本数据保护附录(“DPA”) 构成主认购协议的一部分 Aryaka 和客户(如适用,“协议”)在这之下 Aryaka 向客户提供服务。 本 DPA 中使用但未定义的大写术语应具有协议中规定的含义。
- 1.释义
- 1.1“控制器” 指单独或与他人共同确定个人数据处理目的和方式的实体。
- 1.2 《数据保护法》 指适用于各方个人数据处理的所有法律。
- 1.3 “数据主体” 指可能根据本 DPA 处理其个人数据的任何个人。
- 1.4 “个人资料” 指客户向服务提供的与已识别或可识别自然人相关的信息。
- 1.5 “过程” or “处理” 指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动方式进行,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据。
- 1.6 “处理器” 指代表数据控制者处理个人数据的实体。
- 2. 双方关系。 客户和 Aryaka 已签订服务协议。双方承认客户是本协议中的控制者,并且 Aryaka 是一个处理器。双方将根据协议和适用的数据保护法处理个人数据
- 3. 客户义务。 客户将仅提供充分、相关且合理必要的个人数据 Aryaka 执行服务。客户声明并保证其个人数据的收集和披露 Aryaka 遵守所有适用的数据保护法。
- 4. 指示。 。 Aryaka 仅 (i) 根据协议中记录并在附件 IB 中进一步描述的客户指示来处理个人数据; (ii) 根据需要遵守适用法律,前提是 Aryaka 不应被要求按照任何可能(根据合理的意见)的客户指示采取行动 Aryaka) 原因 Aryaka 违反适用法律。 Aryaka 如果认为客户有关个人数据处理的任何指示将违反适用的数据保护法,将通知客户。
- 5. 安全。 Aryaka 将采取合理步骤实施适当的技术和组织措施,旨在保护个人数据免受预期的安全性、机密性或完整性威胁或危害。 Aryaka 将确保被授权处理个人数据的人员承诺保密或承担适当的法定保密义务。
- 6. 数据泄露。 Aryaka 将在任何时候立即通知客户 Aryaka 得知存在安全漏洞,导致处理的个人数据被意外或非法破坏、丢失、更改、未经授权的披露或访问(每个“数据泄露”),除非适用法律禁止或执法部门或监管机构另有指示。考虑到处理的性质和可用的信息 Aryaka, Aryaka 将根据客户的合理要求,采取合理措施协助客户遵守适用法律要求的客户有关数据泄露的通知义务。 Aryaka 保留就任何请求的帮助向客户收取合理费用的权利。
- 7. 返回或Disp奥萨尔。 在协议终止后 30 天内,客户可以要求 Aryaka 销毁或将所有个人数据返还给客户,除非适用法律要求由以下人员存储个人数据: Aryaka.
- 8. 审计;查询。 根据客户的合理要求(每年行使次数不得超过一次,除非监管机构要求更频繁) Aryaka 将立即向客户提供其拥有的证明所需的所有信息 Aryaka遵守本 DPA 规定的义务,并将允许并有助于合理的审计。提供的所有信息将 Aryaka的机密信息,未经授权不得泄露 Aryaka事先书面同意,适用法律要求的情况除外。
- 9. 分包。 客户授权 Aryaka 将个人数据传输给子处理者,以便向客户提供服务。 Aryaka 将维护子处理者的列表。当前的分处理者列表包含在附件三中。 Aryaka 将子处理者添加到此列表时,将提前 14 天通知客户,并提供反对此类添加的机会。如果 Aryaka 在通知后 14 天内未收到反对意见,则分处理者被视为已被客户接受。 Aryaka 将与此类分处理者签订协议,其中包括与本 DPA 类似的数据保护条款。
- 10. Aryaka 帮助。 根据客户的合理要求并考虑处理的性质, Aryaka 将采取合理措施,协助客户履行客户的义务,通过采取适当的技术和组织措施,响应数据主体根据适用法律行使其权利的请求。考虑到处理的性质和可用的信息 Aryaka, Aryaka 还将应客户的合理要求协助客户履行其有关进行数据保护影响评估和监管机构相关咨询的合规义务。 Aryaka 保留就此类请求的帮助向客户收取合理费用的权利。
- 11. 加州消费者隐私法 (CCPA) 规定。
- 11.1 法律合规性。 Aryaka 将为加州居民的个人数据提供与 CCPA 规定的客户要求相同级别的隐私保护。 Aryaka 如果出现以下情况,将以书面形式通知客户 Aryaka 确定其无法再履行 CCPA 规定的义务。客户有权在发出通知后 Aryaka,采取合理和适当的措施来停止和纠正未经授权的个人数据使用,包括在以下情况 Aryaka 已通知客户其无法再履行其 CCPA 义务。
- 11.2 处理限制。 在任何情况下都不得 Aryaka:(a) 向第三方披露加州居民的个人数据以获取金钱或其他有价值的报酬,或向第三方披露个人数据以进行跨情境行为广告; (b) 为了商业利益向任何第三方披露加州居民的个人数据 Aryaka 或任何第三方; (c) 在境外保留、使用或披露加州居民的个人数据 Aryaka与客户的直接业务关系或出于协议中指定的商业目的或适用法律允许的其他商业目的之外的商业目的; (d) 将加州居民的个人数据与以下个人信息相结合: Aryaka 从其他人或代表其他人接收,或从其自己与数据主体的互动中收集,适用法律允许的情况除外。 Aryaka 证明其理解并将遵守上述限制。
- 12. 数据传输
- 12.1 受 GDPR 约束的个人数据的限制传输。 欧盟标准合同条款(模块 2 控制者到处理者)((EU) 2021/914)可在 [www.aryaka.com/SCC2021-Controller-to-Processor/](“欧盟 SCC”),并通过引用并入本文,连同所附附件 I 和 II 将适用于受欧盟通用数据保护约束的任何个人数据传输法规 ((EU) 2016/679)(“GDPR”)。尽管有上述规定,欧盟 SCC 将不适用于以下范围内的传输:(i) 对客户有管辖权的主管机构通过的决定,声明管辖区满足个人数据的充分保护水平(“充分性决定”) ”)。
- 12.1.1 在第 9 条中,双方同意根据第 [2] 条(分包)选择方案 9。
- 12.1.2 第11条中的可选语言除外。
- 12.1.3 在第 17 条中,欧盟 SCC 将受荷兰法律管辖。
- 12.1.4 在第18条中,任何disp欧盟 SCC 引起的争议将由荷兰法院解决。
- 12.1.5 在附件 IC 中,客户所在的数据保护机构为主管监管机构。
- 12.2.来自瑞士的限制转移。 经本节修改后的欧盟 SCC 将适用于受瑞士联邦数据保护法 (FADP) 约束且不受充分性决定约束的任何个人数据传输:
- 12.2.1 “欧盟成员国”一词不得是完整的erp其方式是排除瑞士的数据主体根据第 18(c) 条在其惯常居住地(瑞士)起诉其权利的可能性。
- 12.2.2 欧盟 SCC 中对 GDPR 的引用应理解为对 FADP 的引用。
- 12.2.3 在第 17 条中,欧盟 SCC 将受瑞士法律管辖。
- 12.2.4 在附件 IC 中,瑞士联邦数据保护和信息专员是主管监督机构。
- 12.3 限制从 United Kingdom. 个人数据的传输须遵守所在国法律 United Kingdom (包括英国通用数据保护条例)并且不受充分性决定的约束,双方同意:
- 12.3.1 欧盟委员会标准合同条款英国国际数据传输附录 B1.0 版的规定,自 21 年 2022 月 XNUMX 日起生效,可访问 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“英国附录”),包括第 2 部分“强制性条款”,通过引用并入本文并应完全适用;
- 12.3.2 英国附录表1中各方的名称、角色及其详细信息应在所附附件1中列出;
- 12.3.3 在英国附录的表 2 和表 3 中,通过引用纳入本 DPA 的欧盟 SCC 模块 2(包括所附附件中列出的信息)应适用;和
- 12.3.4. 在英国附录的表 4 中,任何一方均可终止英国附录。
- 13. 冲突;可执行性。 如果本 DPA 的任何条款被任何有管辖权的法院判定为无效或不可执行,该判决不会使本 DPA 的任何其他条款或客户与客户之间的任何其他合同无效或不可执行。 Aryaka。本 DPA 是对本协议的补充。如果本协议与本 DPA 之间存在任何不一致,则以本 DPA 为准。本协议中不受本 DPA 影响的任何其他条款或义务将仍然完全有效。如果本 DPA 或为履行本 DPA 而采取或打算采取的任何行动没有或不会满足任何一方根据适用于双方的法律所承担的义务,双方将真诚地进行谈判,以达成适当的修订这个 DPA。
附件I
A. 缔约方名单
数据导出者:
名称:参见客户与客户之间的订单表 Aryaka.
地址:参见客户与 Aryaka.
联系人姓名、职位和联系方式:参见客户与客户之间的订单 Aryaka.
与根据这些条款传输的数据相关的活动:请参阅客户与 Aryaka.
签名和日期: ————-
角色(控制器/处理器):控制器
数据导入者:
名称: Aryaka Networks, Inc.
地址:3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA
联系人姓名、职务、联系方式: Edward Frye,首席信息安全官, [电子邮件保护].
与根据这些条款传输的数据相关的活动:请参阅双方之间的协议。
角色(控制器/处理器):处理器
B. 转让说明
个人数据被转移的数据主体类别
- 包括客户员工、临时工、顾问以及所有与客户员工有关联或使用所提供的系统和服务的人员的个人。
客户的客户、供应商、合作伙伴、供应商以及客户可能拥有个人数据的任何第三方。传输的个人数据的类别:
- 与客户用户相关的信息,包括他们的联系方式,或自愿与客户共享的任何信息 Aryaka 通过服务或其他渠道。
元数据对于提供针对客户特定环境的定制服务至关重要。该元数据包含文件详细信息、文件类型、哈希值、命令行参数、网络访问数据(包括 IP 地址和协议)以及网络相关信息(包括内部网络 IP 地址、公共 IP 地址和网站)等属性。 URL 数据)。传输的敏感数据(如果适用)和应用的限制或保障措施充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括仅接受过专门培训的工作人员的访问)、保留数据访问记录、继续传输限制或其他安全措施:
一般情况下没有。然而,仅就“安全 Web 网关”和防火墙服务而言,流经服务的客户流量中可能可见或暴露的任何敏感数据都是偶然的,并且取决于客户对这些服务的使用情况。
传输频率:连续
处理性质:
Aryaka 服务边缘的安全性(SASE)服务代表现代化企业erp崛起的网络边界,通过网络和安全软件的紧密结合来实现。该系统连接分支机构、移动用户以及物理和 cloud基于数据中心,确保广域网(WAN)和互联网接入
数据传输和进一步处理的目的:
根据双方签订的协议和订单向客户提供服务。
个人数据的保留期限,或者,如果不可能,则用于确定该期限的标准: 除非适用法律要求更长的期限,否则个人数据将在执行本协议项下的服务所需的期限内保留。
对于传输至(子)处理者,还需指定主题 matt呃,处理的性质和持续时间: 请参阅上面的描述。
附件二——安全措施
Aryaka 维护旨在保护个人数据的各种政策、标准和流程。以下是对实施的一些核心技术和组织安全措施的描述 Aryaka.
物理访问控制
Aryaka 实施并维护旨在防止未经授权的人员实际访问的措施 Aryaka 位置。
技术访问控制
Aryaka 实施并维护旨在防止未经授权的人员访问的措施 Aryaka的数据处理系统,包括:
- 集成检测和缓解的混合分布式拒绝服务 (DDoS) 保护(本地或在 cloud)与 cloud基于容量的 DDoS 攻击防御,以及 24×7 应急响应团队 (ERT) 支持; 和
- 网络边缘安全提供先进的外围安全解决方案,该解决方案内置于客户的软件定义 – 广域网(SD-WAN) 器具。
数据访问控制
Aryaka 实施并维护旨在将其数据处理系统的访问权限限制在需要在其各自访问许可(授权)涵盖的范围和范围内的个人。
作业控制
Aryaka 实施并维护旨在确保在为客户提供服务时处理的个人数据完全按照协议进行处理的措施。
可用性控制
Aryaka 实施并维护旨在保护个人数据免遭泄露、意外或未经授权的破坏或丢失的措施。
附件 III – 子处理者列表
Salesforce的:
用途:客户关系管理
实例居住地点:美国
访问者 Aryaka 人员来自:美国, India, Germany, United Kingdom, Canada, Australia, Japan, 荷兰南部 Korea、和瑞士
NetSuite:
用途:会计
实例居住地点:美国
访问者 Aryaka 人员来自: 美国和 India
祖拉:
用途:计费
实例居住地点:美国
访问者 Aryaka 人员来自: 美国和 India
Marketo:
用途:营销和消息传递
实例居住地点:美国
访问者 Aryaka 人员来自:美国, United Kingdom及 India