Приложение об обработке данных
Настоящее Дополнение об обработке данных (« DPA ») регулирует обработку Staffex Клиентских данных (i) предоставленных Клиентом Staffex через API Staffex или любые службы Staffex для предприятий (« Службы API ») или (ii) в соответствии с предоставлением Staffex службы ChatGPT Enterprise для предприятий (« Службы ChatGPT Enterprise ») (для целей настоящего DPA Службы API и Службы ChatGPT Enterprise совместно именуются « Службы ») в соответствии с условиями Условий ведения бизнеса Staffex, Соглашения о предприятии или другого соглашения между Клиентом и Staffex , регулирующего использование Клиентом Услуг (« Соглашение »), и настоящим включено в Соглашение. Если и в той мере, в какой формулировка настоящего DPA противоречит Соглашению, противоречащие друг другу термины настоящего DPA имеют преимущественную силу. Термины, написанные с заглавной буквы и не определенные в настоящем DPA, имеют значение, указанное в Соглашении. Только для целей настоящего Соглашения об обработке данных « Клиент » включает любую аффилированную организацию Клиента, которая (а) заключила Форму заказа с Staffex и которая (б) прямо или косвенно, через одного или нескольких посредников контролирует, контролируется или находится под общим контролем с Клиентом.
Если Клиент находится в ЕЭЗ или Швейцарии, Staffex Ireland Ltd будет предоставлять Услуги и заключать договор с Клиентом. Если Клиент находится в Великобритании или где-либо еще, кроме ЕЭЗ или Швейцарии, Staffex , LLC будет предоставлять Услуги и заключать договор с Клиентом. Для целей настоящего DPA « Staffex » относится к субъекту Staffex , заключающему договор с Клиентом.
Staffex и Клиент соглашаются соблюдать свои соответствующие обязательства в соответствии с применимыми законами о конфиденциальности и защите данных (совместно именуемыми « Законы о защите данных ») в связи с Услугами. Законы о защите данных могут включать, в зависимости от обстоятельств, Cal. Civ. Code §§ 1798.100 и далее, с поправками, внесенными Законом Калифорнии о правах на неприкосновенность частной жизни 2020 года (Закон Калифорнии о конфиденциальности потребителей) (« CCPA »), Colo. Rev. Stat. §§ 6-1-1301 и далее (Закон Колорадо о конфиденциальности) (« CPA »), Закон Коннектикута о конфиденциальности данных (« CTDPA »), Utah Code Ann. §§ 13-61-101 и далее (Закон Юты о конфиденциальности потребителей) (« UCPA »), VA Code Ann. §§ 59.1-575 и далее. (Закон Вирджинии о защите данных потребителей) (« VCDPA ») (совместно именуемые « Законы США о конфиденциальности »), а также Общий регламент по защите данных Соединенного Королевства и/или Европейского союза (Регламент (ЕС) 2016/679) (совместно именуемые « GDPR »), а также применимые подзаконные акты и нормативные акты, реализующие эти законы.
В связи с Соглашением Клиент является лицом, которое определяет цели и средства, для которых обрабатываются Данные Клиента (как определено ниже) (« Контроллер данных »), тогда как Staffex обрабатывает Данные Клиента в соответствии с инструкциями Контроллера данных и от имени Контроллера данных (как « Обработчик данных »). « Контроллер данных » и « Обработчик данных » также означают эквивалентные понятия в соответствии с Законами о защите данных. Для целей Соглашения и настоящего DPA (i) « Персональные данные » имеет значение, присвоенное термину «персональные данные» или «персональная информация» в соответствии с применимыми Законами о защите данных; и (ii) « Данные Клиента » означают Персональные данные, которые Клиент предоставляет Staffex , которые Staffex обрабатывает от имени Клиента для предоставления Услуг. Staffex будет обрабатывать Данные Клиента в качестве Обработчика данных Клиента для предоставления или поддержания Услуг и для целей, изложенных в настоящем DPA, Соглашении и/или в любых других применимых соглашениях между Клиентом и Staffex.
1. Требования к обработке
В качестве обработчика данных Staffex соглашается:
а. обрабатывать данные Клиента только (i) от имени Клиента в целях предоставления и поддержки Услуг Staffex (в том числе для предоставления информации, отчетности, аналитики и мониторинга злоупотреблений на платформе, доверия и безопасности); (ii) в соответствии с письменными инструкциями, полученными от Клиента; и (iii) способом, который обеспечивает не меньший уровень защиты конфиденциальности, чем требуется от него в соответствии с Законами о защите данных;
б. незамедлительно информировать Клиента в письменной форме, если Staffex не может соблюдать требования настоящего Соглашения об обработке данных;
c. не предоставлять Клиенту вознаграждение в обмен на Данные Клиента от Клиента. Стороны признают и соглашаются, что Клиент не «продал» (как этот термин определен CCPA) Данные Клиента Staffex ;
г. не «продавать» (как этот термин определен в Законах США о конфиденциальности) и не «делиться» (как этот термин определен в CCPA) Персональными данными;
е. незамедлительно информировать Клиента, если, по мнению Staffex , инструкция Клиента нарушает применимые законы о защите данных;
f. требовать от (i) лиц, работающих в ней, и (ii) других лиц, привлекаемых для выполнения действий от имени Staffex , соблюдения обязанности по соблюдению конфиденциальности в отношении Данных клиента и соблюдения обязательств по защите данных, применимых к Staffex в соответствии с Соглашением и настоящим DPA;
для обработки данных клиентов (каждый « Субпроцессор » и список по указанному выше URL-адресу, « Список субпроцессоров »), чтобы помочь Staffex выполнить свои обязательства в соответствии с настоящим DPA или делегировать все или часть действий по обработке таким субпроцессорам. Клиент настоящим соглашается на использование таких субпроцессоров. Если Клиент подписывается на уведомления по электронной почте, как указано на веб-сайте Списка субпроцессоров, то Staffex уведомит Клиента о любых изменениях, которые Staffex намеревается внести в Список субпроцессоров, по крайней мере за 15 дней до вступления изменений в силу (что может быть сделано по электронной почте, путем публикации или уведомления на онлайн-портале для наших услуг или другими разумными способами). В случае, если Клиент не желает давать согласие на использование такого дополнительного субпроцессора, Клиент может уведомить Staffex о том, что Клиент не дает согласия, в течение пятнадцати (15) дней по разумным причинам, связанным с защитой данных клиентов, следуя инструкциям, изложенным в Списке субпроцессоров, или связавшись с privacy@Staffex.com . В таком случае Staffex имеет право устранить возражение одним из следующих способов: (i) Staffex отменит свои планы по использованию Субпроцессора в отношении обработки данных Клиента или предложит альтернативу предоставления своих Услуг или услуг без такого Субпроцессора; (ii) Staffex предпримет корректирующие шаги, запрошенные Клиентом в уведомлении о возражении Клиента, и продолжит использовать Субпроцессора; (iii) Staffex может прекратить предоставление, или Клиент может согласиться не использовать временно или постоянно определенный аспект или функцию Услуг или услуг Staffex , которые подразумевают использование такого Субпроцессора; или (iv) Клиент может прекратить предоставление Данных Клиента компании Staffex для обработки с участием такого Субпроцессора. Если ни один из вышеперечисленных вариантов не является коммерчески осуществимым, по обоснованному мнению Staffex , и возражение(я) не были разрешены к удовлетворению сторон в течение тридцати (30) дней с момента получения Staffex уведомления о возражении Клиента, то любая из сторон может прекратить любые подписки, формы заказов или использование в отношении Услуг, которые не могут быть предоставлены без использования нового Субпроцессора по причине, и в таком случае Клиенту будут возвращены любые предоплаченные сборы за соответствующие подписки, формы заказов или использование в той мере, в которой они охватывают периоды или условия после даты такого прекращения. Такое право на прекращение является единственным и исключительным средством правовой защиты Клиента, если Клиент возражает против любого нового Субпроцессора. Staffex заключает договорные соглашения с каждым Субпроцессором, обязывающие их предоставлять сопоставимый уровень защиты данных и информационной безопасности с тем, который предусмотрен в настоящем документе. С учетом ограничений ответственности, предусмотренных в Соглашении, Staffex соглашается нести ответственность за действия и бездействие своих субподрядчиков в той же степени, в которой Staffex несла бы ответственность в соответствии с условиями DPA, если бы она сама совершила такие действия или бездействие;
h. по обоснованному запросу не чаще одного раза в год предоставлять Клиенту политику конфиденциальности и безопасности Staffex и другую подобную информацию, необходимую для подтверждения соблюдения обязательств, изложенных в настоящем Соглашении об обработке данных и применимых Законах о защите данных;
i. в случаях, предусмотренных законом, а также при наличии разумного уведомления и соответствующих соглашений о конфиденциальности, сотрудничать с оценками, аудитами или другими действиями, выполняемыми Клиентом или от его имени за счет Клиента и таким образом, чтобы это минимально нарушало деятельность Staffex , которые необходимы для подтверждения того, что Staffex обрабатывает Данные Клиента в соответствии с настоящим DPA. В случаях, разрешенных законом, Staffex может вместо этого предоставить Клиенту сводку результатов стороннего аудита или отчетов о сертификации, касающихся соблюдения Staffex настоящего DPA. Такие результаты и/или результаты любых таких оценок, аудитов или других действий будут Конфиденциальной информацией Staffex ;
j. в той мере, в которой Клиент разрешает или поручает Staffex обрабатывать Данные клиента, подпадающие под действие Законов США о конфиденциальности, в обезличенной, анонимной и/или агрегированной форме в рамках Услуг, Staffex должна (i) принять разумные меры для предотвращения использования таких обезличенных данных для выведения информации о конкретном физическом лице или домохозяйстве или иным образом их связывания с ними; (ii) не пытаться повторно идентифицировать информацию, за исключением случаев, когда Staffex может попытаться повторно идентифицировать информацию исключительно в целях определения того, соответствуют ли ее процессы деидентификации Законам о защите данных или функционируют ли они так, как предполагалось; и (iii) перед передачей обезличенных данных любой другой стороне, включая Субпроцессоров, договорно обязать любых таких получателей соблюдать требования настоящего положения;
k. если данные клиента подпадают под действие CCPA, не (i) сохранять, использовать, раскрывать или иным образом обрабатывать данные клиента, за исключением случаев, когда это необходимо для деловых целей, указанных в Соглашении или настоящем DPA; (ii) сохранять, использовать, раскрывать или иным образом обрабатывать данные клиента каким-либо образом за пределами прямых деловых отношений между Staffex и клиентом; или (iii) объединять любые данные клиента с персональными данными, которые Staffex получает от или от имени любой другой третьей стороны или собирает в ходе собственных взаимодействий Staffex с лицами, при условии, что Staffex может таким образом объединять данные клиента для целей, разрешенных в соответствии с CCPA, если это указано Клиентом или иным образом разрешено CCPA;
l. в случаях, предусмотренных законом, предоставлять Клиенту права (i) предпринимать разумные и надлежащие шаги для обеспечения того, чтобы Staffex использовала Данные Клиента в соответствии с Законами о защите данных, путем реализации положений о проверке, изложенных в настоящем Соглашении об обработке данных выше; и (ii) прекращать и устранять несанкционированное использование Данных Клиента, например, путем запроса у Staffex письменного подтверждения того, что соответствующие Данные Клиента были удалены.
2. Уведомление клиента
Staffex проинформирует Клиента, если Staffex станет известно о:
а. любой юридически обязательный запрос на раскрытие Данных Клиента со стороны правоохранительных органов, если только Staffex иным образом не запрещено законом информировать Клиента, например, для сохранения конфиденциальности расследования правоохранительных органов;
б. любое уведомление, запрос или расследование со стороны независимого государственного органа, созданного государством-членом в соответствии со статьей 51 GDPR («Надзорный орган») в отношении Данных клиента; или
c. любая жалоба или запрос (в частности, запросы на доступ, исправление или блокировку данных Клиента), полученные непосредственно от субъектов данных Клиента. Staffex не будет отвечать на любой такой запрос без предварительного письменного разрешения Клиента.
3. Помощь клиенту
Staffex окажет Клиенту разумную помощь в отношении:
a. информация, необходимая, принимая во внимание характер обработки, для ответа на запросы, полученные в соответствии с Законами о защите данных от субъектов данных Клиента в отношении доступа или исправления, удаления, ограничения, переносимости, возражения, блокирования или удаления Данных Клиента, которые Staffex обрабатывает для Клиента. В случае, если субъект данных отправляет такой запрос непосредственно в Staffex , Staffex незамедлительно отправит такой запрос Клиенту;
б. расследование любого нарушения безопасности Staffex , приводящего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к данным Клиента, обрабатываемым Staffex для Клиента («Нарушение безопасности персональных данных»); и
c. в соответствующих случаях подготовка оценок воздействия на защиту данных в отношении обработки данных клиентов компанией Staffex и, при необходимости, проведение консультаций с любым надзорным органом, обладающим юрисдикцией в отношении такой обработки.
4. Требуемая обработка
Если в соответствии с Законами о защите данных компания Staffex обязана обрабатывать какие-либо данные Клиента по причине, не связанной с Соглашением, Staffex проинформирует Клиента об этом требовании заранее, если это не запрещено законом.
5. Безопасность
Staffex будет:
а. поддерживать разумные и надлежащие организационные и технические меры безопасности, включая, помимо прочего, меры, описанные в Приложении B к настоящему Соглашению об обработке персональных данных (в том числе в отношении персонала, объектов, оборудования и программного обеспечения, хранилищ и сетей, контроля доступа, мониторинга и регистрации, обнаружения уязвимостей и нарушений, реагирования на инциденты и шифрования) для защиты от несанкционированного или случайного доступа, потери, изменения, раскрытия или уничтожения Данных клиента и для защиты прав субъектов этих Данных клиента;
б. принять соответствующие меры для подтверждения того, что сотрудники Staffex защищают безопасность, конфиденциальность и приватность данных клиентов в соответствии с требованиями настоящего Соглашения об обработке данных; и
c. уведомлять Клиента о любом нарушении конфиденциальности персональных данных со стороны Staffex , ее субподрядчиков или любых других третьих лиц, действующих от имени Staffex , без неоправданной задержки после того, как Staffex станет известно о таком нарушении конфиденциальности персональных данных.
6. Обязанности Заказчика
а. Клиент заявляет, гарантирует и обязуется, что он имеет и будет сохранять в течение всего срока все необходимые права, согласия и разрешения на предоставление Данных клиента компании Staffex и на разрешение Staffex использовать, раскрывать, хранить и иным образом обрабатывать Данные клиента, как предусмотрено настоящим Соглашением об обработке данных, Соглашением и/или другими инструкциями по обработке, предоставленными компании Staffex .
б. Клиент должен соблюдать все применимые законы о защите данных.
в. Клиент должен разумно сотрудничать с Staffex , чтобы помочь Staffex выполнить любые из ее обязательств в отношении любых запросов от субъектов данных Клиента.
г. Без ущерба для обязательств Staffex по обеспечению безопасности, изложенных в Разделе 5 настоящего Соглашения об обработке данных, Клиент признает и соглашается с тем, что он, а не Staffex , несет ответственность за определенные конфигурации и проектные решения для служб, и что Клиент, а не Staffex , несет ответственность за реализацию этих конфигураций и проектных решений безопасным способом, который соответствует применимым законам о защите данных.
e. Клиент не должен предоставлять Данные клиента Staffex , кроме как через согласованные механизмы. Например, Клиент не должен включать Данные клиента, кроме технической контактной информации, или в тикеты технической поддержки, передавать Данные клиента пользователя Staffex по электронной почте. Без ограничения вышеизложенного Клиент заявляет, гарантирует и обязуется, что он будет передавать Данные клиента Staffex только с использованием безопасных, разумных и соответствующих механизмов, в той степени, в которой такие механизмы находятся под контролем Клиента.
е. Клиент не должен предпринимать никаких действий, которые (i) сделают предоставление Клиентских данных компании Staffex «продажей» в соответствии с Законами США о конфиденциальности или «акцией» в соответствии с CCPA (или эквивалентными концепциями в соответствии с Законами США о конфиденциальности); или (ii) сделают Staffex не «поставщиком услуг» в соответствии с CCPA или «обработчиком» в соответствии с Законами США о конфиденциальности.
7. Международная передача данных
a. Staffex Ireland Ltd. будет обрабатывать предоставленные Клиентом Данные, происходящие из ЕЭЗ или Швейцарии. В той степени, в которой Staffex Ireland Ltd передает Данные Клиента другим аффилированным лицам Staffex в юрисдикциях, которые не обеспечивают такой же уровень защиты данных, она будет делать это на основе внутригрупповых соглашений, которые включают соответствующие положения о механизмах передачи для защиты Данных Клиента. Такие механизмы могут включать Стандартные договорные положения, принятые Комиссией ЕС 4 июня 2021 года (с возможными изменениями, обновлениями или заменами время от времени) (« СУК ЕС »), или решение о достаточности, вынесенное Европейской комиссией в соответствии со статьей 45 GDPR.
b. Staffex будет обрабатывать данные клиентов, предоставленные клиентом, находящимся в Великобритании, в соответствии с SCC ЕС, измененными дополнением Великобритании к SCC ЕС, выпущенным Комиссаром по информации в соответствии с разделом 119A(1) Закона о защите данных 2018 года (« Дополнение Великобритании »), которые считаются заключенными (и включенными в настоящее DPA посредством настоящей ссылки) и завершенными следующим образом (каждое с изменениями, внесенными Дополнением Великобритании, где это уместно и применимо): i. Модуль два (от контролера к обработчику) SCC ЕС применяется, когда клиент является контролером, а Staffex обрабатывает данные клиента в качестве обработчика. ii. Модуль три (от обработчика к субобработчику) SCC ЕС применяется, когда клиент является обработчиком, а Staffex обрабатывает данные клиента в качестве субобработчика.
c. Для каждого модуля EU SCCs, где это применимо, применяется следующее: i. Необязательный пункт стыковки в пункте 7 не применяется; ii. В пункте 9 применяется Вариант 2 (общее письменное разрешение), а минимальный период времени для предварительного уведомления об изменении субподрядчика должен быть таким, как указано в Разделе 1(g) настоящего DPA. iii. В пункте 11 необязательный язык не применяется; iv. Все квадратные скобки в пункте 13 настоящим удаляются; v. В пункте 17 (Вариант 1) EU SCCs будут регулироваться законами Англии и Уэльса; vi. В пункте 18(b) споры будут разрешаться в судах Англии и Уэльса; vii. Приложение A к настоящему DPA содержит информацию, требуемую в Приложении I и Приложении III EU SCCs; viii. Приложение B к настоящему DPA содержит информацию, требуемую в Приложении II EU SCCs; и
d. Стороны будут соблюдать условия Части 2: Обязательные положения Утвержденного Дополнения, являющегося шаблоном Дополнения B1.0. Стороны также соглашаются (i) с тем, что информация, включенная в Часть 1 Дополнения Великобритании, соответствует изложенной в Приложении A к настоящему DPA и (ii) что любая из сторон может прекратить действие Дополнения Великобритании, как указано в Разделе 19 Дополнения Великобритании.
8. Срок; Возврат и удаление данных
Настоящее Соглашение о защите данных остается в силе до тех пор, пока Staffex выполняет операции по обработке данных клиента от имени клиента или до прекращения действия Соглашения (и все данные клиента были возвращены или удалены в соответствии с настоящим Соглашением о защите данных). Staffex будет хранить данные клиента API Service, отправленные через API, в течение максимум тридцати (30) дней, после чего они будут удалены, за исключением случаев, когда Staffex обязан сохранять копии в соответствии с применимым законодательством, в этом случае Staffex изолирует и защищает эти данные клиента от любой дальнейшей обработки, за исключением случаев, требуемых применимым законодательством. Staffex будет хранить данные клиента ChatGPT Enterprise Service в течение срока действия Соглашения, если иное не указано в Соглашении или Форме заказа. После прекращения действия Соглашения о защите данных Staffex поручит каждому Субпроцессору удалить данные клиента в течение тридцати (30) дней с момента прекращения действия Соглашения о защите данных, если это не запрещено законом. Для ясности Staffex может продолжать обрабатывать информацию, полученную из данных Клиента, которые были деидентифицированы, анонимизированы и/или агрегированы таким образом, чтобы эти данные больше не считались Персональными данными в соответствии с применимыми законами о защите данных, и таким образом, чтобы не идентифицировать отдельных лиц или Клиента, в целях улучшения систем и услуг Staffex .
Приложение А
А. СПИСОК СТОРОН
А. СПИСОК СТОРОН
Экспортер(ы) данных: клиент Услуг, указанный в соответствующих регистрационных документах Услуг.
Импортер(ы) данных:
Название: Staffex
1111В S Governors Ave STE 23853 Dover, DE 19904 US
Роль (контроллер/процессор):
Б. ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, персональные данные которых передаются
Пользователи приложений-экспортеров данных.
Категории передаваемых персональных данных
Имя, контактная информация, демографические данные или другая информация, предоставленная пользователем в неструктурированных данных.
Передаваемые конфиденциальные данные (если применимо) и применяемые ограничения или меры безопасности, которые в полной мере учитывают характер данных и сопутствующие риски, такие как, например, строгое ограничение цели, ограничения доступа (включая доступ только для сотрудников, прошедших специализированную подготовку), ведение учета доступа к данным, ограничения на дальнейшую передачу или дополнительные меры безопасности.
Никакие конфиденциальные данные не подлежат передаче, если только пользователь не включит их неожиданно в неструктурированные данные.
Частота передачи (например, передаются ли данные единовременно или на постоянной основе).
Непрерывно.
Характер обработки
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
Цель(и) передачи и дальнейшей обработки данных
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода.
В течение срока действия соглашения
Для передачи (суб)обработчикам также укажите предмет, характер и продолжительность обработки.
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
C. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН
Определить компетентный(е) надзорный(е) орган(ы) в соответствии с пунктом 13
Управление комиссара по информации («УКИ»).
Приложение Б
ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ
ВВЕДЕНИЕ
Миссия Staffex заключается в развертывании безопасного и ответственного ИИ в масштабе на благо всех. В соответствии с этой миссией Staffex поддерживает программу информационной безопасности, разработанную для защиты своих систем, данных и Данных клиентов. В этом Приложении описывается программа информационной безопасности и стандарты безопасности, которые Staffex поддерживает в отношении Услуг и обработки данных, предоставленных Клиентом или от его имени («Данные клиентов»). Термины, написанные с заглавной буквы, не определенные в этом Приложении, имеют значения, указанные в DPA или Соглашении.
ChatGPT Enterprise — это новый сервис Staffex , поэтому некоторые технические или меры безопасности, указанные ниже, применяются к ChatGPT Enterprise по-разному; в каждом случае это различие выделено курсивом . «ChatGPT Enterprise» — это версия языковой модели ChatGPT на базе искусственного интеллекта Staffex , доступная для предприятий.
Дополнительную информацию о технических и организационных мерах безопасности Staffex для защиты данных клиентов можно найти на портале Staffex Trust. Меры безопасности, указанные ниже, включают в себя подмножество информации, доступной на Портале доверия, которая применяется к настоящему DPA.
МЕРЫ БЕЗОПАСНОСТИ
Корпоративная идентификация, аутентификация и контроль авторизации. Staffex поддерживает лучшие отраслевые практики для аутентификации и авторизации внутренних сотрудников и доступа к услугам, включая следующие меры:
Если Клиент находится в ЕЭЗ или Швейцарии, Staffex Ireland Ltd будет предоставлять Услуги и заключать договор с Клиентом. Если Клиент находится в Великобритании или где-либо еще, кроме ЕЭЗ или Швейцарии, Staffex , LLC будет предоставлять Услуги и заключать договор с Клиентом. Для целей настоящего DPA « Staffex » относится к субъекту Staffex , заключающему договор с Клиентом.
Staffex и Клиент соглашаются соблюдать свои соответствующие обязательства в соответствии с применимыми законами о конфиденциальности и защите данных (совместно именуемыми « Законы о защите данных ») в связи с Услугами. Законы о защите данных могут включать, в зависимости от обстоятельств, Cal. Civ. Code §§ 1798.100 и далее, с поправками, внесенными Законом Калифорнии о правах на неприкосновенность частной жизни 2020 года (Закон Калифорнии о конфиденциальности потребителей) (« CCPA »), Colo. Rev. Stat. §§ 6-1-1301 и далее (Закон Колорадо о конфиденциальности) (« CPA »), Закон Коннектикута о конфиденциальности данных (« CTDPA »), Utah Code Ann. §§ 13-61-101 и далее (Закон Юты о конфиденциальности потребителей) (« UCPA »), VA Code Ann. §§ 59.1-575 и далее. (Закон Вирджинии о защите данных потребителей) (« VCDPA ») (совместно именуемые « Законы США о конфиденциальности »), а также Общий регламент по защите данных Соединенного Королевства и/или Европейского союза (Регламент (ЕС) 2016/679) (совместно именуемые « GDPR »), а также применимые подзаконные акты и нормативные акты, реализующие эти законы.
В связи с Соглашением Клиент является лицом, которое определяет цели и средства, для которых обрабатываются Данные Клиента (как определено ниже) (« Контроллер данных »), тогда как Staffex обрабатывает Данные Клиента в соответствии с инструкциями Контроллера данных и от имени Контроллера данных (как « Обработчик данных »). « Контроллер данных » и « Обработчик данных » также означают эквивалентные понятия в соответствии с Законами о защите данных. Для целей Соглашения и настоящего DPA (i) « Персональные данные » имеет значение, присвоенное термину «персональные данные» или «персональная информация» в соответствии с применимыми Законами о защите данных; и (ii) « Данные Клиента » означают Персональные данные, которые Клиент предоставляет Staffex , которые Staffex обрабатывает от имени Клиента для предоставления Услуг. Staffex будет обрабатывать Данные Клиента в качестве Обработчика данных Клиента для предоставления или поддержания Услуг и для целей, изложенных в настоящем DPA, Соглашении и/или в любых других применимых соглашениях между Клиентом и Staffex.
1. Требования к обработке
В качестве обработчика данных Staffex соглашается:
а. обрабатывать данные Клиента только (i) от имени Клиента в целях предоставления и поддержки Услуг Staffex (в том числе для предоставления информации, отчетности, аналитики и мониторинга злоупотреблений на платформе, доверия и безопасности); (ii) в соответствии с письменными инструкциями, полученными от Клиента; и (iii) способом, который обеспечивает не меньший уровень защиты конфиденциальности, чем требуется от него в соответствии с Законами о защите данных;
б. незамедлительно информировать Клиента в письменной форме, если Staffex не может соблюдать требования настоящего Соглашения об обработке данных;
c. не предоставлять Клиенту вознаграждение в обмен на Данные Клиента от Клиента. Стороны признают и соглашаются, что Клиент не «продал» (как этот термин определен CCPA) Данные Клиента Staffex ;
г. не «продавать» (как этот термин определен в Законах США о конфиденциальности) и не «делиться» (как этот термин определен в CCPA) Персональными данными;
е. незамедлительно информировать Клиента, если, по мнению Staffex , инструкция Клиента нарушает применимые законы о защите данных;
f. требовать от (i) лиц, работающих в ней, и (ii) других лиц, привлекаемых для выполнения действий от имени Staffex , соблюдения обязанности по соблюдению конфиденциальности в отношении Данных клиента и соблюдения обязательств по защите данных, применимых к Staffex в соответствии с Соглашением и настоящим DPA;
для обработки данных клиентов (каждый « Субпроцессор » и список по указанному выше URL-адресу, « Список субпроцессоров »), чтобы помочь Staffex выполнить свои обязательства в соответствии с настоящим DPA или делегировать все или часть действий по обработке таким субпроцессорам. Клиент настоящим соглашается на использование таких субпроцессоров. Если Клиент подписывается на уведомления по электронной почте, как указано на веб-сайте Списка субпроцессоров, то Staffex уведомит Клиента о любых изменениях, которые Staffex намеревается внести в Список субпроцессоров, по крайней мере за 15 дней до вступления изменений в силу (что может быть сделано по электронной почте, путем публикации или уведомления на онлайн-портале для наших услуг или другими разумными способами). В случае, если Клиент не желает давать согласие на использование такого дополнительного субпроцессора, Клиент может уведомить Staffex о том, что Клиент не дает согласия, в течение пятнадцати (15) дней по разумным причинам, связанным с защитой данных клиентов, следуя инструкциям, изложенным в Списке субпроцессоров, или связавшись с privacy@Staffex.com . В таком случае Staffex имеет право устранить возражение одним из следующих способов: (i) Staffex отменит свои планы по использованию Субпроцессора в отношении обработки данных Клиента или предложит альтернативу предоставления своих Услуг или услуг без такого Субпроцессора; (ii) Staffex предпримет корректирующие шаги, запрошенные Клиентом в уведомлении о возражении Клиента, и продолжит использовать Субпроцессора; (iii) Staffex может прекратить предоставление, или Клиент может согласиться не использовать временно или постоянно определенный аспект или функцию Услуг или услуг Staffex , которые подразумевают использование такого Субпроцессора; или (iv) Клиент может прекратить предоставление Данных Клиента компании Staffex для обработки с участием такого Субпроцессора. Если ни один из вышеперечисленных вариантов не является коммерчески осуществимым, по обоснованному мнению Staffex , и возражение(я) не были разрешены к удовлетворению сторон в течение тридцати (30) дней с момента получения Staffex уведомления о возражении Клиента, то любая из сторон может прекратить любые подписки, формы заказов или использование в отношении Услуг, которые не могут быть предоставлены без использования нового Субпроцессора по причине, и в таком случае Клиенту будут возвращены любые предоплаченные сборы за соответствующие подписки, формы заказов или использование в той мере, в которой они охватывают периоды или условия после даты такого прекращения. Такое право на прекращение является единственным и исключительным средством правовой защиты Клиента, если Клиент возражает против любого нового Субпроцессора. Staffex заключает договорные соглашения с каждым Субпроцессором, обязывающие их предоставлять сопоставимый уровень защиты данных и информационной безопасности с тем, который предусмотрен в настоящем документе. С учетом ограничений ответственности, предусмотренных в Соглашении, Staffex соглашается нести ответственность за действия и бездействие своих субподрядчиков в той же степени, в которой Staffex несла бы ответственность в соответствии с условиями DPA, если бы она сама совершила такие действия или бездействие;
h. по обоснованному запросу не чаще одного раза в год предоставлять Клиенту политику конфиденциальности и безопасности Staffex и другую подобную информацию, необходимую для подтверждения соблюдения обязательств, изложенных в настоящем Соглашении об обработке данных и применимых Законах о защите данных;
i. в случаях, предусмотренных законом, а также при наличии разумного уведомления и соответствующих соглашений о конфиденциальности, сотрудничать с оценками, аудитами или другими действиями, выполняемыми Клиентом или от его имени за счет Клиента и таким образом, чтобы это минимально нарушало деятельность Staffex , которые необходимы для подтверждения того, что Staffex обрабатывает Данные Клиента в соответствии с настоящим DPA. В случаях, разрешенных законом, Staffex может вместо этого предоставить Клиенту сводку результатов стороннего аудита или отчетов о сертификации, касающихся соблюдения Staffex настоящего DPA. Такие результаты и/или результаты любых таких оценок, аудитов или других действий будут Конфиденциальной информацией Staffex ;
j. в той мере, в которой Клиент разрешает или поручает Staffex обрабатывать Данные клиента, подпадающие под действие Законов США о конфиденциальности, в обезличенной, анонимной и/или агрегированной форме в рамках Услуг, Staffex должна (i) принять разумные меры для предотвращения использования таких обезличенных данных для выведения информации о конкретном физическом лице или домохозяйстве или иным образом их связывания с ними; (ii) не пытаться повторно идентифицировать информацию, за исключением случаев, когда Staffex может попытаться повторно идентифицировать информацию исключительно в целях определения того, соответствуют ли ее процессы деидентификации Законам о защите данных или функционируют ли они так, как предполагалось; и (iii) перед передачей обезличенных данных любой другой стороне, включая Субпроцессоров, договорно обязать любых таких получателей соблюдать требования настоящего положения;
k. если данные клиента подпадают под действие CCPA, не (i) сохранять, использовать, раскрывать или иным образом обрабатывать данные клиента, за исключением случаев, когда это необходимо для деловых целей, указанных в Соглашении или настоящем DPA; (ii) сохранять, использовать, раскрывать или иным образом обрабатывать данные клиента каким-либо образом за пределами прямых деловых отношений между Staffex и клиентом; или (iii) объединять любые данные клиента с персональными данными, которые Staffex получает от или от имени любой другой третьей стороны или собирает в ходе собственных взаимодействий Staffex с лицами, при условии, что Staffex может таким образом объединять данные клиента для целей, разрешенных в соответствии с CCPA, если это указано Клиентом или иным образом разрешено CCPA;
l. в случаях, предусмотренных законом, предоставлять Клиенту права (i) предпринимать разумные и надлежащие шаги для обеспечения того, чтобы Staffex использовала Данные Клиента в соответствии с Законами о защите данных, путем реализации положений о проверке, изложенных в настоящем Соглашении об обработке данных выше; и (ii) прекращать и устранять несанкционированное использование Данных Клиента, например, путем запроса у Staffex письменного подтверждения того, что соответствующие Данные Клиента были удалены.
2. Уведомление клиента
Staffex проинформирует Клиента, если Staffex станет известно о:
а. любой юридически обязательный запрос на раскрытие Данных Клиента со стороны правоохранительных органов, если только Staffex иным образом не запрещено законом информировать Клиента, например, для сохранения конфиденциальности расследования правоохранительных органов;
б. любое уведомление, запрос или расследование со стороны независимого государственного органа, созданного государством-членом в соответствии со статьей 51 GDPR («Надзорный орган») в отношении Данных клиента; или
c. любая жалоба или запрос (в частности, запросы на доступ, исправление или блокировку данных Клиента), полученные непосредственно от субъектов данных Клиента. Staffex не будет отвечать на любой такой запрос без предварительного письменного разрешения Клиента.
3. Помощь клиенту
Staffex окажет Клиенту разумную помощь в отношении:
a. информация, необходимая, принимая во внимание характер обработки, для ответа на запросы, полученные в соответствии с Законами о защите данных от субъектов данных Клиента в отношении доступа или исправления, удаления, ограничения, переносимости, возражения, блокирования или удаления Данных Клиента, которые Staffex обрабатывает для Клиента. В случае, если субъект данных отправляет такой запрос непосредственно в Staffex , Staffex незамедлительно отправит такой запрос Клиенту;
б. расследование любого нарушения безопасности Staffex , приводящего к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к данным Клиента, обрабатываемым Staffex для Клиента («Нарушение безопасности персональных данных»); и
c. в соответствующих случаях подготовка оценок воздействия на защиту данных в отношении обработки данных клиентов компанией Staffex и, при необходимости, проведение консультаций с любым надзорным органом, обладающим юрисдикцией в отношении такой обработки.
4. Требуемая обработка
Если в соответствии с Законами о защите данных компания Staffex обязана обрабатывать какие-либо данные Клиента по причине, не связанной с Соглашением, Staffex проинформирует Клиента об этом требовании заранее, если это не запрещено законом.
5. Безопасность
Staffex будет:
а. поддерживать разумные и надлежащие организационные и технические меры безопасности, включая, помимо прочего, меры, описанные в Приложении B к настоящему Соглашению об обработке персональных данных (в том числе в отношении персонала, объектов, оборудования и программного обеспечения, хранилищ и сетей, контроля доступа, мониторинга и регистрации, обнаружения уязвимостей и нарушений, реагирования на инциденты и шифрования) для защиты от несанкционированного или случайного доступа, потери, изменения, раскрытия или уничтожения Данных клиента и для защиты прав субъектов этих Данных клиента;
б. принять соответствующие меры для подтверждения того, что сотрудники Staffex защищают безопасность, конфиденциальность и приватность данных клиентов в соответствии с требованиями настоящего Соглашения об обработке данных; и
c. уведомлять Клиента о любом нарушении конфиденциальности персональных данных со стороны Staffex , ее субподрядчиков или любых других третьих лиц, действующих от имени Staffex , без неоправданной задержки после того, как Staffex станет известно о таком нарушении конфиденциальности персональных данных.
6. Обязанности Заказчика
а. Клиент заявляет, гарантирует и обязуется, что он имеет и будет сохранять в течение всего срока все необходимые права, согласия и разрешения на предоставление Данных клиента компании Staffex и на разрешение Staffex использовать, раскрывать, хранить и иным образом обрабатывать Данные клиента, как предусмотрено настоящим Соглашением об обработке данных, Соглашением и/или другими инструкциями по обработке, предоставленными компании Staffex .
б. Клиент должен соблюдать все применимые законы о защите данных.
в. Клиент должен разумно сотрудничать с Staffex , чтобы помочь Staffex выполнить любые из ее обязательств в отношении любых запросов от субъектов данных Клиента.
г. Без ущерба для обязательств Staffex по обеспечению безопасности, изложенных в Разделе 5 настоящего Соглашения об обработке данных, Клиент признает и соглашается с тем, что он, а не Staffex , несет ответственность за определенные конфигурации и проектные решения для служб, и что Клиент, а не Staffex , несет ответственность за реализацию этих конфигураций и проектных решений безопасным способом, который соответствует применимым законам о защите данных.
e. Клиент не должен предоставлять Данные клиента Staffex , кроме как через согласованные механизмы. Например, Клиент не должен включать Данные клиента, кроме технической контактной информации, или в тикеты технической поддержки, передавать Данные клиента пользователя Staffex по электронной почте. Без ограничения вышеизложенного Клиент заявляет, гарантирует и обязуется, что он будет передавать Данные клиента Staffex только с использованием безопасных, разумных и соответствующих механизмов, в той степени, в которой такие механизмы находятся под контролем Клиента.
е. Клиент не должен предпринимать никаких действий, которые (i) сделают предоставление Клиентских данных компании Staffex «продажей» в соответствии с Законами США о конфиденциальности или «акцией» в соответствии с CCPA (или эквивалентными концепциями в соответствии с Законами США о конфиденциальности); или (ii) сделают Staffex не «поставщиком услуг» в соответствии с CCPA или «обработчиком» в соответствии с Законами США о конфиденциальности.
7. Международная передача данных
a. Staffex Ireland Ltd. будет обрабатывать предоставленные Клиентом Данные, происходящие из ЕЭЗ или Швейцарии. В той степени, в которой Staffex Ireland Ltd передает Данные Клиента другим аффилированным лицам Staffex в юрисдикциях, которые не обеспечивают такой же уровень защиты данных, она будет делать это на основе внутригрупповых соглашений, которые включают соответствующие положения о механизмах передачи для защиты Данных Клиента. Такие механизмы могут включать Стандартные договорные положения, принятые Комиссией ЕС 4 июня 2021 года (с возможными изменениями, обновлениями или заменами время от времени) (« СУК ЕС »), или решение о достаточности, вынесенное Европейской комиссией в соответствии со статьей 45 GDPR.
b. Staffex будет обрабатывать данные клиентов, предоставленные клиентом, находящимся в Великобритании, в соответствии с SCC ЕС, измененными дополнением Великобритании к SCC ЕС, выпущенным Комиссаром по информации в соответствии с разделом 119A(1) Закона о защите данных 2018 года (« Дополнение Великобритании »), которые считаются заключенными (и включенными в настоящее DPA посредством настоящей ссылки) и завершенными следующим образом (каждое с изменениями, внесенными Дополнением Великобритании, где это уместно и применимо): i. Модуль два (от контролера к обработчику) SCC ЕС применяется, когда клиент является контролером, а Staffex обрабатывает данные клиента в качестве обработчика. ii. Модуль три (от обработчика к субобработчику) SCC ЕС применяется, когда клиент является обработчиком, а Staffex обрабатывает данные клиента в качестве субобработчика.
c. Для каждого модуля EU SCCs, где это применимо, применяется следующее: i. Необязательный пункт стыковки в пункте 7 не применяется; ii. В пункте 9 применяется Вариант 2 (общее письменное разрешение), а минимальный период времени для предварительного уведомления об изменении субподрядчика должен быть таким, как указано в Разделе 1(g) настоящего DPA. iii. В пункте 11 необязательный язык не применяется; iv. Все квадратные скобки в пункте 13 настоящим удаляются; v. В пункте 17 (Вариант 1) EU SCCs будут регулироваться законами Англии и Уэльса; vi. В пункте 18(b) споры будут разрешаться в судах Англии и Уэльса; vii. Приложение A к настоящему DPA содержит информацию, требуемую в Приложении I и Приложении III EU SCCs; viii. Приложение B к настоящему DPA содержит информацию, требуемую в Приложении II EU SCCs; и
d. Стороны будут соблюдать условия Части 2: Обязательные положения Утвержденного Дополнения, являющегося шаблоном Дополнения B1.0. Стороны также соглашаются (i) с тем, что информация, включенная в Часть 1 Дополнения Великобритании, соответствует изложенной в Приложении A к настоящему DPA и (ii) что любая из сторон может прекратить действие Дополнения Великобритании, как указано в Разделе 19 Дополнения Великобритании.
8. Срок; Возврат и удаление данных
Настоящее Соглашение о защите данных остается в силе до тех пор, пока Staffex выполняет операции по обработке данных клиента от имени клиента или до прекращения действия Соглашения (и все данные клиента были возвращены или удалены в соответствии с настоящим Соглашением о защите данных). Staffex будет хранить данные клиента API Service, отправленные через API, в течение максимум тридцати (30) дней, после чего они будут удалены, за исключением случаев, когда Staffex обязан сохранять копии в соответствии с применимым законодательством, в этом случае Staffex изолирует и защищает эти данные клиента от любой дальнейшей обработки, за исключением случаев, требуемых применимым законодательством. Staffex будет хранить данные клиента ChatGPT Enterprise Service в течение срока действия Соглашения, если иное не указано в Соглашении или Форме заказа. После прекращения действия Соглашения о защите данных Staffex поручит каждому Субпроцессору удалить данные клиента в течение тридцати (30) дней с момента прекращения действия Соглашения о защите данных, если это не запрещено законом. Для ясности Staffex может продолжать обрабатывать информацию, полученную из данных Клиента, которые были деидентифицированы, анонимизированы и/или агрегированы таким образом, чтобы эти данные больше не считались Персональными данными в соответствии с применимыми законами о защите данных, и таким образом, чтобы не идентифицировать отдельных лиц или Клиента, в целях улучшения систем и услуг Staffex .
Приложение А
А. СПИСОК СТОРОН
А. СПИСОК СТОРОН
Экспортер(ы) данных: клиент Услуг, указанный в соответствующих регистрационных документах Услуг.
Импортер(ы) данных:
Название: Staffex
1111В S Governors Ave STE 23853 Dover, DE 19904 US
Роль (контроллер/процессор):
Б. ОПИСАНИЕ ПЕРЕДАЧИ
Категории субъектов данных, персональные данные которых передаются
Пользователи приложений-экспортеров данных.
Категории передаваемых персональных данных
Имя, контактная информация, демографические данные или другая информация, предоставленная пользователем в неструктурированных данных.
Передаваемые конфиденциальные данные (если применимо) и применяемые ограничения или меры безопасности, которые в полной мере учитывают характер данных и сопутствующие риски, такие как, например, строгое ограничение цели, ограничения доступа (включая доступ только для сотрудников, прошедших специализированную подготовку), ведение учета доступа к данным, ограничения на дальнейшую передачу или дополнительные меры безопасности.
Никакие конфиденциальные данные не подлежат передаче, если только пользователь не включит их неожиданно в неструктурированные данные.
Частота передачи (например, передаются ли данные единовременно или на постоянной основе).
Непрерывно.
Характер обработки
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
Цель(и) передачи и дальнейшей обработки данных
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода.
В течение срока действия соглашения
Для передачи (суб)обработчикам также укажите предмет, характер и продолжительность обработки.
Выполнение услуг, описанных в соглашении, к которому прилагается настоящее приложение.
C. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН
Определить компетентный(е) надзорный(е) орган(ы) в соответствии с пунктом 13
Управление комиссара по информации («УКИ»).
Приложение Б
ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, ВКЛЮЧАЯ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ДАННЫХ
ВВЕДЕНИЕ
Миссия Staffex заключается в развертывании безопасного и ответственного ИИ в масштабе на благо всех. В соответствии с этой миссией Staffex поддерживает программу информационной безопасности, разработанную для защиты своих систем, данных и Данных клиентов. В этом Приложении описывается программа информационной безопасности и стандарты безопасности, которые Staffex поддерживает в отношении Услуг и обработки данных, предоставленных Клиентом или от его имени («Данные клиентов»). Термины, написанные с заглавной буквы, не определенные в этом Приложении, имеют значения, указанные в DPA или Соглашении.
ChatGPT Enterprise — это новый сервис Staffex , поэтому некоторые технические или меры безопасности, указанные ниже, применяются к ChatGPT Enterprise по-разному; в каждом случае это различие выделено курсивом . «ChatGPT Enterprise» — это версия языковой модели ChatGPT на базе искусственного интеллекта Staffex , доступная для предприятий.
Дополнительную информацию о технических и организационных мерах безопасности Staffex для защиты данных клиентов можно найти на портале Staffex Trust. Меры безопасности, указанные ниже, включают в себя подмножество информации, доступной на Портале доверия, которая применяется к настоящему DPA.
МЕРЫ БЕЗОПАСНОСТИ
Корпоративная идентификация, аутентификация и контроль авторизации. Staffex поддерживает лучшие отраслевые практики для аутентификации и авторизации внутренних сотрудников и доступа к услугам, включая следующие меры:
- Staffex использует единый вход (SSO) для аутентификации в сторонних сервисах, используемых при предоставлении Услуг. Управление доступом на основе ролей (RBAC) используется при предоставлении внутреннего доступа к Услугам;
- Для аутентификации у поставщика удостоверений Staffex используется обязательная многофакторная аутентификация.
- Каждому пользователю присваиваются уникальные идентификаторы входа;
- Установленные процессы рассмотрения и утверждения любых запросов на доступ к службам, хранящим данные клиентов;
- Периодические проверки доступа, призванные гарантировать, что уровни доступа соответствуют ролям, которые выполняет каждый пользователь;
- Установленные процедуры для оперативного отзыва прав доступа при увольнении сотрудника;
- Установленные процедуры сообщения о скомпрометированных учетных данных (например, паролях и ключах API) и их отзыва; а также
- Установленные процедуры сброса пароля, включая процедуры, предназначенные для проверки личности пользователя перед установкой нового, сменного или временного пароля.
- Использование сторонней службы управления доступом к идентификационным данным для управления идентификационными данными Клиента, что означает, что Staffex не хранит предоставленные пользователями пароли от имени пользователей; и
- Логическое разделение данных клиентов по учетной записи организации с использованием уникальных идентификаторов. В рамках учетной записи организации поддерживаются уникальные учетные записи пользователей.
- Облачная инфраструктура и безопасность сети. Staffex поддерживает лучшие отраслевые практики по защите и эксплуатации своей облачной инфраструктуры, включая следующие меры:
- Разделение производственной и непроизводственной сред;
- Основные внутренние ресурсы развернуты через VPN.
- Услуги регулярно проверяются на предмет уязвимостей безопасности.
- Секреты приложений и учетные записи служб управляются службой управления секретами;
- Политики сетевой безопасности и брандмауэры настроены на доступ с наименьшими привилегиями против предустановленного набора разрешенных потоков трафика. Неразрешенные потоки трафика блокируются; и
- Журналы служб контролируются на предмет безопасности и доступности.
- Управление конечными точками корпоративных рабочих станций;
- Управление конечными точками мобильных устройств;
- Автоматическое применение конфигураций безопасности к рабочим станциям;
- Обязательное управление исправлениями; и
- Ведение соответствующих журналов безопасности.
- Доступ сотрудников к Услугам осуществляется по принципу наименьших привилегий. Только сотрудники, чья должностная функция включает поддержку предоставления Услуг, аккредитованы в среде Услуг; и
- Данные Клиента, предоставленные Сервисам, используются только в соответствии с условиями Соглашения об обработке данных, Соглашения и любых других применимых договорных соглашений, заключенных с Клиентом.
- Шифрование данных, хранящихся в производственных хранилищах данных, с использованием надежных алгоритмов шифрования;
- Шифрование данных при передаче;
- Контрольный журнал всех запросов на доступ к данным для производственных хранилищ данных;
- Требуется полное шифрование диска на всех корпоративных рабочих станциях;
- На всех корпоративных рабочих станциях требуются средства управления устройствами;
- Ограничения на использование портативных или съемных носителей; а также
- Данные клиента могут быть удалены по запросу.
- Обеспечение возможности восстановления систем в случае сбоя;
- Обеспечение функционирования систем и информирование о неисправностях;
- Решения по защите от вредоносных программ и обнаружению/предотвращению вторжений комплексно внедрены во всей нашей среде.
- Логическое разделение данных клиентов;
- Ограничение доступа к данным, хранящимся для различных целей, в соответствии с ролями и обязанностями персонала;
- Разделение функций бизнес-информационной системы; и
- Разделение сред тестирования и производства информационных систем.
- Моделирование угроз для документирования и сортировки источников риска безопасности с целью определения приоритетов и устранения;
- Тестирование на проникновение проводится в Сервисах не реже одного раза в год, и любые выявленные пункты исправления решаются как можно скорее по графику, соизмеримому с сопутствующим риском. По запросу Staffex предоставит сводные данные о проведенных тестах и о том, были ли решены выявленные проблемы;
- Ежегодные задания квалифицированного независимого внешнего аудитора для проведения периодических проверок практик безопасности Staffex в соответствии с признанными стандартами аудита, включая аудиты сертификации SOC 2 Type II. По обоснованному запросу Staffex предоставит сводные данные; и
- Программа управления уязвимостями, призванная обеспечить оперативное устранение уязвимостей, влияющих на Услуги.
- Проверки биографических данных (если это разрешено законом) сотрудников, имеющих доступ к данным клиентов или поддерживающих другие аспекты Услуг;
- Ежегодное обучение по безопасности для сотрудников и дополнительное обучение по безопасности по мере необходимости.
- Физические барьеры контроля, включая запертые двери и ворота;
- Круглосуточное дежурство охранников на объекте;
- Круглосуточное видеонаблюдение и сигнализация, в том числе видеонаблюдение мест общего пользования и въездов и выездов на объекты;
- Системы контроля доступа, требующие биометрических данных или удостоверения личности с фотографией и ПИН-кода для входа на все объекты Staffex для персонала Staffex ;
- Протоколы идентификации, регистрации и сопровождения посетителей; а также
- Регистрация выходов и входов на объект.
- Письменные договоры, призванные гарантировать, что любой агент соглашается поддерживать разумные и надлежащие меры предосторожности для защиты данных клиентов; а также
- Оценка безопасности поставщиков: все третьи стороны проходят официальную процедуру оценки поставщиков, поддерживаемую командой безопасности Staffex .
- Staffex объединяет системные журналы безопасности и общего наблюдения из различных систем для облегчения обнаружения и реагирования; а также
- Если компании Staffex станет известно о том, что произошла утечка персональных данных, Staffex уведомит об этом Клиента в соответствии с Соглашением об обработке данных.