此数据处理协议(包括附录,以下简称“DPA”)是客户与第15节(合同实体)中列出的合同实体之间的协议的一部分,除非在您的订单表中另有说明。在此DPA中,术语“您”, “您的”, 或 “客户”是指您(受限于下面第1.2节),而术语“我们”, “我们, “我们的” 或 “MessageBird”是指我们。
1. Scope, Customer Affiliates and Term
1.1 范围。此DPA管辖MessageBird作为处理者对客户个人数据的处理。
1.2 客户关联公司。客户代表自己并在数据保护法律要求的范围内,代表其关联公司(如条款中定义),签署此DPA,如果且在您为这些关联公司提供访问服务的权限,并且我们处理这些关联公司作为数据控制者的客户个人数据(“客户关联公司”)。仅为此DPA之目的,并除非另有说明,“客户”和“您”一词应包括客户及其关联公司。
1.3 期限。只要MessageBird根据此DPA处理客户个人数据,本DPA将继续有效,尽管协议已到期或终止。
2. 定义
在本DPA中使用但未定义的资本化术语应具有协议中给出的含义。本DPA中使用了以下定义的术语:
2.1 “CCPA”指2018年《加利福尼亚消费者隐私法案》及其制定的任何法规,在各个情况下,随时修订。
2.2 “Customer Data”指您或为您(或您的客户应用程序的用户)根据协议提交的并通过服务处理或存储的任何数据和其他信息或内容。
2.3 “Customer Personal Data”指客户数据中包含的个人数据。账户数据不是客户个人数据。账户数据是任何由您或为您提供给MessageBird的与缔结和管理协议及您的账户有关的数据,包括但不限于联系信息、客户账单详细信息和有关缔结和管理协议的通信。
2.4 “Data Protection Legislation”指任何适用于协议下个人数据的机密性、隐私、安全或处理的任何司法管辖区的所有法律和法规,包括在适用情况下,GDPR、CCPA和所有其他与隐私、直接营销或数据保护有关的法律和法规。
2.5 “EEA”指就本DPA而言,欧洲经济区和瑞士。
2.6 “EU Controller-to-Processor Standard Contractual Clauses”指通过GDPR和欧洲委员会2021年6月4日(EU) 2021/914 执行决定转移个人数据至第三国的“控制器到处理器”标准合同条款(模块2)。
2.7 “EU Processor-to-Subprocessor Standard Contractual Clauses”是指通过GDPR和欧洲委员会2021年6月4日(EU) 2021/914 执行决定转移个人数据至第三国的“处理器到处理器”(模块3)标准合同条款。
2.8 “GDPR”指(i)欧洲议会和理事会关于自然人个人数据处理及自由移动的2016/679法规(通用数据保护条例);或(ii)仅关于英国,《2018年数据保护法》。
2.9 “LGPD”指2018年《巴西通用数据保护法》及其制定的任何法规,在各个情况下,随时修订。
2.10 “Personal Data”指任何有关已识别或可识别的自然人的信息。
2.11 “PDPA”指2012年的《个人数据保护法》及其制定的任何法规,在各个情况下,随时修订。
2.12 “Privacy Statement”指当前有效的服务隐私声明,可在https://bird.com/legal/privacy上获取。
2.13 “Personal Data Breach”指任何意外、未经授权或非法销毁、丢失、更改、披露、访问客户个人数据的行为。
2.14 “Services”指我们或我们的关联公司提供的所有产品和服务,该产品和服务是(a)由您根据任何订单表订购的;或(b)由您使用的。
2.15 “Standard Contractual Clauses”是指(i)欧盟控制器到处理器标准合同条款;或(ii)欧盟处理器到子处理器标准合同条款,单独使用或共同使用,视情况适用。
2.16 “Subprocessor”指代表作为数据处理器或子处理器的实体处理客户个人数据的实体。
2.17 “UK Controller-to-Processor Standard Contractual Clauses”是指根据欧洲委员会决定2010/87/EU转移个人数据至第三国的处理器的标准合同条款,可能会被欧洲委员会修订、修改或取代。
术语如“processing”、“data controller”、“data processor”、“data subject”等应具有GDPR下赋予它们的含义。“data controller”的定义包括“business”、“controller”和“organization”;“data processor”包括“service provider”、“processor”和“data intermediary”;“data subject”包括“consumer”和“individual”;而“Personal Data”则包括“personal information”,在每个情况下,均如CCPA、LGPD或PDPA所定义。
3. 处理客户个人数据
3.1 目的。我们将仅在必要的范围内处理客户个人数据:(i) 提供服务,包括通信的传输,确保服务的安全性,提供技术和交付报告,提供支持,以及根据您的记录指示作为数据处理者开发和实施改进和更新,如本数据处理协议 (DPA) 第3.2节中所指定的,以及 (ii) 为本数据处理协议 (DPA) 第3.4节所指定的我们作为数据控制者的合法业务目的处理。我们不出售任何个人数据,包括客户个人数据,也不与第三方共享个人数据以求得补偿或为第三方自身的商业利益。
3.2 指示。协议和本数据处理协议 (DPA) 构成在本数据处理协议签署时您作为数据处理者的完整指示。我们将遵循其他合理记录的指示,前提是这些指示与协议的条款一致。
3.3 处理详情。附件一,部分B (传输说明) 进一步指定了本数据处理协议 (DPA) 的处理性质和目的,处理活动,处理的持续时间,个人数据的类型,以及数据主体的类别,由我们作为数据处理者或次处理者。
3.4 合法的商业目的。您承认,我们作为独立的数据控制者,在必要的范围内为以下合法的商业目的处理客户个人数据:账单,账户管理,财务和内部报告,打击和预防可能影响我们或我们的服务的安全威胁、网络攻击和网络犯罪,业务建模(例如预测、容量和收入规划、产品战略),欺诈、垃圾邮件和滥用预防和检测,产品改进,并符合法律义务。
4. Customer Obligations
4.1 合法性。如果您作为客户个人数据的数据控制者,您保证所有的处理活动都是合法的,具有特定目的,并且已获得所有必需的通知、同意或其他适当的法律依据,以实现客户个人数据的合法转移。如果您是数据处理者(在这种情况下,我们将作为次级处理者),您将确保相关数据控制者保证满足本节4.1中列出的条件。
4.2 合规性。您单方面负责:(a) 确保您遵守适用于您使用服务和您自身处理客户个人数据的数据保护法律,(b) 独立评估服务的技术和组织措施是否符合您的要求,以及 (c) 为您提供或控制的组件(包括但不限于使用服务和客户应用的密码和设备)实施和维护隐私和安全措施。
5. 安全
5.1 安全措施。考虑到技术的现状、实施成本以及处理的性质、范围、背景和目的,以及对自然人权利自由的可能性和严重性不同的风险,我们将实施并维护适当的技术和组织安全措施,以保护客户个人数据免遭个人数据泄露,并保持我们系统在处理客户数据时使用的客户数据的安全性、完整性、可用性、弹性和机密性。我们适用的安全措施描述在附录II中。
5.2 安全措施更新。您负责审核我们提供的关于客户个人数据安全的信息,并独立确定此类信息是否符合您的要求和数据保护法律下的法律义务。您承认安全措施受技术进步和发展的影响,并且我们可能会不时更新或修改我们的安全措施,前提是此类更新和修改不会导致客户个人数据总体安全性的下降。
5.3 访问控制。我们应用“需要知道”和最小特权的原则。
5.4 处理的机密性。我们将确保任何被我们授权处理客户个人数据的人或方(包括我们的员工、代理和次处理者)都将被告知此类客户个人数据的机密性质,并将承担在其聘用终止后仍然有效的适当保密义务(无论是合同义务还是法定义务)。
5.5 个人数据泄露的响应和通知。在意识到个人数据泄露后,我们将毫不迟延地 (i) 通知您,(ii) 调查个人数据泄露,(iii) 提供与个人数据泄露相关的及时信息,随着信息的知晓或您合理要求时,以及(iv) 采取商业上合理的步骤来缓解影响并防止个人数据泄露的再次发生。
6. 协助
6.1 数据保护援助。我们将为您提供合理请求的协助,以便您能够履行数据保护法下的义务,包括通知个人数据泄露,评估处理的适当安全级别,并协助您进行相关的数据保护影响评估。
6.2 协助数据主体请求。我们将为您提供合理的协助,以便允许您通过您的账户提供技术和组织措施,遵守数据主体根据数据保护法行使其权利的义务。为避免疑虑,您作为数据控制者负责处理与数据主体的客户个人数据有关的任何请求或投诉。
7. 披露和披露请求
7.1 披露和访问的限制。 我们不会提供访问或披露客户个人数据,除非 (i) 您指示,(ii) 在协议和本 DPA 中规定,或 (iii) 法律要求。
7.2 披露请求。如果我们收到政府或监管机构要求披露客户个人数据的请求,我们会在合理可能的范围内尽快通知您,除非法律禁止此类通知。我们将根据可在https://bird.com/legal/disclosure-requests获取的披露请求政策处理披露请求。
8. Subprocessors
8.1 当前子处理器。您同意使用在https://www.bird.com/en/legal/privacy#processorList “终端用户个人数据”标题下列出的子处理器,并且该页面包含了订阅我们对子处理器使用更改通知的流程。如果您订阅了这样的通知,并考虑到本数据处理协议的第8.3节,我们会尽快分享子处理器变更的详细信息。
8.2 子处理器的使用。通过本数据处理协议,您对我们为处理客户个人数据而使用子处理器提供了一般书面授权,但须遵循本数据处理协议第8.3节和以下要求:
a. 我们将限制子处理器对客户个人数据的访问,仅限于提供子处理器协议中规定的服务所必需的内容;
b. 我们将与子处理器达成数据保护义务,这些义务与本数据处理协议下的义务实质上相同;
c. 在本数据处理协议下,我们仍对您负有子处理器的数据保护义务履行的责任。
8.3 对子处理器更改的通知及反对权利。在更换或使用新的子处理器(“子处理器更改”)之前,我们将给您反对子处理器更改的选项。
您可以反对子处理器更改,条件是 (i) 反对意见在我们通知子处理器更改后的十(10)个工作日内以书面形式提出,并且 (ii) 反对意见基于与客户个人数据保护相关的合理理由进行明确说明。当您反对拟议的子处理器更改时,我们将与您真诚合作,以商业上合理的方式更改服务的提供,避免使用相关子处理器。如果在收到您的反对通知后三十(30)个工作日内无法合理地进行此类更改,或者此更改对我们来说在商业上不合合理,任何一方均可终止无法在不使用相关子处理器的情况下提供的相关服务功能。如果您反对子处理器更改,此终止权是您唯一和排他的补救措施。
9. 客户个人数据的跨境传输
9.1 客户个人数据的转移。我们可能会在符合数据保护法规定的所有适当保障措施的条件下转移客户个人数据。这可能包括事先的数据转移影响评估、补充技术、组织和法律措施的采纳、监控和评估、可执行的数据主体权利,以及确保数据主体可获得有效的法律救济。
9.2 转移协议标准合同条款。除非适用充足性决策或替代转移机制,否则我们已经与位于欧洲经济区之外的次级处理者(包括我们的关联公司)签署并将保持标准合同条款,并根据本数据处理协议第9.1条的条款进行。
9.3 客户个人数据转移的机制。在使用服务的过程中,若需要一个跨境数据转移机制将客户个人数据合法地从一个区域(例如欧洲经济区、加利福尼亚、新加坡、瑞士或者英国)转移到位于该区域之外的我们公司,则该部分将适用。如果在服务履行中,将受《通用数据保护条例》或本数据处理协议适用的任何其他保护或隐私法所涵盖的客户个人数据转移至MessageBird的过程中,该数据转移至不确保数据保护立法含义内的充分保护水平的国家时,以下所列的转移机制应适用此类转移,并可由各方直接强制执行,前提是此类转移受数据保护立法的约束:
9.3.1 各方同意,标准合同条款将适用于通过服务从欧洲经济区或瑞士转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于经济欧洲区或瑞士之外且未被欧盟委员会(或在瑞士情况下,被瑞士主管当局)认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.1.1 当您作为数据控制者而MessageBird作为数据处理者时,欧盟控制者到处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。当您作为数据处理者而MessageBird是次级处理者时,处理者到次级处理者标准合同条款将适用于从欧洲经济区的客户个人数据的任何此类转移。
9.3.1.2 在标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对适用的标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与标准合同条款之间存在任何冲突或不一致时,标准合同条款应仅在与从欧洲经济区的客户个人数据转移有关的情况下优先。
9.3.1.3 当标准合同条款要求各方在可选条款之间进行选择并输入信息时,各方已如下进行:
未采用可选条款7“对接条款”。
对于条款9“使用次级处理者”,各方选择如下选项:“选项2 一般书面授权:数据进口者获得就次级处理者的聘用具有同意的列表的控制者的总体授权。数据进口者应至少提前10个工作日书面具体告知控制者任何对此列表的拟议变更(通过添加或替换次级处理者),从而给予控制者充分的时间在次级处理者聘用之前能够反对这些变更。数据进口者应提供必要的信息以便数据出口者能够行使其反对权。数据进口者应通知数据出口者次级处理者的聘用。”
对于条款11 (a) “补救”,各方不采纳选项。
对于条款17“适用法律”,各方选择如下选项:“选项1。这些条款应适用一个允许第三方权利的欧盟成员国法律。各方同意该法律为荷兰法律。”
对于条款18 (b) “选择论坛和管辖权”:“各方同意,此为荷兰法院。”
9.3.2 各方同意,英国控制者到处理者标准合同条款将适用于通过服务从英国转移的客户个人数据,无论是直接还是通过继承转移,转移到了位于英国之外且未被英国主管监管机构或政府机构认定为提供适当个人数据保护水平的国家的MessageBird实体。
9.3.2.1 在英国控制者到处理者标准合同条款下,MessageBird将被视为数据进口者,而您将被视为数据出口者。每一方对本数据处理协议的签署将视为对英国控制者到处理者标准合同条款的签署,这些条款将被视作并入本数据处理协议。标准合同条款附件1和附件2所需的详细信息在本数据处理协议的附录I和附录II中提供。在本数据处理协议与英国控制者到处理者标准合同条款之间存在任何冲突或不一致时,英国控制者到处理者标准合同条款应仅在与从英国的客户个人数据转移有关的情况下优先。
10. 审核
10.1 审计报告。我们的通信平台将定期根据ISO 27001:2013标准(或同等标准)进行审计。审计可以是内部审计,也可以是我们自行决定的第三方审计。根据书面请求,我们将向您提供审计报告的摘要(“审计报告”),以便您验证我们是否遵守审计标准和此DPA。该等审计报告以及其中指定的任何结论或发现均为我们的机密信息。
10.2 客户信息请求。我们将向您提供证明符合此DPA规定义务所必需的所有合理信息。我们将对您提出的合理信息请求提供书面答复,包括对范围合理且确认符合此DPA必要的信息安全和审计问卷的答复,前提是您(i)已合理努力从我们提供或公开的文档、审计报告及其他信息中获取所请求的信息,并且(ii)除非个人数据泄露或与服务相关的处理活动发生重大变化,导致需要执行额外问卷调查,否则您每年行使此权利的次数不得超过一次。所有提供的答复均为我们的机密信息。
10.3 客户审计。如果我们提供给您的审计报告让您有充分理由相信我们违反了与您提供的客户个人数据相关的此DPA下的义务,我们将允许您委任的且我们批准的独立和合格的第三方审计员审核相关的个人数据处理活动,前提是满足以下要求:
a. 您应至少提前六十(60)天向我们发出合理的提前通知,以行使审计权利;
b. 审计员同意与我们签订市场标准保密义务;
c. 您和审计员采取措施以尽量减少对我们业务运营的干扰;
d. 审计将在正常营业时间内进行;
e. 我们没有义务提供其他客户的客户数据或与服务提供无关的系统的访问权限;
f. 您应支付所有审计费用。
11. 删除和归还客户个人数据
在协议终止或到期时,我们将(根据您的选择)删除或返还给您所有我们持有或控制的客户个人数据(包括副本),但在法律要求我们保留部分或全部客户个人数据的范围内,此要求不适用。如果您指示我们删除客户个人数据,存储在我们备份系统上的客户个人数据将受到保护,不再进一步处理,并在所需的保存期限结束后被删除。
12. 客户关联公司沟通与权利
以 Customer Affiliate 的名义并代表其进入本 DPA,如第 1.2 节所述,构成我们与该 Customer Affiliate 之间单独的 DPA,受以下条款的约束:
12.1. 通信。作为协议缔约方的客户应继续负责协调与我们在本 DPA 下的所有通信,并有权代表其 Customer Affiliates 发出和接收与本 DPA 相关的任何通信。
12.2 Customer Affiliates 的权利。当 Customer Affiliate 成为与我们签署 DPA 的一方时,在数据保护法规要求的范围内,有权根据本 DPA 行使权利并寻求补救,受以下条款的约束:
(i) 除非数据保护法规要求 Customer Affiliate 自行直接根据本 DPA 向 MessageBird 行使权利或寻求补救,否则双方同意 (i) 仅作为协议缔约方的客户应代表 Customer Affiliate 行使任何此类权利或寻求任何此类补救措施,并且 (ii) 作为协议缔约方的客户应代表自身和所有 Customer Affiliates,共同而不是单独单独为每个 Customer Affiliate 行使任何此类权利。
(ii) 双方同意,作为协议缔约方的客户在根据本 DPA 第 10.3 节进行的与客户个人数据保护相关程序的现场审核代表其进行时,应采取一切合理措施,通过在合理可能的范围内,结合代表自身和所有 Customer Affiliates 进行的多个审核请求为单一审核,以尽量减少对我们的任何影响。
为明确起见,Customer Affiliate 不成为协议的缔约方。
13. California Consumer Privacy Act 加州消费者隐私法案
我们向您做出以下附加承诺,涉及在CCPA范围内处理客户个人数据。
13.1 我们的义务。我们将遵守CCPA的规定,并按照CCPA的条款对所有受CCPA约束的客户个人数据(“CCPA个人数据”)进行处理。对于CCPA个人数据,我们是CCPA下的服务提供商。我们不会(a)出售CCPA个人数据;(b)保留、使用或披露任何CCPA个人数据,除非有提供服务的特定目的,包括为商业目的而保留、使用或披露CCPA个人数据而不是提供服务;或(c)在与您的直接业务关系之外保留、使用或披露CCPA个人数据。根据本条款和本数据保护协议中的指示授权处理的CCPA个人数据是我们提供服务的核心。您承认并同意,我们对客户数据的访问不构成协议下交换的对价的一部分。若任何使用数据被视为CCPA个人数据,我们是该等数据的业务实体,并将根据我们的隐私声明处理该数据。本第13.1节中使用的“业务”、“商业目的”、“服务提供商”和“出售”一词具有CCPA中规定的含义。双方均证明,他们理解并将遵守本数据保护协议和协议中规定的义务和限制,如CCPA要求的那样。
13.2 客户义务。您声明并保证,您已通知最终用户根据CCPA第1798.140(t)(2)(C)(i)节中的条款和条件使用或共享个人数据。您负责遵守作为数据控制者的您适用的CCPA要求。
14. 管辖法律和争议解决
条款第 13 节 应适用于因本 DPA 引起或与之相关的任何争议,除非数据保护法另有要求。
附录 I - 处理详情
适用时,本附表1将作为《EEA标准合同条款》的附件I。
附件I,部分A. 各方列表
数据出口方: 客户
数据出口方联系详情: 客户账户中列出的地址,或客户账户持有者的电子邮件地址,或客户选择接收协议通知的电子邮件地址。
数据出口方角色: 数据出口方的角色在DPA的第4节中列出。
签名和日期: 如果适用,数据出口方将视为自DPA生效日期起已签署本文件中包含的标准合同条款。
数据进口方: MessageBird B.V.
数据进口方联系详情: Trompenburgstraat 2-C, 1079TX, Amsterdam, The Netherlands, 数据保护官 - privacy@bird.com
数据进口方角色: 数据进口方担任数据处理者。
签名和日期: 如果适用,数据进口方将视为自DPA生效日期起已签署本文件中包含的标准合同条款。
附件I,部分B. 转移描述
1. 被转移的个人数据主体类别: 用户。客户的联系人(自然人)或员工、合同工或临时工(当前的、预期的、前任的)通过客户账户使用服务的人(“用户”);终端用户。任何个人(i)其联系方式包含在客户的联系人列表中;(ii)其信息存储在或通过服务收集;或(ii)客户通过服务发送通信或以其他方式与之交互或通信的人(统称为“终端用户”)。您作为客户可以独立确定在我们通信平台上发送的通信中包含的数据主体类别。
2. 转移的个人数据类别: 客户个人数据包含在通信内容、流量数据、终端用户数据和客户使用数据中。通信内容可能包含个人数据或其他个性化特征,具体取决于您作为客户确定的通信内容。流量数据可能包含有关通信的路由、持续时间或时间的客户个人数据,例如语音通话、短信或电子邮件,无论是与个人还是公司相关。终端用户数据,如电话号码、电子邮件地址、名字、姓氏、档案名称、国家、渠道标识符。客户使用数据可能包含可以链接到您的数据,包含在统计数据和与您的账户和服务活动相关的信息、与服务相关的见解和关于发送通信的分析报告以及客户支持。
3. 转移的敏感数据(如适用)及适用的限制或保障措施,全面考虑到数据的性质和相关风险,例如严格的目的限制、访问限制(包括仅限受过专业培训的员工访问)、记录数据访问、转移限制或额外的安全措施。
(a) 通信内容。 当您或您的终端用户选择在通过服务传输的通信中包含敏感数据时,服务可能会有时处理敏感数据。您有责任确保在传输或处理前,或在允许您的终端用户通过服务传输或处理任何敏感数据之前,已采取适当的保障措施,根据协议第3.2节。
(b) 流量数据,终端用户数据和客户使用数据。 流量数据、终端用户数据或客户使用数据中不包含敏感数据。
4. 转移频率 (例如,数据是一次性转移还是持续转移):客户个人数据在协议期间连续转移。
5. 处理的性质: 我们将处理客户个人数据以提供协议下的服务的必要程度。我们不出售任何个人数据,包括客户个人数据,也不与第三方分享个人数据以获得补偿或为那些第三方的自身商业利益。
6. 数据转移和进一步处理的目的: 我们将根据客户在本DPA中规定的指示作为数据处理者处理客户个人数据,除非出于我们因需遵守的法律义务而进行的处理,此处我们将列为数据控制者。
通信内容、流量数据、终端用户数据和客户使用数据。 通信内容中包含的个人数据、流量数据、终端用户数据和客户使用数据将受以下基本处理活动的约束:
(a) 通信内容。 可通过API或通过仪表板,以可编程通信产品和服务的形式提供给客户,包括从客户的软件应用程序与我们的通信平台及其他通信网络之间的传输。
(b) 流量数据。 流量数据的处理目的是通过电子通信网络传输通信或对此通信的计费。可能包括关于通信的路由、持续时间或时间的客户个人数据,例如语音通话、短信或电子邮件,无论是个人还是公司。
(c) 终端用户数据。 完成服务所需的终端用户个人数据,仅用于通信传输、客户支持和确保MessageBird的法律义务合规的目的。
(d) 客户使用数据。 包含于客户使用数据中的个人数据将受协议下服务提供的处理活动约束,以向客户提供与服务相关的见解和关于发送通信的分析报告、客户支持及服务的持续改进。
7. 个人数据保留的期限,或者,若无法做到,确定该期限的标准:
(a) 通信内容和流量数据。 对于SMS和Voice Services中包含的客户内容和流量数据,保留期限为六个月;
对于24sessions服务,客户内容和流量数据保留至少30天,最长为您同意的期限;
对于所有其它服务,客户内容和流量数据在服务持续期间保留,但若您通过服务提供的技术和组织措施删除客户内容或流量数据,则另行计算。
(b) 终端用户数据。 终端用户数据处理的期限由客户决定,当终端用户数据包含在您的联系人资料中,默认保留期限为服务期间,受本附件I,部分B,第6(c)节约束。
(c) 客户使用数据。 协议终止后,我们可能会保留、使用和披露客户使用数据,以实现本附件I,部分B,第6(d)节所述的目的,受协议中的保密义务约束。当我们不再需要实现本附件I,部分B,第6(d)节所述的目的时,我们将对客户使用数据进行匿名化或删除。
8. 转移至(子)处理者,也需指明处理的主题、性质和持续时间:对于转移到子处理者的情况,处理的主题和性质已列在https://www.bird.com/legal/privacy#processorList,持续时间为协议期间。
附件I,部分C. 主管监督机构
荷兰数据保护局(Autoriteit Persoonsgegevens)将是主管监督机构。
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
在适用的情况下,本附录II将作为标准合同条款的附件II。以下提供了关于我们所列技术和组织安全措施的更多信息。
技术和组织安全措施:
对存储和传输中的个人数据进行化名处理和保护的措施:所有个人数据在传输和静止状态下均进行加密,并且,从安全角度出发,将其视为敏感数据进行处理。信息始终通过默认的最新加密方法进行TLS传输。
确保处理系统和服务的持续保密性、完整性、可用性和弹性的措施:我们与员工、承包商、供应商和子处理者达成协议,包含保密条款。我们的业务连续性政策是为因我们无法控制的因素导致的长期停电事件做好准备,并尽可能在最短的时间范围内恢复服务。我们理解我们提供的服务对客户的重要性,因此对服务中断的容忍度非常低。我们的恢复时间框架旨在确保我们能够满足所有客户的义务。
定期测试、评估和评价技术和组织措施有效性的流程,以确保处理安全:信息安全和我们的信息安全管理系统(ISMS)的目标是保护信息的机密性、完整性和可用性,以维护组织、员工、合作伙伴、客户和(授权的)信息系统的利益,并通过防止安全事件和管理安全威胁和漏洞来尽量减少发生损害的风险。我们的法律团队、数据保护官员以及安全和合规团队确保将适用的法规和标准整合到我们的安全框架中。
用户识别和授权的措施:我们遵循“需要知道”和“最小特权”原则。我们提倡使用基于角色的访问控制。由安全团队监督供应和解除供应,默认情况下采用单点登录和双因素认证。每个信息资产都定义了负责人,他们负责确保其系统的访问是适当的,并定期进行审查。在处理敏感信息或采取关键行动时,我们使用四眼原则。
事件记录的措施:审计日志集中存储并定期监控安全事件,并妥善保存以避免篡改风险。事件管理政策执行了事件响应计划及其程序。如果发生任何类型的安全或技术事件,将遵循这些指南。发生安全事件时,安全指导委员会将定期审查,这个委员会由来自企业不同部门的高级利益相关者组成。
确保系统配置,包括默认配置的措施:我们对通信平台即服务的生产环境的所有变更遵循一致的变更管理流程。进一步说明,所有变更请求(RFC)需由指定方批准,并根据正式的变更控制流程执行。控制流程确保对拟议的变更进行审核、授权、测试、实施和有序发布;并监控每个提议变更的状态。配置基准遵循最佳实践,安全配置系统。此外,在工程部门内,使用技术雷达来定义哪些技术(语言、平台工具、数据库和数据管理工具)可以采用或在开发过程中需要避免。
物理安全的措施:我们积极推行“任何地方工作”政策,以使我们的员工可以在任何他们想工作的地方自由工作。然而,我们仍然保留我们的办公场所。由于我们是完全云端的公司,因此在我们的场所内没有安全区域/数据中心。我们的办公楼层由物理访问控制、闭路电视和安保人员保护。
内部IT和IT安全治理和管理的措施:我们维持一个基于风险评估的安全计划,其中包括设计保护服务及顾客数据机密性、完整性和可用性的行政、组织、技术和物理保障措施。我们的信息安全计划被系统化和有条理地设立。此外,法律和法规要求适用于确保组织、员工、合作伙伴和客户的信息的机密性、完整性和可用性。所有这些都被翻译成我们的信息安全政策、程序和指导方针。我们成立了一个安全指导委员会,负责信息安全战术层面。其职责是协调信息安全活动,并将战略活动翻译为我们的安全和监管合规的操作活动。所有员工对保护公司资产负责。我们所有的员工在录用阶段以及通过定期的团队特定培训和有关数据保护和安全合规性的重要性公司范围的全员演讲被通知关于安全和数据保护。MessageBird获得ISO/IEC 27001:2013认证,这是全球公认的信息安全管理系统(ISMS)信息安全标准。
我们所有的托管服务提供商均符合ISO/IEC 27001:2013标准。
我们还在荷兰消费者和市场管理局注册。这意味着我们始终对客户负责并完全透明。
我们是GSMA的准会员。GSMA代表了全球移动运营商的利益。我们时刻遵循所有适用法律法规,包括《通用数据保护条例》。
对流程和产品的认证/保证措施:我们作为ISO/IEC 27001:2013合规的一部分,经历了严格的监督和认证审计,并定期执行应用漏洞和渗透测试。MessageBird采取统一的方法进行补丁和漏洞管理,以确保无论漏洞存在于我们的基础设施、操作平台还是源代码中,我们的标准SLA时间线始终得到维护。
应用安全措施:我们在设计和开发阶段确保应用的安全性,这是基于MessageBird安全代码指南的。
在发布之前实施适当的修正。
代码变更由熟悉代码审查和安全开发的熟练人士(而非最初的开发人员)审查。
应用程序将接受严格的应用安全测试,以至少每年识别任何新的威胁和漏洞(遵循行业标准和最佳实践)。
推送到生产环境的应用代码变更会使用手动和/或自动化过程进行审查。
渗透测试每年进行,并在新产品/功能上进行个案考量。自动化源代码分析工具用于在部署前检测代码中的安全缺陷,基于所用语言。
漏洞披露措施:我们感谢发现我们平台漏洞的安全研究人员与我们联系,并将他们的发现发送到security@bird.com。我们有一个专门的安全团队进行跟进,并发出邀请加入我们的漏洞赏金计划,以在必要时调查和补救。
确保问责的措施:我们根据适用法律实施信息安全和数据保护政策,并发布我们ISMS相关信息概述(链接)。我们已任命了一位专责副总裁、合规和信息安全官以及一位数据保护官,并维持我们处理活动的文档,包括在适用情况下记录和报告涉及个人数据的安全事故。