עדכונים: בדקו את נתוני הגרסה כדי לגלות תכונות חדשות ועדכוני מוצרים.

דף זה תורגם על ידי Cloud Translation API.

נספח לעיבוד נתונים

תאריך שינוי אחרון: 2 בנובמבר 2020

Jibe והצד השני שהסכים לנספח הזה ('החברה') חתמו על הסכם לאספקת שירותי המעבד (כפי שהוא מתוקן מעת לעת, 'ההסכם').

נספח זה בנושא עיבוד נתונים (כולל הנספח נספח בנושא עיבוד נתונים) נחתם על ידי Jibe and Company, והוא מהווה תוספת להסכם. נספח עיבוד הנתונים הזה יהיה בתוקף ויחלף את כל התנאים הקודמים שחלים על הנושאים הרלוונטיים (כולל תנאים של עיבוד נתונים ואבטחה שקשורים לשירותי מעבד המידע), החל ממועד כניסת התנאים לתוקף.

אישור הנספח הזה בשם החברה יפורש כהצהרה וכהתחייבות מצידך כי (א) יש לך סמכות משפטית מלאה להתחייב בשם החברה לנספח הזה בנושא עיבוד נתונים, (ב) קראת והבנת את הנספח הזה בנושא עיבוד נתונים, וכי (ג) את/ה מאשר/ת בזאת את הנספח הזה בנושא עיבוד נתונים בשם החברה. אם אין לך סמכות משפטית להתחייב בשם החברה, אין לאשר את הנספח הזה בנושא עיבוד נתונים.

1. מבוא

נספח עיבוד הנתונים הזה משקף את ההסכם של הצדדים בנוגע לתנאים שמסדירים את העיבוד והאבטחה של המידע האישי של החברה בהקשר לחקיקה האירופית להגנה על נתונים ולחקיקה מסוימת שאינה אירופית להגנה על נתונים.

2. הגדרות ופרשנות

2.1 בנספח הזה לעיבוד נתונים:

"מוצר נוסף" פירושו מוצר, שירות או אפליקציה שסופקו על ידי Jibe או על ידי צד שלישי, ושהתקיימו לגביהם התנאים הבאים: (א) הם לא חלק משירותי מעבד המידע, ו-(ב) הם זמינים לשימוש בממשק המשתמש של שירותי מעבד המידע או משולבים בשירותי מעבד המידע בדרך אחרת.

"תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע" הם התנאים הנוספים שמופיעים בנספח 3, המשקפים את ההסכם של הצדדים בנוגע לתנאים המסדירים עיבוד של נתונים מסוימים בהקשר לחקיקה מסוימת שאינה אירופית להגנה על מידע.

"שותף עצמאי" פירושו ישות השולטת באחד הצדדים, נמצאת בשליטתו או חולקת עימו בעל שליטה משותף, במישרין או בעקיפין.

"מידע אישי של החברה" פירושו מידע אישי ש-Jibe מעבדת בשם החברה במסגרת מתן שירותי המעבד על ידי Jibe.

"אירוע אבטחת מידע" פירושו פרצה באבטחה של Jibe שמובילה להשמדה לא חוקית או בלתי מכוונת, לאובדן, לשינוי או לחשיפה בלתי מורשית של המידע האישי של החברה, או לגישה אליו, במערכות שמנוהלות על ידי Jibe או שנמצאות בשליטתה באופן אחר. "אירועי אבטחת מידע" לא יכללו פעילויות או ניסיונות כושלים שלא פוגעים באבטחה של מידע אישי של החברה, כולל פעולות כושלות מהסוגים הבאים: ניסיונות התחברות, פינגים, סריקות של יציאות, התקפות מסוג מניעת שירות (DoS) והתקפות רשת אחרות על חומות אש או מערכות רשת.

"חקיקה להגנה על מידע" פירושה, לפי העניין: (א) החקיקה האירופית להגנה על נתונים; ו/או (ב) החקיקה להגנה על נתונים מחוץ לאירופה.

"כלי לאנשים שאליהם מתייחס המידע" פירושו כלי (אם קיים) שגוף Jibe מספק לאנשים שאליהם מתייחס המידע, ומאפשר ל-Jibe להשיב ישירות ובאופן סטנדרטי לבקשות מסוימות מאנשים שאליהם מתייחס המידע בנוגע למידע אישי של החברה (לדוגמה, פלאגין לדפדפן לביטול ההסכמה).

"EEA" פירושו האזור הכלכלי האירופי.

"ה-GDPR של האיחוד האירופי" פירושו תקנה ‎ (EU) 2016/679 של הפרלמנט האירופי ושל המועצה האירופית שנכנסה לתוקף ב-27 באפריל 2016 ומסדירה את ההגנה על אנשים פרטיים בכל הנוגע לעיבוד מידע אישי ולתנועה החופשית של נתונים מהסוג הזה, והמבטלת את דירקטיבה ‎95/46/EC.

"החקיקה האירופית להגנה על נתונים" פירושה, לפי הדין החל: (א) ה-GDPR ו/או (ב) החוק הפדרלי להגנה על נתונים מיום 19 ביוני 1992 (שווייץ).

"חוקי האיחוד האירופי או חוקים מקומיים" פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של החברה); ו/או (ב) החוק של הממלכה המאוחדת (בריטניה) או של חלק ממנה (אם ה-GDPR הבריטי חל על עיבוד מידע אישי של החברה).

"GDPR" פירושו, לפי ההקשר: (א) ה-GDPR של האיחוד האירופי ו/או (ב) ה-GDPR של בריטניה.

"Jibe" פירושו הישות של Jibe שהיא צד בהסכם.

מעבדי משנה של שותפים עצמאיים של Jibe – משמעות המונח מפורטת בסעיף 11.1 (הסכמה לשימוש במעבדי משנה).

"ישות של Jibe" פירושה Jibe Mobile Inc.‏, Jibe Mobile Limited או כל שותפה עצמאית אחרת של Jibe Mobile Inc.

"אישור ISO 27001": אישור ISO/IEC 27001:2013 או אישור דומה לשירותי המעבד.

"חקיקה שאינה אירופית להגנה על נתונים" פירושה חוקי הגנה על נתונים או חוקי פרטיות שחלים מחוץ ל-EEA, לשווייץ ולבריטניה.

"כתובת אימייל לקבלת התראות": כתובת האימייל (אם יש כזו) (1) שסיפק העסק ל-Jibe או (2) שסימן העסק, דרך ממשק המשתמש של שירותי המעבדים או באמצעים אחרים שסופקו על ידי Jibe, כדי לקבל התראות מסוימות מ-Jibe שקשורות לתוספת הזו בנושא עיבוד נתונים. לידיעתך, באחריות החברה לספק ל-Jibe כתובת אימייל לקבלת הודעות, ולהודיע ל-Jibe על כל עדכון בכתובת האימייל לקבלת הודעות.

"שירותי מעבד": שירותי RCS Business Messaging (כפי שמתואר בכתובת https://developers.google.com/business-communications/rcs-business-messaging)

"מסמכי אבטחה" פירושם אישור ISO 27001 וכל מסמך או אישור אבטחה אחר ש-Jibe עשויה להעמיד לרשותכם בקשר לשירותי המעבד.

המונח אמצעי אבטחה מוגדר בסעיף 7.1.1 (אמצעי האבטחה של Jibe).

"סעיפים סטנדרטיים בחוזה" הם סעיפים סטנדרטיים בחוזה של הנציבות האירופית, שמפורטים בכתובת https://privacy.google.com/businesses/gdprprocessorterms/sccs. אלה תנאים סטנדרטיים להגנה על נתונים להעברת מידע אישי למעבדים שנמצאים במדינות צד שלישי שלא מבטיחים רמת הגנה מספקת על נתונים, כפי שמתואר בסעיף 46 של GDPR באיחוד האירופי.

"מעבדי משנה" פירושם צדדים שלישיים שהוסמכו בכפוף לנספח הזה בנושא עיבוד נתונים לקבל גישה לוגית למידע האישי של החברה ולעבד אותו, כדי לספק חלקים משירותי המעבד וכל תמיכה טכנית קשורה.

"רשות מפקחת" פירושה, לפי ההקשר: (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הגוף הממונה" (Commissioner) כפי שמוגדר ב-GDPR הבריטי.

תקופת ההסכם פירושה התקופה שבין מועד כניסת התנאים לתוקף לבין סיום מתן השירותים לעיבוד מידע על ידי Jibe בכפוף להסכם.

"מועד כניסתם של התנאים לתוקף" פירושו מועד הכניסה לתוקף של ההסכם.

"מעבדי משנה של צד שלישי" – משמעות המונח זהה למשמעות שהוגדרה בסעיף 11.1 (הסכמה לשימוש במעבדי משנה).

ה-GDPR של בריטניה פירושו ה-GDPR של האיחוד האירופי כפי שתוקן והותאם לחוק הבריטי בהתאם לחוק UK European Union (Withdrawal) Act 2018 (הפרישה של בריטניה מהאיחוד האירופי), אם הוא בתוקף.

2.2 המונחים נאמן מידע, האדם שאליו מתייחס המידע, מידע אישי, עיבוד ומעבד מידע, כפי שנעשה בהם שימוש בנספח הזה בנושא עיבוד נתונים, נושאים את המשמעויות המוגדרות להם ב-GDPR. המונחים מייבא מידע ומייצא מידע נושאים את המשמעויות המוגדרות להם בסעיפים החוזיים הסטנדרטיים.

2.3 המונחים 'כולל', 'לרבות' או ביטויים דומים כלשהם יפורשו כהמחשה ולא יגבילו את משמעות המילים שמופיעות לפניהם. כל הדוגמאות בנספח הזה לעיבוד נתונים מובאות להמחשה בלבד, והן לא הדוגמאות היחידות לרעיונות שהן מדגימות.

2.4 כל התייחסות להסדר משפטי, לחוק או לחקיקה אחרת היא התייחסות להסדר, לחוק או לחקיקה האלה כפי שיתוקנו, יורחבו או ייחקקו מחדש מעת לעת.

2.5 אם התנאים האלה לעיבוד נתונים יתורגמו לשפה אחרת, ויהיה הבדל בין הנוסח באנגלית לבין התרגום בשפה האחרת, הנוסח באנגלית יהיה הקובע.

3. משך הזמן של הנספח הזה לעיבוד נתונים

נספח עיבוד הנתונים הזה ייכנס לתוקף במועד כניסת התנאים לתוקף, וייוותר בתוקף, ללא קשר לתפוגת התוקף של התנאים, עד למחיקת כל המידע האישי של החברה על ידי Jibe כפי שמתואר בנספח עיבוד הנתונים הזה, ויפוג באופן אוטומטי לאחר מכן.

4. יישום הנספח הזה לעיבוד נתונים

4.1 תחולת החקיקה האירופית להגנה על מידע. סעיפים 5 (עיבוד נתונים) עד 12 (יצירת קשר עם Jibe, עיבוד רשומות) (כולל) יחולו רק במידה שהחקיקה האירופית להגנה על מידע חלה על עיבוד מידע אישי של החברה, כולל אם:

(א) העיבוד הוא בהקשר של הפעילויות של מוסד של החברה ב-EEA או בבריטניה; ו/או

(ב) מידע אישי של חברה הוא מידע אישי הנוגע לנושאי מידע שנמצאים ב-EEA או בבריטניה, והעיבוד קשור להצעה של מוצרים או שירותים לאותם נושאי מידע או לניטור התנהגותם ב-EEA או בבריטניה.

4.2 בקשה לשירותי עיבוד. הנספח הזה בנושא עיבוד נתונים יחול רק על שירותי המעבד שבהם הצדדים הסכימו לנספח הזה בנושא עיבוד נתונים (לדוגמה: (א) שירותי המעבד שבהם החברה לחצה על 'אישור' כדי לאשר את הנספח הזה בנושא עיבוד נתונים, או (ב) אם הנספח הזה בנושא עיבוד נתונים משולב בהסכם באמצעות הפניה, שירותי המעבד שהם הנושא של ההסכם).

4.3 שילוב תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע. התנאים הנוספים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לתנאים האלה לעיבוד נתונים.

5. עיבוד נתונים

5.1 תפקידים ותאימות לתקנות; הרשאה

5.1.1 תחומי האחריות של מעבד המידע ונאמן המידע. הצדדים מאשרים את הסעיפים הבאים ומסכימים להם:

(א) בנספח 1 מתוארים הנושא הנדון והפרטים לגבי העיבוד של מידע אישי של החברה.

(ב) Jibe היא מעבדת מידע אישי של החברה בכפוף לחקיקה האירופית להגנה על נתונים;

(ג) החברה היא נאמן מידע או מעבד מידע (לפי ההקשר) של המידע האישי של החברה, בכפוף לחקיקה האירופית להגנה על מידע.

(ד) כל צד יעמוד בהתחייבויות החלות עליו בכפוף לחקיקה האירופית להגנה על מידע בכל הנוגע לעיבוד המידע האישי של החברה.

5.1.2 הרשאה על ידי נאמן מידע מצד שלישי. אם החברה היא מעבדת מידע, היא מתחייבת בפני Jibe שההוראות והפעולות שלה בנוגע למידע האישי של החברה, כולל המינוי של Jibe כמעבד מידע נוסף, אושרו על ידי נאמן המידע הרלוונטי.

5.2 הוראות החברה בהסכמתה לתיקון הזה בנושא עיבוד נתונים, החברה מורה ל-Jibe לעבד מידע אישי של החברה רק בהתאם לחוק החל: (א) כדי לספק את שירותי המעבד ואת כל התמיכה הטכנית הקשורה; (ב) כפי שמפורט בהמשך באמצעות השימוש של החברה בשירותי המעבד (כולל בהגדרות ובפונקציונליות אחרת של שירותי המעבד) ובכל תמיכה טכנית קשורה; (ג) כפי שמופיע בהסכם, כולל התיקון הזה בנושא עיבוד נתונים; וכן (ד) כפי שמופיע בהוראות כתובות אחרות שהחברה נתנה ו-Jibe אישרה כהוראות לצורכי התיקון הזה בנושא עיבוד נתונים.

5.3 התאמת Jibe להוראות Jibe תעמוד בהוראות שמפורטות בסעיף 5.2 (הוראות החברה) (כולל בנוגע להעברות נתונים), אלא אם חוקים אירופים או לאומיים שחלים על Jibe מחייב עיבוד אחר של מידע אישי של החברה על ידי Jibe. במקרה כזה, Jibe תודיע לחברה (אלא אם חוק כזה אוסר על Jibe לעשות זאת מסיבות חשובות של אינטרס ציבורי).

5.4 מוצרים נוספים. אם החברה משתמשת במוצר נוסף כלשהו, שירותי המעבד עשויים לאפשר למוצר הנוסף לגשת לנתונים האישיים של החברה, כנדרש לצורך הפעולה ההדדית של המוצר הנוסף עם שירותי המעבד. הנספח הזה לעיבוד נתונים לא חל על העיבוד של מידע אישי בקשר לאספקה של כל מוצר נוסף שבו החברה משתמשת, כולל מידע אישי שמועבר אל המוצר הנוסף הזה או ממנו.

6. מחיקת נתונים

6.1 מחיקה במהלך תקופת ההסכם

6.1.1 שירותי מעבד עם פונקציונליות מחיקה. במהלך תקופת ההסכם, אם:

(א) הפונקציונליות של שירותי המעבד כוללת את האפשרות של החברה למחוק את המידע האישי של החברה.

(ב) החברה משתמשת בשירותי המעבדים כדי למחוק מידע אישי מסוים של החברה, וגם

(ג) החברה לא תוכל לשחזר את המידע האישי שנמחק (למשל, מה'אשפה'),

אזי Jibe תמחק מידע אישי של החברה כאמור מהמערכות שלה בהקדם האפשרי הסביר, אלא אם חוקים של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע.

6.1.2 שירותי מעבדים ללא פונקציונליות מחיקה. במהלך תקופת ההסכם, אם הפונקציונליות של שירותי מעבד המידע לא כוללת אפשרות של החברה למחוק את המידע האישי של החברה, Jibe תעמוד בכל בקשה סבירה של החברה לסייע במחיקה כזו, ככל האפשר, בהתחשב בטבע ובפונקציונליות של שירותי מעבד המידע. Jibe עשויה לגבות עמלה (על סמך העלויות הסבירות של Jibe) על כל מחיקה של נתונים בכפוף לסעיף 6.1.2 (שירותי עיבוד נתונים ללא פונקציונליות מחיקה). Jibe תספק לחברה פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל מחיקה כזו של נתונים.

6.2 מחיקת נתונים בסיום תקופת ההסכם בתום תקופת ההסכם, החברה תורה ל-Jibe למחוק את כל המידע האישי של החברה (כולל עותקים קיימים) מהמערכות של Jibe בהתאם לדין החל. Jibe תציית להוראה הזו בהקדם האפשרי שהוא מעשי באופן סביר, אלא אם חוקים של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע.

7. אבטחת מידע

7.1 אמצעי האבטחה והסיוע של Jibe בנושאי אבטחה

7.1.1 אמצעי האבטחה של Jibe. Jibe תחיל ותחזק אמצעים טכניים וארגוניים כדי להגן על המידע האישי של החברה מפני השמדה, אובדן, שינוי, חשיפה או גישה לא מורשית, בטעות או באופן לא חוקי, כפי שמתואר בנספח 2 (אמצעי האבטחה). Jibe עשויה לעדכן או לשנות את אמצעי האבטחה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא יובילו לירידה ברמת האבטחה הכוללת של שירותי המעבד.

7.1.2 תאימות אבטחה על ידי צוות Jibe.‏ Jibe תבצע את הפעולות הנדרשות כדי לוודא שכל האנשים שמורשים לעבד מידע אישי של החברה התחייבו לסודיות או שחלה עליהם מחויבות מתאימה לסודיות על פי החוק.

7.1.3 הסיוע של Jibe בנושאי אבטחה. החברה מסכימה ש-Jibe תעזור לה לוודא שהיא עומדת בכל ההתחייבויות שלה בנוגע לאבטחת מידע אישי ולפריצות למידע אישי (תוך התחשבות באופי העיבוד של המידע האישי של החברה ובמידע שזמין ל-Jibe), כולל (אם רלוונטי) ההתחייבויות של החברה בכפוף לסעיפים 32 עד 34 (כולל) של ה-GDPR, באמצעות:

(א) הטמעה ותחזוקה של אמצעי האבטחה בהתאם לסעיף 7.1.1 (אמצעי האבטחה של Jibe).

(ב) תאימות לתנאים בסעיף 7.2 (אירועי אבטחת מידע); וכן

(ג) לספק לחברה את המסמכים בנושא אבטחה בהתאם לסעיף 7.5.1 (בדיקות של מסמכים בנושא אבטחה) ולמידע שמופיע בנספח הזה בנושא עיבוד נתונים.

7.2 אירועי אבטחת מידע

7.2.1 הודעה על אירוע. אם נודע ל-Jibe על אירוע אבטחת מידע, Jibe:‏ (א) תודיע לחברה על אירוע אבטחת המידע באופן מיידי וללא עיכובים מיותרים, וכן (ב) תנקוט במהירות צעדים סבירים כדי למזער נזקים ולהגן על אבטחת המידע האישי של החברה.

7.2.2 פרטי אירוע אבטחת המידע. ההודעות שיישלחו בכפוף לסעיף 7.2.1 (הודעה על אירוע) יתארו, ככל האפשר, את הפרטים של אירוע אבטחת המידע, כולל הצעדים שננקטו כדי לצמצם את הסיכונים הפוטנציאליים והצעדים ש-Jibe ממליצה לחברה לבצע כדי לטפל באירוע אבטחת המידע.

7.2.3 שליחת ההודעה.‏ Jibe תשלח את ההודעה על כל אירוע של פגיעה בנתונים לכתובת האימייל של הלקוח לקבלת התראות, או, לפי שיקול דעתה של Jibe (כולל אם החברה לא סיפקה כתובת אימייל לקבלת התראות), באמצעות תקשורת ישירה אחרת (למשל, שיחת טלפון או פגישה פנים אל פנים). החברה נושאת באחריות הבלעדית לספק את כתובת האימייל לקבלת הודעות ולוודא שכתובת האימייל לקבלת הודעות עדכנית ותקינה.

7.2.4 הודעות לצד שלישי. החברה נושאת באחריות הבלעדית לפעול בהתאם לחוקים בדבר הודעות על אירועים שחלים על החברה, ולמלא כל התחייבות לגבי הודעות לצד שלישי בקשר לכל אירוע אבטחת מידע.

7.2.5 אין אישור של Jibe לגבי תקלה.הודעה של Jibe על אירוע אבטחת מידע או תגובה שלה לאירוע כזה בכפוף לסעיף 7.2 הזה (אירועי אבטחת מידע) לא תפורש כהודאה של Jibe באשמה או באחריות כלשהן ביחס לאירוע אבטחת המידע.

7.3 תחומי האחריות של החברה בנוגע לאבטחה, והערכת רמת האבטחה על ידי החברה

7.3.1 תחומי האחריות של החברה בנוגע לאבטחה. החברה מסכימה לאמור בסעיפים הבאים, מבלי לפגוע בהתחייבויות של Jibe לפי סעיפים 7.1 (אמצעי האבטחה והסיוע של Jibe בנושאי אבטחה) ו-7.2 (אירועי אבטחת מידע):

(א) החברה אחראית לשימוש שלה בשירותי המעבד, כולל:

(1) שימוש הולם בשירותי המעבדים כדי להבטיח רמת אבטחה שמתאימה לסיכונים למידע האישי של החברה.

(2) לאבטח את פרטי הכניסה, המערכות והמכשירים לאימות החשבון שבהם החברה משתמשת כדי לגשת לשירותי המעבד.

(ב) ל-Jibe אין כל מחויבות להגן על מידע אישי של החברה אם החברה בוחרת לאחסן את המידע הזה מחוץ למערכות של Jibe ושל קבלני המשנה שלה או להעביר אותו אל מחוץ למערכות האלה.

7.3.2 הערכת רמת האבטחה של החברה. החברה מאשרת ומסכימה (בהתחשב במצב הטכנולוגיה, בעלויות ההטמעה, בטבע, בהיקף, בהקשר ובמטרות של עיבוד המידע האישי של החברה, וכן בסיכונים לאנשים פרטיים) שאמצעי האבטחה שהוגדרו ומוחזקים על ידי Jibe בקטע 7.1.1 (אמצעי האבטחה של Jibe) מספקים רמת אבטחה שמתאימה לסיכונים למידע האישי של החברה.

7.4 הסמכה באבטחת מידע כדי להעריך את היעילות המתמשכת של אמצעי האבטחה ולעזור להבטיח אותה, Jibe תמשיך לשמור על אישור ISO 27001.

7.5 בדיקות וביקורות של תאימות

7.5.1 בדיקות של מסמכי התיעוד בנושא אבטחה. כדי להוכיח ש-Jibe פועלת בהתאם להתחייבויות שלה במסגרת הנספח הזה לעיבוד נתונים, היא תספק ללקוח את מסמכי האבטחה לבדיקה.

7.5.2 זכויות הביקורת של החברה.

(א) Jibe תאפשר לחברה או למבקר מצד שלישי שמונה על ידי החברה לערוך ביקורות (כולל בדיקות) כדי לאמת את התאימות של Jibe להתחייבויות שלה בכפוף לנספח הזה בנושא עיבוד נתונים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לבדיקות).Jibe תשתתף בביקורות כאלה כפי שמתואר בסעיף 7.4 (אישור אבטחה) ובסעיף 7.5 הזה (בדיקות ותהליכי ביקורת של תאימות).

(ב) אם הסעיפים החוזיים הסטנדרטיים חלים בהתאם לסעיף 10.2 (העברות נתונים), Jibe תאפשר לחברה או למבקר מצד שלישי שמונה על ידי החברה לערוך ביקורות כפי שמתואר בסעיפים החוזיים הסטנדרטיים, בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לבדיקות).

(ג) רשאי גם לערוך ביקורת כדי לאמת ש-Jibe פועלת בהתאם להתחייבויותיה במסגרת נספח זה בנושא עיבוד נתונים, על ידי בדיקת האישור שהונפק לצורך אישור ISO 27001 (שמשקף את התוצאה של ביקורת שבוצעה על ידי מבקר מצד שלישי).

7.5.3 תנאים עסקיים נוספים לבדיקות.

(א) החברה תשלח כל בקשה לבדיקת חשבון בכפוף לסעיף 7.5.2(א) או 7.5.2(ב) אל Jibe כפי שמתואר בסעיף 12.1 (יצירת קשר עם Jibe).

(ב) לאחר ש-Jibe תקבל בקשה בהתאם לסעיף 7.5.3(א), Jibe והחברה ידונו ויסכימו מראש על תאריך התחלה, היקף ומשך סבירים של כל ביקורת בהתאם לסעיף 7.5.2(א) או 7.5.2(ב), ובקרות אבטחה וסודיות אשר רלוונטיות לביקורת.

(ג) Jibe רשאית לגבות עמלה (על סמך העלויות הסבירות של Jibe) בגין כל ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב).Jibe תספק לחברה פרטים נוספים על כל עמלה רלוונטית, ועל הבסיס לחישובה, לפני כל ביקורת כזו. החברה תישא באחריות על כל העמלות שיגבה כל מבקר מצד שלישי שימונה על ידי החברה לביצוע ביקורת כזו.

(ד) ‏Jibe רשאית להתנגד לכל מבקר צד שלישי שמונה על ידי החברה לבצע ביקורת בכפוף לסעיף 7.5.2(א) או 7.5.2(ב) אם, לדעתה הסבירה, המבקר לא עומד בדרישות הסף או לא עצמאי, הוא מתחרה של Jibe או שהוא לא מתאים מסיבה אחרת באופן מובהק. כל התנגדות כזו מצד Jibe תחייב את החברה למנות מבקר אחר או לבצע את הביקורת בעצמה.

(ה) בנספח הזה בנושא עיבוד נתונים אין דבר שיחייב את Jibe לחשוף לחברה או למבקר מצד שלישי מטעמו את הפרטים הבאים, או לאפשר לחברה או למבקר מצד שלישי מטעמו לגשת אליהם:

(1) נתונים של לקוח אחר של ישות של Jibe;

(2) מידע חשבונאי או פיננסי פנימי של ישות של Jibe;

(3) סודות מסחריים של ישות של Jibe;

(4) כל מידע שלדעת Jibe עלול: (א) לפגוע באבטחה של המערכות או המבנים של ישות כלשהי של Jibe, או (ב) לגרום לכך שישות כלשהי של Jibe תפרה את ההתחייבויות שלה במסגרת החקיקה האירופית להגנה על נתונים או את ההתחייבויות שלה לאבטחה ו/או לפרטיות כלפי החברה או כל צד שלישי, או

(5) מידע שהחברה או המבקר מצד שלישי מטעמו מבקשים לגשת אליו מכל סיבה שאינה מילוי בתום לב של התחייבויות החברה בכפוף לחקיקה האירופית להגנה על המידע.

7.5.4 אסור לשנות את הסעיפים החוזיים הסטנדרטיים. אם סעיפי החוזה הסטנדרטיים חלים בכפוף לסעיף 10.2 (העברות נתונים), אף פרט הכלול בסעיף 7.5 (בדיקות ותיקונים של תאימות) לא משנה זכויות או התחייבויות כלשהן של החברה או של Jibe בכפוף לסעיפי החוזה הסטנדרטיים.

8. הערכות השפעה ופגישות ייעוץ

החברה מסכימה ש-Jibe תעזור לה לוודא שהיא עומדת בכל ההתחייבויות שלה בנוגע להערכות ההשפעה על הגנה על מידע ולייעוץ מראש (תוך התחשבות בטבע העיבוד ובמידע שזמין ל-Jibe), כולל (אם רלוונטי) ההתחייבויות שלה בכפוף לסעיפים 35 ו-36 של ה-GDPR, באופן הבא:

(א) מסירת המסמכים בנושא אבטחה בהתאם לסעיף 7.5.1 (בדיקות של מסמכים בנושא אבטחה);

(ב) מסירת המידע שמופיע בנספח הזה לעיבוד נתונים; וכן

(ג) מסירת חומרים אחרים בנוגע לאופי של שירותי המעבד והעיבוד של מידע אישי של החברה (למשל, חומרים ממרכז העזרה), או חשיפה של חומרים כאלה באופן אחר, בהתאם לשיטות הסטנדרטיות של Jibe.

9. הזכויות של האנשים שאליהם מתייחס המידע

9.1 תשובות לבקשות של אנשים שאליהם מתייחס המידע אם Jibe תקבל בקשה מהאדם שאליו מתייחס מידע אישי של החברה, Jibe:

(א) אם הבקשה נשלחת באמצעות כלי לאנשים שאליהם מתייחס המידע, תשיגו ישירות לבקשת האדם שאליו מתייחס המידע בהתאם לפונקציונליות הרגילה של הכלי הזה לאנשים שאליהם מתייחס המידע.

(ב) אם הבקשה לא נשלחת באמצעות כלי לאנשים שאליהם מתייחס המידע, תציע לאדם שאליו מתייחס המידע להגיש את הבקשה לחברה, והחברה תישא באחריות להשיב לבקשה כזו.

9.2 הסיוע של Jibe בנוגע לבקשות של אנשים שאליהם מתייחס המידע החברה מסכימה ש-Jibe תעזור לה לעמוד בכל חובה שלה להשיב לבקשות של אנשים שאליהם מתייחס המידע (תוך התחשבות בטבע העיבוד של המידע האישי של החברה, ובמקרה רלוונטי, סעיף 11 של ה-GDPR), כולל (אם רלוונטי) החובה של החברה להשיב לבקשות להפעלת הזכויות של אנשים שאליהם מתייחס המידע שמפורטות בחלק III של ה-GDPR, על ידי:

(א) מתן הפונקציונליות של שירותי המעבד.

(ב) תאימות להתחייבויות שמפורטות בסעיף 9.1 (תשובות לבקשות של אנשים שאליהם מתייחס המידע); וכן

(ג) מתן כלים לאנשים שאליהם מתייחס המידע, במקרים הרלוונטיים לשירותי מעבד המידע.

10. העברת נתונים

10.1 מתקנים לאחסון ולעיבוד נתונים החברה מסכימה ש-Jibe תוכל, בכפוף לסעיף 10.2 (העברות נתונים), לאחסן ולעבד מידע אישי של החברה בכל מדינה שבה Jibe או אחד מקבלני המשנה שלה מפעילים מתקנים.

10.2 העברות נתונים

אם האחסון ו/או העיבוד של המידע האישי של החברה כוללים העברות של מידע אישי של החברה מה-EEA, משווייץ או מבריטניה לכל מדינה שלישית שלא כפופה להחלטה בנושא התאמת הגנות בהתאם לחקיקה האירופית להגנה על נתונים:

(א) החברה (כמייצאת נתונים) תיחשב כמי שהסכימה לסעיפים החוזיים הסטנדרטיים עם Jibe (כמייבאת נתונים);

(ב) ההעברות יהיו כפופות לסעיפים החוזיים הסטנדרטיים (SCC); וכן

(ג) האזכורים של Google LLC ושל הלקוח בתנאי החוזה הרגילים יהיו של Jibe ושל החברה, בהתאמה.

10.3 פרטי מרכז הנתונים מידע על המיקומים של מרכזי הנתונים של Google זמין בכתובת www.google.com/about/datacenters/locations/index.html.

11. מעבדי משנה

11.1 הסכמה לשימוש במעבדים משניים החברה מאשרת באופן ספציפי את העסקה עם השותפים העצמאיים של Jibe כמעבדי משנה (מעבדי משנה של שותפים עצמאיים של Jibe). בנוסף, החברה מאשרת באופן כללי את העסקה עם כל צד שלישי אחר כמעבד משנה (מעבדי משנה של צד שלישי). אם התנאים החוזיים הרגילים חלים בכפוף לסעיף 10.2 (העברות נתונים), ההרשאות שלמעלה מהוות הסכמה מראש ובכתב של החברה לכך ש-Jibe תעסוק בקבלת עבודות משנה לעיבוד המידע האישי של החברה.

11.2 מידע על קבלני משנה בהתאם לבקשה בכתב של החברה,‏ Jibe תספק מידע לגבי ספקי המשנה והמיקומים שלהם. כל בקשה כזו צריכה להישלח אל Jibe באמצעות הפרטים ליצירת קשר שמפורטים בקטע 12.1 (יצירת קשר עם Jibe).

11.3 דרישות ליצירת קשר עם קבלן משנה במקרה של העסקת קבלן משנה:

(א) להבטיח באמצעות חוזה בכתב את הדברים הבאים:

(1) המעבד המשני ניגש למידע האישי של החברה ומשתמש בו רק במידה הנדרשת כדי לבצע את ההתחייבויות שהועברו אליו במסגרת חוזה המשנה, ועושה זאת בהתאם להסכם (כולל הנספח הזה בנושא עיבוד נתונים) ובמקרים הרלוונטיים בהתאם לסעיף 10.2 (העברות נתונים) ולסעיפי החוזה הסטנדרטיים.

(2) אם ה-GDPR חל על עיבוד המידע האישי של החברה, חובות הגנת המידע שמפורטות בסעיף 28(3) של ה-GDPR חלות על המשנה למעבד.

(ב) Google תישא באחריות המלאה לכל ההתחייבויות של קבלן המשנה במסגרת חוזה המשנה שהוא חתום עליו, ולכל הפעולות והמחדלים שלו.

11.4 הזדמנות להתנגד לשינויים במעבדים משנה.

(א) אם יבוצע שיתוף פעולה עם קבלן משנה חדש של צד שלישי במהלך תקופת ההסכם, Jibe תודיע לחברה על שיתוף הפעולה (כולל השם והמיקום של קבלן המשנה הרלוונטי והפעילויות שהוא יבצע) על ידי שליחת אימייל לכתובת האימייל לקבלת התראות לפחות 30 יום לפני שקבלן המשנה החדש של הצד השלישי יעבד מידע אישי של החברה.

(ב) החברה רשאית להתנגד לכל קבלן משנה חדש של צד שלישי על ידי סיום ההסכם באופן מיידי לאחר שליחת הודעה בכתב ל-Jibe, בתנאי שהחברה תספק הודעה כזו תוך 90 יום ממועד ההודעה על העסקה עם קבלן המשנה החדש של הצד השלישי, כפי שמתואר בסעיף 11.4(א). זכות הביטול הזו היא הסעד היחיד והבלעדי של החברה אם היא מתנגדת לכל מעבד מידע משני חדש של צד שלישי.

12. יצירת קשר עם Jibe; עיבוד רשומות

12.1 יצירת קשר עם Jibe החברה רשאית ליצור קשר עם Jibe בנוגע לנספח הזה לעיבוד נתונים באמצעות איש הקשר של Jibe בנושא הגנה על מידע ב-RCS, שאפשר ליצור איתו קשר בכתובת http://issuetracker.google.com, או באמצעים אחרים ש-Jibe תספק מעת לעת.

12.2 רשומות העיבוד של Jibe החברה מאשרת ש-Jibe מחויבת בכפוף ל-GDPR: (א) לאסוף ולתחזק רשומות של מידע מסוים, כולל השם והפרטים ליצירת קשר של כל מעבד ו/או של כל בקר שבשמו Jibe פועלת, וכן (אם רלוונטי) של הנציג המקומי של המעבד או הבקר ושל קצין הגנת הנתונים שלהם, וכן (ב) להעמיד את המידע הזה לרשות כל רשות פיקוח. לפיכך, אם הלקוח יתבקש למסור ל-Jibe פרטים כאלה בהתאם לחוק החל על הלקוח, הוא ימסור אותו באמצעים ש-Jibe תספק. כמו כן, הוא יבטיח שכל הפרטים שנמסרו מדויקים ועדכניים.

13. חבות

13.1 הגבלת החבות. ללא קשר לכל דבר אחר בהסכם, החבות הכוללת של כל צד כלפי הצד השני במסגרת נספח עיבוד הנתונים הזה או בקשר אליו תהיה מוגבלת לסכום הכספי המקסימלי או לסכום המבוסס על תשלום שבו החבות של אותו צד מוגבלת במסגרת ההסכם (ולכן החרגה של תביעות בנושא סודיות או פיצויים מהגבלת החבות בהסכם לא תחול על תביעות במסגרת ההסכם שקשורות לחקיקה בנושא הגנה על מידע באיחוד האירופי או לחקיקה בנושא הגנה על מידע מחוץ לאיחוד האירופי). סעיף 13 (חבות) לא יחריג או יגביל את החבות של אף אחד מהצדדים במקרים הבאים: (א) מוות או פציעה גופנית כתוצאה מרשלנות של אחד הצדדים או של העוזרים, הסוכנים או העובדים שלהם; (ב) הונאה או מצג שווא מסולף; או (ג) עניינים שלא ניתן להחריג או להגביל את החבות שלהם על פי הדין החל.

13.2 חבות במקרה שחלים הסעיפים החוזיים הסטנדרטיים (SCC). אם סעיפי החוזה הסטנדרטיים חלים בכפוף לסעיף 10.2 (העברות נתונים), החבות הכוללת המשולבת של כל צד ושל השותפים העצמאיים שלו כלפי הצד השני ושל השותפים העצמאיים שלו במסגרת ההסכם או בקשר אליו, וכן סעיפי החוזה הסטנדרטיים, תהיה כפופה לסעיף 13.1 (מכסת חבות).

14. מוטבים מצד שלישי

אם שותף עצמאי של צד כלשהו הוא צד שחלים עליו הסעיפים החוזיים הסטנדרטיים (SCC) שמפורטים בסעיף 10.2 (העברות נתונים), אזי אותו שותף עצמאי יהיה צד שלישי מוטב לפי סעיפים 6.2 (מחיקת נתונים בתום תקופת החוזה), 7.5 (בדיקות ותהליכי ביקורת של תאימות), 9.1 (תשובות לבקשות של אנשים שאליהם מתייחס המידע), 10.2 (העברות נתונים), 11.1 (הסכמה לשימוש בשירותי עיבוד נתונים משניים) ו-13.2 (חבות אם חלים הסעיפים החוזיים הסטנדרטיים). במקרה של סתירה או חוסר עקביות בין סעיף 14 הזה (מוטבים מצד שלישי) לבין סעיף אחר בהסכם, סעיף 14 הזה (מוטבים מצד שלישי) יחול.

15. ההשפעה של הנספח הזה לעיבוד נתונים

במקרה של סתירה או חוסר עקביות בין הסעיפים החוזיים הסטנדרטיים, התנאים הנוספים בנוגע לחקיקה שאינה אירופית להגנה על מידע, הנספח הזה לעיבוד נתונים ושאר התנאים של ההסכם, תינתן עדיפות בסדר הבא:

(א) הסעיפים החוזיים הסטנדרטיים (SCC);

(ב) התנאים הנוספים לחקיקה שאינה אירופית להגנה על מידע

(ג) שאר התנאים האלה לעיבוד נתונים.

(ד) שאר ההסכם.

אם ההסכם הזה (כולל כל נספח) יתורגם לשפה אחרת כלשהי, והטקסט המתורגם יהיה בסתירה לטקסט באנגלית או לא יהיה תואם לו, הטקסט באנגלית הוא הקובע.

בכפוף לתיקונים שבנספח הזה בנושא עיבוד נתונים, ההסכם ממשיך להיות תקף ולחול במלואו.

16. שינויים בנספח הזה לעיבוד נתונים

16.1 שינויים בכתובות URL מעת לעת, Jibe עשויה לשנות כל כתובת URL שצוינה בתוספת הזו לעיבוד נתונים ואת התוכן בכל כתובת URL כזו, למעט זאת ש-Jibe עשויה לשנות את הסעיפים החוזיים הסטנדרטיים רק בהתאם לסעיפים 16.2(ב) עד 16.2(ד) (שינויים בתנאים לעיבוד נתונים) או כדי לשלב גרסה חדשה של הסעיפים החוזיים הסטנדרטיים שתאושר במסגרת חקיקה בנושא הגנה על נתונים באיחוד האירופי, בכל מקרה באופן שלא ישפיע על התוקף של הסעיפים החוזיים הסטנדרטיים במסגרת חקיקה בנושא הגנה על נתונים באיחוד האירופי.

16.2 שינויים בתנאים לעיבוד מידע (DPT) Jibe רשאית לשנות את התיקון הזה לעיבוד נתונים במקרים הבאים:

(א) מותר במפורש במסגרת התיקון הזה לעיבוד נתונים, כולל כפי שמתואר בסעיף 16.1 (שינויים בכתובות URL);

(ב) השינוי בתנאים משקף שינוי בשם או בצורה של ישות משפטית;

(ג) הכרחי כדי לציית לדין החל, לתקנה רלוונטית, לצו בית משפט או להנחיות מטעם רגולטור ממשלתי או סוכנות ממשלתית; או

(ד) לא (1) גורם לירידה ברמת האבטחה הכוללת של שירותי המעבד, (2) מרחיב את היקף ההגבלות או מסיר אותן, (x) במקרה של התנאים הנוספים בנושא חקיקה להגנה על נתונים מחוץ לאירופה, הזכויות של Jibe להשתמש בנתונים או לעבד אותם בדרך אחרת במסגרת התנאים הנוספים בנושא חקיקה להגנה על נתונים מחוץ לאירופה, או (y) במקרה של שאר התנאים האלה לעיבוד נתונים, העיבוד של Jibe של המידע האישי של החברה, כפי שמתואר בסעיף 5.3 (ציות Jibe להוראות), וכן (3) משפיע לרעה באופן מהותי על הזכויות של החברה בכפוף לנספח הזה לעיבוד נתונים, כפי שנקבע באופן סביר על ידי Jibe.

16.3 הודעה על שינויים אם Jibe מתכוונת לשנות את נספח עיבוד הנתונים הזה בהתאם לסעיף 16.2(ג) או (ד), היא תודיע לחברה לפחות 30 יום (או תקופה קצרה יותר ככל שיידרש כדי לעמוד בדרישות הדין החל, התקנות החלות, צו בית משפט או הנחיה שהונפקה על ידי רשות או סוכנות ממשלתית) לפני שהשינוי ייכנס לתוקף, באחת מהדרכים הבאות: (א) שליחת אימייל לכתובת האימייל לקבלת התראות, או (ב) שליחת התראה לחברה דרך ממשק המשתמש של שירותי המעבד. אם החברה תתנגד לשינוי כזה, היא תהיה רשאית לסיים את ההסכם על ידי שליחת הודעה בכתב ל-Jibe תוך 90 יום ממועד ההודעה על השינוי מ-Jibe.

נספח 1: הנושא הנדון והפרטים לגבי עיבוד הנתונים

Subject Matter

מתן השירותים של מעבד המידע וכל תמיכה טכנית שקשורה לכך לחברה על ידי Jibe.

משך העיבוד

תקופת ההסכם בתוספת התקופה ממועד תפוגת תקופת ההסכם עד למחיקת כל המידע האישי של החברה על ידי Jibe בהתאם לנספח הזה בנושא עיבוד נתונים.

אופי העיבוד והמטרה שלו

Jibe תעבד מידע אישי של החברה למטרות של מתן שירותי המעבד וכל תמיכה טכנית קשורה לחברה, בהתאם לנספח הזה לעיבוד נתונים (כולל, בהתאם לשירותי המעבד ולהוראות המתוארות בסעיף 5.2 (הוראות החברה), איסוף, הקלטה, ארגון, בנייה, אחסון, שינוי, אחזור, שימוש, חשיפת, שילוב, מחיקה והשמדה של מידע אישי של החברה).

סוגים של מידע אישי

מידע אישי שקשור לאנשים פרטיים, שסופק ל-Jibe דרך שירותי העיבוד על ידי החברה (או על פי הוראותיה) או על ידי משתמשי הקצה של החברה.

קטגוריות של אנשים שאליהם מתייחס המידע

נושאי המידע כוללים את האנשים שאליהם מתייחסים הנתונים שסופקו ל-Jibe דרך שירותי העיבוד על ידי החברה (או על פי הנחיה שלה) או על ידי משתמשי הקצה של החברה.

נספח 2: אמצעי אבטחה

החל ממועד כניסת התנאים לתוקף, Jibe תחיל ותתחזק את אמצעי האבטחה שמפורטים בנספח 2 הזה. Jibe רשאית לעדכן או לשנות את אמצעי האבטחה האלה מעת לעת, בתנאי שעדכונים ושינויים כאלה לא יובילו לירידה ברמת האבטחה הכוללת של שירותי המעבד.

1. אבטחת רשתות ומרכזי נתונים

(א) מרכזי נתונים.

תשתית. ל-Jibe יש מרכזי נתונים שמפוזרים באזורים גיאוגרפיים שונים. כל נתוני הייצור של Jibe מאוחסנים במרכזי נתונים מאובטחים פיזית.

יתירות. מערכות התשתית תוכננו כך שלא יהיו בהן נקודות כשל בודדות, וכדי לצמצם את ההשפעה של סיכונים סביבתיים צפויים. מעגלים כפולים, מתגים, רשתות או מכשירים נחוצים אחרים עוזרים לספק את היתירות הזו. שירותי המעבד נועדו לאפשר ל-Jibe לבצע סוגים מסוימים של תחזוקה מונעת ותיקון ללא הפרעה. לכל הציוד והמתקנים הסביבתיים יש תהליכי תחזוקה מונעת מתועדים, שמפרטים את התהליך ואת תדירות הביצוע בהתאם למפרטים הפנימיים או למפרטים של היצרן. תחזוקה מונעת ותיקון של ציוד מרכז הנתונים מתבצעים בתהליך סטנדרטי בהתאם לנהלי עבודה מתועדים.

כוח. מערכות החשמל במרכזי הנתונים תוכננו כך שיהיו יתירות וניתן יהיה לתחזק אותן בלי להשפיע על הפעילות השוטפת, 24 שעות ביממה, 7 ימים בשבוע. ברוב המקרים, רכיבים קריטיים בתשתית במרכז הנתונים מקבלים ספק כוח ראשי וחלופי, עם קיבולת זהה לכל אחד מהם. אספקת החשמל לגיבוי מתבצעת באמצעות מנגנונים שונים, כמו סוללות של ספקי חשמל ללא הפסקות (UPS), שמספקות הגנה אמינה ועקבית על אספקת החשמל במהלך הפסקות חשמל זמניות, הפסקות חשמל מלאות, מתח גבוה, מתח נמוך ותנאי תדר שחורגים מהתווית. אם אספקת החשמל של חברת החשמל מופסקת, אספקת החשמל לגיבוי נועדה לספק חשמל זמני למרכז הנתונים, בקיבולת מלאה, למשך עד 10 דקות עד שמערכת הגנרטורים של הדיזל תתחיל לפעול. הגנרטורים של הדיזל יכולים להתחיל לפעול באופן אוטומטי תוך שניות כדי לספק מספיק חשמל לשעת חירום כדי להפעיל את מרכז הנתונים בקיבולת מלאה, בדרך כלל למשך כמה ימים.

מערכות הפעלה לשרתים. שרתי Jibe משתמשים במערכות הפעלה מוקשחות שמותאמות אישית לצרכים הייחודיים של העסק. הנתונים מאוחסנים באמצעות אלגוריתמים קנייניים כדי לשפר את האבטחה והיתירות של הנתונים. ‏Jibe משתמשת בתהליך בדיקות קוד כדי להגביר את האבטחה של הקוד שמשמש למתן שירותי המעבד וכדי לשפר את מוצרי האבטחה בסביבות ייצור.

המשכיות עסקית. Jibe מעתיק את הנתונים במספר מערכות כדי להגן מפני הרס או אובדן מקריים. ב-Jibe תכננו את התוכניות שלהם לשמירה על המשכיות הפעילות העסקית או להתאוששות מאסון, וגם מתכננים ובודקים אותן באופן קבוע.

(ב) רשתות והעברה.

העברת נתונים. בדרך כלל, מרכזי הנתונים מחוברים באמצעות קישורים פרטיים במהירות גבוהה כדי לספק העברת נתונים מאובטחת ומהירה בין מרכזי הנתונים. המטרה של ההצפנה היא למנוע קריאה, העתקה, שינוי או הסרה של נתונים ללא הרשאה במהלך העברה או שינוע אלקטרוניים, או במהלך ההקלטה שלהם על מדיה לאחסון נתונים. Jibe מעביר נתונים באמצעות פרוטוקולים סטנדרטיים של האינטרנט.

שטח התקפה חיצוני. כדי להגן על שטח ההתקפה החיצוני שלה, Jibe משתמשת בכמה שכבות של מכשירים ברשת וזיהוי פריצות. ב-Jibe מביאים בחשבון כיווני התקפה פוטנציאליים ומשלבים טכנולוגיות מתאימות שנועדו למטרה הזו במערכות הפונות החוצה.

זיהוי פריצות אבטחה. זיהוי פריצות נועד לספק תובנות לגבי פעילויות מתמשכות של התקפות ולספק מידע מספיק כדי להגיב לתקריות. זיהוי פריצות האבטחה של Jibe כולל:

שליטה קפדנית בגודל ובהרכב של שטח ההתקפה של Jibe באמצעות אמצעי מניעה.
שימוש באמצעי בקרה חכמים לזיהוי בנקודות של הזנת נתונים.
שימוש בטכנולוגיות שמטפלות באופן אוטומטי במצבים מסוימים שעלולים להיות מסוכנים.

תגובה לאירועים. Jibe עוקבת אחרי מגוון ערוצי תקשורת כדי לזהות אירועי אבטחה, וצוותי האבטחה של Jibe יגיבו במהירות לאירועים ידועים.

טכנולוגיות הצפנה. ב-Jibe זמינה הצפנת HTTPS (שנקראת גם חיבור SSL או TLS). שרתי Jibe תומכים בפרוטוקול להמרת מפתחות קריפטוגרפיים של Diffie Hellman עם עקומה אליפטית זמנית, החתום באמצעות RSA ו-ECDSA. שיטות הסודיות המושלמת להעברה (PFS) עוזרות להגן על התנועה ולמזער את ההשפעה של מפתח שנחשף או פריצת דרך קריפטוגרפית.

2. אמצעי בקרה לגישה לאתרים

(א) אמצעי בקרה לאתרים.

פעולות אבטחה באתר של מרכז הנתונים. במרכזי הנתונים של Jibe פועלת פעילות אבטחה באתר שאחראית על כל הפונקציות הפיזיות של אבטחת מרכז הנתונים, 24 שעות ביממה, 7 ימים בשבוע. אנשי האבטחה באתר עוקבים אחרי מצלמות ה-CCTV ולכל מערכות ההתראה. צוות האבטחה באתר מבצע סיורים פנימיים וחיצוניים במרכז הנתונים באופן קבוע.

נוהלי הגישה למרכז הנתונים. ב-Jibe יש תהליכי גישה רשמיים שמאפשרים גישה פיזית למרכזי הנתונים. מרכזי הנתונים ממוקמים במתקנים שנדרש להם מפתח אלקטרוני כדי להיכנס אליהם, עם אזעקות שמקושרות לפעילות האבטחה באתר. כל מי שנכנס למרכז הנתונים חייב להזדהות ולהציג תעודה מזהה לצוותי האבטחה במקום. רק עובדים, קבלנים ומבקרים מורשים רשאים להיכנס למרכזי הנתונים. רק עובדים וקבלנים מורשים רשאים לבקש גישה למפתחות כרטיס אלקטרוניים למתקנים האלה. בקשות גישה למפתחות כרטיס אלקטרוניים של מרכז הנתונים צריכות להישלח מראש ובכתב, וצריך לקבל אישור מהמנהל של מבקש הגישה וממנהל מרכז הנתונים. כל שאר הנכנסים שזקוקים לגישה זמנית למרכז הנתונים חייבים: (1) לקבל אישור מראש מהמנהלים של מרכז הנתונים לגבי מרכז הנתונים הספציפי והאזורים הפנימיים שבהם הם רוצים לבקר, (2) להיכנס לחשבון בשירותי האבטחה באתר, ו-(3) להציג תיעוד מאושר של גישה למרכז הנתונים, שבו מצוין שהאדם אושר.

מכשירי אבטחה באתר של מרכז הנתונים. במרכזי הנתונים של Jibe נעשה שימוש בכרטיס מפתח אלקטרוני ובמערכת בקרת גישה ביומטרית שמקושרת לאזעקה של המערכת. מערכת בקרת הגישה עוקבת אחרי מפתח הכרטיס האלקטרוני של כל אדם ומתעדת את הזמנים שבהם הוא נכנס לדלתות ההיקפיות, למחלקות השליחויות והקבלה ולאזורים קריטיים אחרים. פעילות לא מורשית וניסיונות גישה שנכשלו מתועדים ביומן של מערכת בקרת הגישה ונבדקים בהתאם. הגישה המורשית לפעילות העסקית ולמרכזי הנתונים מוגבלת על סמך תחומים והסמכות התפקיד של העובדים. הדלתות למניעת אש במרכזי הנתונים מופעלות על ידי אזעקה. מצלמות מעקב פועלות גם בתוך מרכזי הנתונים וגם מחוץ להם. מיקום המצלמות תוכנן כך שיכלול אזורים אסטרטגיים, כולל, בין היתר, את ההיקף, הדלתות לבניין מרכז הנתונים ואת האזורים של המשלוח והקבלה. צוות האבטחה באתר מנהל את הציוד לניטור, להקלטה ולשליטה במצלמות הווידאו. כבלים מאובטחים במרכזי הנתונים מקשרים את ציוד ה-CCTV. המצלמות מתעדות באתר באמצעות מכשירי הקלטת וידאו דיגיטליים 24 שעות ביממה, 7 ימים בשבוע. רשומות המעקב נשמרות למשך 7 ימים לפחות, בהתאם לפעילות.

(ב) בקרת גישה.

אנשי אבטחת התשתית. ל-Jibe יש מדיניות אבטחה לעובדים, והיא שומרת עליה. בנוסף, היא דורשת הדרכה בנושאי אבטחה כחלק מחבילת ההדרכה לעובדים. צוות אבטחת התשתית של Jibe אחראי על המעקב המתמשך אחר תשתית האבטחה של Jibe, על בדיקת שירותי המעבד ועל התגובה לאירועי אבטחה.

בקרת גישה וניהול הרשאות. כדי להשתמש בשירותי המעבד, האדמינים והמשתמשים של החברה חייבים לבצע אימות באמצעות מערכת אימות מרכזית או באמצעות מערכת כניסה יחידה (SSO).

תהליכים ומדיניות פנימיים לגישה לנתונים – מדיניות גישה. התהליכים והמדיניות הפנימיים של Jibe לגישה לנתונים נועדו למנוע מאנשים או ממערכות לא מורשים לקבל גישה למערכות שמשמשות לעיבוד מידע אישי. Jibe שואפת לתכנן את המערכות שלה כך: (1) רק לאנשים מורשים תהיה גישה לנתונים שיש להם הרשאה לגשת אליהם, ו-(2) לא ניתן יהיה לקרוא, להעתיק, לשנות או להסיר מידע אישי ללא הרשאה במהלך העיבוד, השימוש וההקלטה. המערכות נועדו לזהות גישה בלתי הולמת. ב-Jibe נעשה שימוש במערכת מרכזית לניהול הרשאות גישה כדי לשלוט בגישה של אנשי הצוות לשרתים בסביבת הייצור, והגישה ניתנת רק למספר מוגבל של אנשי צוות מורשים. ‏LDAP, ‏ Kerberos ומערכת קניינית שמשתמשת באישורי SSH תוכננו כדי לספק ל-Jibe מנגנוני גישה מאובטחים וגמישים. המנגנונים האלה נועדו להעניק רק הרשאות גישה שאושרו למארחי האתרים, ליומני האתרים, לנתונים ולפרטי ההגדרה. כדי למזער את הסיכון לשימוש לא מורשה בחשבון, ב-Jibe נדרש שימוש במזהי משתמשים ייחודיים, סיסמאות חזקות, אימות דו-שלבי ורשימות גישה שמנוטרות בקפידה. הענקת הרשאות הגישה או השינוי שלהן מבוססים על: תחומי האחריות של אנשי הצוות המורשים, הדרישות של תפקיד העבודה הנדרשות לביצוע המשימות המורשות ועל בסיס 'לצורך הידיעה בלבד'. הענקת זכויות גישה או שינוי שלהן צריכים להתבצע גם בהתאם להדרכה ולמדיניות הפנימית של Jibe בנושא גישה לנתונים. האישורים מנוהלים באמצעות כלים של תהליכי עבודה שמתעדים ביקורות לגבי כל שינוי. הגישה למערכות מתועדת ביומן כדי ליצור נתיב ביקורת לצורך אחריות. במקרים שבהם סיסמאות משמשות לאימות (למשל, כניסה למחשבים), אנחנו מטמיעים מדיניות סיסמאות שתואמת לפחות לשיטות המומלצות בתעשייה. התקנים האלה כוללים הגבלות על שימוש חוזר בסיסמאות ועוצמה מספקת של סיסמאות.

3. נתונים

(א) אחסון, בידוד ואימות של נתונים.

נתונים של Jibe מאוחסנים בסביבה עם כמה דיירים (multi-tenant) בשרתים שבבעלות Jibe. הנתונים, מסד הנתונים של Processor Services וארכיטקטורת מערכת הקבצים משוכפלים בין כמה מרכזי נתונים שמפוזרים גיאוגרפית. מערכת Jibe מבודדת באופן לוגי את הנתונים של כל לקוח. מערכת אימות מרכזית משמשת בכל שירותי המעבד כדי לשפר את האבטחה של הנתונים באופן אחיד.

(ב) הנחיות לגבי דיסקים שהוצאו משימוש והרס של דיסקים.

יכול להיות שדיסקים מסוימים שמכילים נתונים ייתקלו בבעיות ביצועים, בשגיאות או בכשלים בחומרה, וכתוצאה מכך הם יושהו (דיסק מושעה). כל דיסק מושעה עובר סדרה של תהליכי השמדת נתונים (הנחיות להשמדת נתונים) לפני שהוא יוצא מהמתחם של Jibe לשימוש חוזר או להשמדה. דיסקים שהוצאו משימוש נמחקים בתהליך רב-שלבי, ויש לפחות שני מאמתים עצמאיים שמאמתים את השלמת המחיקה. תוצאות המחיקה נרשמות ביומן לפי המספר הסידורי של הדיסק שהוצא משימוש למעקב. לבסוף, הדיסק שנמחק והוצא משימוש משוחרר למלאי לשימוש חוזר ולפריסה מחדש. אם לא ניתן למחוק את הדיסק שהוצא משימוש בגלל כשל בחומרה, הוא מאוחסן באופן מאובטח עד שאפשר יהיה להשמיד אותו. כל מתקן נבדק באופן קבוע כדי לעקוב אחרי העמידה בהנחיות להשמדת נתונים.

4. אבטחת עובדים

אנשי Jibe נדרשים לפעול בהתאם להנחיות של החברה בנושאי סודיות, אתיקה עסקית, שימוש הולם וסטנדרטים מקצועיים. Jibe מבצעת בדיקות רקע מתאימות במידה המותרת על פי חוק, בהתאם לחוקי העבודה המקומיים ולתקנות הסטטוטוריות הרלוונטיות.

העובדים נדרשים לחתום על הסכם סודיות, ולאשר את קבלת כללי המדיניות של Jibe בנושאי סודיות ופרטיות ותאימות להם. העובדים מקבלים הדרכה בנושאי אבטחה. אנשי הצוות שמטפלים במידע אישי של החברה נדרשים למלא דרישות נוספות בהתאם לתפקיד שלהם. אנשי Jibe לא יעבדו מידע אישי של החברה ללא הרשאה

5. אבטחה של מעבד מידע משני

לפני הצירוף של מעבדי מידע משניים, Jibe מבצעת ביקורת של נוהלי האבטחה והפרטיות שלהם כדי לוודא שהם מעניקים רמת אבטחה ופרטיות שמתאימה לגישה לנתונים ולהיקף השירותים שהם נדרשים לספק. לאחר ש-Jibe מבצעת הערכת סיכונים לעבודה עם קבלן משנה, הוא נדרש לחתום על חוזים בתחומי אבטחה, סודיות ופרטיות, בכפוף תמיד לדרישות שמפורטות בקטע 11.3 (דרישות לקבלת שירות מקבלן משנה).

נספח 3: תנאים נוספים לחקיקה שאינה אירופית להגנה על מידע

התנאים הנוספים הבאים בנוגע לחקיקה שאינה אירופית להגנה על מידע הם תוספת לתנאים האלה לעיבוד נתונים:

נספח לספקי שירות בכפוף ל-CCPA בכתובת privacy.google.com/businesses/gdprprocessorterms/ccpa (מתאריך 27 באוגוסט 2020)
נספח בנושא מעבדים בכפוף ל-LGPD בכתובת privacy.google.com/businesses/gdprprocessorrterms/lgpd (מתאריך 27 באוגוסט 2020)

התנאים לעיבוד מידע (DPT) של Jibe, גרסה 2.0

27 באוגוסט 2020

נספח לעיבוד נתונים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.