本数据处理协议包括附录(“DPA”)是客户与在第15节(合同实体)中列出的合同实体之间协议的一部分,除非您的订单表中另有说明。在此DPA中,术语“你”、“你的”或“客户”是指您(依第1.2节以下内容为准),而术语“我们”、“我们的”或“MessageBird”是指我们。
1. Scope, Customer Affiliates and Term
1.1 范围。此DPA管辖MessageBird作为处理者对客户个人数据的处理。
1.2 客户关联公司。客户代表自己并在数据保护法律要求的范围内,代表其关联公司(如条款中定义),签署此DPA,如果且在您为这些关联公司提供访问服务的权限,并且我们处理这些关联公司作为数据控制者的客户个人数据(“客户关联公司”)。仅为此DPA之目的,并除非另有说明,“客户”和“您”一词应包括客户及其关联公司。
1.3 期限。只要MessageBird根据此DPA处理客户个人数据,本DPA将继续有效,尽管协议已到期或终止。
2. 定义
在本DPA中使用但未定义的首字母大写术语应根据协议中给出的含义进行解释。以下定义术语在本DPA中使用:
2.1 “CCPA”指2018年加州消费者隐私法及其制定的任何法规,每次修订时均适用。
2.2 “Customer Data”指根据协议由您或为您(或您的客户应用用户)提交并由服务处理或存储的任何数据和其他信息或内容。
2.3 “Customer Personal Data”指包含在客户数据中的个人数据。帐户数据不是客户个人数据。帐户数据是由您或为您提供给MessageBird的任何与协议及您帐户的签订和管理相关的数据,包括但不限于联系信息、客户帐单详细信息和关于协议签订和管理的通信。
2.4 “Data Protection Legislation”指任何司法管辖区适用于协议项下个人数据的机密性、隐私、安全或处理的所有法律和法规,包括(如适用)GDPR、CCPA及所有其他关于隐私、直接营销或数据保护的法律和法规。
2.5 “EEA”指本DPA目的下的欧洲经济区和瑞士。
2.6 “EU Controller-to-Processor Standard Contractual Clauses”指根据GDPR及欧洲委员会执行决策(EU) 2021/914于2021年6月4日进行的个人数据向第三国转移的“Controller to Processor”模块(Module 2)。标准合同条款。
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses”指根据GDPR及欧洲委员会执行决策(EU) 2021/914于2021年6月4日进行的个人数据向第三国转移的“Processor to Processor”模块(Module 3)。标准合同条款。
2.8 “GDPR”指(i)欧洲议会和理事会关于自然人保护以及个人数据处理和此类数据自由流动的规定2016/679(通用数据保护条例);或(ii)仅针对英国,数据保护法2018。
2.9 “LGPD”指2018年发布的一般数据保护法及其制定的任何法规,每次修订时均适用。
2.10 “Personal Data”指与直接或间接识别或可识别自然人相关的任何信息。
2.11 “PDPA”指2012年个人数据保护法及其制定的任何法规,每次修订时均适用。
2.12 “Privacy Statement”指为服务设定的当前隐私声明,如在Bird Privacy Statement中所述。
2.13 “Personal Data Breach”指任何偶然、未经授权或非法销毁、丢失、更改、披露或访问客户个人数据的行为。
2.14 “Services”指由我们或我们的子公司提供的所有产品和服务,其中(a)您在任何订单表格下订购;或(b)您使用的产品或服务。
2.15 “Standard Contractual Clauses”指(i)EU Controller-to-Processor Standard Contractual Clauses;或(ii) EU Processor-to-Subprocessor Standard Contractual Clauses,视情况单独或共同适用。
2.16 “Subprocessor”指代表作为数据处理器或Subprocessor的实体处理客户个人数据的实体。
2.17 “UK Controller-to-Processor Standard Contractual Clauses”指转移个人数据到第三国的处理器标准合同条款,其形式由欧洲委员会决策2010/87/EU设定,并可能被欧洲委员会修订、修改或取代。
术语如“processing”、“data controller”、“data processor”、“data subject”等应根据GDPR分配的含义进行解释。“data controller”的定义包括“business”、“controller”和“organization”;“data processor”包括“service provider”、“processor”和“data intermediary”;“data subject”包括“consumer”和“individual”;“个人数据”包括“个人信息”,在CCPA、LGPD或PDPA中定义的每个案例中。
3. 处理客户个人数据
3.1 目的。我们将仅在必要的范围内处理客户个人数据:(i) 提供服务,包括通信的传输,确保服务的安全性,提供技术和交付报告,提供支持,以及根据您的记录指示作为数据处理者开发和实施改进和更新,如本数据处理协议 (DPA) 第3.2节中所指定的,以及 (ii) 为本数据处理协议 (DPA) 第3.4节所指定的我们作为数据控制者的合法业务目的处理。我们不出售任何个人数据,包括客户个人数据,也不与第三方共享个人数据以求得补偿或为第三方自身的商业利益。
3.2 指示。协议和本数据处理协议 (DPA) 构成在本数据处理协议签署时您作为数据处理者的完整指示。我们将遵循其他合理记录的指示,前提是这些指示与协议的条款一致。
3.3 处理详情。附件一,部分B (传输说明) 进一步指定了本数据处理协议 (DPA) 的处理性质和目的,处理活动,处理的持续时间,个人数据的类型,以及数据主体的类别,由我们作为数据处理者或次处理者。
3.4 合法的商业目的。您承认,我们作为独立的数据控制者,在必要的范围内为以下合法的商业目的处理客户个人数据:账单,账户管理,财务和内部报告,打击和预防可能影响我们或我们的服务的安全威胁、网络攻击和网络犯罪,业务建模(例如预测、容量和收入规划、产品战略),欺诈、垃圾邮件和滥用预防和检测,产品改进,并符合法律义务。
4. Customer Obligations
4.1 合法性。如果您作为客户个人数据的数据控制者,您保证所有的处理活动都是合法的,具有特定目的,并且已获得所有必需的通知、同意或其他适当的法律依据,以实现客户个人数据的合法转移。如果您是数据处理者(在这种情况下,我们将作为次级处理者),您将确保相关数据控制者保证满足本节4.1中列出的条件。
4.2 合规性。您单方面负责:(a) 确保您遵守适用于您使用服务和您自身处理客户个人数据的数据保护法律,(b) 独立评估服务的技术和组织措施是否符合您的要求,以及 (c) 为您提供或控制的组件(包括但不限于使用服务和客户应用的密码和设备)实施和维护隐私和安全措施。
5. 安全
5.1 安全措施。考虑到技术的现状、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利自由的可能性和严重性不同的风险,我们将实施并维护适当的技术和组织安全措施,以保护客户个人数据免遭个人数据泄露,并保持我们系统在处理客户数据时使用的客户数据的安全性、完整性、可用性、弹性和机密性。我们适用的安全措施描述在附录II中。
5.2 安全措施更新。您负责审核我们提供的关于客户个人数据安全的信息,并独立确定此类信息是否符合您的要求和数据保护法律下的法律义务。您承认安全措施受技术进步和发展的影响,并且我们可能会不时更新或修改我们的安全措施,前提是此类更新和修改不会导致客户个人数据总体安全性的下降。
5.3 访问控制。我们应用“需要知道”和最小特权的原则。
5.4 处理的机密性。我们将确保任何被我们授权处理客户个人数据的人或方(包括我们的员工、代理和次处理者)都将被告知此类客户个人数据的机密性质,并将承担在其聘用终止后仍然有效的适当保密义务(无论是合同义务还是法定义务)。
5.5 个人数据泄露的响应和通知。在意识到个人数据泄露后,我们将毫不迟延地 (i) 通知您,(ii) 调查个人数据泄露,(iii) 提供与个人数据泄露相关的及时信息,随着信息的知晓或您合理要求时,以及(iv) 采取商业上合理的步骤来缓解影响并防止个人数据泄露的再次发生。
6. 协助
6.1 数据保护援助。我们将为您提供合理请求的协助,以便您能够履行数据保护法下的义务,包括通知个人数据泄露,评估处理的适当安全级别,并协助您进行相关的数据保护影响评估。
6.2 协助数据主体请求。我们将为您提供合理的协助,以便允许您通过您的账户提供技术和组织措施,遵守数据主体根据数据保护法行使其权利的义务。为避免疑虑,您作为数据控制者负责处理与数据主体的客户个人数据有关的任何请求或投诉。
7. 披露和披露请求
7.1 披露和访问的限制。我们不会提供访问或披露客户个人数据,除非 (i) 由您指示,(ii) 如协议和本 DPA 中所述,或 (iii) 法律要求。
7.2 披露请求。 如果我们收到政府或监管机构要求披露客户个人数据的请求,我们将尽快通知您,除非法律禁止此类通知。我们将根据我们的披露请求政策处理披露请求。
8. Subprocessors
8.1 当前子处理器。 您同意聘用在Bird Subprocessor List下标题“终端用户个人数据”中列出的子处理器,该列表还包含订阅通知程序,用于通知我们对子处理器使用的变更。 如果您订阅这些通知,并考虑到本DPA的第8.3节,我们将在合理可能的范围内尽快分享子处理器的任何变更详情。
8.2 子处理器的使用。通过本DPA,您向我们提供一般书面授权以聘用子处理器处理客户个人数据,受本DPA的第8.3节和以下要求的约束:
a. 我们将限制子处理器对客户个人数据的访问,仅限于子处理器协议中规定的提供服务的严格必要性;
b. 我们将与子处理器达成数据保护义务,这些义务实质上与本DPA下的义务相同;
c. 我们将承担子处理器数据保护义务的履行责任,并在本DPA下对您负责。
8.3 通知子处理器变更和反对的权利。在更换或聘用新子处理器(“子处理器变更”)之前,我们将给予您反对子处理器变更的选择。
您可以对子处理器变更提出反对条件如下:(i)在我们通知子处理器变更后的十(10)个工作日内书面反对,并且(ii)反对必须基于并清楚解释与客户个人数据保护相关的合理理由。 当您对拟议的子处理器变更提出反对时,我们将与您本着诚意合作,进行合理的商业变更以避免使用相关子处理器。 如果此变更无法在收到您的反对通知后三十(30)个工作日内合理进行,或者如果此变更对我们而言在商业上不合理,任何一方可以终止无法在不使用相关子处理器的情况下提供的服务的相关功能。 如果您对子处理器变更提出反对,这是您唯一和排他性的补救措施。
9. 客户个人数据的跨境传输
9.1 客户个人数据的转移。我们可能会在符合数据保护法规定的所有适当保障措施的条件下转移客户个人数据。这可能包括事先的数据转移影响评估、补充技术、组织和法律措施的采纳、监控和评估、可执行的数据主体权利,以及确保数据主体可获得有效的法律救济。
9.2 转移协议标准合同条款。除非适用充足性决策或替代转移机制,否则我们已经与位于欧洲经济区之外的次级处理者(包括我们的关联公司)签署并将保持标准合同条款,并根据本数据处理协议第9.1条的条款进行。
9.3 客户个人数据转移的机制。在使用服务的过程中,若需要一个跨境数据转移机制将客户个人数据合法地从一个区域(例如欧洲经济区、加利福尼亚、新加坡、瑞士或者英国)转移到位于该区域之外的我们公司,则该部分将适用。如果在服务履行中,将受《通用数据保护条例》或本数据处理协议适用的任何其他保护或隐私法所涵盖的客户个人数据转移至MessageBird的过程中,该数据转移至不确保数据保护立法含义内的充分保护水平的国家时,以下所列的转移机制应适用此类转移,并可由各方直接强制执行,前提是此类转移受数据保护立法的约束:
9.3.1 各方同意,标准合同条款将适用于通过服务从欧洲经济区或瑞士转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于经济欧洲区或瑞士之外且未被欧盟委员会(或在瑞士情况下,被瑞士主管当局)认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.1.1 当您作为数据控制者而MessageBird作为数据处理者时,欧盟控制者到处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。当您作为数据处理者而MessageBird是次级处理者时,处理者到次级处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。
9.3.1.2 在标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对适用的标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与标准合同条款之间存在任何冲突或不一致时,标准合同条款应仅在与从欧洲经济区的客户个人数据转移有关的情况下优先。
9.3.1.3 当标准合同条款要求各方在可选条款之间进行选择并输入信息时,各方已如下进行:
未采用可选条款7“对接条款”。
对于条款9“使用次级处理者”,各方选择如下选项:“选项2 一般书面授权:数据进口者获得就次级处理者的聘用具有同意的列表的控制者的总体授权。数据进口者应至少提前10个工作日书面具体告知控制者任何对此列表的拟议变更(通过添加或替换次级处理者),从而给予控制者充分的时间在次级处理者聘用之前能够反对这些变更。数据进口者应提供必要的信息以便数据出口者能够行使其反对权。数据进口者应通知数据出口者次级处理者的聘用。”
对于条款11 (a) “补救”,各方不采纳选项。
对于条款17“适用法律”,各方选择如下选项:“选项1。这些条款应适用一个允许第三方权利的欧盟成员国法律。各方同意该法律为荷兰法律。”
对于条款18 (b) “选择论坛和管辖权”:“各方同意,此为荷兰法院。”
9.3.2 各方同意,英国控制者到处理者标准合同条款将适用于通过服务从英国转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于英国之外且未被英国主管监管机构或政府机构认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.2.1 在英国控制者到处理者标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对英国控制者到处理者标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与英国控制者到处理者标准合同条款之间存在任何冲突或不一致时,英国控制者到处理者标准合同条款应仅在与从英国的客户个人数据转移有关的情况下优先。
10. 审核
10.1 审计报告。我们的通信平台将定期根据ISO 27001:2013标准(或同等标准)进行审计。审计可以是内部审计,也可以是我们自行决定的第三方审计。根据书面请求,我们将向您提供审计报告的摘要(“审计报告”),以便您验证我们是否遵守审计标准和此DPA。该等审计报告以及其中指定的任何结论或发现均为我们的机密信息。
10.2 客户信息请求。我们将向您提供证明符合此DPA规定义务所必需的所有合理信息。我们将对您提出的合理信息请求提供书面答复,包括对范围合理且确认符合此DPA必要的信息安全和审计问卷的答复,前提是您(i)已合理努力从我们提供或公开的文档、审计报告及其他信息中获取所请求的信息,并且(ii)除非个人数据泄露或与服务相关的处理活动发生重大变化,导致需要执行额外问卷调查,否则您每年行使此权利的次数不得超过一次。所有提供的答复均为我们的机密信息。
10.3 客户审计。如果我们提供给您的审计报告让您有充分理由相信我们违反了与您提供的客户个人数据相关的此DPA下的义务,我们将允许您委任的且我们批准的独立和合格的第三方审计员审核相关的个人数据处理活动,前提是满足以下要求:
a. 您应至少提前六十(60)天向我们发出合理的提前通知,以行使审计权利;
b. 审计员同意与我们签订市场标准保密义务;
c. 您和审计员采取措施以尽量减少对我们业务运营的干扰;
d. 审计将在正常营业时间内进行;
e. 我们没有义务提供其他客户的客户数据或与服务提供无关的系统的访问权限;
f. 您应支付所有审计费用。
11. 删除和归还客户个人数据
在协议终止或到期时,我们将(根据您的选择)删除或返还给您所有我们持有或控制的客户个人数据(包括副本),但在法律要求我们保留部分或全部客户个人数据的范围内,此要求不适用。如果您指示我们删除客户个人数据,存储在我们备份系统上的客户个人数据将受到保护,不再进一步处理,并在所需的保存期限结束后被删除。
12. 客户关联公司沟通与权利
以 Customer Affiliate 的名义并代表其进入本 DPA,如第 1.2 节所述,构成我们与该 Customer Affiliate 之间单独的 DPA,受以下条款的约束:
12.1. 通信。作为协议缔约方的客户应继续负责协调与我们在本 DPA 下的所有通信,并有权代表其 Customer Affiliates 发出和接收与本 DPA 相关的任何通信。
12.2 Customer Affiliates 的权利。当 Customer Affiliate 成为与我们签署 DPA 的一方时,在数据保护法规要求的范围内,有权根据本 DPA 行使权利并寻求补救,受以下条款的约束:
(i) 除非数据保护法规要求 Customer Affiliate 自行直接根据本 DPA 向 MessageBird 行使权利或寻求补救,否则双方同意 (i) 仅作为协议缔约方的客户应代表 Customer Affiliate 行使任何此类权利或寻求任何此类补救措施,并且 (ii) 作为协议缔约方的客户应代表自身和所有 Customer Affiliates,共同而不是单独单独为每个 Customer Affiliate 行使任何此类权利。
(ii) 双方同意,作为协议缔约方的客户在根据本 DPA 第 10.3 节进行的与客户个人数据保护相关程序的现场审核代表其进行时,应采取一切合理措施,通过在合理可能的范围内,结合代表自身和所有 Customer Affiliates 进行的多个审核请求为单一审核,以尽量减少对我们的任何影响。
为明确起见,Customer Affiliate 不成为协议的缔约方。
13. California Consumer Privacy Act 加州消费者隐私法案
我们就CCPA范围内客户个人数据的处理向您做出以下附加承诺。
13.1 我们的义务。我们将遵循CCPA,并根据CCPA的规定对所有受CCPA保护的客户个人数据(“CCPA个人数据”)进行处理。关于CCPA个人数据,我们是CCPA下的服务提供商。我们不会(a)出售CCPA个人数据;(b)保留、使用或披露任何CCPA个人数据以提供服务的特定目的之外的任何其他目的,包括为商业目的而保留、使用或披露CCPA个人数据,而不是提供服务;或(c)在与您的直接业务关系之外保留、使用或披露CCPA个人数据。根据条款和本DPA的指示授权对CCPA个人数据的处理是我们提供服务的核心一部分。您确认并同意我们访问客户数据不构成协议所交换对价的一部分。如果任何使用数据被视为CCPA个人数据,我们即是该数据的企业,并将根据我们的隐私声明处理该数据。本节13.1中使用的术语“企业”、“商业目的”、“服务提供商”和“出售”具备CCPA赋予它们的含义。双方均证明他们理解并将遵守CCPA要求下本DPA和协议中规定的义务和限制。
13.2 客户义务。您声明并保证您已通知终端用户个人数据根据CCPA第1798.140(t)(2)(C)(i)节预期的条款和条件被使用或共享。您负责遵守作为数据控制者的情况下适用于您的CCPA要求。
14. 管辖法律和争议解决
《条款》第13节 应适用于因本《数据处理协议》而产生或与之相关的任何争议,但数据保护法另有要求的除外。
附录 I - 处理详情
如适用,本附表1将作为《欧洲经济区标准合同条款》的附件I。
附件I,部分A. 各方名单
数据导出方: 客户
数据导出方联系方式:在客户账户中列出的地址,或客户账户拥有者的电子邮件地址,或客户选择在协议中接收通知的电子邮件地址。
数据导出方角色:数据导出方的角色在DPA的第4节中概述。
签名和日期:如适用,数据导出方被视为自DPA生效日期起签署了此处包含的标准合同条款。
数据导入方:MessageBird B.V.
数据导入方联系方式:Trompenburgstraat 2-C, 1079TX, Amsterdam, The Netherlands, 数据保护官 - privacy@bird.com
数据导入方角色:数据导入方充当数据处理者。
签名和日期:如适用,数据导入方被视为自DPA生效日期起签署了此处包含的标准合同条款。
附件I,部分B. 转移描述
1. 转移的个人数据主体类别:用户。客户的联系人(自然人)或员工、合同工或临时工(当前的、潜在的、前任的),通过客户的账户使用服务(“用户”);终端用户。任何个人(i)其联系详情包含在客户的联系人列表中;(ii)其信息通过服务被存储或收集,或(ii)客户通过服务与其发送通讯或以其他方式互动或交流的(统称为“终端用户”)。您作为客户全权决定通过我们的通信平台发送的通信中包含的数据主体类别。
2. 转移的个人数据类别:客户个人数据包含在通信内容、流量数据、终端用户数据和客户使用数据中。通信内容可能包含个人数据或其他个性化特征,具体取决于您作为客户决定的通信内容。流量数据可能包含有关通信路由、持续时间或时间的客户个人数据,例如语音通话、短信或电子邮件,不论其是否与个人或公司相关。终端用户数据,例如电话号码、电子邮件地址、名字、姓氏、个人资料名称、国家/地区、频道标识符。客户使用数据可能包含与您作为个人有关的数据,包括统计数据以及与您的账户和服务活动、服务相关见解和有关已发送通信的分析报告和客户支持。
3. 转移的敏感数据(如适用)及应用的限制或保护措施,须充分考虑到数据的性质和涉及的风险,例如严格的用途限制、访问限制(包括仅限接收过专项培训的员工访问)、记录数据访问、转移限制或额外的安全措施。
(a) 通信内容。 当您或您的终端用户选择在使用服务传输的通信中包含敏感数据时,服务将处理敏感数据。您有责任确保在根据协议第3.2节传输或处理任何敏感数据之前,或允许您的终端用户进行传输或处理之前已采取了适当的保护措施。
(b) 流量数据、终端用户数据和客户使用数据。 流量数据、终端用户数据或客户使用数据中不包含敏感数据。
4. 转移的频率(例如,数据是否为一次性转移或连续转移):为协议的期间,客户个人数据将基于连续转移。
5. 处理的性质:我们将处理客户个人数据,以提供协议下的服务所需的程度。我们不出售任何个人数据,包括客户个人数据,也不与第三方分享个人数据以获取报酬或为那些第三方的商业利益。
6. 数据传输和进一步处理的目的:我们将根据客户在本DPA中规定的指示作为数据处理者处理客户个人数据,除非处理是我们所遵循的法律义务所必需,在这种情况下,我们将作为数据控制者进行分类。
通信内容、流量数据、终端用户数据和客户使用数据。 含有个人数据的通信内容、流量数据、终端用户数据和客户使用数据将进行以下基本处理活动:
(a) 通信内容。 提供可编程的通信产品和服务,以应用程序编程接口(API)形式提供给客户,或通过Dashboard传递至或从客户的软件应用程序至我们的通信平台,及其他通信网络。
(b) 流量数据。 处理流量数据是为了在电子通信网络上传输通信或为该通信的计费。可能包含如语音通话、短信或电子邮件的通信路由、持续时间或时间的客户个人数据,无论其是否与个人或公司相关。
(c) 终端用户数据。 为履行服务所需,必须处理终端用户的个人数据,并且仅为通信传输、客户支持和确保MessageBird法律义务合规而进行处理。
(d) 客户使用数据。 含有客户使用数据的个人数据将主要为协议下提供服务的处理活动,包括为客户提供服务相关的见解和分析报告,关于已发送通信、客户支持和服务的持续改进。
7. 保留个人数据的期限,或如无法实现,确定期限所用的标准:
(a) 通信内容和流量数据。 在SMS和语音服务中包含的客户内容和流量数据适用六个月的保留期;
对于24sessions服务,客户内容和流量数据的保留期为30天起至与您商定的期间;
对于所有其他服务,客户内容和流量数据的保留期为服务的期间,除非您通过服务提供的技术和组织措施删除客户内容或流量数据。
(b) 终端用户数据。 终端用户数据将按客户确定的期间进行处理,当终端用户数据在您的联系档案中时,默认保留期为服务的期间,受本附件I,部分B第6(c)节限制。
(c) 客户使用数据。 于协议终止后,我们可能根据本附件I,部分B第6(d)节中规定的目的保留、使用和披露客户使用数据,受协议中规定的保密义务约束。当我们不再需要依据本附件I,部分B第6(d)节确定的目的保留客户使用数据时,我们将匿名化或删除这些数据。
8. 对于转移到(副)处理者,还需指定处理的主题、性质和期限: 对于转移到副处理者,处理的主题和性质在Bird subprocessor列表中列出,处理的期限与协议的期限一致。
附件I,部分C. 主管监督机构
荷兰数据保护局(Autoriteit Persoonsgegevens)将是主管监督机构。
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
如果适用,本附录II将作为标准合同条款的附录II。以下提供了关于我们下文规定的技术和组织安全措施的更多信息。
技术和组织安全措施:
个人数据存储和传输的假名化和保护措施:所有个人数据在传输和静止时均加密,并且从安全的角度来看,视为敏感数据进行处理。信息总是通过最新的加密方法通过TLS进行传输。
确保处理系统和服务的持续保密性、完整性、可用性和弹性措施:我们与我们的员工、承包商、供应商和次处理器签署包含保密条款的协议。我们的业务连续性政策是在不可控因素导致长时间停机时为业务和服务做好准备,并尽可能广泛地恢复服务,以确保我们能够在最短的时间内满足客户的需要。我们理解我们提供的服务对客户至关重要,因此对服务中断几乎没有容忍。我们的恢复时间框架旨在确保我们能够履行对所有客户的义务。
定期测试、评估和评估技术和组织措施有效性以确保处理安全的流程:信息安全和我们的信息安全管理系统(ISMS)的目标是保护组织、员工、合作伙伴、客户和(授权)信息系统的信息的保密性、完整性和可用性,并通过防止安全事件和管理安全威胁和漏洞来减少损害发生的风险。我们的法律团队、数据保护官员和安全合规团队确保了我们的安全框架中考虑了适用的法规和标准。
用户识别和授权措施:我们遵循“需要了解”和“最少权限”的原则。我们促进使用基于角色的访问控制。供应和取消供应由安全团队负责,默认使用单点登录和双因素认证。为每个信息资产定义了所有者,负责确保对他们的系统的访问是适当的,并定期进行审查。在处理敏感信息或采取关键行动时,我们使用四眼原则。
确保事件日志记录的措施:审计日志定期存储和监控安全事件,并被安全存放以避免篡改风险。事件管理政策强制执行事件响应计划及其程序。如果发生任何类型的安全或技术事件,将按照这些指导方针进行处理。如果发生安全事件,它们将由由业务各部门的高层利益相关者组成的安全指导委员会定期审查。
确保系统配置的措施,包括默认配置:我们对通信平台作为服务的生产环境的所有变更遵循一致的变更管理流程。进一步阐述,所有变更请求(RFC)需要由指定方批准,并根据正式变更控制流程执行。控制流程确保对建议的变更进行审查、授权、测试、实施和发布,并监控每个建议变更的状态。配置基线遵循最佳实践,用于安全配置系统。此外,工程部门使用技术雷达定义开发过程中可以采用或需要避免的技术(语言、平台工具、数据库和数据管理工具)。
物理安全的措施:我们积极推广“任意地点工作”政策,以便员工可以在任何地方工作。然而,我们仍有办公室设施。我们在场所没有安全区域/数据中心,因为我们完全是云端公司。我们的办公室楼层受到物理访问控制、闭路电视和实地安全的保护。
内部IT和IT安全治理和管理措施:我们维持基于风险评估的安全计划,其中包括旨在保护服务和客户数据的保密性、完整性和可用性的行政、组织、技术和物理保障措施。我们的信息安全计划系统化、有组织。此外,适用的法律和法规要求确保信息对组织、员工、合作伙伴和客户的保密性、完整性和可用性。所有这些都被转换为我们的信息安全政策、程序和指导原则。我们有一个安全指导委员会,负责信息安全的战术层面。协调信息安全活动以及战略活动转化为我们安全的操作活动,并持续维护法规合规性。所有员工负责保护公司资产。所有员工都经过筛选其专业知识、经验和诚信。员工在入职阶段以及通过团队特定的定期培训和公司范围内的全员讲座,获悉安全和数据保护的重要性。MessageBird获得ISO/IEC 27001:2013认证,即全球认可的信息安全管理系统(ISMS)信息安全标准。
我们所有的托管提供商符合ISO/IEC 27001:2013标准。
我们还在荷兰消费者和市场管理局注册。这意味着我们始终对客户负责并完全透明。
我们是移动特别协会(GSMA)的准会员。GSMA代表全球移动运营商的利益。我们始终遵守所有适用法律和法规,包括《通用数据保护条例》。
认证/流程和产品保证措施:我们作为ISO/IEC 27001:2013合规性的一部分接受严格的监控和认证审核,并定期执行应用程序漏洞和渗透测试。MessageBird采取统一的方法进行补丁和漏洞管理,以确保我们的标准SLA时间线保持不变,无论漏洞是否存在于我们的基础设施、操作平台或源代码中。
应用程序安全措施:我们在设计和开发阶段根据MessageBird安全代码指南确保应用程序安全。在发布之前实施适当的修正。
代码更改由熟练的人员(熟悉代码审查和安全开发)审查,而不是原始开发人员。
应用程序将接受严格的应用程序安全测试,以至少每年识别任何新威胁和漏洞(根据行业标准和最佳实践)。
推送到生产环境的应用程序代码变更使用手动和/或自动流程进行审查。
对新产品/功能的渗透测试按年度和具体情况进行。使用自动源代码分析工具根据语言在部署之前检测代码中的安全缺陷。
漏洞披露措施:我们感谢安全研究人员发现我们平台上的漏洞并与我们联系,并通过向security@bird.com发送他们的发现。我们有专门的安全团队负责跟进并发送邀请到我们的漏洞奖励计划以调查并在必要时进行修复。
确保责任的措施:我们根据适用法律实施信息安全和数据保护政策,并在我们的Bird文档中发布我们ISMS相关信息的概述。我们已经指定了一位专门负责合规和信息安全的副总裁和一位数据保护官员,并维护我们的处理活动的文档,包括记录和报告涉及个人数据的安全事件(如果适用)。
