Perjanjian Pengolahan Data ini, termasuk lampirannya, (“DPA”) merupakan bagian dari Perjanjian antara kami dan Pelanggan untuk pembelian layanan komunikasi (online) dari kami untuk mencerminkan kesepakatan Para Pihak mengenai pemrosesan Data Pribadi Pelanggan. Dalam DPA ini, istilah “anda”, “anda milik”, atau “Pelanggan” merujuk kepada anda sebagai Pelanggan kami (tergantung pada Pasal 1.2 di bawah), dan istilah “kami”, “kita,” atau “milik kami” merujuk kepada kami sebagai Penyedia (sebagaimana didefinisikan di bawah). Istilah yang ditulis dengan huruf besar yang digunakan dalam DPA ini tetapi tidak didefinisikan di bawah didefinisikan dalam Ketentuan dan Syarat Umum kami atau Perjanjian lain dengan kami yang mengatur penggunaan Layanan Anda.
1.1 Lingkup
DPA ini mengatur pemrosesan Data Pribadi Pelanggan oleh kami sebagai pemroses.
1.2 Afiliasi Pelanggan
Pelanggan memasuki DPA ini atas namanya sendiri dan, sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, atas nama dan untuk kepentingan Afiliasinya (sebagaimana didefinisikan dalam Ketentuan), jika dan sejauh Anda memberikan akses kepada Afiliasi tersebut ke Layanan dan kami memproses Data Pribadi Pelanggan yang mana Afiliasi tersebut memenuhi syarat sebagai pengendali data (“Afiliasi Pelanggan”). Untuk tujuan DPA ini saja, dan kecuali dinyatakan lain, istilah “Pelanggan” dan “Anda” akan mencakup Pelanggan dan Afiliasi Pelanggan.
1.3 Ketentuan
DPA ini akan tetap berlaku selama kami memproses Data Pribadi Pelanggan yang tunduk pada DPA ini, terlepas dari tanggal kedaluwarsa atau penghentian Perjanjian.
2. Definisi
Data Akun
“Data Akun” adalah setiap Data Pribadi yang disediakan oleh atau untuk Anda kepada kami sehubungan dengan perjanjian dan pengelolaan Perjanjian serta akun Anda, termasuk namun tidak terbatas pada informasi kontak, rincian penagihan, dan korespondensi tentang perjanjian dan pengelolaan Perjanjian serta Layanan terkait.
CCPA
"CCPA" berarti Undang-Undang Privasi Konsumen California tahun 2018 dan peraturan yang dikeluarkan berdasarkan itu, masing-masing, sebagaimana diamandemen dari waktu ke waktu.
Data Pelanggan
“Data Pelanggan” berarti data dan informasi atau konten lain yang disampaikan oleh Anda atau untuk Anda (atau oleh pengguna Aplikasi Pelanggan Anda) berdasarkan Perjanjian dan diproses atau disimpan oleh Layanan.
Data Pribadi Pelanggan
“Data Pribadi Pelanggan” berarti Data Pribadi yang terkandung dalam Data Pelanggan yang diproses oleh kami sebagai pengolah, kecuali jika ditentukan lain dalam DPA ini.
Undang-Undang Perlindungan Data
“Undang-Undang Perlindungan Data” berarti semua undang-undang dan peraturan di yurisdiksi manapun yang berlaku untuk kerahasiaan, privasi, keamanan, atau pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, misalnya dan dimana berlaku, GDPR atau CCPA.
EEA
“EEA” berarti, untuk tujuan DPA ini, Kawasan Ekonomi Eropa dan Swiss.
GDPR
“GDPR” berarti (i) Peraturan 2016/679 Parlemen Eropa dan Dewan tentang perlindungan individu sehubungan dengan pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut (Peraturan Perlindungan Data Umum); atau (ii) hanya sehubungan dengan Inggris Raya, Undang-Undang Perlindungan Data 2018.
Data Pribadi
“Data Pribadi” berarti setiap informasi yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung, baik secara sendiri-sendiri maupun dalam kombinasi dengan informasi lain.
Pelanggaran Data Pribadi
“Pelanggaran Data Pribadi” berarti setiap penghancuran, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja, tidak sah, atau ilegal terhadap Data Pribadi Pelanggan dan istilah lain yang serupa di bawah Undang-Undang Perlindungan Data yang berlaku seperti “Pelanggaran Keamanan.”
Layanan
“Layanan” berarti semua produk dan layanan yang disediakan oleh kami atau Afiliasi kami yang (a) dipesan oleh Anda berdasarkan Formulir Pesanan; atau (b) digunakan oleh Anda.
Penyedia
“Penyedia” berarti entitas kontrak kami yang merupakan pihak dalam DPA ini, yaitu entitas kontraktual yang terdaftar di Bagian 15 dalam Syarat dan Ketentuan Umum (Entitas Kontrak), kecuali jika dinyatakan lain dalam Formulir Pesanan Anda. Anda atau Penyedia juga dapat secara individual disebut sebagai “Pihak” dan bersama-sama sebagai “Pihak-Pihak” dalam DPA ini.
Ketentuan Kontraktual Standar
“Ketentuan Kontraktual Standar” berarti Pengendali ke Pengolah (Modul Dua) atau Pengolah ke Pengolah (Modul Tiga), sesuai yang berlaku, dari Ketentuan Kontraktual Standar untuk transfer Data Pribadi ke negara ketiga sesuai dengan Peraturan (EU) 2016/679 Parlemen Eropa dan Dewan yang disetujui oleh Keputusan Pelaksanaan Komisi Eropa (EU) 2021/914 tanggal 4 Juni 2021, sebagaimana saat ini terdapat dalam Jurnal Resmi Uni Eropa.
Sub-pengolah
“Sub-pengolah” berarti entitas pihak ketiga yang memproses Data Pribadi Pelanggan atas nama Penyedia di mana Penyedia bertindak sebagai pengolah data atau sub-pengolah.
Ketentuan Kontraktual Standar UK
“Ketentuan Kontraktual Standar UK” berarti salah satu atau semua dari berikut: (i) perjanjian transfer data internasional yang dikeluarkan oleh Komisaris Informasi Inggris berdasarkan pasal 119A DPA 2018; (ii) amandemen transfer data internasional terhadap ketentuan kontraktual standar Komisi Eropa untuk transfer data internasional yang dikeluarkan oleh Komisaris Informasi Inggris berdasarkan pasal 119A DPA 2018; atau (iii) ketentuan kontraktual standar yang dikeluarkan oleh Komisaris Informasi Inggris atau Komisi Eropa yang dapat menggantikan ini dari waktu ke waktu. Istilah seperti “pemrosesan”, “pengendali data”, “pengolah data”, “subjek data”, dll. akan memiliki makna sebagaimana ditentukan di bawah GDPR. Definisi “pengendali data” mencakup “usaha”, “konsumen”, “pengendali”, dan “organisasi”; "pengolah data" mencakup “penyedia layanan”, “pengolah”, dan “perantara data”; “subjek data” mencakup “konsumen”, dan “individu”; dan “Data Pribadi” mencakup “informasi pribadi”, dalam setiap kasus seperti yang didefinisikan berdasarkan CCPA, dan Undang-Undang Perlindungan Data lainnya yang berlaku. Istilah “tujuan usaha”, “tujuan komersial”, “jual”, dan “bagikan” akan memiliki arti yang sama seperti dalam Undang-Undang Perlindungan Data yang berlaku dan, dalam setiap kasus, istilah yang berhubungan dengannya akan ditafsirkan sesuai.
3. Pemrosesan Data Pribadi Pelanggan
3.1 Tujuan
Kami akan memproses Data Pribadi Pelanggan hanya sejauh yang diperlukan (i) untuk menyediakan Layanan, termasuk transmisi komunikasi, memastikan keamanan layanan, menyediakan laporan teknis dan pengiriman, memberikan dukungan, serta mengembangkan dan menerapkan perbaikan dan pembaruan sesuai dengan instruksi terdokumentasi Anda kepada kami sebagai pemroses data seperti yang ditentukan dalam Bagian 3.2 dari DPA ini, (ii) untuk tujuan bisnis sah kami seperti yang ditentukan dalam Bagian 3.4 dari DPA ini sebagai pengendali data, dan (iii) sebagaimana diharuskan berdasarkan hukum yang berlaku.
3.2 Instruksi Pelanggan
Perjanjian dan DPA ini merupakan instruksi lengkap Anda kepada kami sebagai pemroses data pada saat penandatanganan DPA ini. Kami akan mematuhi instruksi lain yang didokumentasikan secara wajar dengan ketentuan bahwa instruksi tersebut konsisten dengan syarat-syarat dalam Perjanjian.
3.3 Rincian Pemrosesan
Lampiran I, Bagian B (Deskripsi transfer) dari Lampiran I DPA ini menetapkan sifat dan tujuan pemrosesan oleh kami sebagai pemroses data atau Sub-pemroses, kegiatan pemrosesan, durasi pemrosesan, jenis Data Pribadi, dan kategori subjek data.
3.4 Tujuan Bisnis yang Sah
Anda mengakui bahwa kami memproses Data Pribadi Pelanggan sebagai pengendali data independen sejauh yang diperlukan untuk tujuan bisnis sah berikut: penagihan, manajemen akun, pelaporan keuangan dan internal, memerangi serta mencegah ancaman keamanan, serangan siber, dan kejahatan siber yang dapat mempengaruhi Anda, kami, atau layanan kami, pemodelan bisnis (misalnya, peramalan, perencanaan kapasitas dan pendapatan, dan strategi produk), pencegahan dan deteksi penipuan, spam, dan penyalahgunaan, perbaikan rangkaian produk dan layanan kami, serta untuk memenuhi kewajiban hukum kami.
4. Kewajiban Pelanggan
4.1 Kesesuaian
Dimana Anda bertindak sebagai pengendali data dari Data Pribadi Pelanggan, Anda menjamin bahwa semua kegiatan pemrosesan adalah sah, memiliki tujuan tertentu, dan semua pemberitahuan dan persetujuan yang diperlukan atau dasar hukum lainnya yang sesuai telah diterapkan untuk memungkinkan transfer sah dari Data Pribadi Pelanggan. Jika Anda adalah pemroses data (dalam hal ini kami akan bertindak sebagai Sub-pemroses), Anda akan memastikan bahwa pengendali data yang relevan menjamin bahwa syarat-syarat yang tercantum dalam Bagian 4.1 ini dipenuhi.
4.2 Kepatuhan
Anda bertanggung jawab penuh atas (a) memastikan bahwa Anda mematuhi Hukum Perlindungan Data yang berlaku untuk penggunaan Anda atas Layanan dan untuk pemrosesan Data Pribadi Pelanggan Anda sendiri, (b) melakukan penilaian independen apakah langkah-langkah teknis dan organisasi dari Layanan sesuai dengan kebutuhan Anda, dan (c) menerapkan dan memelihara langkah-langkah privasi dan keamanan untuk komponen yang Anda sediakan atau kontrol (termasuk namun tidak terbatas pada kata sandi, perangkat yang digunakan dengan Layanan dan Aplikasi Pelanggan).
5. Keamanan
5.1 Langkah-Langkah Keamanan
Dengan mempertimbangkan keadaan terkini, biaya implementasi dan sifat, ruang lingkup, konteks, dan tujuan pemrosesan serta risiko dengan kemungkinan dan tingkat keparahan yang bervariasi bagi hak dan kebebasan orang alami, kami akan menerapkan dan mempertahankan langkah-langkah keamanan teknis dan organisasi yang sesuai untuk melindungi Data Pribadi Pelanggan dari Pelanggaran Data Pribadi dan untuk menjaga keamanan, integritas, ketersediaan, ketahanan, dan kerahasiaan Data Pelanggan yang digunakan sistem kami untuk memproses Data Pribadi Pelanggan. Langkah-langkah keamanan yang diterapkan oleh kami dijelaskan dalam Lampiran II.
5.2 Pembaruan Langkah-Langkah Keamanan
Anda bertanggung jawab untuk meninjau informasi yang tersedia oleh kami terkait dengan keamanan Data Pribadi Pelanggan dan melakukan penilaian independen tentang apakah informasi tersebut memenuhi kebutuhan dan kewajiban hukum Anda berdasarkan Undang-Undang Perlindungan Data. Anda mengakui bahwa langkah-langkah keamanan tersebut tergantung pada kemajuan dan perkembangan teknis, dan bahwa kami dapat memperbarui atau memodifikasi langkah-langkah keamanan kami dari waktu ke waktu, dengan syarat bahwa pembaruan dan modifikasi tersebut tidak mengakibatkan penurunan keamanan keseluruhan dari Data Pribadi Pelanggan.
5.3 Kontrol Akses
Kami menerapkan prinsip
6. Bantuan
6.1 Bantuan Perlindungan Data
Kami akan memberikan Anda bantuan yang diminta dengan wajar untuk memungkinkan Anda mematuhi kewajiban Anda berdasarkan Undang-Undang Perlindungan Data, termasuk pemberitahuan tentang Pelanggaran Data Pribadi, menilai tingkat keamanan pemrosesan yang sesuai, dan membantu Anda dengan pelaksanaan penilaian dampak perlindungan data yang relevan.
6.2 Bantuan dengan Hak Subjek Data
Kami akan memberikan Anda bantuan yang wajar untuk memungkinkan Anda mematuhi kewajiban Anda terhadap subjek data yang menggunakan hak mereka berdasarkan Undang-Undang Perlindungan Data dengan menyediakan langkah-langkah teknis dan organisasi melalui akun Anda. Untuk menghindari kebingungan, Anda sebagai pengontrol data bertanggung jawab untuk memproses setiap permintaan atau keluhan dari subjek data terkait Data Pribadi Pelanggan dari seorang subjek data.
7. Pengungkapan dan Permintaan Pengungkapan
7.1 Pembatasan pada Pengungkapan dan Akses
Kami tidak akan memberikan akses atau mengungkapkan Data Pribadi Pelanggan kecuali (i) sebagaimana diperintahkan oleh Anda, (ii) sebagaimana diatur dalam Perjanjian dan DPA ini, atau (iii) sebagaimana diwajibkan oleh hukum.
7.2 Permintaan Pengungkapan
Kami akan memberitahukan Anda sesegera mungkin jika kami menerima permintaan dari badan pemerintah atau regulasi untuk mengungkapkan Data Pribadi Pelanggan, kecuali pemberitahuan tersebut dilarang oleh hukum. Kami akan menangani permintaan pengungkapan sesuai dengan kebijakan permintaan pengungkapan, yang tersedia di situs web kami di sini.
8. Sub-prosesor
8.1 Daftar Sub-prosesor Saat Ini
Anda setuju dengan perlibatan Sub-prosesor sehubungan dengan Layanan, yang terdaftar di ringkasan Sub-prosesor, yang juga berisi prosedur bagi Anda untuk berlangganan notifikasi tentang perubahan penggunaan Sub-prosesor kami. Jika Anda berlangganan notifikasi tersebut, dan dengan mempertimbangkan Bagian 8.3 dari DPA ini, kami akan membagikan detail tentang setiap perubahan Sub-prosesor sesegera mungkin.
8.2 Penunjukan Sub-prosesor
Melalui DPA ini, Anda memberikan otorisasi tertulis umum kepada kami untuk melibatkan Sub-prosesor untuk pemrosesan Data Pribadi Pelanggan, dengan ketentuan Bagian 8.3 dari DPA ini dan persyaratan berikut:
Kami akan membatasi akses ke Data Pribadi Pelanggan oleh Sub-prosesor hanya pada apa yang sangat diperlukan untuk memberikan layanan yang ditentukan dalam perjanjian sub-prosesor;
Kami akan menyepakati kewajiban perlindungan data dengan Sub-prosesor yang secara substansial sama dengan kewajiban berdasarkan DPA ini; dan
Kami tetap bertanggung jawab kepada Anda berdasarkan DPA ini untuk pelaksanaan kewajiban perlindungan data dari Sub-prosesor.
8.3 Pemberitahuan Perubahan terhadap Sub-prosesor dan Hak untuk Menolak
Sebelum mengganti atau melibatkan Sub-prosesor baru (“Perubahan Sub-prosesor”), kami akan memberikan Anda opsi untuk menolak Perubahan Sub-prosesor. Anda dapat menolak Perubahan Sub-prosesor dengan syarat bahwa (i) keberatan dilakukan secara tertulis dalam waktu sepuluh (10) hari kerja setelah pemberitahuan kami mengenai Perubahan Sub-prosesor dan (ii) keberatan tersebut didasarkan pada dan secara jelas menjelaskan alasan yang wajar terkait perlindungan Data Pribadi Pelanggan. Ketika Anda menolak Perubahan Sub-prosesor yang diusulkan, kami akan bekerja sama dengan Anda dengan itikad baik untuk melakukan perubahan yang wajar secara komersial dalam penyediaan Layanan yang menghindari penggunaan Sub-prosesor yang relevan. Jika perubahan tersebut tidak dapat dilakukan secara wajar dalam waktu tiga puluh (30) hari kerja setelah penerimaan kami atas pemberitahuan keberatan Anda, atau jika perubahan tersebut tidak wajar secara komersial bagi kami, salah satu pihak dapat mengakhiri fitur Layanan yang tidak dapat diberikan tanpa penggunaan Sub-prosesor yang relevan. Hak penghentian ini adalah satu-satunya dan eksklusif untuk Anda jika Anda menolak Perubahan Sub-prosesor.
9. Transfer Data Pribadi Pelanggan Lintas Perbatasan
9.1 Transfer Data Pribadi Pelanggan
Kami dapat mentransfer Data Pribadi Pelanggan dengan syarat semua perlindungan yang diperlukan oleh Undang-Undang Perlindungan Data telah diterapkan. Ini mungkin termasuk penilaian dampak transfer data sebelumnya, pengadopsian, pemantauan, dan evaluasi langkah-langkah teknis, organisasi, dan hukum tambahan, hak subjek data yang dapat ditegakkan, dan bahwa upaya hukum yang efektif untuk subjek data tersedia.
9.2 Klausul Kontrak Standar Sub-prosesor
Kecuali jika keputusan kecukupan atau mekanisme transfer alternatif berlaku, seperti Kerangka Privasi Data EU-AS, kami telah menandatangani dan akan mempertahankan Klausul Kontrak Standar dengan Sub-prosesor (termasuk Afiliasi kami) yang berada di luar EEA, sesuai dengan ketentuan yang ditetapkan dalam Bagian 9.1 DPA ini.
9.3 Mekanisme Transfer untuk Transfer Data Pribadi Pelanggan
Sejauh penggunaan Layanan Anda memerlukan mekanisme transfer data lintas batas untuk mengekspor Data Pribadi Pelanggan secara sah dari suatu yurisdiksi (misalnya EEA, California, Singapura, Swiss, atau Inggris) kepada kami yang berada di luar yurisdiksi tersebut, bagian ini akan berlaku. Jika, dalam pelaksanaan Layanan, Data Pribadi Pelanggan yang tunduk pada GDPR atau undang-undang lain yang berkaitan dengan perlindungan atau privasi individu yang berlaku untuk DPA ini ditransfer ke entitas Penyedia yang berlokasi di negara-negara yang tidak memastikan tingkat perlindungan data yang memadai dalam arti Undang-Undang Perlindungan Data, mekanisme transfer yang tercantum di bawah ini akan berlaku untuk transfer tersebut dan dapat ditegakkan secara langsung oleh pihak-pihak sejauh transfer tersebut tunduk pada Undang-Undang Perlindungan Data.
9.3.1
Pihak-pihak setuju bahwa Klausul Kontrak Standar akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari EEA atau Swiss, baik secara langsung maupun melalui transfer lanjutan, ke entitas Penyedia yang berada di negara di luar EEA atau Swiss yang tidak diakui oleh Komisi Eropa (atau, dalam kasus transfer dari Swiss, otoritas kompeten untuk Swiss) sebagai menyediakan tingkat perlindungan yang memadai untuk data pribadi.
9.3.1.1
Ketika Anda bertindak sebagai pengendali data dan kami sebagai pemroses data, Modul Dua Controller-to-Processor dari Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan dari EEA. Ketika Anda bertindak sebagai pemroses data dan kami sebagai sub-pemroses, Modul Tiga Processor-to-Processor dari Klausul Kontrak Standar akan berlaku untuk transfer Data Pribadi Pelanggan dari EEA.
9.3.1.2
Kami akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data berdasarkan Klausul Kontrak Standar. Tanda tangan masing-masing pihak pada DPA ini, akan diperlakukan sebagai tanda tangan Klausul Kontrak Standar yang berlaku, yang akan dianggap diintegrasikan ke dalam DPA ini. Detail yang diperlukan berdasarkan Lampiran 1 dan Lampiran 2 dari Klausul Kontrak Standar tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal adanya konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari EEA.
9.3.1.3
Dimana Klausul Kontrak Standar mengharuskan pihak-pihak untuk memilih antara klausul opsional dan memberikan informasi, pihak-pihak telah melakukannya seperti yang ditetapkan di bawah ini:
i. Klausul Opsional 7 “Klausul Pemasangan” tidak akan diadopsi.
ii. Untuk Klausul 9 “Penggunaan sub-prosesor”, pihak-pihak memilih opsi berikut: “Opsi 2 Otorisasi tertulis umum: importir data memiliki otorisasi umum dari pengendali untuk keterlibatan sub-pemroses dari daftar yang disepakati. Importir data harus memberi tahu pengendali secara tertulis tentang setiap perubahan yang dimaksudkan pada daftar tersebut melalui penambahan atau penggantian sub-prosesor setidaknya 10 hari kerja sebelumnya, sehingga memberi pengendali waktu yang cukup untuk dapat menolak perubahan tersebut sebelum keterlibatan sub-pemroses. Importir data harus memberikan eksportir data dengan informasi yang diperlukan untuk memungkinkan eksportir data menggunakan hak penolakan. Importir data harus memberi tahu eksportir data tentang keterlibatan sub-pemroses.”
iii. Untuk Klausul 11 (a) “Bantuan”, pihak-pihak tidak mengadopsi Opsi.
iv. Untuk Klausul 17 “Hukum yang Mengatur”, pihak-pihak memilih opsi berikut: “Opsi 1. Klausul-klausul ini akan diatur oleh hukum salah satu Negara Anggota UE, dengan syarat hukum tersebut memungkinkan hak penerima pihak ketiga. Para Pihak setuju bahwa ini akan menjadi hukum Belanda.”
v. Untuk Klausul 18 (b) “Pilihan Forum dan Yurisdiksi”: “Para Pihak setuju bahwa itu akan menjadi pengadilan di Belanda.”
9.3.2
Pihak-pihak setuju bahwa Klausul Kontrak Standar Inggris akan berlaku untuk Data Pribadi Pelanggan yang ditransfer melalui Layanan dari Inggris, baik secara langsung maupun melalui transfer lanjutan, ke entitas Penyedia yang berada di negara di luar Inggris yang tidak diakui oleh otoritas regulasi atau lembaga pemerintah kompeten Inggris sebagai menyediakan tingkat perlindungan yang memadai untuk data pribadi.
9.3.2.1
Kami akan dianggap sebagai importir data dan Anda akan dianggap sebagai eksportir data berdasarkan Klausul Kontrak Standar Inggris. Tanda tangan masing-masing pihak pada DPA ini, akan diperlakukan sebagai tanda tangan Klausul Kontrak Standar Inggris, yang akan dianggap diintegrasikan ke dalam DPA ini. Detail yang diperlukan berdasarkan Klausul Kontrak Standar Inggris tersedia di Lampiran I dan Lampiran II dari DPA ini. Dalam hal adanya konflik atau ketidaksesuaian antara DPA ini dan Klausul Kontrak Standar Inggris, Klausul Kontrak Standar Inggris akan berlaku hanya sehubungan dengan transfer Data Pribadi Pelanggan dari Inggris.
10. Audit
10.1 Laporan Audit
Platform komunikasi kami akan diaudit secara berkala terhadap standar ISO 27001 (atau yang setara). Audit tersebut dapat, atas kebijakan kami sendiri, merupakan audit internal, atau audit yang dilakukan oleh pihak ketiga. Atas permintaan tertulis, kami akan memberikan ringkasan laporan audit (“Laporan Audit”), sehingga Anda dapat memverifikasi kepatuhan kami terhadap standar audit dan DPA ini. Laporan Audit tersebut, serta setiap kesimpulan atau temuan yang disebutkan di dalamnya, adalah Informasi Rahasia kami.
10.2 Permintaan Informasi Pelanggan
Kami akan menyediakan kepada Anda semua informasi yang secara wajar diperlukan untuk menunjukkan kepatuhan terhadap kewajiban yang diatur dalam DPA ini. Kami akan memberikan respons tertulis terhadap permintaan informasi yang wajar yang diajukan oleh Anda, termasuk respons terhadap kuesioner keamanan informasi dan audit yang beralasan dalam cakupan dan diperlukan untuk memastikan kepatuhan terhadap DPA ini, dengan ketentuan bahwa Anda (i) telah terlebih dahulu melakukan upaya wajar untuk memperoleh informasi yang diminta dari Dokumentasi, Laporan Audit dan informasi lain yang diberikan atau diumumkan kepada publik oleh kami, dan (ii) tidak akan menggunakan hak ini lebih dari sekali per tahun, kecuali Pelanggaran Data Pribadi atau perubahan signifikan dalam aktivitas pemrosesan kami sehubungan dengan Layanan mengharuskan agar kuesioner tambahan dilaksanakan. Semua jawaban yang diberikan adalah Informasi Rahasia kami.
10.3 Audit Pelanggan
Jika Laporan Audit yang diberikan oleh kami kepada Anda memberikan alasan yang substansial untuk percaya bahwa kami telah melanggar kewajiban kami berdasarkan DPA ini, terkait dengan Data Pribadi Pelanggan yang diberikan oleh Anda, kami akan mengizinkan auditor pihak ketiga independen dan berkualitas yang ditunjuk oleh Anda dan disetujui oleh kami, untuk mengaudit aktivitas pemrosesan Data Pribadi yang relevan, dengan ketentuan bahwa sejauh mungkin diizinkan berdasarkan hukum yang berlaku, persyaratan berikut dipenuhi:
a) Anda harus memberikan kami pemberitahuan minimal enam puluh (60) hari sebelumnya sebelum menggunakan hak untuk audit;
b) Auditor setuju dengan kewajiban kerahasiaan standar pasar dengan kami;
c) Anda dan auditor mengambil langkah-langkah untuk meminimalkan gangguan pada operasi bisnis kami;
d) Audit akan dilakukan selama jam kerja normal;
e) Kami tidak berkewajiban memberikan akses ke data pelanggan dari pelanggan lain atau sistem yang tidak terlibat dalam penyediaan Layanan;
f) dan Anda harus membayar semua biaya audit.
11. Penghapusan dan Pengembalian Data Pribadi Pelanggan
Setelah pemutusan atau berakhirnya Perjanjian, kami akan (atas pilihan Anda) menghapus atau mengembalikan semua Data Pribadi Pelanggan (termasuk salinan) yang kami miliki atau kendalikan, dengan syarat bahwa persyaratan ini tidak akan berlaku sejauh kami diwajibkan oleh hukum untuk menyimpan beberapa atau seluruh Data Pribadi Pelanggan. Jika Anda memerintahkan kami untuk menghapus Data Pribadi Pelanggan, Data Pribadi Pelanggan yang diarsipkan di sistem cadangan kami akan dilindungi dari pemrosesan lebih lanjut dan akan dihapus setelah periode retensi yang diwajibkan telah berlalu.
12. Komunikasi dan Hak Afiliasi Pelanggan
Masuknya DPA ini atas nama dan mewakili Afiliasi Pelanggan sebagaimana diatur dalam Pasal 1.2 merupakan DPA terpisah antara kami dan Afiliasi Pelanggan tersebut, dengan ketentuan sebagai berikut:
12.1. Komunikasi
Pelanggan yang merupakan pihak yang memiliki kontrak dalam Perjanjian tetap bertanggung jawab untuk mengoordinasikan semua komunikasi dengan kami berdasarkan DPA ini dan berhak melakukan dan menerima komunikasi terkait DPA ini atas nama Afiliasi Pelanggan-nya.
12.2 Hak Afiliasi Pelanggan
Apabila Afiliasi Pelanggan menjadi pihak dalam DPA dengan kami, maka sejauh yang diperlukan berdasarkan Undang-Undang Perlindungan Data, ia berhak untuk menjalankan hak dan meminta solusi berdasarkan DPA ini, dengan ketentuan sebagai berikut:(i) Kecuali jika Undang-Undang Perlindungan Data mengharuskan Afiliasi Pelanggan untuk menjalankan hak atau meminta solusi berdasarkan DPA ini melawan kami secara langsung, para pihak sepakat bahwa
(i) hanya Pelanggan yang merupakan pihak yang memiliki kontrak dalam Perjanjian yang akan menjalankan hak tersebut atau meminta solusi tersebut atas nama Afiliasi Pelanggan, dan
(ii) Pelanggan yang merupakan pihak yang memiliki kontrak dalam Perjanjian akan menjalankan hak-hak tersebut berdasarkan DPA ini tidak secara terpisah untuk setiap Afiliasi Pelanggan secara individu, tetapi dengan cara yang digabungkan untuk dirinya sendiri dan semua Afiliasi Pelanggannya bersama-sama.(ii) Para pihak sepakat bahwa Pelanggan yang merupakan pihak yang memiliki kontrak dalam Perjanjian akan, ketika audit langsung terhadap prosedur yang relevan dengan perlindungan Data Pribadi Pelanggan dilakukan atas namanya sebagaimana diatur dalam Pasal 10.3 DPA ini, mengambil semua langkah yang wajar untuk membatasi dampak pada kami dengan menggabungkan, sejauh yang secara wajar mungkin, beberapa permintaan audit yang dilakukan atas namanya dan semua Afiliasi Pelanggannya dalam satu audit tunggal.
Untuk kejelasan, Afiliasi Pelanggan tidak menjadi pihak yang memiliki kontrak dalam Perjanjian.
13. Undang-Undang Privasi Konsumen California
Sebagaimana yang berlaku, kami membuat komitmen tambahan berikut kepada Anda sehubungan dengan pengolahan Data Pribadi Pelanggan dalam lingkup CCPA.
13.1 Kewajiban Kami Berdasarkan Hukum Perlindungan Data AS
Istilah “tujuan bisnis,” “tujuan komersial,” “konsumen,” “menjual,” dan “berbagi” yang digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh yang berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan Hukum Perlindungan Data AS lainnya (“Data Pribadi AS”) sesuai dengan ketentuan CCPA dan Hukum Perlindungan Data AS lainnya. Mengenai Data Pribadi AS, kami adalah penyedia layanan berdasarkan CCPA dan pengolah data berdasarkan Hukum Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan mempertahankan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk mempertahankan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain dari tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.
13.2 Kewajiban Pelanggan
Anda menyatakan dan menjamin bahwa Anda telah memberikan pemberitahuan kepada Pengguna Akhir bahwa Data Pribadi sedang digunakan atau dibagikan sesuai dengan Hukum Perlindungan Data yang berlaku. Anda bertanggung jawab untuk mematuhi persyaratan Hukum Perlindungan Data sejauh berlaku bagi Anda sebagai pengendali data.
14. Hukum yang Mengatur dan Penyelesaian Sengketa
Setiap sengketa, klaim, atau kontroversi (“Sengketa”) yang timbul dari atau terkait dengan DPA ini akan diatur oleh dan ditafsirkan sesuai dengan hukum Belanda. Setiap Pihak setuju bahwa pengadilan yang berwenang di Amsterdam akan memiliki yurisdiksi eksklusif untuk menyelesaikan setiap Sengketa yang timbul dari atau terkait dengan DPA ini.
13.1 Kewajiban Kami Berdasarkan Hukum Perlindungan Data AS
Istilah “tujuan bisnis,” “tujuan komersial,” “konsumen,” “jual,” dan “bagikan” sebagaimana digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang tunduk pada CCPA dan hukum Perlindungan Data AS lainnya (“Data Pribadi AS”) sesuai dengan ketentuan CCPA dan hukum Perlindungan Data AS lainnya. Sehubungan dengan Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah hukum Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan lain selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial lain selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau hukum yang berlaku); atau (ii) di luar hubungan bisnis langsung dengan Anda dan kami.
LAMPIRAN I - RINCIAN PROSES
Di mana berlaku, Lampiran I ini akan berfungsi sebagai Lampiran I untuk Klausul Kontraktual Standar EEA.
Lampiran I, Bagian A. Daftar Pihak
Istilah "tujuan bisnis," "tujuan komersial," "konsumen," "menjual," dan "membagikan" yang digunakan dalam Bagian 13.1 ini memiliki arti yang diberikan kepada mereka dalam CCPA. Sejauh berlaku, kami akan mematuhi CCPA dan memperlakukan semua Data Pribadi Pelanggan yang menjadi subjek CCPA dan undang-undang Perlindungan Data AS lainnya ("Data Pribadi AS") sesuai dengan ketentuan CCPA dan undang-undang Perlindungan Data AS lainnya. Sehubungan dengan Data Pribadi AS, kami adalah penyedia layanan di bawah CCPA dan pemroses data di bawah undang-undang Perlindungan Data AS lainnya. Kami tidak akan menjual Data Pribadi AS. Kami tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS (i) untuk tujuan apa pun selain tujuan bisnis yang ditentukan dalam Perjanjian (termasuk menyimpan, menggunakan, atau mengungkapkan Data Pribadi AS untuk tujuan komersial selain tujuan bisnis yang ditentukan dalam Perjanjian atau sebagaimana diizinkan oleh CCPA atau undang-undang yang berlaku); atau (ii) di luar hubungan bisnis langsung antara Anda dan kami.
Pengekspor data
Pelanggan
Detail kontak pengekspor data
Alamat yang tertera di akun Pelanggan, atau alamat email pemilik akun Pelanggan, atau alamat email yang dipilih Pelanggan untuk menerima pemberitahuan berdasarkan Perjanjian.
Peran pengekspor data
Peran pengekspor data dijelaskan dalam Bagian 4 DPA.
Tanda tangan dan tanggal
Jika dan ketika berlaku, pengekspor data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini pada Tanggal Efektif DPA.
Impor data
Penyedia
Detail kontak importir data
Petugas Perlindungan Data - privacy@bird.com
Peran importir data
Importir data bertindak sebagai pemroses data.
Tanda tangan dan tanggal
Jika dan ketika berlaku, importir data dianggap telah menandatangani Klausul Kontraktual Standar yang dimasukkan di sini pada Tanggal Efektif DPA.
Lampiran I, Bagian B. Deskripsi Transfer
1. Kategori subjek data yang Data Pribadinya ditransfer.
Pengguna. Kontak (individu) atau karyawan, kontraktor, atau pekerja sementara (saat ini, calon, mantan) dari Pelanggan yang menggunakan Layanan (“Pengguna”);
Pengguna Akhir. Setiap individu (i) yang detail kontaknya termasuk dalam daftar kontak Pelanggan; (ii) yang informasi disimpan atau dikumpulkan melalui Layanan, atau (ii) kepada siapa Pelanggan mengirim komunikasi atau sebaliknya berinteraksi atau berkomunikasi melalui Layanan (secara kolektif, “Pengguna Akhir”). Anda sebagai Pelanggan dengan tegas menentukan kategori subjek data yang termasuk dalam komunikasi yang dikirim melalui platform komunikasi kami.
2. Kategori Data Pribadi yang ditransfer
Data Pribadi Pelanggan yang terkandung dalam, konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan.
Konten komunikasi, yang mungkin termasuk Data Pribadi atau karakteristik pribadi lainnya, tergantung pada konten komunikasi seperti yang ditentukan oleh Anda sebagai Pelanggan.
Data lalu lintas, yang mungkin mencakup Data Pribadi Pelanggan tentang pengalihan, durasi atau waktu komunikasi seperti panggilan suara, SMS, atau email, baik itu berkaitan dengan individu atau perusahaan.
Data Pengguna Akhir, seperti nomor telepon, alamat email, nama depan, nama belakang, nama profil, negara, pengidentifikasi saluran.
Data penggunaan pelanggan, dapat berisi data yang dapat dihubungkan dengan Anda sebagai individu yang termasuk dalam data statistik dan informasi terkait dengan akun dan aktivitas layanan Anda, wawasan terkait layanan dan laporan analitis mengenai komunikasi yang dikirim dan dukungan pelanggan.
3. Data sensitif yang ditransfer
Data sensitif yang ditransfer (jika berlaku) dan penerapan pembatasan atau perlindungan yang mempertimbangkan sepenuhnya sifat data dan risiko yang terlibat, seperti misalnya pembatasan tujuan yang ketat, pembatasan akses (termasuk akses hanya untuk personel yang telah mengikuti pelatihan khusus), menyimpan catatan akses ke data, pembatasan untuk transfer lebih lanjut atau langkah-langkah keamanan tambahan.
a) Konten komunikasi. Data sensitif mungkin, dari waktu ke waktu, diproses melalui Layanan di mana Anda atau Pengguna Akhir Anda memilih untuk memasukkan data sensitif dalam komunikasi yang ditransmisikan menggunakan Layanan. Anda bertanggung jawab untuk memastikan bahwa perlindungan yang sesuai tersedia sebelum mentransmisikan atau memproses, atau sebelum mengizinkan Pengguna Akhir Anda mentransmisikan atau memproses data sensitif kapan pun melalui Layanan, sesuai dengan Bagian 3.2 Perjanjian.
b) Data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Tidak ada data sensitif yang terkandung dalam data lalu lintas, data Pengguna Akhir, atau data penggunaan pelanggan.
4. Frekuensi transfer
Frekuensi transfer (misalnya, apakah data ditransfer sekali atau terus-menerus): Data Pribadi Pelanggan ditransfer secara terus-menerus selama masa Perjanjian.
5. Sifat pemrosesan
Kami akan memproses Data Pribadi Pelanggan sejauh yang diperlukan untuk menyediakan Layanan berdasarkan Perjanjian. Kami tidak menjual Data Pribadi, termasuk Data Pribadi Pelanggan, dan tidak membagikan Data Pribadi dengan pihak ketiga untuk kompensasi atau untuk kepentingan bisnis sendiri pihak ketiga tersebut.
6. Tujuan dari transfer data dan pemrosesan lebih lanjut
Kami akan memproses Data Pribadi Pelanggan sebagai pemroses data sesuai dengan instruksi Pelanggan seperti yang ditetapkan dalam DPA ini, kecuali jika pemrosesan diperlukan untuk mematuhi kewajiban hukum yang kami terapkan, di mana kami akan digolongkan sebagai pengendali data.
Konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan. Data Pribadi yang terkandung dalam konten komunikasi, data lalu lintas, data Pengguna Akhir, dan data penggunaan pelanggan akan tunduk pada kegiatan pemrosesan dasar berikut:
a) Konten komunikasi. Penyediaan produk dan layanan komunikasi yang dapat diprogram, ditawarkan dalam bentuk antarmuka pemrograman aplikasi (API) atau melalui Dasbor, kepada Pelanggan, termasuk pengiriman kepada atau dari aplikasi perangkat lunak Pelanggan dari atau ke platform komunikasi kami, dan jaringan komunikasi lainnya.
b) Data lalu lintas. Data lalu lintas diproses untuk tujuan mentransmisikan komunikasi di jaringan komunikasi elektronik atau untuk penagihan terkait komunikasi itu. Ini dapat mencakup Data Pribadi Pelanggan tentang pengalihan, durasi, atau waktu komunikasi seperti panggilan suara, SMS, atau email, baik itu berkaitan dengan individu atau perusahaan.
c) Data Pengguna Akhir. Data Pribadi Pengguna Akhir diperlukan untuk melakukan Layanan dan hanya akan diproses untuk tujuan transmisi komunikasi, dukungan pelanggan, dan memastikan kepatuhan terhadap kewajiban hukum kami.
d) Data penggunaan pelanggan. Data Pribadi yang terkandung dalam data penggunaan pelanggan akan tunduk pada aktivitas pemrosesan untuk menyediakan Layanan berdasarkan Perjanjian, dengan tujuan memberikan wawasan terkait layanan kepada Pelanggan dan laporan analitis mengenai komunikasi yang dikirim, dukungan pelanggan, dan peningkatan berkelanjutan dari Layanan.
7. Periode Retensi Data Pribadi
Periode di mana Data Pribadi akan disimpan, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode itu: Konten komunikasi dan data lalu lintas. Untuk konten komunikasi dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara, berlaku periode retensi enam bulan; Untuk konten komunikasi dan data lalu lintas Layanan Video disimpan untuk minimum 30 hari hingga durasi yang disepakati dengan Anda; Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam; Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama masa Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan kepada Anda melalui Layanan. Data Pengguna Akhir. Data Pengguna Akhir akan diproses selama periode yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama masa Layanan, berdasarkan pada Bagian 6(c) dari Lampiran I, Bagian B. Data penggunaan pelanggan. Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B, sesuai dengan kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B.
7. Retensi Data Pribadi
Periode di mana Data Pribadi akan disimpan, atau, jika tidak memungkinkan, kriteria yang digunakan untuk menentukan periode itu:
Konten komunikasi dan data lalu lintas;
Untuk konten komunikasi dan data lalu lintas yang terkandung dalam Layanan SMS dan Suara, berlaku periode retensi enam bulan;
Untuk Layanan Video, konten komunikasi dan data lalu lintas disimpan untuk minimum 30 hari hingga durasi yang disepakati dengan Anda;
Untuk layanan Email, konten komunikasi dan data lalu lintas disimpan selama 72 jam;
Untuk semua layanan lainnya, konten komunikasi dan data lalu lintas disimpan selama masa Layanan, kecuali jika Anda menghapus konten komunikasi atau data lalu lintas melalui langkah-langkah teknis dan organisasi yang disediakan kepada Anda melalui Layanan.
Data Pengguna Akhir akan diproses selama periode yang ditentukan oleh Pelanggan, ketika data Pengguna Akhir termasuk dalam profil kontak Anda, periode retensi default adalah selama masa Layanan, berdasarkan pada Bagian 6(c) dari Lampiran I, Bagian B.
Data penggunaan pelanggan: Setelah pemutusan Perjanjian, kami dapat menyimpan, menggunakan, dan mengungkapkan Data Penggunaan Pelanggan untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B, sesuai dengan kewajiban kerahasiaan yang ditetapkan dalam Perjanjian. Kami akan menganonimkan atau menghapus data penggunaan pelanggan ketika kami tidak lagi membutuhkannya untuk tujuan yang ditetapkan dalam Bagian 6(d) dari Lampiran I, Bagian B.
8. Untuk transfer ke (Sub-)pemroses
Untuk transfer ke (Sub-)pemroses, juga spesifikasikan subjek, sifat, dan durasi pemrosesan: Untuk transfer ke Sub-pemroses, subjek dan sifat pemrosesan dijelaskan dalam ringkasan Sub-pemroses kami dan durasinya adalah selama masa Perjanjian.
Lampiran I, Bagian C. Otoritas Pengawas yang Kompeten
Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens) akan menjadi otoritas pengawas yang kompeten.
LAMPIRAN II - Langkah-langkah Keamanan Teknis dan Organisasi
Di mana saja yang berlaku, Lampiran II ini akan berfungsi sebagai Lampiran II untuk Klausul Kontraktual Standar. Di bawah ini terdapat lebih banyak informasi mengenai langkah-langkah keamanan teknis dan organisasi kami.
Langkah-langkah Keamanan Teknis dan Organisasi
Langkah-langkah pseudonimisasi dan perlindungan Data Pribadi dalam penyimpanan dan transit:
Semua Data Pribadi dienkripsi dalam transit dan saat istirahat, dan, sejauh relevan dari sudut pandang keamanan, diperlakukan seolah-olah diklasifikasikan sebagai data sensitif. Informasi selalu ditransmisikan melalui TLS dengan metodologi enkripsi terkini secara default.
Langkah-langkah untuk memastikan kerahasiaan, integritas, dan ketersediaan yang berkelanjutan serta ketahanan sistem dan layanan pemrosesan:
Kami mengadakan perjanjian yang berisi ketentuan kerahasiaan dengan karyawan, kontraktor, vendor, dan Sub-prosesor kami. Kebijakan keberlangsungan bisnis kami adalah untuk mempersiapkan bisnis dan layanan kami jika terjadi pemadaman yang berkepanjangan akibat faktor di luar kendali kami dan mengembalikan layanan sejauh mungkin dalam waktu minimum. Kami memahami bahwa layanan yang kami berikan sangat krusial bagi pelanggan kami dan oleh karena itu memiliki toleransi yang sangat kecil terhadap gangguan layanan. Kerangka waktu pemulihan kami dirancang untuk memastikan kami dapat memenuhi kewajiban kami kepada semua pelanggan kami.
Proses untuk pengujian, penilaian, dan evaluasi yang rutin terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan:
Tujuan dari keamanan informasi dan Sistem Manajemen Keamanan Informasi (ISMS) kami adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, pelanggan, dan sistem informasi (yang diizinkan), dan untuk meminimalkan risiko kerusakan yang terjadi dengan mencegah insiden keamanan dan mengelola ancaman serta kerentanan keamanan. Tim Hukum kami, Pejabat Perlindungan Data, dan Tim Keamanan memastikan bahwa peraturan dan standar yang berlaku diperhitungkan dalam kerangka keamanan kami.
Langkah-langkah untuk identifikasi dan otorisasi pengguna:
Kami mengikuti prinsip "perlu tahu" dan "hak akses paling sedikit". Kami mendorong penggunaan kontrol akses berbasis peran. Penyediaan dan penghapusan pengaturan diawasi oleh tim keamanan, dengan Single-Sign-On dan 2FA secara default. Pemilik telah ditentukan untuk setiap aset informasi yang bertanggung jawab untuk memastikan akses ke sistem mereka sesuai dan ditinjau secara berkala. Setiap kali berhadapan dengan informasi sensitif atau mengambil tindakan penting, kami menggunakan prinsip empat mata.
Langkah-langkah untuk memastikan pencatatan peristiwa:
Log audit disimpan secara terpusat dan dipantau secara rutin untuk peristiwa keamanan dan disimpan dengan aman untuk menghindari risiko pemalsuan. Kebijakan Manajemen Insiden memberlakukan rencana tanggapan terhadap insiden dan prosedurnya. Panduan ini diikuti jika terjadi jenis insiden keamanan atau teknis.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default:
Kami mengikuti proses manajemen perubahan yang konsisten untuk semua perubahan pada lingkungan produksi Platform Komunikasi sebagai Layanan. Untuk menjelaskan lebih lanjut, semua permintaan perubahan (RFC) perlu disetujui oleh pihak yang ditunjuk dan dilaksanakan sesuai dengan proses pengendalian perubahan formal. Proses pengendalian memastikan bahwa perubahan yang diusulkan ditinjau, diotorisasi, diuji, dilaksanakan, dan dirilis dengan cara yang terkontrol; dan bahwa status setiap perubahan yang diusulkan dipantau. Baseline konfigurasi diikuti untuk mengonfigurasi sistem secara aman mengikuti praktik terbaik. Juga, di dalam departemen Teknik, radar teknologi digunakan untuk mendefinisikan teknologi mana (bahasa, alat platform, basis data dan alat manajemen data) yang dapat diadopsi atau harus dihindari selama pengembangan.
Langkah-langkah untuk keamanan fisik
Kami secara aktif mempromosikan kebijakan "Bekerja dari Mana Saja" sehingga karyawan kami bebas bekerja dari tempat yang mereka inginkan. Namun, kami masih memiliki tempat kantor kami. Kami tidak memiliki area/data center yang aman di lokasi kami karena kami adalah perusahaan berbasis cloud sepenuhnya. Lantai kantor kami dilindungi oleh kontrol akses fisik, CCTV, dan keamanan yang ditempatkan.
Langkah-langkah untuk tata kelola dan manajemen TI internal dan keamanan TI:
Kami memelihara program keamanan penilaian berbasis risiko, yang mencakup perlindungan administratif, organisasi, teknis, dan fisik yang dirancang untuk melindungi Layanan serta kerahasiaan, integritas, dan ketersediaan Data Pelanggan. Program keamanan informasi kami disusun secara sistematis dan terorganisir dengan baik. Selain itu, persyaratan hukum dan regulasi berlaku untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi kepada organisasi, karyawan, mitra, dan pelanggan. Semua ini diterjemahkan ke dalam kebijakan keamanan informasi, prosedur, dan pedoman kami. Kami memiliki Komite Pengarah Keamanan yang bertanggung jawab atas tingkat taktis keamanan informasi. Ini melibatkan koordinasi kegiatan keamanan informasi dan penerjemahan kegiatan strategis menjadi kegiatan operasional untuk keamanan kami, dan pemeliharaan kepatuhan regulasi yang berkelanjutan. Semua karyawan bertanggung jawab untuk menjaga aset perusahaan. Semua karyawan kami diperiksa untuk keahlian, pengalaman, dan integritas. Karyawan diinformasikan tentang keamanan dan perlindungan data pada tahap onboarding, serta melalui pelatihan khusus tim secara rutin, dan presentasi seluruh perusahaan tentang pentingnya perlindungan data dan kepatuhan keamanan. Kami bersertifikat ISO 27001, standar keamanan informasi yang diakui secara global untuk Sistem Manajemen Keamanan Informasi (ISMS).
Semua penyedia hosting kami bersertifikat ISO 27001.
Kami juga terdaftar di Otoritas Belanda untuk Konsumen dan Pasar. Ini berarti kami selalu bertanggung jawab dan sepenuhnya transparan dengan klien kami.
Kami adalah Anggota Associate dari Asosiasi Mobile Spesial (GSMA). GSMA mewakili kepentingan operator seluler di seluruh dunia.
Kami selalu terkini dengan semua hukum dan regulasi yang berlaku, termasuk Regulasi Perlindungan Data Umum, dan Kerangka Kerja Perlindungan Data AS-UE.
Langkah-langkah untuk sertifikasi/jaminan proses dan produk:
Kami menjalani pengawasan ketat serta audit sertifikasi sebagai bagian dari kepatuhan ISO/IEC 27001, dan secara teratur melakukan pengujian kerentanan aplikasi dan pengujian penetrasi.
Langkah-langkah untuk memastikan akuntabilitas:
kami menerapkan kebijakan keamanan informasi dan perlindungan data sesuai dengan hukum yang berlaku dan menerbitkan gambaran umum informasi ISMS kami yang relevan (tautan). Kami telah menunjuk Direktur Keamanan, Pejabat Keamanan Informasi, Pejabat Kepatuhan, dan Pejabat Perlindungan Data yang berdedikasi, dan memelihara dokumentasi kegiatan pemrosesan kami, termasuk pencatatan dan pelaporan insiden keamanan yang melibatkan Data Pribadi jika berlaku.
Langkah-langkah untuk memastikan penghapusan data:
Kami memastikan penghapusan data melalui proses penghapusan otomatis dalam lingkungan komunikasi dan infrastruktur kami. Proses penghapusan data ini memastikan bahwa semua data yang tidak lagi diperlukan untuk memenuhi tujuan tertentu dihapus dari sistem kami setelah pemrosesan.
