perjanjian, dengan tujuan memberikan Pelanggan wawasan terkait Layanan dan laporan analitik mengenai komunikasi yang dikirim, dukungan pelanggan, dan peningkatan berkelanjutan Layanan.

7. Periode penyimpanan Data Pribadi, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut:

(a) Konten komunikasi dan data lalu lintas. Untuk konten pelanggan dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara berlaku periode penyimpanan enam bulan;

Untuk Layanan 24sessions konten pelanggan dan data lalu lintas disimpan minimal 30 hari hingga durasi yang disepakati dengan Anda;

Untuk semua layanan lainnya, konten pelanggan dan data lalu lintas disimpan selama Layanan, kecuali jika Anda menghapus konten pelanggan atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan kepada Anda melalui Layanan.

(b) Data Pengguna Akhir. Data Pengguna Akhir akan diproses untuk durasi yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda periode penyimpanan default adalah selama Layanan, tunduk pada Bagian 6(c) dari Lampiran I, Bagian B ini.

(c) Data penggunaan pelanggan. Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B ini, tunduk pada kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B ini.

8. Untuk transfer ke (sub) pemroses, juga tentukan pokok permasalahan, sifat dan durasi pemrosesan: Untuk transfer ke Subpemroses, pokok permasalahan dan sifat pemrosesan dijelaskan di https://www.bird.com/legal/privacy#processorList dan durasinya selama Perjanjian.

Lampiran I, Bagian C. Otoritas Pengawas Yang Kompeten

Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.

APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES

Jika berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontrak Standar. Berikut memberikan informasi lebih lanjut mengenai ukuran keamanan teknis dan organisasi kami yang ditetapkan di bawah ini.

Ukuran Keamanan Teknis dan Organisasi:
Ukuran pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit: Semua Data Pribadi dienkripsi dalam transit dan saat tersimpan, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu ditransmisikan melalui TLS dengan metodologi enkripsi terbaru secara default.

Ukuran untuk memastikan kerahasiaan, integritas, dan ketersediaan yang berkelanjutan serta ketahanan sistem dan layanan pemrosesan: kami membuat perjanjian yang mengandung ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Subprosesor kami. Kebijakan keberlanjutan bisnis kami adalah mempersiapkan bisnis dan layanan kami dalam hal terjadinya pemadaman yang berkepanjangan yang disebabkan oleh faktor di luar kendali kami dan untuk memulihkan layanan sejauh mungkin dalam waktu minimum. Kami memahami layanan yang kami berikan adalah misi kritis bagi pelanggan kami dan oleh karena itu memiliki toleransi yang sangat sedikit terhadap gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.

Proses untuk pengujian, penilaian, dan evaluasi efektivitas ukuran teknis dan organisasi secara teratur untuk memastikan keamanan pemrosesan: Tujuan dari keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang diizinkan), serta untuk meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan, Tim Keamanan dan Kepatuhan memastikan bahwa regulasi dan standar yang berlaku dipertimbangkan dalam kerangka keamanan kami.

Ukuran untuk identifikasi dan otorisasi pengguna: Kami mengikuti prinsip “perlu tahu“ dan “hak paling sedikit”. Kami mempromosikan penggunaan kontrol akses berbasis peran. Pemberian dan pencabutan otorisasi diawasi oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditetapkan untuk setiap aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka sesuai dan ditinjau secara teratur. Setiap kali berurusan dengan informasi sensitif atau melakukan tindakan kritis, kami menggunakan prinsip empat mata.

Ukuran untuk memastikan pencatatan peristiwa: Log audit disimpan dan dipantau secara terpusat secara teratur untuk peristiwa keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden menegakkan rencana respons insiden dan prosedurnya. Pedoman ini diikuti jika terjadi jenis insiden keamanan atau teknis. Dalam hal terjadi insiden Keamanan, insiden tersebut akan ditinjau secara teratur oleh Komite Pengarah Keamanan yang terdiri dari pemangku kepentingan senior dari seluruh bisnis.

Ukuran untuk memastikan konfigurasi sistem, termasuk konfigurasi default: Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan pada lingkungan produksi Platform Komunikasi sebagai Layanan. Untuk lebih jelasnya, semua permintaan perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dilaksanakan sesuai dengan proses kontrol perubahan formal. Proses kontrol memastikan bahwa perubahan yang diusulkan ditinjau, disetujui, diuji, diterapkan, dan dirilis dengan cara yang terkendali; dan bahwa status setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem dengan aman dengan mengikuti praktik terbaik. Juga, di dalam departemen Teknik, radar teknologi digunakan untuk mendefinisikan teknologi mana (bahasa, alat platform, basis data dan alat manajemen data) yang dapat diadopsi atau perlu dihindari selama pengembangan.

Ukuran untuk keamanan fisik: Kami secara aktif mempromosikan kebijakan “Bekerja dari Mana Saja” sehingga karyawan kami bebas untuk bekerja dari tempat yang mereka inginkan. Namun, kami tetap memiliki kantor kami. Kami tidak memiliki area aman/ pusat data di tempat kami karena kami adalah perusahaan yang sepenuhnya berbasis cloud. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan yang dijaga.

Ukuran untuk tata kelola dan manajemen TI internal dan keamanan TI: Kami memelihara program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan dan kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun dengan cara yang sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan regulasi berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan, prosedur, dan pedoman keamanan informasi kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab atas tingkat taktis keamanan informasi. Ini mencakup koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis ke dalam kegiatan operasional untuk keamanan kami, dan pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami disaring untuk keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap orientasi, serta melalui pelatihan khusus tim secara reguler, dan presentasi perusahaan secara keseluruhan tentang pentingnya perlindungan data dan kepatuhan keamanan. MessageBird memiliki sertifikasi ISO/IEC 27001:2013, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).

Semua penyedia hosting kami mematuhi ISO/IEC 27001:2013.

Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan kepada klien kami.

Kami adalah Anggota Asosiasi dari Asosiasi Seluler Spesial Global (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia. Kami selalu mengikuti semua hukum dan peraturan yang berlaku, termasuk Regulasi Perlindungan Data Umum.

Ukuran untuk sertifikasi/jaminan proses dan produk: Kami menjalani pengawasan yang ketat serta audit sertifikasi sebagai bagian dari kepatuhan kami terhadap ISO/IEC 27001:2013, dan secara rutin menjalankan pengujian kerentanan aplikasi serta pengujian penetrasi. MessageBird mengambil pendekatan terpadu terhadap manajemen tambalan dan kerentanan untuk memastikan bahwa garis waktu SLA standar kami dipertahankan apakah kerentanan ada dalam infrastruktur dasar kami, platform operasional, atau kode sumber.

Ukuran untuk keamanan aplikasi: Kami memastikan keamanan aplikasi kami selama fase desain dan pengembangan berdasarkan Pedoman Kode Aman MessageBird.

Perbaikan yang sesuai diterapkan sebelum dirilis.

Perubahan kode ditinjau oleh individu yang terampil (yang familiar dengan tinjauan kode dan pengembangan yang aman) selain pengembang yang mengusulkan.

Aplikasi akan menjalani pengujian keamanan aplikasi yang ketat untuk mengidentifikasi ancaman dan kerentanan baru setidaknya setiap tahun (sesuai dengan standar industri dan praktik terbaik).

Semua perubahan kode untuk aplikasi yang didorong ke lingkungan produksi ditinjau menggunakan proses manual dan/atau otomatis.

Pengujian penetrasi dilakukan setiap tahun dan berdasarkan kasus untuk produk/fitur baru. Alat analisis kode sumber otomatis digunakan untuk mendeteksi cacat keamanan dalam kode sebelum penerapan, berdasarkan bahasa.

Ukuran untuk pengungkapan kerentanan: Kami menghargai peneliti keamanan yang telah menemukan kerentanan di platform kami untuk menghubungi kami dan mengirimkan temuan mereka ke security@bird.com. Kami memiliki tim keamanan khusus yang menindaklanjuti dan mengirim undangan ke program bug bounty kami untuk menyelidiki dan memperbaiki jika perlu.

Ukuran untuk memastikan akuntabilitas: Kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran informasi relevan ISMS kami (link). Kami telah menunjuk seorang VP khusus, Kepatuhan dan Keamanan Informasi serta seorang Pejabat Perlindungan Data, dan memelihara dokumentasi aktivitas pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.

Sign up

CRM pertama yang berbasis AI untuk Pemasaran, Layanan, dan Pembayaran

Dengan mengklik "Dapatkan Demo" Anda setuju dengan Bird's

Sign up

CRM pertama yang berbasis AI untuk Pemasaran, Layanan, dan Pembayaran

Dengan mengklik "Dapatkan Demo" Anda setuju dengan Bird's

Sign up

CRM pertama yang berbasis AI untuk Pemasaran, Layanan, dan Pembayaran

Dengan mengklik "Dapatkan Demo" Anda setuju dengan Bird's

Channels

Grow

Engage

Automate

APIs

Resources

Company

Socials

Tumbuh

Kelola

Otomatisasi

Tumbuh

Kelola

Otomatisasi