本数据处理协议包括附录(“DPA”)是客户与在第15节(合同实体)中列出的合同实体之间协议的一部分,除非您的订单表中另有说明。在此DPA中,术语“你”、“你的”或“客户”是指您(依第1.2节以下内容为准),而术语“我们”、“我们的”或“MessageBird”是指我们。
1. Scope, Customer Affiliates and Term
1.1 范围。此DPA管辖MessageBird作为处理者对客户个人数据的处理。
1.2 客户关联公司。客户代表自己并在数据保护法律要求的范围内,代表其关联公司(如条款中定义),签署此DPA,如果且在您为这些关联公司提供访问服务的权限,并且我们处理这些关联公司作为数据控制者的客户个人数据(“客户关联公司”)。仅为此DPA之目的,并除非另有说明,“客户”和“您”一词应包括客户及其关联公司。
1.3 期限。只要MessageBird根据此DPA处理客户个人数据,本DPA将继续有效,尽管协议已到期或终止。
2. 定义
在本DPA中使用但未定义的大写术语应具有《协议》中规定的含义。本DPA中使用的定义术语包括:
2.1 “CCPA”指的是2018年的加利福尼亚消费者隐私法案以及根据该法案颁布的任何法规,在每种情况下都会根据需要进行不时修订。
2.2 “Customer Data” 指您或代表您(或您的客户应用程序的用户)根据《协议》提交并由服务处理或存储的任何数据及其他信息或内容。
2.3 “Customer Personal Data” 指包含在客户数据中的个人数据。账户数据不是客户个人数据。账户数据是您的账户出于签订和管理《协议》及您账户的目的而提供的任何数据,包括但不限于联系信息、客户计费详情和有关《协议》签订和管理的通信。
2.4 “Data Protection Legislation” 指在《协议》下适用于个人数据的机密性、隐私、安全或处理的任何管辖区的所有法律和法规,包括在适用情况下的GDPR、CCPA以及所有其他与隐私、直接营销或数据保护相关的法律和法规。
2.5 “EEA” 为本DPA之目的,指欧洲经济区和瑞士。
2.6 “EU Controller-to-Processor Standard Contractual Clauses” 指的是根据GDPR及欧盟委员会实施决策(EU)2021/914于2021年6月4日作出的将个人数据传输到第三国的“控制者到处理者”(模块2)模块的标准合同条款。
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses” 指的是根据GDPR及欧盟委员会实施决策(EU)2021/914于2021年6月4日作出的将个人数据传输到第三国的“处理者到处理者”(模块3)模块的标准合同条款。
2.8 “GDPR” 指的是(i)欧洲议会和理事会关于在个人数据处理和此类数据自由流动方面保护自然人的规则2016/679(通用数据保护条例);或(ii)仅就英国而言,指2018年数据保护法。
2.9 “LGPD” 指的是2018年的《一般数据保护法》和根据该法案颁布的任何法规,在每种情况下都会根据需要进行不时修订。
2.10 “Personal Data” 指与直接或间接识别或可识别的自然人有关的任何信息。
2.11 “PDPA” 指的是2012年的个人数据保护法和根据该法案颁布的任何法规,在每种情况下都会根据需要进行不时修订。
2.12 “Privacy Statement” 指服务的当前隐私声明,可以在https://bird.com/legal/privacy获取。
2.13 “Personal Data Breach” 指任何意外的、未经授权的或非法的毁坏、丢失、篡改、泄露或访问客户个人数据。
2.14 “Services” 指的是由我们或我们的附属公司提供的所有产品和服务,该等产品和服务(a)由您根据任何订单表单订购;或(b)由您使用。
2.15 “Standard Contractual Clauses” 指的是(i)欧盟控制者-处理者标准合同条款;或(ii)欧盟处理者-子处理者标准合同条款,分别或适用时合计。
2.16 “Subprocessor” 指的是代表作为数据处理者或子处理者的实体处理客户个人数据的实体。
2.17 “UK Controller-to-Processor Standard Contractual Clauses” 指的是为传输到第三国的处理者制定的标准合同条款,版本形式由欧盟委员会决策2010/87/EU制定,可能由欧盟委员会修订、修改或取代。
术语如“处理”,“数据控制者”,“数据处理者”,“数据主体”等应具有根据GDPR分配给它们的含义。“数据控制者”的定义包括“业务”,“控制者”和“组织”;“数据处理者”包括“服务提供者”,“处理者”和“数据中介”;“数据主体”包括“消费者”和“个人”;“个人数据” 包括“个人信息”,每种情况下都符合CCPA、LGPD或PDPA定义。
3. 处理客户个人数据
3.1 目的。我们将仅在必要的范围内处理客户个人数据:(i) 提供服务,包括通信的传输,确保服务的安全性,提供技术和交付报告,提供支持,以及根据您的记录指示作为数据处理者开发和实施改进和更新,如本数据处理协议 (DPA) 第3.2节中所指定的,以及 (ii) 为本数据处理协议 (DPA) 第3.4节所指定的我们作为数据控制者的合法业务目的处理。我们不出售任何个人数据,包括客户个人数据,也不与第三方共享个人数据以求得补偿或为第三方自身的商业利益。
3.2 指示。协议和本数据处理协议 (DPA) 构成在本数据处理协议签署时您作为数据处理者的完整指示。我们将遵循其他合理记录的指示,前提是这些指示与协议的条款一致。
3.3 处理详情。附件一,部分B (传输说明) 进一步指定了本数据处理协议 (DPA) 的处理性质和目的,处理活动,处理的持续时间,个人数据的类型,以及数据主体的类别,由我们作为数据处理者或次处理者。
3.4 合法的商业目的。您承认,我们作为独立的数据控制者,在必要的范围内为以下合法的商业目的处理客户个人数据:账单,账户管理,财务和内部报告,打击和预防可能影响我们或我们的服务的安全威胁、网络攻击和网络犯罪,业务建模(例如预测、容量和收入规划、产品战略),欺诈、垃圾邮件和滥用预防和检测,产品改进,并符合法律义务。
4. Customer Obligations
4.1 合法性。如果您作为客户个人数据的数据控制者,您保证所有的处理活动都是合法的,具有特定目的,并且已获得所有必需的通知、同意或其他适当的法律依据,以实现客户个人数据的合法转移。如果您是数据处理者(在这种情况下,我们将作为次级处理者),您将确保相关数据控制者保证满足本节4.1中列出的条件。
4.2 合规性。您单方面负责:(a) 确保您遵守适用于您使用服务和您自身处理客户个人数据的数据保护法律,(b) 独立评估服务的技术和组织措施是否符合您的要求,以及 (c) 为您提供或控制的组件(包括但不限于使用服务和客户应用的密码和设备)实施和维护隐私和安全措施。
5. 安全
5.1 安全措施。考虑到技术的现状、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利自由的可能性和严重性不同的风险,我们将实施并维护适当的技术和组织安全措施,以保护客户个人数据免遭个人数据泄露,并保持我们系统在处理客户数据时使用的客户数据的安全性、完整性、可用性、弹性和机密性。我们适用的安全措施描述在附录II中。
5.2 安全措施更新。您负责审核我们提供的关于客户个人数据安全的信息,并独立确定此类信息是否符合您的要求和数据保护法律下的法律义务。您承认安全措施受技术进步和发展的影响,并且我们可能会不时更新或修改我们的安全措施,前提是此类更新和修改不会导致客户个人数据总体安全性的下降。
5.3 访问控制。我们应用“需要知道”和最小特权的原则。
5.4 处理的机密性。我们将确保任何被我们授权处理客户个人数据的人或方(包括我们的员工、代理和次处理者)都将被告知此类客户个人数据的机密性质,并将承担在其聘用终止后仍然有效的适当保密义务(无论是合同义务还是法定义务)。
5.5 个人数据泄露的响应和通知。在意识到个人数据泄露后,我们将毫不迟延地 (i) 通知您,(ii) 调查个人数据泄露,(iii) 提供与个人数据泄露相关的及时信息,随着信息的知晓或您合理要求时,以及(iv) 采取商业上合理的步骤来缓解影响并防止个人数据泄露的再次发生。
6. 协助
6.1 数据保护援助。我们将为您提供合理请求的协助,以便您能够履行数据保护法下的义务,包括通知个人数据泄露,评估处理的适当安全级别,并协助您进行相关的数据保护影响评估。
6.2 协助数据主体请求。我们将为您提供合理的协助,以便允许您通过您的账户提供技术和组织措施,遵守数据主体根据数据保护法行使其权利的义务。为避免疑虑,您作为数据控制者负责处理与数据主体的客户个人数据有关的任何请求或投诉。
7. 披露和披露请求
7.1 限制披露和访问。我们不会提供访问或披露客户个人数据,除非 (i) 您的指导,(ii) 在协议和本 DPA 中规定的,或 (iii) 法律要求的情况。
7.2 披露请求。如果我们收到来自政府或监管机构的请求披露客户个人数据,我们会在合理可能的情况下尽快通知您,除非法律禁止此类通知。我们将根据https://bird.com/legal/disclosure-requests中提供的披露请求政策处理披露请求。
8. Subprocessors
8.1 当前分处理者。您同意参与在https://www.bird.com/en/legal/privacy#processorList标题“最终用户个人数据”下列出的分处理者,其中包含一个程序,您可以通过该程序订阅我们使用分处理者变更的通知。如果您订阅了此类通知,并考虑到本DPA的第8.3节,我们将尽快分享分处理者变化的详情。
8.2 使用分处理者。 通过本DPA,您向我们提供书面的普遍授权,以使用分处理者处理客户个人数据,须遵循本DPA第8.3节和以下要求:
a. 我们将限制分处理者对客户个人数据的访问,仅限于分处理者协议中规定的服务所必需的内容;
b. 我们将与分处理者就数据保护义务达成协议,这些义务与本DPA项下的义务基本相同;并且
c. 我们在本DPA下对分处理者的数据保护义务的履行始终向您负责。
8.3 分处理者变更的通知和反对权。在替换或聘用新的分处理者(“分处理者变更”)之前,我们将给您反对此类分处理者变更的机会。
您可以反对分处理者变更,前提是(i)在我们通知分处理者变更后的十(10)个工作日内,以书面形式提出反对,并且(ii)反对基于合理的理由并清楚解释与客户个人数据保护相关的原因。当您反对提议的分处理者变更时,我们将与您真诚合作,以在不使用相关分处理者的情况下,对服务的提供进行合理的商业变更。如果此类变更在我们收到您的反对通知后的三十(30)个工作日内无法合理地完成,或者如果此变更对我们来说在商业上是不合理的,则任何一方可以终止无法在不使用相关分处理者的情况下提供的相关服务功能。如果您反对分处理者变更,则此终止权是您唯一且排他的救济。
9. 客户个人数据的跨境传输
9.1 客户个人数据的转移。我们可能会在符合数据保护法规定的所有适当保障措施的条件下转移客户个人数据。这可能包括事先的数据转移影响评估、补充技术、组织和法律措施的采纳、监控和评估、可执行的数据主体权利,以及确保数据主体可获得有效的法律救济。
9.2 转移协议标准合同条款。除非适用充足性决策或替代转移机制,否则我们已经与位于欧洲经济区之外的次级处理者(包括我们的关联公司)签署并将保持标准合同条款,并根据本数据处理协议第9.1条的条款进行。
9.3 客户个人数据转移的机制。在使用服务的过程中,若需要一个跨境数据转移机制将客户个人数据合法地从一个区域(例如欧洲经济区、加利福尼亚、新加坡、瑞士或者英国)转移到位于该区域之外的我们公司,则该部分将适用。如果在服务履行中,将受《通用数据保护条例》或本数据处理协议适用的任何其他保护或隐私法所涵盖的客户个人数据转移至MessageBird的过程中,该数据转移至不确保数据保护立法含义内的充分保护水平的国家时,以下所列的转移机制应适用此类转移,并可由各方直接强制执行,前提是此类转移受数据保护立法的约束:
9.3.1 各方同意,标准合同条款将适用于通过服务从欧洲经济区或瑞士转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于经济欧洲区或瑞士之外且未被欧盟委员会(或在瑞士情况下,被瑞士主管当局)认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.1.1 当您作为数据控制者而MessageBird作为数据处理者时,欧盟控制者到处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。当您作为数据处理者而MessageBird是次级处理者时,处理者到次级处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。
9.3.1.2 在标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对适用的标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与标准合同条款之间存在任何冲突或不一致时,标准合同条款应仅在与从欧洲经济区的客户个人数据转移有关的情况下优先。
9.3.1.3 当标准合同条款要求各方在可选条款之间进行选择并输入信息时,各方已如下进行:
未采用可选条款7“对接条款”。
对于条款9“使用次级处理者”,各方选择如下选项:“选项2 一般书面授权:数据进口者获得就次级处理者的聘用具有同意的列表的控制者的总体授权。数据进口者应至少提前10个工作日书面具体告知控制者任何对此列表的拟议变更(通过添加或替换次级处理者),从而给予控制者充分的时间在次级处理者聘用之前能够反对这些变更。数据进口者应提供必要的信息以便数据出口者能够行使其反对权。数据进口者应通知数据出口者次级处理者的聘用。”
对于条款11 (a) “补救”,各方不采纳选项。
对于条款17“适用法律”,各方选择如下选项:“选项1。这些条款应适用一个允许第三方权利的欧盟成员国法律。各方同意该法律为荷兰法律。”
对于条款18 (b) “选择论坛和管辖权”:“各方同意,此为荷兰法院。”
9.3.2 各方同意,英国控制者到处理者标准合同条款将适用于通过服务从英国转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于英国之外且未被英国主管监管机构或政府机构认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.2.1 在英国控制者到处理者标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对英国控制者到处理者标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与英国控制者到处理者标准合同条款之间存在任何冲突或不一致时,英国控制者到处理者标准合同条款应仅在与从英国的客户个人数据转移有关的情况下优先。
10. 审核
10.1 审计报告。我们的通信平台将定期根据ISO 27001:2013标准(或同等标准)进行审计。审计可以是内部审计,也可以是我们自行决定的第三方审计。根据书面请求,我们将向您提供审计报告的摘要(“审计报告”),以便您验证我们是否遵守审计标准和此DPA。该等审计报告以及其中指定的任何结论或发现均为我们的机密信息。
10.2 客户信息请求。我们将向您提供证明符合此DPA规定义务所必需的所有合理信息。我们将对您提出的合理信息请求提供书面答复,包括对范围合理且确认符合此DPA必要的信息安全和审计问卷的答复,前提是您(i)已合理努力从我们提供或公开的文档、审计报告及其他信息中获取所请求的信息,并且(ii)除非个人数据泄露或与服务相关的处理活动发生重大变化,导致需要执行额外问卷调查,否则您每年行使此权利的次数不得超过一次。所有提供的答复均为我们的机密信息。
10.3 客户审计。如果我们提供给您的审计报告让您有充分理由相信我们违反了与您提供的客户个人数据相关的此DPA下的义务,我们将允许您委任的且我们批准的独立和合格的第三方审计员审核相关的个人数据处理活动,前提是满足以下要求:
a. 您应至少提前六十(60)天向我们发出合理的提前通知,以行使审计权利;
b. 审计员同意与我们签订市场标准保密义务;
c. 您和审计员采取措施以尽量减少对我们业务运营的干扰;
d. 审计将在正常营业时间内进行;
e. 我们没有义务提供其他客户的客户数据或与服务提供无关的系统的访问权限;
f. 您应支付所有审计费用。
11. 删除和归还客户个人数据
在协议终止或到期时,我们将(根据您的选择)删除或返还给您所有我们持有或控制的客户个人数据(包括副本),但在法律要求我们保留部分或全部客户个人数据的范围内,此要求不适用。如果您指示我们删除客户个人数据,存储在我们备份系统上的客户个人数据将受到保护,不再进一步处理,并在所需的保存期限结束后被删除。
12. 客户关联公司沟通与权利
以 Customer Affiliate 的名义并代表其进入本 DPA,如第 1.2 节所述,构成我们与该 Customer Affiliate 之间单独的 DPA,受以下条款的约束:
12.1. 通信。作为协议缔约方的客户应继续负责协调与我们在本 DPA 下的所有通信,并有权代表其 Customer Affiliates 发出和接收与本 DPA 相关的任何通信。
12.2 Customer Affiliates 的权利。当 Customer Affiliate 成为与我们签署 DPA 的一方时,在数据保护法规要求的范围内,有权根据本 DPA 行使权利并寻求补救,受以下条款的约束:
(i) 除非数据保护法规要求 Customer Affiliate 自行直接根据本 DPA 向 MessageBird 行使权利或寻求补救,否则双方同意 (i) 仅作为协议缔约方的客户应代表 Customer Affiliate 行使任何此类权利或寻求任何此类补救措施,并且 (ii) 作为协议缔约方的客户应代表自身和所有 Customer Affiliates,共同而不是单独单独为每个 Customer Affiliate 行使任何此类权利。
(ii) 双方同意,作为协议缔约方的客户在根据本 DPA 第 10.3 节进行的与客户个人数据保护相关程序的现场审核代表其进行时,应采取一切合理措施,通过在合理可能的范围内,结合代表自身和所有 Customer Affiliates 进行的多个审核请求为单一审核,以尽量减少对我们的任何影响。
为明确起见,Customer Affiliate 不成为协议的缔约方。
13. California Consumer Privacy Act 加州消费者隐私法案
我们就CCPA范围内客户个人数据的处理向您做出以下附加承诺。
13.1 我们的义务。我们将遵循CCPA,并根据CCPA的规定对所有受CCPA保护的客户个人数据(“CCPA个人数据”)进行处理。关于CCPA个人数据,我们是CCPA下的服务提供商。我们不会(a)出售CCPA个人数据;(b)保留、使用或披露任何CCPA个人数据以提供服务的特定目的之外的任何其他目的,包括为商业目的而保留、使用或披露CCPA个人数据,而不是提供服务;或(c)在与您的直接业务关系之外保留、使用或披露CCPA个人数据。根据条款和本DPA的指示授权对CCPA个人数据的处理是我们提供服务的核心一部分。您确认并同意我们访问客户数据不构成协议所交换对价的一部分。如果任何使用数据被视为CCPA个人数据,我们即是该数据的企业,并将根据我们的隐私声明处理该数据。本节13.1中使用的术语“企业”、“商业目的”、“服务提供商”和“出售”具备CCPA赋予它们的含义。双方均证明他们理解并将遵守CCPA要求下本DPA和协议中规定的义务和限制。
13.2 客户义务。您声明并保证您已通知终端用户个人数据根据CCPA第1798.140(t)(2)(C)(i)节预期的条款和条件被使用或共享。您负责遵守作为数据控制者的情况下适用于您的CCPA要求。
14. 管辖法律和争议解决
《条款》第13节 应适用于因本《数据处理协议》而产生或与之相关的任何争议,但数据保护法另有要求的除外。
附录 I - 处理详情
在适用情况下,本附表1将作为EEA标准合同条款的附件I。
附件I,A部分。各方名单
数据出口商: 客户
数据出口商联系详情:客户账户中列示的地址,或客户账户所有者的电子邮件地址,或客户在协议中选择接收通知的电子邮件地址。
数据出口商角色:数据出口商的角色在DPA第4节中概述。
签名和日期:如适用,数据出口商被视为在DPA生效日期签署了并入此处的标准合同条款。
数据导入商: MessageBird B.V.
数据导入商联系详情:Trompenburgstraat 2-C, 1079TX, 阿姆斯特丹, 荷兰, 数据保护官 - privacy@bird.com
数据导入商角色:数据导入商充当数据处理者。
签名和日期:如适用,数据导入商被视为在DPA生效日期签署了并入此处的标准合同条款。
附件I,B部分。传输描述
1. 转移的个人数据主体类别:用户。客户的联系人(自然人)或员工、承包商或临时工(现有、潜在、前任)通过客户的账户使用服务(“用户”);终端用户。任何个人(i) 联系信息被包含在客户的联系人列表中;(ii) 其信息被存储或通过服务收集,或(ii) 客户通过服务发送通信或以其他方式参与或沟通的个人(统称为“终端用户”)。您作为客户,独自决定通过我们的通信平台发送通信中包含的数据主体类别。
2. 转移的个人数据类别:客户个人数据包含在通信内容、流量数据、终端用户数据和客户使用数据中。通信内容可能包含个人数据或其他个性化特征,具体取决于您作为客户决定的通信内容。流量数据可能包含关于通信路由、持续时间或时间安排的客户个人数据,例如语音通话、短信或电子邮件,无论是个人还是公司。终端用户数据,例如电话号码、电子邮件地址、名字、姓氏、个人资料名称、国家、频道标识符。客户使用数据可能包含与您作为个人相关的统计数据和信息,以及与您的账户和服务活动相关的服务透视和分析报告,关于发送通信和客户支持。
3. 转移敏感数据(如适用)以及考虑数据性质和所涉及的风险的适用限制或保障措施,比如严格的目的限制、访问限制(包括仅限于经过专业培训的人员访问)、记录访问数据的记录、限制后续转移或额外的安全措施。
(a) 通信内容。 敏感数据可能会不时地通过服务处理,其中您或您的终端用户选择将敏感数据包含在通过服务传输的通信中。您有责任在传输或处理之前,或允许您的终端用户通过服务传输或处理任何敏感数据之前,确保适当的保障措施到位,按照协议第3.2节规定。
(b) 流量数据、终端用户数据和客户使用数据。流量数据、终端用户数据或客户使用数据中不包含敏感数据。
4. 转移频率(例如,数据是一次性或连续转移):客户个人数据在协议有效期内连续转移。
5. 处理性质:我们将在协议下提供服务所需的范围内处理客户个人数据。我们不会出售任何个人数据,包括客户个人数据,也不会与第三方共享个人数据作为补偿或用于第三方自己的商业利益。
6. 数据转移及进一步处理的目的:我们将根据客户在此DPA中指明的指示,作为数据处理者处理客户个人数据,除非处理是我们遵循法律义务所必需的,在这种情况下,我们将作为数据控制者进行分类。
通信内容、流量数据、终端用户数据和客户使用数据。 包含在通信内容、流量数据、终端用户数据和客户使用数据中的个人数据将会进行以下基本处理活动:
(a) 通信内容。 提供可编程通信产品和服务,以API或通过仪表板的形式向客户提供,包括从或到我们的通信平台以及其他通信网络进行传输到或从客户的软件应用程序。
(b) 流量数据。 流量数据的处理是为了在电子通信网络上传输通信或为该通信计费。这可能包括关于通信路由、持续时间或时间安排的客户个人数据,例如语音通话、短信或电子邮件,无论是个人还是公司。
(c) 终端用户数据。 为执行业务所需的终端用户的个人数据将仅用于通信传输、客户支持和确保MessageBird的法律义务合规的目的。
(d) 客户使用数据。 包含在客户使用数据中的个人数据将会进行提供协议下的服务的处理活动,旨在为客户提供关于发送通信、客户支持和持续改进服务的服务相关见解和分析报告。
7. 保留个人数据的期限,或者,如果不可能,则用于确定该期限的标准:
(a) 通信内容和流量数据。 对于SMS和Voice服务中包含的客户内容和流量数据,适用6个月的保留期;
对于24sessions服务,客户内容和流量数据最低保留30天,最长至您与您商定的期限;
对于所有其他服务,客户内容和流量数据将保留服务期间,除非您通过服务中为您提供的技术和组织措施删除客户内容或流量数据。
(b) 终端用户数据。 终端用户数据将按照客户决定的期限处理,当您在联系资料中包含终端用户数据时,默认保留期限为服务期间,受本附件I,B部分第6(c)节的约束。
(c) 客户使用数据。 在协议终止后,我们可能会出于附件I,B部分第6(d)节中规定的目的保留、使用和披露客户使用数据,受协议中规定的保密义务的约束。当我们不再需要客户使用数据用于附件I,B部分第6(d)节中规定的目的时,我们将匿名化或删除它。
8. 转增(分)处理者,还需指定处理的主题、性质和期限:对于转向Subprocessors,处理的主题和性质在https://www.bird.com/legal/privacy#processorList中概述,期限为协议期间。
附件I,C部分。主管监督机构
荷兰数据保护局(Autoriteit Persoonsgegevens)将是主管监督机构。
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
在适用的情况下,本附录II将作为标准合同条款的附件II。以下提供了关于我们所列技术和组织安全措施的更多信息。
技术和组织安全措施:
对存储和传输中的个人数据进行化名处理和保护的措施:所有个人数据在传输和静止状态下均进行加密,并且,从安全角度出发,将其视为敏感数据进行处理。信息始终通过默认的最新加密方法进行TLS传输。
确保处理系统和服务的持续保密性、完整性、可用性和弹性的措施:我们与员工、承包商、供应商和子处理者达成协议,包含保密条款。我们的业务连续性政策是为因我们无法控制的因素导致的长期停电事件做好准备,并尽可能在最短的时间范围内恢复服务。我们理解我们提供的服务对客户的重要性,因此对服务中断的容忍度非常低。我们的恢复时间框架旨在确保我们能够满足所有客户的义务。
定期测试、评估和评价技术和组织措施有效性的流程,以确保处理安全:信息安全和我们的信息安全管理系统(ISMS)的目标是保护信息的机密性、完整性和可用性,以维护组织、员工、合作伙伴、客户和(授权的)信息系统的利益,并通过防止安全事件和管理安全威胁和漏洞来尽量减少发生损害的风险。我们的法律团队、数据保护官员以及安全和合规团队确保将适用的法规和标准整合到我们的安全框架中。
用户识别和授权的措施:我们遵循“需要知道”和“最小特权”原则。我们提倡使用基于角色的访问控制。由安全团队监督供应和解除供应,默认情况下采用单点登录和双因素认证。每个信息资产都定义了负责人,他们负责确保其系统的访问是适当的,并定期进行审查。在处理敏感信息或采取关键行动时,我们使用四眼原则。
事件记录的措施:审计日志集中存储并定期监控安全事件,并妥善保存以避免篡改风险。事件管理政策执行了事件响应计划及其程序。如果发生任何类型的安全或技术事件,将遵循这些指南。发生安全事件时,安全指导委员会将定期审查,这个委员会由来自企业不同部门的高级利益相关者组成。
确保系统配置,包括默认配置的措施:我们对通信平台即服务的生产环境的所有变更遵循一致的变更管理流程。进一步说明,所有变更请求(RFC)需由指定方批准,并根据正式的变更控制流程执行。控制流程确保对拟议的变更进行审核、授权、测试、实施和有序发布;并监控每个提议变更的状态。配置基准遵循最佳实践,安全配置系统。此外,在工程部门内,使用技术雷达来定义哪些技术(语言、平台工具、数据库和数据管理工具)可以采用或在开发过程中需要避免。
物理安全的措施:我们积极推行“任何地方工作”政策,以使我们的员工可以在任何他们想工作的地方自由工作。然而,我们仍然保留我们的办公场所。由于我们是完全云端的公司,因此在我们的场所内没有安全区域/数据中心。我们的办公楼层由物理访问控制、闭路电视和安保人员保护。
内部IT和IT安全治理和管理的措施:我们维持一个基于风险评估的安全计划,其中包括设计保护服务及顾客数据机密性、完整性和可用性的行政、组织、技术和物理保障措施。我们的信息安全计划被系统化和有条理地设立。此外,法律和法规要求适用于确保组织、员工、合作伙伴和客户的信息的机密性、完整性和可用性。所有这些都被翻译成我们的信息安全政策、程序和指导方针。我们成立了一个安全指导委员会,负责信息安全战术层面。其职责是协调信息安全活动,并将战略活动翻译为我们的安全和监管合规的操作活动。所有员工对保护公司资产负责。我们所有的员工在录用阶段以及通过定期的团队特定培训和有关数据保护和安全合规性的重要性公司范围的全员演讲被通知关于安全和数据保护。MessageBird获得ISO/IEC 27001:2013认证,这是全球公认的信息安全管理系统(ISMS)信息安全标准。
我们所有的托管服务提供商均符合ISO/IEC 27001:2013标准。
我们还在荷兰消费者和市场管理局注册。这意味着我们始终对客户负责并完全透明。
我们是GSMA的准会员。GSMA代表了全球移动运营商的利益。我们时刻遵循所有适用法律法规,包括《通用数据保护条例》。
对流程和产品的认证/保证措施:我们作为ISO/IEC 27001:2013合规的一部分,经历了严格的监督和认证审计,并定期执行应用漏洞和渗透测试。MessageBird采取统一的方法进行补丁和漏洞管理,以确保无论漏洞存在于我们的基础设施、操作平台还是源代码中,我们的标准SLA时间线始终得到维护。
应用安全措施:我们在设计和开发阶段确保应用的安全性,这是基于MessageBird安全代码指南的。
在发布之前实施适当的修正。
代码变更由熟悉代码审查和安全开发的熟练人士(而非最初的开发人员)审查。
应用程序将接受严格的应用安全测试,以至少每年识别任何新的威胁和漏洞(遵循行业标准和最佳实践)。
推送到生产环境的应用代码变更会使用手动和/或自动化过程进行审查。
渗透测试每年进行,并在新产品/功能上进行个案考量。自动化源代码分析工具用于在部署前检测代码中的安全缺陷,基于所用语言。
漏洞披露措施:我们感谢发现我们平台漏洞的安全研究人员与我们联系,并将他们的发现发送到security@bird.com。我们有一个专门的安全团队进行跟进,并发出邀请加入我们的漏洞赏金计划,以在必要时调查和补救。
确保问责的措施:我们根据适用法律实施信息安全和数据保护政策,并发布我们ISMS相关信息概述(链接)。我们已任命了一位专责副总裁、合规和信息安全官以及一位数据保护官,并维持我们处理活动的文档,包括在适用情况下记录和报告涉及个人数据的安全事故。