이 데이터 보호 부록("DPA”)는 다음과 같은 리셀러 계약의 일부를 구성합니다. Aryaka 및 리셀러('협약”) 리셀러가 마케팅하고 재판매하는 경우 Aryaka 고객 및 잠재 고객에게 서비스를 제공합니다. 본 DPA에 사용되었지만 정의되지 않은 대문자 용어는 계약에 명시된 의미를 갖습니다.

  • 1. 정의
  • 1.1 "데이터 컨트롤러" 단독으로 다른 사람과 공동으로 또는 공동 데이터 컨트롤러로서 개인 정보 처리의 목적과 수단을 결정하는 주체를 의미합니다.
  • 1.2 "데이터 프로세서" 데이터 컨트롤러를 대신하여 개인 정보를 처리하는 주체를 의미합니다.
  • 1.3 "데이터 보호법" 개인 정보 처리에 적용되는 모든 법률을 의미합니다.
  • 1.4 "데이터 주체" 본 DPA에 따라 개인 정보를 처리할 수 있는 개인을 의미합니다.
  • 1.5 "개인 정보" or "개인 정보" 계약에 따라 당사자에게 제공되는 식별되거나 식별 가능한 자연인과 관련된 개인 데이터를 의미합니다.
  • 1.6 "프로세스" or "처리" 수집, 기록, 구성, 구조화, 저장, 적응 또는 변경, 검색, 상담, 사용, 전송에 의한 공개와 같은 자동화된 수단 여부에 관계없이 개인 정보 또는 개인 정보 집합에 대해 수행되는 모든 작업 또는 일련의 작업을 의미합니다. , 배포 또는 기타 방식으로 제공, 정렬 또는 조합, 제한, 삭제 또는 개인 정보의 파기.
  • 1.7 "보안 사고" 본 DPA에 따라 전송, 저장 또는 처리된 개인 정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 무단 액세스로 이어지는 서비스의 보안 위반을 의미합니다.
  • 2. 당사자 간의 관계. 당사자들은 리셀러와 Aryaka 본 계약의 목적상 컨트롤러는 각각입니다. 본 계약을 이행하기 위해 당사자들은 비즈니스 연락처 정보 등 제한된 개인정보를 서로에게 제공해야 합니다. 당사자들은 계약 및 본 DPA에 따라 또는 해당 데이터 보호법에서 요구하는 바에 따라 그러한 개인 정보를 처리합니다. 때때로 계약에 명시된 대로 리셀러는 다음을 제공할 수 있습니다. Aryaka 고객에게 리셀러의 서비스 제공을 용이하게 하기 위해 고객에 대한 정보를 제공합니다. 그러한 경우에는 Aryaka 리셀러의 문서화된 지침에 따라서만 리셀러 고객에 대한 개인 정보를 처리합니다. 각 당사자는 처리와 관련하여 데이터 주체 또는 기타 개인에게 필요한 통지를 제공하고 필요한 동의를 얻는 것을 포함하여 개인 정보 처리와 관련하여 해당 데이터 보호법에 따른 의무를 준수할 전적인 책임을 집니다. 개인 정보. 명확성을 위해, Aryaka 리셀러에게 서비스를 제공하는 것 이외의 상업적 목적이나 관련 데이터 보호법에서 요구하는 것을 포함하되 이에 국한되지 않고 계약에 따라 리셀러에게 서비스를 제공하는 것 이외의 목적으로 개인 정보를 보유, 사용 또는 공개하지 않습니다. 전술한 사항을 제한하지 않고 어떠한 경우에도 Aryaka 해당 개인정보를 제XNUMX자에게 판매하거나 공유합니다. Aryaka 앞서 언급한 제한 사항을 이해하고 준수할 것임을 인증합니다. 해야 한다 Aryaka 해당 데이터 보호법에 따라 더 이상 의무를 이행할 수 없다고 판단하는 경우 즉시 리셀러에게 알립니다.
  • 3. 공동 컨트롤러. 양 당사자가 공동 데이터 컨트롤러 역할을 하는 경우 각 당사자는 독립적인 데이터 컨트롤러이며 데이터 보호법에 따라 데이터 컨트롤러로서 적용되는 의무를 준수할 개별적 및 개별적 책임이 있습니다. 공동 컨트롤러로 활동할 때 각 당사자는 개인 데이터 처리의 목적과 수단을 개별적으로 결정합니다.
  • 4. 기밀 유지. 당사자는 개인 정보의 기밀성을 보호하기 위해 직원을 요구합니다.
  • 5. 보안. 양 당사자는 개인 데이터의 보안, 기밀성 및 무결성을 보호하기 위해 고안된 합리적인 관리적, 물리적, 기술적 보호 조치를 유지해야 합니다. Aryaka 부록 2에 나열된 조치를 포함하여 무단 손실, 파괴, 변경, 액세스 또는 공개로부터 네트워크를 보호합니다.
  • 6. 보안 사고. 어느 한 당사자가 개인 정보를 손상시키는 보안 사고를 경험하는 경우, 보안 사고를 경험한 당사자는 법률에서 달리 금지하거나 달리 지시하지 않는 한 부당한 지체 없이 어떤 경우에도 사십팔(48) 시간 이내에 상대방에게 통지해야 합니다. 법 집행 기관 또는 감독 기관에 의해. 처리의 성격과 보안 사고에 대해 이용 가능한 정보를 고려하여, 보안 사고를 경험한 당사자는 상대방의 합당한 요청이 있는 경우 법적으로 요구되는 통지와 관련하여 상대방에게 합당한 지원과 협력을 제공할 것입니다. 그러한 보안 사고와 관련하여 영향을 받는 데이터 주체 또는 규제 기관에 제공합니다. 양 당사자는 해당 법률이 허용하는 범위 내에서 그러한 요청된 지원에 대해 상대방에게 합당한 수수료를 청구할 권리를 보유합니다.
  • 7. 데이터 주체 요청. 계약의 성격을 고려하여 당사자들은 리셀러가 데이터 주체 요청에 응답할 적절한 당사자라는 데 동의합니다. Aryaka 해당 법률에 의해 금지되지 않는 한 다음과 같은 경우 리셀러에게 즉시 알립니다. Aryaka (i) 다음에 의해 처리되는 개인 정보와 관련하여 데이터 주체로부터 요청을 받습니다. Aryaka옵트아웃 요청, 액세스 및/또는 수정 요청, 차단, 삭제, 데이터 이동성 요청 및 모든 유사한 요청을 포함하되 이에 국한되지 않으며 명시되지 않는 한 그러한 요청에 응답하지 않습니다.ssly는 리셀러로부터 그렇게 할 수 있는 권한을 부여받았습니다. 또는 (ii) 다음 처리에 관한 불만사항 Aryaka 그러한 처리가 데이터 주체의 권리를 침해한다는 주장을 포함한 개인 정보. 리셀러는 데이터 주체 요청에 응답할 책임이 있습니다. 리셀러의 요청에 따라 처리 성격을 고려하여, Aryaka 해당 데이터 주체 요청에 응답하기 위해 해당 데이터 보호법에 따라 리셀러가 가질 수 있는 의무를 이행하기 위해 가능한 한 적절한 기술 및 조직적 조치를 통해 리셀러를 지원할 것입니다. Aryaka 해당 법률이 허용하는 한도 내에서 요청된 지원에 대해 리셀러에게 합당한 수수료를 청구할 권리가 있습니다.
  • 8. 서브프로세서. 양 당사자는 상대방이 본 계약에 따라 서비스를 제공할 목적으로 처리자 및 하도급자에게 개인 정보를 공개할 수 있음에 동의합니다. ("하위 처리자"), 단 양 당사자는 본 DPA에 명시된 개인 정보의 보안 및 기밀성과 관련하여 하위 처리자에게 실질적으로 유사한 의무를 부과합니다. 요청 시 양 당사자는 (a) 하위 처리자 목록을 제공하고 이 목록의 변경 사항에 대한 통지를 받을 수 있는 메커니즘을 제공합니다. 양 당사자는 하위 수탁 처리자를 고용한 주체가 작위 또는 부작위를 수행한 것과 동일한 정도로 하위 수탁 처리자의 작위 또는 부작위에 대해 책임을 집니다.
  • 9. 데이터 위치. 계약 이행과 관련하여 양 당사자는 개인정보를 계약 내부 및 외부 위치를 포함할 수 있는 다양한 위치로 전송할 수 있습니다. United Kingdom (“영국”), 유럽 경제 지역 ("EEA") 또는 스위스. 그러한 이전이 영국, EEA 또는 스위스에서 발생한 개인 정보를 구속력 있는 적절성 결정을 받지 못한 영국, EEA 또는 스위스 이외의 국가 위치로 이전하는 것을 포함하는 경우 당사자는 당사자가 다음과 같이 행동할 때 동의합니다. 공동 컨트롤러, 여기 부록 1에 첨부된 유럽 연합 표준 계약 조항(컨트롤러 대 컨트롤러)이 이러한 이전에 적용되며 이러한 이전은 부록 1에 설명되어 있습니다. 당사자 간의 관계가 컨트롤러 대 프로세서의 관계인 경우 , 부록 2에 첨부된 유럽 연합 표준 계약 조항(컨트롤러에서 프로세서로)이 그러한 양도에 적용되며 그러한 양도는 부록 1에 설명되어 있습니다.
  • 10. 심사. 한쪽 당사자의 요청에 따라 상대방은 (a) Service Organization Controls 1, Type 2 보고서 또는 유사한 보고서와 같은 제XNUMX자 평가 사본을 XNUMX년에 한 번 제공합니다. ("제XNUMX자 보고서") , 그러한 제XNUMX자 보고서를 입수한 경우 또는 (b) 당사자가 제XNUMX자 보고서를 입수하지 않은 경우 본 계약 준수를 확인하기 위해 합리적으로 제출된 서면 질문에 대한 답변을 제공합니다. ("서면 답변") . 그러한 제30자 보고서 및 서면 답변은 제출 당사자의 기밀 정보이며 법률에서 요구하는 경우를 제외하고 해당 당사자의 사전 서면 동의 없이 공개될 수 없습니다. 한 당사자가 제XNUMX자 보고서가 아닌 서면 답변을 제공하여 상대방의 요청에 응답하고 요청 당사자가 서면 답변을 받은 후 법률에 따라 추가 평가가 필요하다고 합리적으로 판단하는 경우, 요청자는 XNUMX일 전에 요청할 수 있습니다. 당사자가 상호 합의한 범위 내에서 해당 당사자의 비용으로 서비스의 관련 정책, 절차 및 관련 문서를 검토합니다. 이러한 검토는 해당 당사자에 대한 기밀 유지 의무를 손상시키지 않는 한도 내에서 수행됩니다. Aryaka의 다른 리셀러입니다. 리셀러는 개인정보의 무단 사용을 중단하고 이를 교정하기 위한 합리적인 조치를 취할 권리가 있습니다.
  • 11. 반환 또는 Disp오살. 계약 체결 시 요청 시 각 당사자는 해당 법률에서 개인 데이터 저장을 요구하지 않는 한 시스템에서 개인 데이터를 즉시 삭제합니다.

부록 1
표준 계약 조항(2021)
컨트롤러 간
이 DPA에 참조로 통합되었으며 여기에서 액세스:
WWW.aryaka.com/SCC2021-컨트롤러-컨트롤러/

부속서 I

A. 당사자 목록

데이터 수출자: 데이터 수출자는 계약에 정의된 리셀러입니다.

[데이터 수출자 및 해당되는 경우 데이터 보호 책임자 및/또는 유럽 연합 대표의 신원 및 연락처 세부 정보]

이름: 리셀러와 사이의 주문 양식을 참조하세요. Aryaka

주소: 리셀러와 사이의 주문 양식을 참조하세요. Aryaka

담당자 이름, 직위, 연락처 정보: 리셀러와 리셀러 간의 주문 양식 참조 Aryaka

본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 리셀러 간의 계약을 참조하세요. Aryaka

역할(컨트롤러/프로세서): 컨트롤러

데이터 가져오기: 데이터 가져오기 담당자는 다음과 같습니다. Aryaka.
데이터 보호를 담당하는 담당자를 포함하여 데이터를 가져오는 사람의 신원 및 연락처 정보

이름: Aryaka Networks, Inc.

주소: 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA

담당자의 이름, 직위 및 연락처 정보: Edward Frye, CISCO/IT, edward.frye@aryaka.COM

본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 리셀러 간의 계약을 참조하세요. Aryaka

역할(컨트롤러/프로세서): 컨트롤러

B. 양도에 대한 설명

개인정보가 이전되는 정보주체의 범주

리셀러의 비즈니스 연락처 및 Aryaka.

전송된 개인 데이터의 범주

이름, 직위, 이메일 주소, 전화번호, 실제 주소와 같은 비즈니스 연락처 정보.

민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 액세스 제한(전문 교육을 이수한 직원만 액세스 포함), 데이터에 대한 액세스 기록, 전송 제한 또는 추가 보안 조치.

없음

전송 빈도(예: 데이터가 일회성 또는 연속적으로 전송되는지 여부).

계약에 따라 서비스를 수행하고 상업적 관계를 유지하는 데 필요한 경우.

처리의 성격

Aryaka 계약에 따라 서비스를 수행하는 데 필요한 경우 개인정보를 처리합니다.

데이터 전송 및 추가 처리의 목적

로 전송 Aryaka영국, EEA 또는 스위스 이외의 지역에 위치한 의 사업장. Aryaka 계약에 따라 서비스를 수행하는 데 필요한 경우 개인정보를 처리합니다.

개인 데이터가 보유되는 기간 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용되는 기준

타입 보유 연수
판매 기록 5년
송장 7년
총계정 원장 퍼머넌트

(하위) 프로세서로 전송하는 경우 제목도 지정하십시오. matt어, 처리의 성격 및 기간
다음 서비스를 위해 다음 처리 위치에 다음 서브 프로세서를 배포할 수 있습니다.

영업:

사용 고객 관계 관리
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국, India, Germany, United Kingdom, Canada, Australia, Japan, 네덜란드, 남부 Korea, 그리고 스위스

넷스위트:
사용 회계
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국과 India

주오라:
사용 결제
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국과 India

Marketo :
사용 마케팅 및 메시징
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국, United Kingdom 과 India

C. 유능한 감독 기관

13항에 따라 권한 있는 감독 기관을 식별합니다.

영국 정보 위원회 사무실.

부록 2
표준 계약 조항(2021)
컨트롤러 간
이 DPA에 참조로 통합되었으며 여기에서 액세스:
WWW.aryaka.com/SCC2021-컨트롤러-컨트롤러/

부속서 I

A. 당사자 목록

데이터 수출자: 데이터 수출자는 계약에 정의된 리셀러입니다.
[데이터 수출자 및 해당되는 경우 데이터 보호 책임자 및/또는 유럽 연합 대표의 신원 및 연락처 세부 정보]

이름: 리셀러와 사이의 주문 양식을 참조하세요. Aryaka

주소: 리셀러와 사이의 주문 양식을 참조하세요. Aryaka

담당자 이름, 직위 및 연락처 정보: 리셀러와 리셀러 간의 주문 양식 참조 Aryaka

본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 리셀러 간의 계약을 참조하세요. Aryaka

역할(컨트롤러/프로세서): 프로세서

데이터 가져오기: 데이터 가져오기 담당자는 다음과 같습니다. Aryaka.
데이터 보호를 담당하는 담당자를 포함하여 데이터를 가져오는 사람의 신원 및 연락처 정보

이름: Aryaka Networks, Inc.

주소: 1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA

담당자의 이름, 직책 및 연락처 정보: Edward Frye, CISCO/IT, edward.frye@aryaka.COM

본 조항에 따라 전송된 데이터와 관련된 활동: … 리셀러와 리셀러 간의 계약을 참조하세요. Aryaka

역할(컨트롤러/프로세서): 프로세서

B. 양도에 대한 설명

개인정보가 이전되는 정보주체의 범주

고객 지원 제공을 포함하여 서비스를 제공하는 데 필요한 리셀러의 고객 정보.

전송된 개인 데이터의 범주

이름, 직위, 이메일 주소, 전화번호, 실제 주소와 같은 비즈니스 연락처 정보.

민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 액세스 제한(전문 교육을 이수한 직원만 액세스 포함), 데이터에 대한 액세스 기록, 전송 제한 또는 추가 보안 조치.

없음

전송 빈도(예: 데이터가 일회성 또는 연속적으로 전송되는지 여부).

계약에 따라 서비스를 수행하고 상업적 관계를 유지하는 데 필요한 경우.

처리의 성격

Aryaka 계약에 따라 서비스를 수행하는 데 필요한 경우 개인정보를 처리합니다.

데이터 전송 및 추가 처리의 목적

로 전송 Aryaka영국, EEA 또는 스위스 이외의 지역에 위치한 의 사업장. Aryaka 계약에 따라 서비스를 수행하는 데 필요한 경우 개인정보를 처리합니다.

개인 데이터가 보유되는 기간 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용되는 기준

타입 보유 연수
판매 기록 5년
송장 7년
총계정 원장 퍼머넌트

(하위) 프로세서로 전송하는 경우 제목도 지정하십시오. matt어, 처리의 성격 및 기간
다음 서비스를 위해 다음 처리 위치에 다음 서브 프로세서를 배포할 수 있습니다.

영업:

사용 고객 관계 관리
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국, India, Germany, United Kingdom, Canada, Australia, Japan, 네덜란드, 남부 Korea, 그리고 스위스

넷스위트:
사용 회계
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국과 India

주오라:
사용 결제
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국과 India

Marketo :
사용 마케팅 및 메시징
인스턴스가 상주하는 위치: United States
에 의해 액세스됨 Aryaka 출신 인원:
미국, United Kingdom 과 India

C. 유능한 감독 기관

13항에 따라 권한 있는 감독 기관을 식별합니다.

영국 정보 위원회 사무실.

보안 표준

조항 4(d) 및 5(c)(또는 문서/법률sla첨부):

당사자들은 개인 정보 및 기타 개인 데이터를 보호하기 위해 고안된 다양한 정책, 표준 및 프로세스를 유지합니다. 다음은 양 당사자가 구현한 일부 핵심 기술 및 조직 보안 조치에 대한 설명입니다.

물리적 액세스 제어

권한이 없는 사람이 개인 데이터를 처리하는 데 사용되는 데이터 처리 장비가 있는 물리적 위치에 물리적으로 액세스하지 못하도록 설계된 조치입니다.

기술 액세스 제어

권한이 없는 사람이 다음을 포함하여 당사자의 데이터 처리 시스템에 액세스하는 것을 방지하기 위해 고안된 조치:

  • 탐지 및 완화를 통합한 하이브리드 DDoS 보호(온프레미스 또는 cloud)와 cloud기반의 대량 DDoS 공격 방지 및 연중무휴 ERT(긴급 대응팀) 지원 그리고
  • 리셀러에 내장된 고급 경계 보안 솔루션을 제공하는 네트워크 에지 보안 SD-WAN 어플라이언스.

데이터 액세스 제어

데이터 처리 시스템에 대한 액세스를 해당 액세스 권한(권한)이 적용되는 범위 내에서 그러한 액세스가 필요한 개인으로 제한하고 승인 없이 개인 데이터를 읽거나 복사하거나 수정하거나 제거하지 못하도록 조치를 취합니다.

입력 컨트롤

개인 데이터를 전송하는 동안 승인되지 않은 당사자가 개인 데이터를 읽거나, 복사하거나, 변경하거나, 삭제하는 것을 방지하기 위해 고안된 조치입니다.

작업 제어

처리 중인 개인 데이터가 계약에 따라서만 처리되도록 하기 위해 고안된 조치입니다.

가용성 제어

공개, 우발적 또는 무단 파기 또는 손실로부터 개인 데이터를 보호하기 위해 고안된 조치입니다.