תאריך שינוי אחרון: 8 באוגוסט 2023 | גרסאות קודמות
Jibe והצד הנגדי המסכימים לנספח הזה ("שותף") חתמו על הסכם לאספקת השירותים של מעבדי המידע (כפי שיתוקנו מעת לעת, שנקרא "ההסכם").
הנספח לעיבוד נתונים (כולל הנספחים, "נספח לעיבוד נתונים") נחתם על ידי Jibe ו-Partner ומשלים את ההסכם. הנספח לעיבוד נתונים יהיה בתוקף, ויחליף את כל התנאים החלים קודם לכן בקשר לנושא הנדון (כולל כל תנאי עיבוד הנתונים ותנאי האבטחה הקשורים לשירותי מעבד המידע), החל ממועד כניסתם של התנאים לתוקף.
אישור הנספח לעיבוד נתונים בשם השותף מהווה את הצהרתך: (א) שיש לך סמכות משפטית מלאה לחייב את השותף בנספח זה לעיבוד נתונים; (ב) קראת והבנת את הנספח לעיבוד נתונים; וכן (ג) את/ה מסכים/ה בשם השותף לנספח הזה בנושא עיבוד נתונים. אם אין בידך הסמכות החוקית לחייב את השותף, אין לאשר את הנספח הזה לעיבוד נתונים.
1. מבוא
הנספח הזה לעיבוד נתונים משקף את הסכמת הצדדים לתנאים המסדירים עיבוד ואבטחה של נתונים מסוימים בהקשר לחקיקה האירופית להגנה על נתונים ולחקיקה שאינה אירופית להגנה על מידע.
2. הגדרות ופרשנות
2.1 בנספח הזה לעיבוד נתונים:
"מוצר נוסף" פירושו מוצר, שירות או אפליקציה המסופקים על ידי Jibe או צד שלישי אשר: (א) אינם חלק מהשירותים של מעבד המידע; ו-(ב) נגישים לשימוש בממשק המשתמש של שירותי מעבד המידע או משולבים בצורה אחרת עם שירותי מעבד המידע.
"תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע" הם התנאים הנוספים שמופיעים בנספח 3, המשקפים את הסכמת הצדדים לתנאים המסדירים עיבוד של נתונים מסוימים בהקשר לחקיקה מסוימת שאינה אירופית להגנה על מידע.
"מדינה הולמת" פירושה:
(א) לגבי נתונים שמעובדים בכפוף ל-GDPR של האיחוד האירופי: האזור הכלכלי האירופי (EEA), או מדינה או אזור שידועים בהבטחת רמה הולמת של הגנה על הנתונים בכפוף ל-GDPR באיחוד האירופי;
(ב) לגבי נתונים שמעובדים בכפוף ל-GDPR של בריטניה: בריטניה או מדינה או אזור שידועים בהבטחת רמה הולמת של הגנה על הנתונים בכפוף ל-GDPR של בריטניה ולחוק הגנת הנתונים 2018; ו/או
(c) עבור נתונים שמעובדים בכפוף ל-FDPA בשווייץ: שווייץ, או מדינה או אזור (i) שכלולים ברשימת המדינות שבהן החקיקה מבטיחה רמה הולמת של הגנה כפי שפורסמה על ידי נציב המידע הפדרלי של שווייץ (Swiss Federal Data and Commission), או (ii) המוכר כבטוח להגנה על נתונים על ידי המועצה הפדרלית של שווייץ לפי הנציבות השווייצרית האחרים.
"פתרון העברה חלופי" הוא פתרון, למעט סעיפים חוזיים סטנדרטיים (SCC), שמאפשר העברה חוקית של מידע אישי למדינה שלישית בהתאם לחקיקה האירופית להגנה על נתונים, לדוגמה, מסגרת הגנה על נתונים שידועה בכך שהיא מבטיחה שהישויות המקומיות המשתתפות מספקות רמה הולמת של הגנה.
"אירוע אבטחת מידע" פירושו הפרה של אבטחת המידע של Jibe, שמובילה להשמדה, לאובדן, לשינוי או לחשיפת מידע אישי של שותפים במערכות לא מנוהלות על ידי Jibe, או בשליטה בלתי מורשית במידע זה. "תקריות נתונים" לא יכללו ניסיונות או פעילויות שנכשלו שאינם פוגעים באבטחה של מידע אישי של שותפים, כולל ניסיונות התחברות כושלים, פינגים, סריקות יציאה, התקפות של מניעת שירות ומתקפות רשת אחרות בחומות אש או במערכות ברשת.
"כלי נושא הנתונים" הוא כלי (אם קיים) שזמין על ידי ישות של Jibe לנושאי נתונים, שמאפשר ל-Jibe להגיב באופן ישיר ובאופן סטנדרטי לבקשות מסוימות מהאנשים שאליהם מתייחס המידע, ביחס לנתונים אישיים של שותפים (לדוגמה, הגדרות של פרסום באינטרנט או פלאגין לביטול הסכמה).
"EEA" פירושו האזור הכלכלי האירופי.
"ה-GDPR של האיחוד האירופי" היא תקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה האירופית שנכנסה לתוקף ב-27 באפריל 2016, המסדירה את ההגנה על אנשים פרטיים בכל הנוגע לעיבוד מידע אישי ולתנועה החופשית של מידע מסוג זה, והמבטלת את דירקטיבה 95/46/EC.
"החקיקה האירופית להגנה על מידע" פירושה, לפי ההקשר: (א) ה-GDPR; ו/או (ב) ה-FDPA של שווייץ.
"חוקי האיחוד האירופי" פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של שותף); ו/או (ב) החוק של הממלכה המאוחדת (בריטניה) או של חלק ממנה (אם ה-GDPR הבריטי חל על עיבוד מידע אישי של שותפים).
"GDPR" פירושו, לפי ההקשר: (א) ה-GDPR של האיחוד האירופי ו/או (ב) ה-GDPR של בריטניה.
"ג'יב" היא ישות ג'יבבה שהיא צד בהסכם.
"Jibe Entity" פירושו חברת Jibe Mobile, Inc, Jibe Mobile Limited או כל ישות אחרת השולטת באופן ישיר או עקיף ב-Jibe Mobile, Inc, או שנשלט על ידי Jibe Mobile, Inc.
"אישור ISO 27001" פירושו אישור ISO/IEC 27001:2013 או אישור דומה לשירותי מעבד המידע.
"מעבד מידע חדש" יקבל את המשמעות שהוגדרה בסעיף 11.1 (הבעת הסכמה לשימוש במעבד מידע משני).
"חקיקה שאינה אירופית להגנה על נתונים" פירושה חוקי הגנה על נתונים או חוקי פרטיות שחלים מחוץ ל-EEA, לשווייץ ולבריטניה.
"כתובת האימייל להודעות" היא כתובת האימייל (אם יש כזו): (i) שסופקה על ידי השותף ל-Jibe או (ii) שהוגדרה על ידי השותף, דרך ממשק המשתמש של שירותי מעבד המידע או אמצעים אחרים שסופקו על ידי Jibe, לצורך קבלת התראות מסוימות מ-Jibe בנוגע לנספח הזה לעיבוד הנתונים. לשם הבהרה, באחריות השותף לספק ל-Jibe כתובת אימייל להודעות, וליידע את Jibe לגבי עדכונים בכתובת האימייל להתראות.
"מידע אישי של שותף" פירושו מידע אישי שמעובד על ידי Jibe מטעם שותף ב-Gibe באספקת השירותים לעיבוד מידע.
"הסעיפים החוזיים הסטנדרטיים (SCC) של השותפים" הם הסעיפים החוזיים הסטנדרטיים (SCC) (נאמני מידע)
"שירותי מעבד מידע" הם שירותי RCS Business Messaging (כפי שמתואר בכתובת developers.google.com/business-communications/rcs-business-messaging).
"סעיפי ה-SCC" הם הסעיפים החוזיים הסטנדרטיים (SCC) של השותפים ו/או הסעיפים החוזיים הסטנדרטיים (SCC) של השותף (Processor-to-Processor, Jibe Exporter), בהתאם למקרה.
"סעיפי ה-SCC (נאמני מידע)" הם התנאים המפורטים בכתובת business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCCs (Processor-to-Controller)" הם התנאים המפורטים בכתובת business.safety.google/gdprCPUterms/sccs/p2c.
"SCCs (Processor-to-Processor)" הם התנאים המוצגים בכתובת business.safety.google/gdprCPUterms/sccs/eu-p2p-dpa.
"SCCs (Processor-to-Processor, Jibe Exporter)" הם התנאים המוצגים בכתובת business.safety.google/gdprCPUterms/sccs/eu-p2p-intra-group.
"תיעוד אבטחה" פירושו אישור ISO 27001 וכל אישור או מסמכי אבטחה אחרים שייתכן ש-Jibe יפתחו בהקשר של שירותי מעבד המידע.
"אמצעי אבטחה" יפורשו בהתאם לאמור בסעיף 7.1.1 (אמצעי האבטחה של Jibe).
"מעבדי משנה" פירושם צדדים שלישיים המורשים בהתאם לנספח זה לעיבוד הנתונים, לקבל גישה לוגית לנתונים האישיים של השותפים ולעבד אותם כדי לספק חלקים מהשירותים של מעבד המידע וכן תמיכה טכנית הקשורה אליו.
"רשות מפקחת" פירושה, לפי ההקשר: (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הנציבות" כפי שמוגדר ב-GDPR של בריטניה ו/או ה-FDPA של שווייץ.
"FDPA בשווייץ" פירושו החוק הפדרלי להגנה על המידע מיום 19 ביוני 1992 (שווייץ).
"תקופת ההסכם" היא התקופה החל ממועד הכניסה לתוקף של התנאים, ועד לסיום מתן שירותי מעבד המידע על ידי ג'יב, במסגרת ההסכם.
"מועד הכניסה לתוקף של התנאים" הוא מועד הכניסה לתוקף של ההסכם.
"ה-GDPR של בריטניה" פירושו ה-GDPR של האיחוד האירופי כפי שתוקן והותאם לחוק הבריטי בהתאם לחוק UK European Union (Withdrawal) Act 2018 (הפרישה של בריטניה מהאיחוד האירופי), ולכל חקיקה משנית החלה על פי חוק זה.
2.2 המונחים "נאמן מידע", "האדם שאליו מתייחס המידע", "מידע אישי", "עיבוד" ו "מעבד מידע" משמשים בנספח זה לעיבוד הנתונים כפי שהמשמעותם ב-GDPR, והמשמעויות של המונחים "כלי לייבוא נתונים" ו"כלי לייצוא נתונים" מפורטות בסעיפים החוזיים הסטנדרטיים (SCC) הרלוונטיים.
2.3 המילים "הכללה" ו "כולל" פירושן "לרבות, אך לא רק". כל הדוגמאות בנספח זה לעיבוד נתונים הן להמחשה בלבד, ואינן הדוגמאות היחידות לרעיונות שהן ממחישות.
2.4 כל התייחסות להסדר משפטי, לחוק או לחקיקה אחרת היא התייחסות להסדר, לחוק או לחקיקה אלו כפי שיתוקנו, יורחבו או ייחקקו מחדש מעת לעת.
2.5 אם הגרסה המתורגמת של נספח זה לעיבוד נתונים אינה תואמת לגרסה באנגלית, תינתן עדיפות לגרסה האנגלית.
3. משך הנספח לעיבוד נתונים
הנספח הזה לעיבוד נתונים ייכנס לתוקף במועד כניסתם של התנאים לתוקף, ולא משנה אם תוקף ההסכם יפוג, והוא יהיה בתוקף עד ש-Jibe ימחק את כל המידע האישי של השותף, כפי שמתואר בנספח לעיבוד הנתונים.
4. יישום הנספח לעיבוד נתונים
4.1 החלת החקיקה האירופית להגנה על מידע. סעיפים 5 (עיבוד נתונים) עד 12 (יצירת קשר עם Jibe; רשומות עיבוד) (כולל) יחולו רק אם החקיקה האירופית להגנה על מידע חלה על עיבוד מידע אישי של שותפים, כולל אם:
(א) העיבוד מתבצע בהקשר של הפעילויות של הקמת שותף ב-EEA או בבריטניה; ו/או
(ב) מידע אישי של שותפים הוא מידע אישי שקשור לנושאי מידע שנמצאים ב-EEA או בבריטניה, והעיבוד קשור להצעה של סחורות או שירותים או מעקב אחר ההתנהגות שלהם ב-EEA או בבריטניה.
4.2 בקשה לשירותי מעבד. נספח זה לעיבוד נתונים יחול רק על השירותים לעיבוד מידע שצדדים הסכימו לנספח זה לעיבוד נתונים (לדוגמה: (א) שירותי המעבדים שעבורם השותף לחץ על אישור נספח זה לעיבוד נתונים; או (ב) אם ההסכם כולל נספח זה לעיבוד נתונים באמצעות אזכור, שירותי מעבד המידע שהם כפופים להסכם)
4.3 שילוב תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע. התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע הם תוספת לנספח הזה לעיבוד נתונים.
5. עיבוד נתונים
5.1 תפקידים ותאימות לתקנות; הרשאה.
5.1.1 אחריותיות של נאמן מידע ונאמני מידע. הצדדים מאשרים ומסכימים כי:
(א) נספח 1 מתאר את הנושא ואת הפרטים של עיבוד המידע האישי של השותף;
(ב) Jibe הוא מעבד מידע אישי של שותף במסגרת החקיקה להגנה על המידע באירופה.
(ג) השותף הוא נאמן מידע או מעבד, במקרים הרלוונטיים, של המידע האישי של השותף בכפוף לחקיקה האירופית להגנה על מידע; וכן
(ד) כל אחד מהצדדים יעמוד בהתחייבויות החלות עליו בכפוף לחקיקה האירופית להגנה על מידע בכל הנוגע לעיבוד המידע האישי של השותף.
5.1.2 שותפי מעבד. אם השותף הוא מעבד:
(א) השותף מתחייב על בסיס קבוע כי נאמן המידע אישר
(ב) השותף יעביר באופן מיידי את נאמן המידע הרלוונטי לכל הודעה שנמסרה על ידי Jibe בהתאם לסעיפים 5.4 (התראות על הוראה), 7.2.1 (התראה על מקרה), 11.4 (הזדמנות להתנגד לשינויים במעבדי המשנה), או בקשר לסעיפים החוזיים הסטנדרטיים (SCC); וכן
(ג) השותף עשוי להפוך לנאמן מידע רלוונטי כל מידע שזמין על ידי Jibe בסעיפים 7.4 (אישור אבטחה), 10.5 (מידע על מרכז הנתונים) ו-11.2 (מידע על מעבדי משנה).
5.2 ההוראות של השותף. בהוספה לנספח זה לעיבוד נתונים, השותף מורה ל-Jibe לעבד מידע אישי של שותף רק בהתאם לדין החל: (א) כדי לספק את שירותי מעבד המידע וכן תמיכה טכנית קשורה אחרת; (ב) כפי שמפורט בהמשך בשימוש של השותף בשירותים של מעבד המידע (כולל בהגדרות ובפונקציונליות אחרת של שירותי מעבד המידע) ובתמיכה טכנית דומה; כמפורט במסמך זה, על פי ההוראות וההוראות כמפורט בהוראה זו וכפי שנמסר בצו מתוקף ההוראה שפורטה להלן, וכן בהתאם להוראות שנקבעו בחוק שצויין כצו
5.3 הציות של דנה להוראות. Jibe יציית להוראות, אלא אם נאסר על פי החוקים האירופיים.
5.4 התראות על הוראה. Jibe יודיע באופן מיידי לשותף אם, לפי דעתו של ג'יב: (א) החוקים האירופיים אוסרים על Jibe לציית להוראה; (ב) הוראה אינה מצייתת לחקיקה האירופית להגנה על נתונים; או (ג) Jibe לא יכולה לציית להוראה, בכל מקרה, אלא אם הודעה כזו אסורה על ידי החוק האירופי. הסעיף 5.4 (התראות על הוראה) לא מפחית מהזכויות ומהמחויבויות של אף אחד מהצדדים במקום אחר בהסכם.
5.5 מוצרים נוספים. אם השותף משתמש במוצר נוסף, ייתכן ששירותי העיבוד יאפשרו למוצר הנוסף לגשת לנתונים האישיים של השותף כפי שנדרש עבור הפעולה ההדדית של המוצר הנוסף עם שירותי מעבד המידע. במידת הצורך, הצדדים יחתמו על תנאים נפרדים לעיבוד נתונים כדי לטפל באופן שבו המוצר הנוסף יעבד מידע אישי של שותפים.
6. מחיקת נתונים
6.1 מחיקה במהלך התקופה.
6.1.1 שירותים לעיבוד מידע עם פונקציונליות מחיקה. במהלך התקופה, אם:
(א) הפונקציונליות של שירותי מעבד המידע כוללת אפשרות לשותפים למחוק נתונים אישיים של שותפים;
(ב) השותף משתמש בשירותים לעיבוד מידע כדי למחוק נתונים אישיים מסוימים;
(ג) השותף לא יכול לשחזר את המידע האישי שנמחק על ידי השותף (לדוגמה, מהאשפה) על ידי Jibe, שיימחק מהמערכות שלו בהקדם האפשרי במידת הסביר, אלא אם לפי החוקים האירופיים יש צורך באחסון.
6.1.2 שירותים לעיבוד מידע, ללא פונקציונליות של מחיקה. במהלך התקופה, אם הפונקציונליות של שירותי מעבד המידע לא כוללת את האפשרות של השותף למחוק מידע אישי של שותפים, Jibe תציית לכל בקשה סבירה מהשותף כדי לאפשר מחיקה כזו, כל עוד הדבר אפשרי תוך התחשבות בהאופי ובפונקציונליות של שירותי המעבד, אלא אם החוקים האירופיים דורשים אחסון. חברת Jibe עשויה לגבות עמלה (המבוססת על העלויות הסבירות של Jibe) בגין מחיקת נתונים, בהתאם לסעיף 6.1.2 (שירותים לעיבוד ללא פונקציונליות מחיקה). Jibe יספק לשותף פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל מחיקת נתונים.
6.2 תוקף בתום התקופה. כשתוקף התוכנית יפוג, השותף מורה ל-Jibe למחוק את כל המידע האישי של השותפים (כולל עותקים קיימים) מהמערכות של Jibe, בהתאם לדין החל. Jibe יציית להוראה זו בהקדם האפשרי הסביר, אלא אם החוק האירופי דורש אחסון.
7. אבטחת נתונים
7.1 אמצעי האבטחה והסיוע של דנה.
7.1.1 אמצעי האבטחה של Jibe. Jibe יטמיע ותתחזק אמצעים טכניים וארגוניים כדי להגן על מידע אישי של שותפים מפני הרס לא חוקי או בלתי חוקי, אובדן, שינוי, חשיפה לא מורשית או גישה, כפי שמתואר בנספח 2 ("אמצעי האבטחה"). כפי שמתואר בנספח 2, אמצעי האבטחה כוללים אמצעים: (א) להצפנת מידע אישי; (ב) כדי לשמור על הסודיות, התקינות והזמינות של המערכות והשירותים של Jibe, (ג) כדי לשחזר את הגישה המוקדמת למידע האישי אחרי אירוע; וכן (ד) כדי לבדוק את היעילות בפועל. Jibe עשויה לעדכן או לשנות את אמצעי האבטחה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא יובילו לירידה בביצועים של האבטחה הכוללת של שירותי מעבד המידע.
7.1.2 גישה ותאימות. חברת Jibe (א) תסמיך את העובדים, הקבלנים ומעבדי המידע המשניים שלה לגשת למידע האישי של השותפים רק במידת הצורך כדי לפעול בהתאם להוראות, (ב) תנקוט את האמצעים המתאימים כדי להבטיח ציות לאמצעי האבטחה מצד עובדיה, קבלניה ומעבדי המידע המשניים, במידה שבה הדבר רלוונטי לרמת הביצועים שלהם; וכן (ג) יבטיח שכל האנשים המורשים לעבד סודיות בכפוף לסודיות רשאים
7.1.3 סיוע האבטחה של Jib. בהתחשב באופי של עיבוד המידע האישי של השותף ובמידע הזמין ל-Jibe, ג'יב תעזור לשותף להבטיח תאימות למחויבויות של השותף (או, במקרים שבהם השותף הוא מעבד מידע, ההתחייבויות של נאמן המידע הרלוונטי) בנוגע לאבטחת מידע אישי ולפרצות באבטחת מידע אישי, לרבות המחויבויות של השותף (או, אם השותף הוא מעבד המידע, ההתחייבויות של נאמן המידע הרלוונטי) בהתאם לסעיפים 32 עד 33 (כולל)
(א) הטמעה ותחזוקה של אמצעי האבטחה בהתאם לסעיף 7.1.1 (אמצעי האבטחה של ג'יב);
(ב) ציות לתנאים של סעיף 7.2 (תקריות נתונים); וכן
(ג) מתן שותף למסמכי האבטחה בהתאם לסעיף 7.5.1 (בדיקות מסמכי אבטחה) והמידע הכלול בנספח זה לעיבוד נתונים.
7.2 תקריות נתונים.
7.2.1 התראה על אירוע. אם ג'יב ידוע לאירוע הנתונים, חברת Jibe: (א) תודיע לשותף על האירוע באופן מיידי וללא עיכוב); וכן (ב) תנקוט במהירות צעדים סבירים לצמצום הנזק ולאבטחת המידע האישי של השותף.
7.2.2 פרטים לגבי האירוע. בהתראות שבוצעו במסגרת סעיף 7.2.1 (התראה על אירועים) מתואר האופי של אירוע הנתונים, כולל משאבי השותפים שמושפעים ממנו, האמצעים ש-Jibe נקט או מתכנן לנקוט כדי לטפל באירוע הנתונים ולהפחית את הסיכון הפוטנציאלי שלו, האמצעים (אם יש כאלה), ש-Google ממליצה לשותף לנקוט בהם כדי לטפל באירוע הנתונים ופרטים לגבי איש קשר שבו הוא יכול לספק מידע נוסף. אם אי אפשר לספק את כל המידע הזה בו-זמנית, ההודעה הראשונית של Jibe תכלול את המידע שיהיה זמין, ובהמשך נשלח מידע נוסף ללא עיכוב.
7.2.3 מסירת ההתראה. Jibe ימסור את ההתראה על כל אירוע שהוא לכתובת האימייל של ההתראות, או, לפי שיקול דעתו של Jibe (כולל אם השותף לא סיפק כתובת אימייל להתראות), באמצעות תקשורת ישירה אחרת (לדוגמה, בשיחת טלפון או בפגישה פנים-אל-פנים). השותף הוא האחראי הבלעדי למסור את כתובת האימייל להודעות, ולוודא שכתובת האימייל למשלוח התראות עדכנית ותקפה.
7.2.4 התראות של צד שלישי. השותף הוא האחראי הבלעדי לציות לחוקים של התראות אירועים החלים על השותף, ולמלא התחייבויות כלשהן של צד שלישי בקשר להתראות הקשורות לכל אירוע נתונים.
7.2.5 לא הכרה בתקלה על ידי Jibe. ההודעה של Jibe בנוגע לאירוע Data.
7.3 אחריות והערכת אבטחה של השותף.
7.3.1 אחריות האבטחה של השותף. השותף מסכים, מבלי לפגוע בהתחייבויותיו של ג'יב בכפוף לסעיפים 7.1 (אמצעי אבטחה וסיוע של Jibe) ו-7.2 (תקריות נתונים):
(א) השותף אחראי לשימוש שלו בשירותי מעבד המידע, כולל:
(i) שימוש הולם בשירותים של מעבד המידע כדי להבטיח רמת אבטחה שמתאימה לסיכון של מידע אישי של שותפים; וכן
(2) לאבטח את פרטי הכניסה, המערכות והמכשירים לאימות החשבון שהשותף משתמש בהם כדי לגשת לשירותי המעבד; וגם
(ב) Jibe לא מחויבת להגן על המידע האישי של השותף ש-Google בוחרת לאחסן או להעביר מחוץ למערכות של Jibe ומעבדי המשנה.
7.3.2 הערכת האבטחה של השותף. השותף מכיר באמצעי האבטחה שמוטמעים ומתוחזקים על ידי Jibe כמתואר בסעיף 7.1.1 (אמצעי האבטחה של Jibe) מספקים רמת אבטחה שמתאימה לסיכון של המידע האישי של השותף, תוך התייחסות לאופי, להיקף, להקשר ולמטרות של עיבוד המידע האישי של השותף,
7.4 אישור אבטחה. כדי להעריך את מידת היעילות של אמצעי האבטחה, וכדי לשמור על היעילות שלהם, צריך לשמור על אישור ISO 27001 או על אמצעים מתאימים אחרים כדי להוכיח את היעילות של אמצעי האבטחה.
7.5 ביקורות ובדיקות תאימות.
7.5.1 בדיקות של מסמכי אבטחה. כדי להוכיח ציות של Jibe למחויבויות שלה במסגרת הנספח הזה לעיבוד נתונים, Jibe יעמיד את מסמכי האבטחה לרשות השותף לצורך בדיקה.
7.5.2 זכויות לביקורת של שותפים.
(א) Jibe תאפשר לשותף או למבקר מצד שלישי אשר מונה על ידי השותף לערוך ביקורות (כולל בדיקות) כדי לאמת ש-Jibe עומד בהתחייבויותיו בהתאם לנספח זה לעיבוד נתונים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לביקורות). במהלך הביקורות, חברת Jibe תעמיד את כל המידע הנדרש להוכחת תאימות כזאת ותתרום לביקורות, כפי שמתואר בסעיף 7.4 (אישור אבטחה) ובסעיף 7.5 (ביקורות וביקורות תאימות).
(ב) אם הסעיפים החוזיים הסטנדרטיים (SCC) חלים, בכפוף לסעיף 10.2 (העברות מוגבלות באירופה), Jibe יאפשר לשותף (או למבקר מצד שלישי שנקבע על ידי השותף) לערוך ביקורות כפי שמתואר בסעיפים החוזיים הסטנדרטיים הרלוונטיים, ובמהלך ביקורות כאלה, יפרסם את כל המידע הנדרש בסעיפים החוזיים הסטנדרטיים (SCC) הרלוונטיים, כל אחד בהתאם לסעיף 7.5.3 (ביקורות עסקיות נוספות עבור ).
(ג) השותף יכול גם לבצע ביקורת כדי לאמת ש-Jibe עומד בהתחייבויותיו בכפוף לנספח זה לעיבוד נתונים, על ידי בדיקת אישורים שהונפקו על ידי Jibe על ידי גורמי צד שלישי (למשל, אישור ISO 27001, אם יש כאלה).
7.5.3 תנאים עסקיים נוספים לביקורות.
(א) שותף ישלח כל בקשה לביקורת במסגרת סעיפים 7.5.2(א) או 7.5.2(ב) ב-Jibe, כמתואר בסעיף 12.1 (יצירת קשר עם Jibe).
(ב) לאחר קבלת Jibe של הבקשה בכפוף לסעיף 7.5.3(א), Jibe והשותף ידונו ויסכימו מראש על תאריך התחלה, היקף ומשך סבירים של הביקורת, ובקרות אבטחה וסודיות אשר רלוונטיות לכל סעיף 7.5.2(א) או 7.5.2(ב).
(ג) Jibe עשויה לגבות עמלה (על סמך העלויות הסבירות של Jibe) בגין כל ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב). Jibe יספק לשותף פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל ביקורת כזו. השותף יישא באחריות לכל העמלות שיגבה כל מבקר מצד שלישי אשר ימנה השותף לביצוע כל ביקורת כזו.
(ד) ייתכן ש-Jibe יתנגד לכל מבקר מצד שלישי אשר מונה על ידי השותף, כדי לערוך ביקורת כלשהי בכפוף לסעיף 7.5.2(א) או 7.5.2(ב) אם לדעתו, המבקר הוא, לפי שיקול סביר, של ג'יב, אם הוא מתחרה של ג'יב או לא מתאים בבירור מבחינה אחרת. כל התנגדות כזו מצד Jibe תדרוש מהשותף למנות מבקר אחר או לערוך את הביקורת עצמה.
(ה) בנספח זה לעיבוד נתונים לא יהיה צורך ש-Jibe יחשוף את המידע לשותף או למבקר מצד שלישי כלשהו, או שיאפשר ל-Partner או למבקר מצד שלישי מטעמו לגשת אל:
(i) נתונים של כל שותף או לקוח אחר של ישות Jibe;
(ii) מידע חשבונאי או פיננסי פנימי של ישות של Jibe;
(iii) סודות מסחריים של ישות של Jibe;
(iv) כל מידע שלפי שיקול דעתה הסביר עשוי: (א) לפגוע באבטחה של מערכות או מתחמים של ישות של Jibe; או (ב) לגרום לישות של Jibe לפרוץ את ההתחייבויות שלה במסגרת החקיקה להגנה על המידע באירופה, או התחייבויות האבטחה ו/או הפרטיות שלה לשותף או לצד שלישי כלשהו; או
(v) כל מידע שהשותף או המבקר שלו מצד שלישי מבקשים לגשת אליו מכל סיבה שאינה מימוש בתום לב של התחייבויות השותף בכפוף לחקיקה האירופית להגנה על מידע.
8. הערכת מצב וייעוץ
צריך לקחת בחשבון את אופי העיבוד ואת המידע הזמין ל-Jibe, כדי להבטיח שהשותפים מצייתים להתחייבויות של השותף (או של השותף שהוא מעבד המידע), או להתחייבויות של נאמן המידע הרלוונטי), בנוגע למבדקים בנושא הגנה על נתונים ולייעוץ קודם, לרבות (אם רלוונטי) המחויבויות של השותף או של נאמן המידע הרלוונטי לפי סעיפים 35 ו-36 ב-GDPR. לשם כך:
(א) מתן מסמכי האבטחה בהתאם לסעיף 7.5.1 (סקירה של מסמכי האבטחה);
(ב) מתן המידע הכלול בנספח זה לעיבוד נתונים; וכן
(ג) אספקה או אספקה אחרת, בהתאם לשיטות הרגילות של Jibe, לחומרים אחרים הקשורים לאופי של שירותי מעבד המידע ולעיבוד מידע אישי של שותפים (לדוגמה, חומרים של מרכז העזרה).
9. זכויות האדם שאליו מתייחס המידע
9.1 תשובות לבקשות של האנשים שאליהם מתייחס המידע. אם Jibe מקבלת בקשה מנושא תוכן ביחס למידע אישי של שותף, Partner מאשרת ל-Jibe, ו-Jibe מיידעת לשותף כי:
(א) להגיב ישירות לבקשה של האדם שאליו מתייחס המידע, בהתאם לפונקציונליות הרגילה של כלי הנתונים. (אם הבקשה נשלחת דרך כלי לבדיקת הנתונים); או
(ב) לייעץ לכך שהאדם שאליו מתייחס המידע ישלח את הבקשה לשותף, והשותף יהיה אחראי להשיב לבקשה הזו (אם הבקשה לא מתבצעת דרך כלי הנתונים).
9.2 העזרה של האדם המבוקש בנושא איסוף נתונים על ידי ג'יב. Jibe יעזור לשותף (או, במקרים שבהם השותף הוא מעבד מידע, נאמן המידע הרלוונטי), למלא את המחויבויות שלו מתוקף ה-GDPR להגיב לבקשות למימוש זכויות של האדם שאליו מתייחס המידע, בכל המקרים, תוך התחשבות באופי עיבוד המידע האישי של השותפים, ואם הדבר רלוונטי, בהתאם לסעיף 11 ב-GDPR, כולל (אם רלוונטי):
(א) מתן הפונקציונליות של שירותי מעבד המידע;
(ב) ציות להתחייבויות בסעיף 9.1 (תגובות לבקשות של נושא נתונים); וכן
(ג) אם הדבר רלוונטי לשירותים של מעבד המידע, כדי שיהיו כלים זמינים בנושא נושא נתונים.
9.3 הכתבה. אם ייוודע לשותף כי כל מידע אישי של שותף אינו מדויק או אינו עדכני, השותף יהיה אחראי לתקן או למחוק את הנתונים האלה אם נדרש לכך על ידי החקיקה האירופית להגנה על מידע, לרבות (אם הדבר אפשרי) באמצעות הפונקציונליות של שירותי מעבד המידע.
10. העברת נתונים
10.1 מתקנים ועיבוד נתונים. בכפוף לשאר התנאים בסעיף 10 (העברת נתונים), Jibe עשויה לעבד מידע אישי של השותף בכל מדינה שבה קיימים מתקנים של Jibe או של מעבדי המידע המשניים שלה.
10.2 העברות מוגבלות באירופה. הצדדים מסכימים שהחקיקה האירופית להגנה על מידע לא דורשת את הסעיפים החוזיים הסטנדרטיים (SCC) או פתרון העברה חלופי כדי לעבד מידע אישי של שותפים במדינה או להעביר אותה למדינה הולמת.
אם הנתונים האישיים של השותפים מועברים למדינה אחרת, והחקיקה האירופית להגנה על נתונים חלה על ההעברות האלה ("העברה מוגבלת באירופה"), אז:
(א) אם Jibe מאמצת פתרון העברה חלופי להעברות מוגבלות באירופה, Jibe תיידע את השותף לגבי הפתרון הרלוונטי ותוודא שהעברות מוגבלות באירופה מתבצעות בהתאם לפתרון הזה, ו/או
(ב) אם Jibe לא אימצו, או הודיעו לשותף ש-Jibe לא משתמשת יותר בפתרון העברה חלופי להעברות מוגבלות באירופה:
(i) אם הכתובת של Jibe נמצאת במדינה מתאימה:
(א) סעיפי ה-SCC (מהמעבד לעיבוד מידע, יצואן של Jibe) יחולו בכל הנוגע להעברות מוגבלות באירופה מ-Jibe למעבדי משנה.
(ב) בנוסף, אם הכתובת של השותף לא נמצאת במדינה הולמת, הסעיפים החוזיים הסטנדרטיים (SCC) (מעבד מידע לנאמני מידע) יחולו בכל הנוגע להעברות מוגבלות באירופה בין Jibe לבין Partner (בין אם השותף הוא נאמן המידע ו/או מעבד המידע), ובין אם לא.
(ii) אם הכתובת של Jibe אינה במדינה הולמת:
הסעיפים החוזיים הסטנדרטיים (SCC) (נאמני מידע, מעבדי מידע) ו/או סעיפים חוזיים סטנדרטיים (SCC) (בהתאם לעיבוד של נאמן מידע, מעבד מידע) יחולו (בהתאם לאופן שבו השותף הוא נאמן מידע ו/או מעבד מידע), בהתאם להעברות מוגבלות באירופה בין שותף לבין Jibe, וכן
(ג) אזכורים ל-Google LLC או ל-Google ולך, בכל אחד מהסעיפים החוזיים הסטנדרטיים (SCC) יהיו אל Jibe ו-Partner, בהתאמה.
10.3 אמצעים ומידע משלימים. Jibe יספק לשותף מידע רלוונטי להעברות מוגבלות באירופה, כולל מידע על אמצעים משלימים להגנה על מידע אישי של שותפים, כפי שמתואר בסעיף 7.5.1 (סקירה של מסמכי אבטחה), נספח 2 (אמצעי אבטחה) וחומרים אחרים הקשורים לאופי של שירותי העיבוד ועיבוד המידע האישי של השותף (לדוגמה, מאמרים במרכז העזרה).
10.4 סיום. אם השותף יסיק, בהתאם לשימוש הנוכחי או המכוון שלו בשירותים של מעבד המידע, שפתרון ההעברה החלופי ו/או חוזי ה-SCC, ככל שרלוונטי, לא מספקים את אמצעי ההגנה המתאימים למידע האישי של השותף, השותף רשאי לסיים את ההסכם מטעמי נוחות על ידי הודעה ל-Jibe בכתב.
10.5 מידע על מרכז הנתונים. מידע על המיקומים של מרכזי הנתונים של Google LLC זמין בכתובת www.google.com/about/datacenters/locations/index.html.
11. מעבדי משנה
11.1 הבעת הסכמה למעורבות במעבדי משנה. השותף מאשר באופן ספציפי את המעורבות של מעבדי המידע המפורטים בסעיף 11.2 (מידע על מעבדי מידע משניים) החל ממועד כניסתם של התנאים לתוקף. בנוסף, בדרך כלל השותף מאשר את המעורבות של כל צד שלישי אחר כמעבדי משנה (מעבדי משנה חדשים), בכפוף לסעיף 11.4 (הזדמנות להתנגד לשינויים במעבדי המשנה).
11.2 מידע על מעבדי מידע משניים. בבקשה בכתב של השותף, ג'יב תספק מידע לגבי מעבדי המשנה ומיקומם. כל הבקשות כאלה חייבות להישלח אל Jibe באמצעות הפרטים ליצירת קשר, כפי שמתואר בסעיף 12.1 (יצירת קשר עם Jibe).
11.3 דרישות למעורבות של מעבדי מידע משניים. בזמן השימוש במעבד משנה כלשהו, Jibe:
(א) חותמים על חוזה בכתב:
(i) מעבד המידע ניגש למידע אישי של שותף ומשתמש בו רק במידה הנדרשת כדי לבצע את ההתחייבויות החוזיות הקשורות אליו, והוא עושה זאת בהתאם להסכם (לרבות נספח זה לעיבוד נתונים); וכן
(ii) אם העיבוד של מידע אישי של שותפים כפוף לחקיקה האירופית להגנה על נתונים, ההתחייבויות להגנה על נתונים בנספח הזה לעיבוד נתונים (כפי שמצוין בסעיף 28(3) של ה-GDPR, אם רלוונטי) חלות על מעבד המידע המשני;
(ב) להמשיך לשאת באחריות המלאה לכל ההתחייבויות החוזיות של קבלן המשנה, ולכל הפעולות וההשמטות שלו.
11.4 הזדמנות להתנגד לשינויים במעבד המידע.
(א) אם ספק שירותי המשנה החדש אחראי לתקופה מוגדרת, לפחות 30 יום לפני שמעבד המידע החדש מעבד מידע אישי של שותף, Jibe תיידע את השותף לגבי האינטראקציה (כולל השם והמיקום של מעבד המשנה הרלוונטי והפעילויות שהוא יבצע) על ידי שליחת אימייל לכתובת האימייל של ההתראות.
(ב) השותף רשאי להתנגד לכל מעבד משנה חדש על ידי סיום ההסכם מטעמי נוחות, מיד לאחר מתן הודעה בכתב ל-Jibe, בתנאי ש-Google מספקת הודעה כזו בתוך 90 יום מקבלת ההודעה על האינטראקציה של מעבד המידע החדש, כפי שמתואר בסעיף 11.4(א).
12. יצירת קשר עם Jibe; עיבוד רשומות
12.1 יצירת קשר עם Jibe. בעת מימוש הזכויות שלה בהתאם לנספח הזה לעיבוד נתונים, השותף יכול ליצור קשר עם Jibe דרך איש הקשר להגנה על נתונים ב-RCS של Jibe, שאליו ניתן לפנות דרך issuetracker.google.com, או באמצעים אחרים ש-Jibe יספק.
12.2 רשומות העיבוד של יונה. Jibe ישמור תיעוד מתאים של פעילויות העיבוד שלה, כנדרש על פי GDPR. השותף מאשר ש-Jibe נדרש על פי ה-GDPR כדי: (א) לאסוף ולתחזק רשומות של מידע מסוים, כולל: (i) השם והפרטים ליצירת קשר של כל מעבד ו/או נאמן מידע שבשמם פועל Jibe, ו-(אם רלוונטי) של הנציג המקומי והאחראי של נאמן המידע או של נאמן המידע, וכן (ii) אם הדבר רלוונטי לפי סעיפי ה-SCC הבאים, השגחה של האפוטרופוס (האחראי) לפיכך, במקרים שבהם השותף נדרש לספק מידע כזה, דרך ממשק המשתמש של שירותי מעבד המידע או באמצעים אחרים שיסופקו על ידי Jibe, וכתוצאה מכך הוא ישתמש בממשק המשתמש או באמצעים אחרים כדי להבטיח שכל המידע שנמסר הוא מדויק ועדכני.
12.3 בקשות לנאמני מידע. אם Jibe מקבל בקשה או הוראה מצד שלישי שמתיימר להיות נאמן מידע של שותפים אישיים, Jibe תמליץ לצד השלישי לפנות אל השותף.
13. חבות
אם ההסכם כפוף לחוק:
(א) במדינה (בארה"ב) של ארה"ב, ובלי קשר לכל דבר אחר בהסכם זה, החבות הכוללת של אחד מהצדדים כלפי הצד השני במסגרת הנספח לעיבוד נתונים או בקשר אליו תהיה מוגבלת לסכום המקסימלי או לסכום התשלום המבוסס על תשלום, שבו החבות של אותו צד מוגבלת בכפוף להסכם (ולכן כל החרגה של סודיות או שיפוי מתוקף ההסכם; אינה תקף לגבי ההסכם, והיא לא חלה על ההסכם).
(ב) בסמכות שיפוט שאינה מדינה של ארצות הברית, החבות הכוללת של הצדדים והשותפים העצמאיים שלהם במסגרת נספח זה לעיבוד נתונים או בקשר אליו תהיה כפופה להסכם.
14. ההשפעה של נספח זה לעיבוד נתונים
14.1 סדר הקדימות. אם יש סתירה או חוסר עקביות בין הסעיפים החוזיים הסטנדרטיים (SCC), התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע, הנספח לעיבוד נתונים ושאר ההסכם, אזי סדר הקדימות הבא יחול:
(א) סעיפי ה-SCC;
(ב) התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע;
(ג) את המשך הנספח לעיבוד נתונים; וגם
(ד) בהמשך ההסכם.
בכפוף לתיקונים בנספח הזה לעיבוד נתונים, ההסכם נשאר בתוקף ויחול במלואו.
14.2 ללא שינוי בסעיפים החוזיים הסטנדרטיים (SCC). אין לפרש דבר מן הנאמר בהסכם זה (לרבות נספח זה לעיבוד נתונים) כדי לשנות או לסתור סעיפים כלשהם של הסעיפים החוזיים הסטנדרטיים (SCC) או לפגוע בזכויות הבסיסיות או בחירות של האנשים שקשורים למידע במסגרת החקיקה האירופית להגנה על נתונים.
14.3 אין השפעה על תנאים אלו. הנספח לעיבוד נתונים לא ישפיע על התנאים הנפרדים בין Jibe ו-Partner שמשקפים קשר של נאמן מידע לגבי שירותים, מלבד השירותים של מעבד המידע.
14.4 סעיפים חוזיים סטנדרטיים (SCC) קודמים בבריטניה. החל מ-21 בספטמבר 2022 או ממועד הכניסה לתוקף של ההסכם, המוקדם מביניהם, התנאים המשלימים של הסעיפים החוזיים הסטנדרטיים (SCC) להעברות GDPR בבריטניה יחולו, ויחליפו כל סעיף חוזי סטנדרטי שאושר ב-GDPR של בריטניה ובחוק הגנת הנתונים 2018 ושנכנסו בעבר על ידי Partner ו-Jibe ("סעיפי ה-SCC של בריטניה"). סעיף 14.4 (סעיפים חוזיים סטנדרטיים (SCC) קודמים בבריטניה לא ישפיע על הזכויות של אף אחד מהצדדים, או על הזכויות של כל אדם שאליו מתייחס המידע, שיכול להיות שהצטברו במסגרת ה-SCCs הקודמים בבריטניה.
15. שינויים בנספח הזה לעיבוד נתונים
15.1 שינויים בכתובות URL. מעת לעת, Jibe עשויה לשנות כל כתובת URL שצוינה בנספח זה לעיבוד נתונים ואת התוכן בכל כתובת URL כזו, פרט לכך ש-Jibe רשאית לשנות את הסעיפים החוזיים הסטנדרטיים (SCC) רק בהתאם לסעיפים 15.2(ב) – 15.2(ד) (שינויים בנספח לעיבוד נתונים) או לשילוב כל גרסה חדשה בכפוף לסעיפים החוזיים הסטנדרטיים (SCC) בכפוף לסעיפים החוזיים הסטנדרטיים (SCC) כי
15.2 שינויים בנספח לעיבוד נתונים. Jibe עשוי לשנות את הנספח לעיבוד הנתונים אם השינוי:
(א) מותר במפורש בנספח זה לעיבוד נתונים, לרבות כמתואר בסעיף 15.1 (שינויים בכתובות URL);
(ב) משקף שינוי בשם או בצורה של ישות משפטית.
(ג) הכרחי כדי לציית לדין החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית, או כדי לשקף את השימוש של ג'יב בפתרון העברה חלופי; או
(ד) לא (1) גורם לפגיעה באבטחה הכוללת של השירותים לעיבוד;
15.3 הודעה על שינויים. אם בכוונתו של Jibe לשנות נספח זה לעיבוד נתונים בכפוף לסעיף 15.2(ג) או (ד), 'ג'יב' יודיע לשותף על כך לפחות 30 יום (או פרק זמן קצר יותר, כפי שיידרש לצורך ציות לדין החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית), לפני שהשינוי ייכנס לתוקף על ידי: (א) ההתראה, אם השותף מתנגד לשינוי מעין זה, השותף רשאי לסיים את ההסכם מטעמי נוחות, על ידי מתן הודעה בכתב ל-Jibe בתוך 90 יום ממועד קבלת ההודעה על השינוי.
נספח 1: הנושא והפרטים של עיבוד הנתונים
נושא העניין
אספקת שירותי מעבד המידע של Jibe וכל התמיכה הטכנית הקשורה לשותף.
משך העיבוד
תקופת ההסכם ותקופתה, בתום התקופה, עד למחיקת כל הנתונים האישיים של השותפים של Jibe, בהתאם לנספח זה לעיבוד נתונים.
אופי העיבוד ומטרת העיבוד
Jibe יעבד מידע אישי של שותפים, לרבות (ככל שיתאים לאופי של שירותי מעבד המידע וההוראות) לאסוף, להקליט, לארגן, לבנות, לאחסן, לשנות, לאחזר, להשתמש, לחשוף, לשלב, למחוק ולהשמיד מידע אישי של שותפים כדי לספק את שירותי מעבד המידע ואת כל התמיכה הטכנית הקשורה לשותף בהתאם לנספח זה לעיבוד נתונים.
סוגים של מידע אישי
מידע אישי שקשור לאנשים פרטיים שמסופקים ל-Jibe דרך שירותי העיבוד, על ידי (או בכפוף לשותפים) או ממשתמשי קצה של שותפים.
קטגוריות של אנשים שאליהם מתייחס המידע
האנשים שאליהם מתייחס המידע כוללים את האנשים שלגביהם הנתונים נמסרים ל-Jibe דרך שירותי מעבד המידע (או על פי ההוראה שלהם) או על ידי השותף.
נספח 2: אמצעי אבטחה
החל ממועד כניסתם של התנאים לתוקף, Jibe תטמיע ותחזק את אמצעי האבטחה בנספח 2 הזה. חברת Jibe עשויה לעדכן או לשנות את אמצעי האבטחה האלה מדי פעם, בתנאי שהעדכונים והשינויים האלה לא יובילו לירידה באיכות האבטחה הכוללת של שירותי מעבד המידע.
1. מרכז נתונים ואבטחה ברשת
(א) מרכזי נתונים.
תשתית ל-Jibe יש מרכזי נתונים המפוזרים באזורים גיאוגרפיים שונים. Jibe מאחסן את כל נתוני הייצור במרכזי נתונים המאובטחים פיזית.
יתירות. מערכות התשתית תוכננו כדי לצמצם נקודות כשל בודדות ולצמצם את ההשפעה של הסיכונים הסביבתיים הצפויים. שני מעגלים, מתגים, רשתות או מכשירים אחרים נחוצים כדי לספק את היתירות הזו. שירותי המעבדה נועדו לאפשר ל-Jibe לבצע סוגים מסוימים של תחזוקה מונעת ומתקנת ללא הפרעות. כל הציוד הסביבתי והמתקנים המתועדים מכילים נוהלי תחזוקה מונעת שמפרטים את התהליך ואת תדירות הביצועים, בהתאם למפרט של היצרן או הפנימי. פעולות תחזוקה מניעתיות ומתוקנות של הציוד במרכז הנתונים מתוכננות באמצעות תהליך סטנדרטי, בהתאם להליכים המתועדים.
הפעלה. מערכות החשמל החשמליות של מרכז הנתונים תוכננו להיות יתירות ותחזוקה, ללא השפעה על פעולות רציפות, 24 שעות ביממה ו-7 ימים בשבוע. ברוב המקרים, ספק עיקרי וגם מקור כוח חלופי, שכל אחד מהם מכיל קיבולת שווה, זמין ברכיבי התשתית הקריטיים במרכז הנתונים. מנגנון הגיבוי מסופק על ידי מנגנונים שונים, כמו סוללות לספק הפסקות (UPS), שמונעות באופן עקבי הגנה על אספקת החשמל בזמן הפסקת חשמל, הפסקות חשמל, מתח גבוה מדי, מתח נמוך ותנאים של חוסר סובלנות. אם יש הפסקות בחשמל לחשמל, הוא משמש כדי לספק אספקת חשמל רציפה למרכז הנתונים, בקיבולת מלאה, עד 10 דקות, עד שהמערכות של מחולל הגיבוי משתלטות. המחוללים יכולים להתחיל לפעול באופן אוטומטי בתוך שניות כדי לספק מספיק חשמל חשמלי לשעת חירום, כדי להפעיל את מרכז הנתונים בקיבולת מלאה למשך זמן של ימים.
מערכות הפעלה של שרתים שרתי Jibe משתמשים במערכות הפעלה מוקשחות, שמותאמות לצורכי השרת הייחודיים של העסק. הנתונים מאוחסנים באמצעות אלגוריתמים קנייניים כדי להגביר את אבטחת הנתונים ואת היתירות. ג'יבבת מפעילה תהליך של בדיקת קוד כדי לשפר את האבטחה של הקוד המשמש לאספקת השירותים של מעבדי המידע, ולשפר את מוצרי האבטחה בסביבות ייצור.
המשכיות עסקית. Jibe משכפל נתונים במספר מערכות כדי לעזור להגן מפני הרס או אובדן מקרי. ג'יב תכנן ובודק באופן קבוע את התוכניות שלו לתכנון המשכיות עסקית/לתוכנית התאוששות מאסון (DR).
טכנולוגיות הצפנה. מדיניות האבטחה של Jibe מחייבת הצפנה במנוחה לכל נתוני המשתמשים, כולל מידע אישי. לעיתים קרובות הנתונים מוצפנים במספר רמות בערימת האחסון של Jibe במרכזי הנתונים, כולל ברמת החומרה, בלי צורך בפעולה מצד השותפים או הלקוחות. השימוש במספר שכבות הצפנה מוסיף הגנה נוספת על הנתונים ומאפשר ל-Jibe לבחור את הגישה האופטימלית על סמך דרישות האפליקציה. כל המידע האישי מוצפן ברמת האחסון, לרוב באמצעות AES256. Jibe משתמשת בספריות קריפטוגרפיות נפוצות שמשלבות את המודול המאומת של FIPS 140-2 של Jibe כדי להטמיע הצפנה באופן עקבי בכל שירותי מעבד המידע.
(ב) רשתות ושידור.
העברת נתונים. מרכזי הנתונים מחוברים בדרך כלל באמצעות קישורים פרטיים במהירות גבוהה, כדי להעביר נתונים בצורה מאובטחת ומהירה בין מרכזי נתונים. היא נועדה למנוע קריאה, העתקה, שינוי או הסרה של נתונים ללא הרשאה במהלך העברה אלקטרונית. Jibe מעביר נתונים באמצעות הפרוטוקולים הסטנדרטיים באינטרנט.
שטח התקפה חיצוני. Jibe משתמש בשכבות מרובות של מכשירי רשת וזיהוי פריצות כדי להגן על משטח ההתקפה החיצוני שלו. Jibe מחשיב וקטורי תקיפה פוטנציאליים ומשלב טכנולוגיות מתאימות שמיועדות לשימוש במערכות חיצוניות.
זיהוי פריצות. זיהוי פריצות אבטחה נועד לספק תובנות לגבי פעילויות תקיפה מתמשכות, ולספק מידע מספק כדי להגיב לאירועים. זיהוי פריצות המידע של Jibe כולל:
לשלוט במידה רבה בגודל ובאיפור של משטח ההתקפה של ג'יב בעזרת אמצעי מניעה.
שימוש בפקדים חכמים לזיהוי בנקודות הזנת נתונים; וגם
שימוש בטכנולוגיות שמטפלות באופן אוטומטי במצבים מסוכנים מסוימים.
תגובה לאירועים. Jibe עוקב אחרי מגוון ערוצי תקשורת כדי לאתר אירועי אבטחה, וצוות האבטחה של Jibe מגיב מיידית לאירועים ידועים.
טכנולוגיות הצפנה. Jibe מאפשר הצפנת HTTPS (נקרא גם חיבור TLS). שרתי Jibe תומכים בעקומה אליפטית וזמנית של דיפי הלמן (Kellman Hellman), חילופי מפתחות קריפטוגרפיים שנחתמו באמצעות RSA ו-ECDSA. שיטות מושלמות של סודיות קדימה (PFS) עוזרות להגן על תעבורת הנתונים ולמזער את ההשפעה של מפתח שנפגע או על פריצת הצפנה.
2. אמצעי בקרה על גישה ואתרים
(א) פקדי אתרים.
פעולות אבטחה באתר הלקוח במרכז הנתונים. מרכזי האבטחה של Jibe שומרים על פעולות האבטחה באתר מכל פונקציות האבטחה במרכז הנתונים הפיזיים 24 שעות ביממה, 7 ימים בשבוע. אנשי האבטחה של האתר מנטרים את המצלמות של כל מעגלי ההתראות (CCTV) ואת כל מערכות האזעקה. אנשים שעוסקים בתפעול מערכות אבטחה באתר מבצעים סיורים פנימיים וחיצוניים במרכז הנתונים באופן קבוע.
נוהלי גישה למרכז נתונים. ל-Jibe יש נוהלי גישה רשמיים שמעניקים גישה פיזית למרכזי הנתונים. מרכזי הנתונים נמצאים במתקנים שדורשים גישה למפתח כרטיס אלקטרוני, עם התראות שמקושרות לפעולת האבטחה באתר. כל משתתפי הכניסה למרכז הנתונים נדרשים להזדהות ולהציג הוכחת זהות בפעולות אבטחה באתר. רק עובדים מורשים, קבלנים ומבקרים מורשים להיכנס למרכזי הנתונים. רק עובדים וקבלנים מורשים רשאים לבקש גישה למפתחות אלקטרוניים במתקנים האלה. בקשות גישה מרכזיות למפתחות אלקטרוניים של מרכזי נתונים צריכות להתבצע מראש ובכתב, וצריכות אישור של אנשי מרכז הנתונים המורשים. כל המתחרים האחרים שדורשים גישה זמנית למרכז הנתונים חייבים: (1) לקבל אישור מראש מהמנהלים של מרכז הנתונים והתחומים הפנימיים שבהם הם רוצים לבקר; (2) להיכנס לתפעול אבטחה באתר, ו-(3) להפנות לרשומת גישה מאושרת למרכז נתונים שמזהה את האדם שאושר.
מכשירי אבטחה של מרכז נתונים באתר. במרכזי הנתונים של Jibe יש מפתח כרטיס אלקטרוני ומערכת בקרת גישה ביומטרית, שמקושרת אזעקה. מערכת בקרת הגישה עוקבת אחרי המפתחות האלקטרוניים של כל אחד מהם, מתעדת ומקליטה אותם כשהיא ניגשת לדלתות היקפיות, למשלוחים ולקבלות ולאזורים קריטיים אחרים. פעילות לא מורשית וניסיונות גישה שנכשלו, מתועדים על ידי מערכת בקרת הגישה ונבדקים לפי הצורך. הגישה המורשית לכל חלקי העסק ומרכזי הנתונים מוגבלת בהתאם לאזורים ולתחומי האחריות של אדם זה. דלתות האש במרכזי הנתונים מזעזעות. מצלמות טלוויזיה במעגל סגור פועלות בתוך מרכזי הנתונים ומחוץ להם. מיקום המצלמות עוצבו כדי לכסות תחומים אסטרטגיים, כולל, בין היתר, ההיקף, הדלתות לבניין של מרכז הנתונים ומשלוח/קבלה. עובדים של פעולות אבטחה באתר מנהלים את ציוד הניטור, ההקלטה והבקרה ב-CCTV. כבלים מאובטחים במרכזי הנתונים מחברים את הציוד שבטלוויזיה. מצלמות מקליטות במקום באמצעות מכשירי וידאו דיגיטליים 24 שעות ביממה, 7 ימים בשבוע. רשומות המעקב נשמרות למשך 7 ימים לפחות על סמך הפעילות.
(ב) בקרת גישה.
אנשי אבטחת התשתית. לג'יבֶה יש מדיניות אבטחה עבור העובדים שלה ותתחזק אותה, כחלק מחבילת ההכשרה של העובדים. צוות אבטחת התשתית של Jibe אחראי על המעקב הרציף על תשתית האבטחה של Jibe, על בדיקת השירותים של מעבדי המידע ועל מענה לאירועים אבטחה.
בקרת גישה וניהול הרשאות. האדמינים והמשתמשים של השותפים חייבים לאמת את עצמם באמצעות מערכת אימות מרכזית או מערכת כניסה יחידה כדי להשתמש בשירותי המעבד.
תהליכים ומדיניות גישה לנתונים פנימיים – מדיניות גישה. התהליכים ומדיניות המדיניות של Jibe לבקרה על נתונים, נועדו למנוע מאנשים לא מורשים ו/או מערכות לא מורשות לקבל גישה למערכות המשמשות לעיבוד מידע אישי. המטרה של Jibe היא לתכנן את המערכות שלה כך: (i) לאפשר רק לאנשים מורשים לגשת לנתונים שיש להם הרשאת גישה אליהם; וכן (ii) לוודא שלא ניתן לקרוא, להעתיק, לשנות או להסיר מידע אישי בלי לקבל הרשאה לכך במהלך העיבוד, השימוש ואחרי ההקלטה. המערכות מתוכננות כדי לזהות גישה לא הולמת. ל-Jibe יש מערכת ניהול גישה מרכזית שמאפשרת לשלוט בגישה של עובדים לשרתי ייצור, ומספקת גישה רק למספר מוגבל של עובדים מורשים. LDAP, Kerberos ומערכת קניינית שמשתמשת בתעודות דיגיטליות תוכננה לספק ל-Jibe מנגנוני גישה מאובטחים וגמישים. המנגנונים האלה נועדו לתת רק הרשאות גישה שאושרו למארחי אתרים, ליומנים, לנתונים ולפרטי ההגדרות. כדי להשתמש ב-Jibe, תצטרכו להשתמש במזהי משתמשים ייחודיים, בסיסמאות חזקות ובאימות דו-שלבי וברשימות גישה עם מעקב קפדני כדי לצמצם את הפוטנציאל לשימוש לא מורשה בחשבון. מתן ההרשאות או שינוי ההרשאות שלהן מבוססים על: תחומי האחריות של עובד מורשה, הדרישות מחובות העבודה הנדרשות לביצוע משימות מורשות ודרישה לדעת. כמו כן, עליכם להעניק או לשנות הרשאות גישה בהתאם למדיניות הגישה הפנימית של Jibe ולהדרכה. האישורים מנוהלים באמצעות כלים של תהליכי עבודה שמתעדים ביקורות לגבי כל שינוי. הגישה למערכות מתועדת כדי ליצור מסלול בקרה על אחריותיות. בקטע שבו מועסקים סיסמאות לאימות (למשל, התחברות לתחנות עבודה), מיושמת מדיניות סיסמאות שמבוססת על שיטות סטנדרטיות בתחום לפחות. הסטנדרטים האלה כוללים הגבלות על שימוש חוזר בסיסמאות וחוזק סיסמה מספיק.
3. נתונים
(א) אחסון, בידוד ואימות נתונים.
Jibe מאחסן נתונים בסביבה מרובת-דיירים בשרתים שבבעלות Google LLC. נתונים, מסד הנתונים של שירותי מעבד המידע והארכיטקטורה של מערכת הקבצים נוצרים בין מרכזי נתונים שונים המפוזרים באזורים גיאוגרפיים שונים. Jibe מבודד את הנתונים של כל שותף או לקוח. בכל שירותי המעבד נעשה שימוש במערכת אימות מרכזית להגברת האבטחה האחידה של הנתונים.
(ב) הנחיות בנושא דיסקים שהוצאו משימוש והשמדת דיסקים.
בדיסקים מסוימים שמכילים נתונים עלולות להיות בעיות בביצועים, שגיאות או כשלים בחומרה שמובילים להוצאה משימוש ('דיסק ללא הצפנה). כל דיסק שהוצא משימוש כפוף לסדרה של השמדת נתונים (להלן "הנחיות להשמדת נתונים") לפני יציאה מהנכסים של Jibe לשימוש חוזר או להשמדה. דיסקים שהוצאו משימוש נמחקים בתהליך רב-שלבי ומאומתים על ידי שני מאמתים עצמאיים לפחות. תוצאות המחיקה נרשמות באמצעות המספר הסידורי של הדיסק שהוצא משימוש. לבסוף, דיסק הדיסקים שנמחק הוצא משימוש והוא מיועד לשימוש חוזר ולפריסה מחדש. אם עקב כשל בחומרה לא ניתן למחוק את הדיסק שהוצא משימוש, הוא מאוחסן באופן מאובטח עד להשמדתו. כל מתקן נבדק באופן קבוע כדי לבדוק אם הוא עומד בהנחיות להשמדת נתונים.
(ג) נתונים פסאודונימיים.
לרוב, נתוני הפרסום באינטרנט משויכים למזהים אונליין שנחשבים כשלעצמם כ 'פסאודונימיים' (כלומר, לא ניתן לשייך אותם לאדם ספציפי בלי להשתמש במידע נוסף). ל-Jibe יש כללי מדיניות ואמצעי בקרה טכניים וארגוניים חזקים שנועדו להבטיח את ההפרדה בין נתונים פסאודונימיים לבין פרטי משתמש שמאפשרים זיהוי אישי (כלומר, מידע שניתן להשתמש בו בעצמו כדי לזהות ישירות, ליצור קשר או לאתר אדם מסוים), כמו נתוני חשבון Jibe של המשתמש. המדיניות של Jibe מאפשרת העברת נתונים רק בין פסאודונימיזציה לבין נתונים שמאפשרים זיהוי אישי, בנסיבות מוגבלות מאוד.
(ד) הפעלת ביקורות.
Jibe עורך בדיקות השקה למוצרים ולפיצ'רים חדשים לפני ההשקה. בין היתר, היא כוללת בדיקת פרטיות שבוצעה על ידי מהנדסי פרטיות שהוכשרו במיוחד. בבדיקות הפרטיות, מהנדסי הפרטיות מוודאים שכל ההנחיות וכללי המדיניות הרלוונטיים של Jibe מצייתים, כולל, בין היתר, כללי מדיניות שקשורים לפסאודונימיזציה ושמירה ומחיקה של נתונים.
4. אבטחת כוח אדם
העובדים של Jibe נדרשים להתנהג באופן שתואם להנחיות החברה בנוגע לסודיות, אתיקה עסקית, שימוש הולם וסטנדרטים מקצועיים. ג'יב עורך בדיקות רקע במידה סבירה במידה המותרת על פי הדין החל והתקנות המקומיות הרלוונטיות.
אנשי הצוות נדרשים להוציא הסכם סודיות ולהקפיד לאשר את מדיניות הסודיות והפרטיות של Jibe ולהקפיד לפעול בהתאם. העובדים מקבלים הדרכה בנושא אבטחה. האנשים שמטפלים במידע האישי של השותפים נדרשים למלא דרישות נוספות שרלוונטיות לתפקיד שלהם. הצוות של Jibe לא יעבד מידע אישי של שותפים ללא הרשאה.
5. אבטחה של מעבדי משנה
לפני תחילת השימוש במעבדי המשנה, Jibe מבצעת ביקורת של נוהלי האבטחה והפרטיות של מעבדי המידע המשניים כדי לוודא שמעבדי המידע המשניים מספקים רמה של אבטחה ופרטיות שמתאימה לגישה לנתונים ולהיקף השירותים שהם נדרשים לספק. לאחר ש-Jibe שמעריכה את הסיכונים שכרוכים במעבד המידע המשני, מעבד המידע חייב לחתום על חוזים בתחומי אבטחה, סודיות ופרטיות, בכפוף לדרישות בסעיף 11.3 (דרישות למעורבות בתת-מעבד).
נספח 3: תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע
התנאים הנוספים הבאים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לנספח הזה לעיבוד נתונים:
- נספח בנושא מעבדי LGPD בכתובת business.safety.google/CPUterms/lgpd (מ-27 באוגוסט 2020)
- הנספח בהתאם לחוקי המדינה בארה"ב בכתובת business.safety.google/CPUterms/us-state-laws (מ-12 בדצמבר 2022)
אזכורים של Google LLC או של Google בנספח בנושא מעבדי LGPD ונספח לחוק של ארה"ב יהיו עבור Jibe.
נספח לעיבוד נתונים ב-Jibe, גרסה 4.0