このデータ保護付録 (「DPA”)は、以下の再販業者契約の一部を形成します。 Aryaka および再販業者(「契約」) に基づいて、再販業者はマーケティングおよび再販を行います。 Aryaka 顧客および潜在顧客に対するサービス。 本 DPA で使用されているが定義されていない大文字の用語は、契約に規定されている意味を有するものとします。
- 1. DEFINITIONS
- 1.1 「データコントローラー」 単独で、他者と共同で、または共同データ管理者として、個人情報の処理の目的と手段を決定する組織を意味します。
- 1.2 "データプロセッサ" データ管理者に代わって個人情報を処理する組織を意味します。
- 1.3 「データ保護法」 個人情報の処理に適用されるすべての法律を意味します。
- 1.4 「データ主体」 この DPA に基づいて個人情報が処理される可能性がある個人を意味します。
- 1.5 "個人情報" or "個人データ" 「契約に従って当事者に提供される、特定された、または特定可能な自然人に関連する個人データ」を意味します。
- 1.6 "プロセス" or "処理" 自動化された手段によるかどうかにかかわらず、収集、記録、整理、構造化、保管、改変または変更、検索、参照、使用、送信による開示など、個人情報または個人情報のセットに対して実行される操作または一連の操作を意味します。個人情報の配布またはその他の利用可能化、調整または組み合わせ、制限、消去、または破棄。
- 1.7 「セキュリティインシデント」 「本 DPA に基づいて送信、保存、またはその他の方法で処理された個人情報の偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスにつながるサービスのセキュリティ侵害を意味します。」
- 2. 当事者間の関係。 両当事者は、再販業者と Aryaka それぞれが本契約の目的における管理者です。 契約を履行するには、両当事者は業務連絡先情報などの限定された個人情報を相互に提供する必要があります。 両当事者は、契約および本 DPA に従って、または適用されるデータ保護法の要求に従って、かかる個人情報を処理します。 本契約で検討されているように、再販業者は随時、以下のサービスを提供することがあります。 Aryaka 再販業者による顧客へのサービスの提供を促進するために、顧客に関する情報が含まれます。 そういった場合には、 Aryaka は、再販業者の文書化された指示に従ってのみ、再販業者の顧客に関する個人情報を処理します。 各当事者は、個人情報の処理に関して、データ主体またはその他の個人に必要な通知を提供し、必要な同意を得るなど、個人情報の処理に関して適用されるデータ保護法に基づく義務を遵守することに単独で責任を負います。個人情報の取扱いについて明確にするために、 Aryaka は、本契約に従って再販業者にサービスを提供すること以外のいかなる目的でも個人情報を保持、使用、開示しません。これには、再販業者にかかるサービスを提供すること以外の商業目的、または適用されるデータ保護法で要求される商業目的が含まれますが、これに限定されません。 上記を制限することなく、いかなる場合も Aryaka かかる個人情報を第三者に販売または共有すること。 Aryaka は、前述の制限を理解し、遵守することを証明します。 すべき Aryaka 適用されるデータ保護法に基づく義務を履行できなくなったと判断した場合、直ちに再販業者に通知します。
- 3. 共同コントローラー。 両当事者が共同データ管理者として行動する場合、各当事者は独立したデータ管理者となり、データ保護法に基づいてデータ管理者として適用される義務を遵守する責任を個別かつ個別に負うものとします。 共同管理者として行動する場合、各当事者は個人データの処理の目的と手段を個別に決定します。
- 4. 機密性 両当事者は、その担当者に個人情報の機密性を保護するよう要求します。
- 5. セキュリティ。 両当事者は、個人データのセキュリティ、機密性、完全性を保護するために設計された合理的な管理的、物理的および技術的保護措置を維持します。 Aryaka 付録 2 にリストされている措置を含む、不正な紛失、破壊、改ざん、アクセス、または開示に対するネットワーク。
- 6. セキュリティインシデント。 いずれかの当事者が個人情報を侵害するセキュリティインシデントに遭遇した場合、法律で禁止されている場合や別途指示がない限り、セキュリティインシデントに遭遇した当事者は不当な遅滞なく、いかなる場合も48時間以内に相手方当事者に通知します。法執行機関または監督当局による。 処理の性質とセキュリティ インシデントに関して入手可能な情報を考慮し、セキュリティ インシデントに遭遇した当事者は、相手方当事者の合理的な要求に応じて、法的に義務付けられている通知に関して相手方当事者に合理的な支援と協力を提供します。かかるセキュリティ インシデントに関して、影響を受けるデータ主体または規制当局に提供する。 両当事者は、適用法で認められる範囲で、かかる要請された支援に対して相手方当事者に妥当な料金を請求する権利を留保します。
- 7. データ主体のリクエスト。 契約の性質を考慮すると、両当事者は、再販業者がデータ主体の要求に応答する適切な当事者であることに同意します。 Aryaka 該当する法律で禁止されていない限り、次の場合には再販業者に速やかに通知します。 Aryaka (i) データ主体が処理する個人情報に関して、データ主体からのあらゆる要求を受け取ります。 Aryakaオプトアウト要求、アクセスおよび/または修正の要求、ブロック、消去、データのポータビリティの要求、および同様のすべての要求が含まれますが、これらに限定されず、明示的な理由がない限り、そのような要求には応答しません。ssly 再販業者によってそうする権限が与えられている。 または (ii) による処理に関する苦情 Aryaka かかる処理がデータ主体の権利を侵害するという申し立てを含む、個人情報の保護。 リセラーはデータ主体のリクエストに対応する責任を負います。 再販業者の要請に応じ、処理の性質を考慮して、 Aryaka は、適用されるデータ保護法に基づいて再販業者がかかるデータ主体の要求に応じる義務を履行するために、可能な限り、適切な技術的および組織的手段によって再販業者を支援します。 Aryaka は、適用法で認められる範囲で、かかる要求された支援に対して再販業者に妥当な料金を請求する権利を留保します。
- 8. 副処理者。 両当事者は、相手方当事者が、本契約に基づいてサービスを提供する目的で、個人情報をその処理者および下請け業者に開示する場合があることに同意します。 (「副処理者」)ただし、両当事者は、個人情報のセキュリティと機密保持に関して、本 DPA に定められているものと実質的に同様の義務をその再処理者に課すことを条件とします。 要求に応じて、両当事者は、(a) 副処理者のリストを利用可能にし、このリストへの変更の通知を受け取るメカニズムを提供します。 両当事者は、サブプロセッサーの作為または不作為に対して、その作為または不作為がサブプロセッサーを雇用した企業によって行われた場合と同じ範囲で責任を負います。
- 9. データの場所。 契約の履行に関連して、いずれの当事者も個人情報をさまざまな場所に転送する場合があります。これには、社内外の場所が含まれる場合があります。 United Kingdom (「英国」)、欧州経済領域 (「EEA」) またはスイス。 かかる移転に英国、EEA、またはスイス発の個人情報を、拘束力のある十分性に関する決定を受けていない英国、EEA、またはスイス以外の国への移転が含まれる場合、両当事者は、当事者が以下のとおり行動する場合に同意するものとします。共同管理者、付録 1 に添付されている欧州連合標準契約条項 (管理者から管理者へ) がかかる譲渡に適用され、そのような譲渡については付録 1 に記載されています。当事者間の関係が管理者から処理者の関係である場合、 、付録 2 に添付されている欧州連合標準契約条項 (管理者からプロセッサへ) がかかる移転に適用され、かかる移転については付録 1 に記載されています。
- 10. 監査。 いずれかの当事者の要求に応じて、他方当事者は、1 年に 2 回まで、(a) サービス組織管理 XNUMX、タイプ XNUMX レポートまたは同等のレポートなどの第三者評価のコピーを利用可能にします。 (「第三者レポート」) 、かかる第三者レポートを取得した場合、または (b) 当事者が第三者レポートを取得していない場合は、本契約の遵守を確認する目的で合理的に提出された書面による質問に対して回答を提供します。 (「書面による回答」) 。 かかる第三者の報告書および書面による回答は、提出当事者の機密情報となり、法律で義務付けられている場合を除き、提出当事者の事前の書面による同意なしに開示することはできません。 一方の当事者が第三者報告書ではなく書面による回答を提供することで他方当事者の要求に応答し、要求側当事者が書面による応答の受領後、法律によりさらなる評価が必要であると合理的に判断した場合、要求側は 30 日前までに要求することができます。当事者が相互に合意する範囲で、サービスの関連ポリシー、手順、および関連文書について、当事者の費用負担でレビューを実行することを通知します。ただし、かかるレビューにより、次の者に対する機密保持義務が侵害されない範囲に限ります。 Aryakaの他の再販業者。 再販業者は、個人情報の不正使用を停止し、是正するための合理的な措置を講じる権利を有するものとします。
- 11. リターンまたはDispオサル。 適用法により個人データの保存が義務付けられている場合を除き、本契約締結時の要請に応じて、いずれの当事者もそのシステムから個人データを速やかに削除するものとします。
付録1
標準契約条項 (2021)
コントローラー間
参照によりこの DPA に組み込まれ、ここからアクセスできます。
WWW。aryaka.com/SCC2021-コントローラーからコントローラーへ/
附属書I
A. 当事者のリスト
データエクスポーター: データ エクスポータは次のとおりです。契約に定義されている再販業者
[データ輸出者の身元および連絡先の詳細、および該当する場合にはそのデータ保護責任者および/または欧州連合の代表者の身元および連絡先の詳細]
名前: 再販業者との間の注文フォームを参照してください。 Aryaka
住所: 再販業者との間の注文フォームを参照してください。 Aryaka
担当者の名前、役職、および連絡先の詳細: 再販業者との間の注文フォームを参照してください。 Aryaka
これらの条項に基づいて転送されるデータに関連する活動: 再販業者と再販業者との間の契約を参照してください。 Aryaka
役割 (コントローラ/プロセッサ): コントローラ
データインポーター: データインポーターは次のとおりです。 Aryaka.
データ輸入者の身元および連絡先の詳細(データ保護の責任を負う連絡担当者を含む)
お名前: Aryaka Networks, Inc.
住所: 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
担当者の名前、役職、連絡先の詳細: Edward Frye, CISCO/それ、 [メール保護]
これらの条項に基づいて転送されるデータに関連する活動: 再販業者と再販業者との間の契約を参照してください。 Aryaka
役割 (コントローラ/プロセッサ): コントローラ
B. 譲渡の説明
個人データが転送されるデータ主体のカテゴリ
再販業者の業務連絡先および Aryaka.
転送される個人データのカテゴリ
名前、役職、電子メールアドレス、電話番号、住所などのビジネス連絡先情報。
機密データが転送され(該当する場合)、データの性質とそれに伴うリスクを十分に考慮した制限または保護手段が適用されます。たとえば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみがアクセスできることを含む)、データへのアクセスの記録、転送の制限、または追加のセキュリティ対策。
なし
転送の頻度 (たとえば、データが XNUMX 回限りで転送されるか、継続的に転送されるか)。
契約に基づいてサービスを実行し、商業関係を維持するために必要な場合。
処理の性質
Aryaka は、契約に従ってサービスを実行するために必要に応じて個人情報を処理します。
データ転送およびさらなる処理の目的
に転送 Aryakaの事業所が英国、EEA、またはスイス以外にある場合。 Aryaka は、契約に従ってサービスを実行するために必要に応じて個人情報を処理します。
個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準
| タイプ | 保有年数 |
|---|---|
| 販売記録 | 5年 |
| 請求書 | 7年 |
| 総勘定元帳 | 正社員 |
(サブ) プロセッサへの転送の場合は、件名も指定します mattえー、処理の性質と期間
次のサブプロセッサは、次のサービスのために、次の処理場所に配置できます。
Salesforce:
使用します。 カスタマー·リレーションシップ·マネージメント
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ、 India, Germany, United Kingdom, Canada, Australia, Japan、オランダ、南部 Korea、スイス
NetSuite:
使用します。 会計
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ合衆国と India
ズオーラ:
使用します。 例として以下をご覧ください。
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ合衆国と India
Marketo:
使用します。 マーケティングとメッセージング
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ、 United Kingdom & India
C. 所管の監督当局
第 13 条に従って管轄監督当局を特定する
英国情報コミッショナー局。
付録2
標準契約条項 (2021)
コントローラー間
参照によりこの DPA に組み込まれ、ここからアクセスできます。
WWW。aryaka.com/SCC2021-コントローラーからコントローラーへ/
附属書I
A. 当事者のリスト
データエクスポーター: データ エクスポータは次のとおりです。契約に定義されている再販業者
[データ輸出者の身元および連絡先の詳細、および該当する場合にはそのデータ保護責任者および/または欧州連合の代表者の身元および連絡先の詳細]
名前: 再販業者との間の注文フォームを参照してください。 Aryaka
住所: 再販業者との間の注文フォームを参照してください。 Aryaka
担当者の名前、役職、および連絡先の詳細: 再販業者との間の注文フォームを参照してください。 Aryaka
これらの条項に基づいて転送されるデータに関連する活動: 再販業者と再販業者との間の契約を参照してください。 Aryaka
役割 (コントローラー/プロセッサー): プロセッサー
データインポーター: データインポーターは次のとおりです。 Aryaka.
データ輸入者の身元および連絡先の詳細(データ保護の責任を負う連絡担当者を含む)
お名前: Aryaka Networks, Inc.
住所: 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
担当者の名前、役職、連絡先の詳細: Edward Frye, CISCO/それ、 [メール保護]
これらの条項に基づいて転送されるデータに関連する活動: … 再販業者と再販業者との間の契約を参照してください。 Aryaka
役割 (コントローラー/プロセッサー): プロセッサー
B. 譲渡の説明
個人データが転送されるデータ主体のカテゴリ
顧客サポートの提供など、サービスを提供するために必要な再販業者の顧客情報。
転送される個人データのカテゴリ
名前、役職、電子メールアドレス、電話番号、住所などのビジネス連絡先情報。
機密データが転送され(該当する場合)、データの性質とそれに伴うリスクを十分に考慮した制限または保護手段が適用されます。たとえば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみがアクセスできることを含む)、データへのアクセスの記録、転送の制限、または追加のセキュリティ対策。
なし
転送の頻度 (たとえば、データが XNUMX 回限りで転送されるか、継続的に転送されるか)。
契約に基づいてサービスを実行し、商業関係を維持するために必要な場合。
処理の性質
Aryaka は、契約に従ってサービスを実行するために必要に応じて個人情報を処理します。
データ転送およびさらなる処理の目的
に転送 Aryakaの事業所が英国、EEA、またはスイス以外にある場合。 Aryaka は、契約に従ってサービスを実行するために必要に応じて個人情報を処理します。
個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準
| タイプ | 保有年数 |
|---|---|
| 販売記録 | 5年 |
| 請求書 | 7年 |
| 総勘定元帳 | 正社員 |
(サブ) プロセッサへの転送の場合は、件名も指定します mattえー、処理の性質と期間
次のサブプロセッサは、次のサービスのために、次の処理場所に配置できます。
Salesforce:
使用します。 カスタマー·リレーションシップ·マネージメント
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ、 India, Germany, United Kingdom, Canada, Australia, Japan、オランダ、南部 Korea、スイス
NetSuite:
使用します。 会計
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ合衆国と India
ズオーラ:
使用します。 例として以下をご覧ください。
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ合衆国と India
Marketo:
使用します。 マーケティングとメッセージング
インスタンスが常駐する場所: 米国
アクセス者 Aryaka 担当者:
アメリカ、 United Kingdom & India
C. 所管の監督当局
第 13 条に従って管轄監督当局を特定する
英国情報コミッショナー局。
セキュリティ基準
第 4 条 (d) および第 5 条 (c) に従ってデータ輸入者によって実施される技術的および組織的セキュリティ対策の説明 (または文書/法規)sla添付):
両当事者は、個人情報およびその他の個人データを保護するために設計されたさまざまなポリシー、基準、およびプロセスを維持します。 以下に、両当事者が実施する核となる技術的および組織的なセキュリティ対策の一部を説明します。
物理的なアクセス制御
個人データの処理に使用されるデータ処理機器が設置されている物理的な場所に、権限のない人物が物理的にアクセスすることを防止するために設計された措置。
技術的なアクセス制御
権限のない者が当事者のデータ処理システムにアクセスすることを防止するために設計された措置には、次のものが含まれます。
- 検出と軽減を統合したハイブリッド DDoS 保護 (オンプレミスまたは cloud)と cloudベースのボリュームベースの DDoS 攻撃防止、および 24 時間 7 日の緊急対応チーム (ERT) サポート。 そして
- 再販業者に組み込まれた高度な境界セキュリティ ソリューションを提供するネットワーク エッジ セキュリティ SD-WAN アプライアンス。
データアクセス制御
データ処理システムへのアクセスを、それぞれのアクセス許可(認可)の範囲および範囲内で必要な個人に制限するための措置を講じ、個人データが許可なく読み取り、コピー、変更または削除されることを防止するための措置を講じます。
入力制御
個人データが送信中に権限のない者によって読み取られ、コピーされ、変更または削除されるのを防ぐために設計された措置。
ジョブ制御
処理される個人データが本契約に従ってのみ処理されることを保証するために設計された措置。
可用性管理
個人データを開示、偶発的または不正な破壊または損失から保護するために設計された措置。