اتفاقية معالجة البيانات

الشركاء

تم إبرام اتفاقية معالجة البيانات هذه ("اتفاقية معالجة البيانات" أو "الاتفاقية") بين:

مراقب البيانات ("المراقب" أو "العميل")

معالج البيانات ("المعالج" أو "Xygeni"):

يُشار إلى كل من وحدة التحكم والمعالج فيما يلي بشكل فردي باسم "الطرف" وبشكل جماعي باسم "الأطراف".

تشكل اتفاقية حماية البيانات هذه جزءًا من اتفاقية الخدمة الرئيسية أو شروط الخدمة ("الاتفاقية الرئيسية") بين الطرفين والتي تحكم تقديم شركة Xygeni لأمن تطبيقاتها و software supply chain security الخدمات (يشار إليها فيما يلي بـ "الخدمات"). في حالة وجود تعارض بين اتفاقية حماية البيانات هذه والاتفاقية الرئيسية، تسود اتفاقية حماية البيانات هذه فيما يتعلق بمسائل حماية البيانات.

1. تعريفات

لأغراض هذا الاتفاق لحماية البيانات:

• "الناتج المحلي الإجمالي" يعني اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية.
• "LOPDGDD" يعني Ley Orgánica 3/2018، بتاريخ 5 ديسمبر، لحماية البيانات الشخصية وضمان الحقوق الرقمية.
• "البيانات الشخصية"، "المعالجة"، "المراقب"، "المعالج"، "المعالج الفرعي"، "صاحب البيانات"، "السلطة الإشرافية"، "خرق البيانات الشخصية" سيكون لها المعاني المنسوبة إليها في اللائحة العامة لحماية البيانات (GDPR).
• "بيانات العميل" يعني أي بيانات شخصية مقدمة من قبل أو نيابة عن المتحكم إلى الخدمات، أو تتم معالجتها من قبل المعالج نيابة عن المتحكم فيما يتعلق بالخدمات.
• "المعالج الفرعي" يعني أي طرف ثالث يتم التعاقد معه من قبل المعالج، بتفويض مسبق من المتحكم (كما هو موضح في البند 7)، لمعالجة بيانات العميل نيابة عن المتحكم.
• "SCCs" يعني Standard بنود تعاقدية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة العامة لحماية البيانات (GDPR)، كما وافقت عليها المفوضية الأوروبية.cision (EU) 2021/914 الصادر في 4 يونيو 2021.
• "خدمات" يعني application security posture management, software supply chain security، اكتشاف الثغرات الأمنية والخدمات ذات الصلة التي تقدمها شركة Xygeni إلى المتحكم بموجب الاتفاقية الرئيسية.
• "قانون حماية البيانات المعمول به" ويعني ذلك اللائحة العامة لحماية البيانات (GDPR) وقانون حماية البيانات العامة وحماية البيانات (LOPDGDD) وأي تشريعات وطنية أخرى سارية لحماية البيانات بصيغتها المعدلة من وقت لآخر.

2. أدوار الأطراف

يقرّ الطرفان ويوافقان على ما يلي:

• يتولى المتحكم دور المتحكم في البيانات فيما يتعلق ببيانات العملاء وهو مسؤول عن تحديد أغراض ووسائل معالجة بيانات العملاء المقدمة إلى الخدمات.
• يقوم المعالج بدور معالج البيانات فيما يتعلق ببيانات العميل، ويعالج هذه البيانات فقط نيابة عن المتحكم وبناءً على تعليماته الموثقة.
• يلتزم كل طرف بالتزاماته بموجب قانون حماية البيانات المعمول به في دوره كمراقب أو معالج.

عندما تعالج شركة Xygeni البيانات الشخصية لأغراضها الخاصة (مثل إدارة الحسابات، والفواتير، وتحليلات تحسين الخدمة)، فإنها تعمل كجهة تحكم مستقلة. وتخضع هذه المعالجة لسياسة خصوصية Xygeni، وهي خارج نطاق اتفاقية حماية البيانات هذه.

3. موضوع المعالجة وطبيعتها والغرض منها

تم تحديد موضوع المعالجة وطبيعتها ومدتها والغرض منها، بالإضافة إلى أنواع البيانات الشخصية التي تتم معالجتها وفئات أصحاب البيانات، في الجدول 1 (تفاصيل المعالجة) الملحق بهذا القانون.

لا يجوز للمعالج معالجة بيانات العميل إلا بالقدر اللازم لتقديم الخدمات الموضحة في الاتفاقية الرئيسية ووفقًا لتعليمات المتحكم الموثقة، ما لم يقتضِ القانون المعمول به خلاف ذلك. وفي هذه الحالة، يُلزم المعالج بإبلاغ المتحكم بهذا الشرط القانوني قبل المعالجة، ما لم يحظر القانون ذلك لأسباب تتعلق بالمصلحة العامة.

4. تعليمات وحدة التحكم

يقوم المتحكم بتوجيه المعالج لمعالجة بيانات العميل حسب الضرورة من أجل: (أ) تقديم الخدمات وفقًا للاتفاقية الرئيسية؛ (ب) الامتثال لتعليمات المتحكم التي يتم إبلاغها كتابيًا من وقت لآخر؛ و (ج) الوفاء بالتزامات المعالج بموجب اتفاقية حماية البيانات هذه.

يتعين على المعالج إبلاغ المراقب فورًا إذا رأى، وفقًا لتقديره المعقول، أن تعليمات المراقب تنتهك قانون حماية البيانات المعمول به. وفي هذه الحالة، يحق للمعالج التوقف عن المعالجة بموجب هذه التعليمات إلى حين قيام المراقب بتوضيحها أو تعديلها.

يضمن المتحكم ويقر بما يلي: (أ) أن لديه أساسًا قانونيًا صحيحًا بموجب المادة 6 من اللائحة العامة لحماية البيانات (والمادة 9 عند الاقتضاء) لمعالجة البيانات الشخصية ذات الصلة؛ (ب) أنه قد قدم جميع الإشعارات المطلوبة وحصل على جميع الموافقات المطلوبة؛ و(ج) أن نقل بيانات العميل إلى المعالج لا ينتهك أي قوانين سارية.

5. التزامات المعالج

5.1 قيود المعالجة

لا يجوز للمعالج معالجة بيانات العميل إلا وفقًا للتعليمات الموثقة من المتحكم، ما لم يُلزمه قانون الاتحاد الأوروبي أو قانون الدولة العضو بذلك. ولا يجوز للمعالج معالجة بيانات العميل لأغراضه الخاصة أو الكشف عنها لأطراف ثالثة إلا بالقدر اللازم لتقديم الخدمات أو وفقًا لما يقتضيه القانون.

5.2 السرية

يجب على المعالج ضمان أن الأشخاص المصرح لهم بمعالجة بيانات العميل لديهم commitيلتزمون بالحفاظ على سرية بياناتهم أو يخضعون لالتزام قانوني مناسب بذلك. ويقتصر الوصول إلى بيانات العملاء على الموظفين والمتعاقدين والمعالجين الفرعيين الذين يحتاجون إلى الوصول إليها لغرض تقديم الخدمات.

5.3 تدابير أمنية

يتعين على المعالج تنفيذ وصيانة التدابير التقنية والتنظيمية المناسبة لحماية بيانات العميل من المعالجة غير المصرح بها أو غير القانونية ومن الفقدان أو التدمير أو التلف أو التغيير أو الإفصاح العرضي، مع مراعاة ما يلي:

• أحدث التقنيات وتكاليف التنفيذ؛
• طبيعة ونطاق وسياق وأغراض المعالجة؛
• المخاطر التي تهدد حقوق وحريات الأشخاص الطبيعيين، ولا سيما من التدمير العرضي أو غير القانوني، أو الفقدان، أو التغيير، أو الكشف غير المصرح به، أو الوصول إلى بيانات العميل المنقولة أو المخزنة أو المعالجة بأي شكل آخر.

يجب أن تشمل هذه التدابير، كحد أدنى، تلك المنصوص عليها في الجدول 2 (التدابير الأمنية التقنية والتنظيمية) الملحق بهذه الاتفاقية. وتُعدّ شهادة ISO 27001 الخاصة بالجهة المُعالجة دليلاً على وجود نظام أساسي لإدارة أمن المعلومات. ويجب على الجهة المُعالجة الحفاظ على شهادة ISO 27001 أو ما يعادلها طوال مدة هذه الاتفاقية.

5.4 حقوق صاحب البيانات

يتعين على المعالج، مع مراعاة طبيعة المعالجة، مساعدة المراقب من خلال اتخاذ تدابير فنية وتنظيمية مناسبة، قدر الإمكان، للوفاء بالتزام المراقب بالاستجابة لطلبات التنفيذcisحقوق أصحاب البيانات بموجب قانون حماية البيانات المعمول به (بما في ذلك حقوق الوصول والتصحيح والمحو والتقييد والنقل والاعتراض بموجب المواد 15-22 من اللائحة العامة لحماية البيانات).

يجب على المعالج: (أ) إخطار المراقب على الفور إذا تلقى المعالج طلبًا من صاحب البيانات فيما يتعلق ببيانات العميل؛ (ب) عدم الاستجابة لهذه الطلبات إلا بناءً على تعليمات موثقة من المراقب أو كما هو مطلوب بموجب القانون المعمول به؛ و(ج) تزويد المراقب بمساعدة معقولة في الاستجابة لهذه الطلبات في غضون المهل القانونية المعمول بها (30 يومًا بموجب المادة 12 من اللائحة العامة لحماية البيانات).

5.5 المساعدة في التزامات المراقب

يتعين على المعالج مساعدة المتحكم في ضمان الامتثال للالتزامات المنصوص عليها في المواد 32-36 من اللائحة العامة لحماية البيانات، مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج، بما في ذلك ما يتعلق بما يلي:

• أمن المعالجة (المادة 32)؛
• إخطار السلطة الإشرافية بانتهاكات البيانات الشخصية وإبلاغ أصحاب البيانات (المواد 33-34)؛
• تقييمات أثر حماية البيانات والتشاور المسبق (المواد 35-36).

5.6 حذف البيانات أو إعادتها

عند إنهاء أو انتهاء صلاحية الاتفاقية الرئيسية، أو بناءً على طلب المتحكم، يقوم المعالج، حسب اختيار المتحكم، بحذف أو إعادة جميع بيانات العميل الموجودة بحوزته إلى المتحكم، كما يقوم بحذف النسخ الموجودة، ما لم ينص قانون الاتحاد الأوروبي أو قانون الدولة العضو المعمول به على وجوب الاحتفاظ بالبيانات الشخصية. ويؤكد المعالج إتمام عملية الحذف كتابيًا في غضون 30 يومًا من تاريخ بدء العملية.

المعالج standard يُطبق جدول الاحتفاظ بالبيانات (المبين في الجدول 1) ما لم يقدم المراقب طلبًا مسبقًا للحذف.

5.7 التدقيق وإثبات الامتثال

يجب على المعالج أن يوفر للمراقب جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في اتفاقية حماية البيانات هذه، وأن يسمح بإجراء عمليات التدقيق، بما في ذلك عمليات التفتيش، التي يجريها المراقب أو مدقق حسابات مفوض من قبل المراقب، وأن يساهم فيها.

يجوز للمعالج الوفاء بهذا الالتزام من خلال تقديم ما يلي:

• نسخة من شهادة ISO 27001 الحالية أو تقرير SOC 2 من النوع الثاني (بمجرد الحصول عليها)؛
• استكمال استبيان الأمن الخاص بالمراقب (في غضون 10 أيام عمل من تاريخ الاستلام)؛
• عمليات تدقيق معقولة في الموقع بعد إشعار كتابي مسبق مدته 30 يومًا، على نفقة المراقب، بما لا يزيد عن مرة واحدة في السنة التقويمية (ما لم يكن هناك اشتباه معقول في عدم الامتثال).

6. الإبلاغ عن خرق البيانات الشخصية

يلتزم المعالج بإخطار المتحكم دون تأخير غير مبرر، وفي جميع الأحوال في غضون 48 ساعة من علمه بحدوث خرق للبيانات الشخصية يؤثر على بيانات العميل. ويشمل هذا الإخطار، قدر الإمكان في ذلك الوقت، ما يلي:

• وصف لطبيعة خرق البيانات الشخصية، بما في ذلك فئات وعدد الأشخاص المعنيين بالبيانات وعدد سجلات البيانات الشخصية المعنية؛
• اسم وتفاصيل الاتصال بمسؤول حماية البيانات أو أي جهة اتصال أخرى يمكن الحصول منها على مزيد من المعلومات؛
• وصف للعواقب المحتملة لخرق البيانات الشخصية؛
• وصف للتدابير المتخذة أو المقترحة لاتخاذها لمعالجة خرق البيانات الشخصية، بما في ذلك، عند الاقتضاء، التدابير اللازمة للتخفيف من آثاره السلبية المحتملة.

في حال تعذر تقديم جميع المعلومات المذكورة أعلاه دفعة واحدة، يجوز تقديمها على مراحل دون تأخير إضافي لا مبرر له. ويتعين على المعالج التعاون مع المراقب واتخاذ الخطوات المعقولة التي قد يطلبها المراقب للمساعدة في التحقيق في الخرق وتخفيف آثاره ومعالجته.

يقرّ الطرفان بأنّ الالتزام بموجب المادة 33 من اللائحة العامة لحماية البيانات (GDPR) بإخطار السلطة الإشرافية المختصة (الوكالة الإسبانية لحماية البيانات - AEPD، أو أي سلطة أخرى ذات صلة) في غضون 72 ساعة من العلم بحدوث خرق للبيانات الشخصية يقع على عاتق المتحكم بالبيانات. ويهدف إخطار المعالج للمتحكم بالبيانات بموجب هذا البند إلى تمكين المتحكم بالبيانات من الوفاء بهذا الالتزام التنظيمي. ولا يُعدّ إخطار المعالج إقرارًا بالخطأ أو المسؤولية.

7. المعالجات الفرعية

7.1 التفويض العام

يمنح المتحكم المعالج تفويضًا عامًا لإشراك معالجين فرعيين كما هو مدرج في الجدول 3 (المعالجون الفرعيون المعتمدون) من اتفاقية حماية البيانات هذه. ويفرض المعالج على كل معالج فرعي التزامات بحماية البيانات تعادل تلك المنصوص عليها في اتفاقية حماية البيانات هذه، ولا سيما تقديم ضمانات كافية لتنفيذ التدابير التقنية والتنظيمية المناسبة.

7.2 التغييرات على المعالجات الفرعية

يُخطر المعالج المتحكم بأي تغييرات مُزمعة تتعلق بإضافة أو استبدال المعالجين الفرعيين، وذلك عن طريق: (أ) تحديث قائمة المعالجين الفرعيين المنشورة على الرابط https://xygeni.io/legal/subprocessors بتاريخ "آخر تحديث" المُعدَّل؛ و(ب) إرسال إشعار كتابي إلى المتحكم قبل عشرة (10) أيام على الأقل من سريان التغيير. ويجوز للمتحكم الاعتراض على التغيير لأسباب معقولة تتعلق بحماية البيانات خلال سبعة (7) أيام من تاريخ هذا الإشعار. وفي حال اعتراض المتحكم وعدم تمكن الطرفين من حل الاعتراض، يجوز له إنهاء الاتفاقية الرئيسية بإشعار معقول دون أي غرامة.

إذا قام المعالج بتعيين معالج فرعي، فسيظل المعالج مسؤولاً مسؤولية كاملة أمام المتحكم عن أداء التزامات ذلك المعالج الفرعي إلى الحد الذي يفشل فيه المعالج الفرعي في الوفاء بالتزاماته المتعلقة بحماية البيانات.

7.3 متطلبات تدفق المعالج الفرعي

بالنسبة لكل معالج فرعي، يجب على المعالج:

• إجراء العناية الواجبة المناسبة قبل التعاقد مع المعالج الفرعي؛
• الدخول في اتفاقية معالجة بيانات مكتوبة تفرض التزامات حماية البيانات لا تقل حماية عن تلك الواردة في اتفاقية معالجة البيانات هذه؛
• ضمان أن تكون التدابير الأمنية للمعالج الفرعي على الأقل مكافئة لتلك المطلوبة بموجب البند 5.3 والجدول 2؛
• وتشمل التزامات الإبلاغ عن الاختراق التي تتطلب من المعالج الفرعي إخطار المعالج في غضون 24 ساعة من علمه باختراق البيانات الشخصية، لتمكين المعالج من الوفاء بالتزامه بالإخطار إلى المتحكم في غضون 48 ساعة.

8. التحويلات الدولية

لا يجوز للمعالج نقل بيانات العميل إلى دولة خارج المنطقة الاقتصادية الأوروبية (EEA) إلا في الحالات التالية:

• اعتمدت المفوضية الأوروبية بيان كفايةcisأو بالنسبة لتلك الدولة بموجب المادة 45 من اللائحة العامة لحماية البيانات؛ أو
• تم تطبيق الضمانات المناسبة وفقًا للمادة 46 من اللائحة العامة لحماية البيانات، بما في ذلك على سبيل المثال لا الحصر Standard البنود التعاقدية التي اعتمدتها المفوضية الأوروبية لتنفيذ ديcision (EU) 2021/914 الصادر في 4 يونيو 2021 ("SCCs").

عند الحاجة إلى عقود التحكم في النظام (SCCs)، يقوم المعالج، بناءً على طلب وحدة التحكم، بتنفيذ عقود التحكم في النظام ذات الصلة مع وحدة التحكم و/أو مع المعالج الفرعي المعني. وتكون الوحدة النمطية ذات الصلة من عقود التحكم في النظام هي الوحدة الثانية (من وحدة التحكم إلى المعالج) لعمليات النقل من وحدة التحكم إلى المعالج، والوحدة الثالثة (من المعالج إلى المعالج الفرعي) لعمليات النقل اللاحقة من المعالج إلى المعالجات الفرعية.

إن السلطة الإشرافية المختصة لأغراض البنود التعاقدية القياسية هي الوكالة الإسبانية لحماية البيانات (Agencia Española de Protección de Datos — AEPD)، ما لم يتم الاتفاق على خلاف ذلك كتابةً.

يتعين على المعالج الاحتفاظ بسجل محدث لجميع عمليات نقل بيانات العملاء الدولية وآلية النقل المطبقة لكل منها، وإتاحته للمتحكم عند الطلب.

9. تقييمات أثر حماية البيانات

في حال كان من المحتمل أن تُؤدي عملية معالجة البيانات إلى مخاطر عالية على حقوق وحريات الأفراد، وكان على المتحكم إجراء تقييم أثر حماية البيانات (DPIA) بموجب المادة 35 من اللائحة العامة لحماية البيانات (GDPR)، يجب على المعالج تزويد المتحكم بالمساعدة والمعلومات اللازمة لتمكينه من إجراء تقييم أثر حماية البيانات. كما يجب على المعالج الاستجابة لطلبات المتحكم المعقولة المتعلقة بتقييم أثر حماية البيانات في غضون 15 يوم عمل.

10. سجلات أنشطة المعالجة

يتعين على المعالج الاحتفاظ، بناءً على طلب المتحكم، بسجل لأنشطة المعالجة التي يتم تنفيذها نيابة عن المتحكم وفقًا للمادة 30 (2) من اللائحة العامة لحماية البيانات، بما في ذلك: اسم المعالج وتفاصيل الاتصال به وأي معالجين فرعيين؛ وفئات المعالجة التي تتم نيابة عن المتحكم؛ ونقل البيانات الشخصية إلى دولة ثالثة؛ ووصف عام للتدابير الأمنية التقنية والتنظيمية.

11. مسؤولية

تخضع مسؤولية كل طرف تجاه الطرف الآخر بموجب أو فيما يتعلق باتفاقية حماية البيانات هذه للقيود والاستثناءات المنصوص عليها في الاتفاقية الرئيسية. في حال تعرض صاحب البيانات لضرر نتيجة معالجة بياناته بما يخالف قانون حماية البيانات المعمول به، يكون كل طرف مسؤولاً عن الضرر الناجم عن معالجته التي تخالف اللائحة العامة لحماية البيانات (GDPR) وفقًا للمادتين 82 و83 من اللائحة. لا يُقيد أي بند في هذه الاتفاقية مسؤولية أي من الطرفين تجاه أصحاب البيانات بموجب القانون المعمول به.

12. مصطلح وإنهاء

يبدأ سريان اتفاقية حماية البيانات هذه من تاريخ الاتفاقية الرئيسية (أو تاريخ توقيع هذه الاتفاقية إذا كان لاحقاً)، وتظل سارية المفعول طوال مدة الاتفاقية الرئيسية. ويؤدي إنهاء الاتفاقية الرئيسية لأي سبب من الأسباب إلى إنهاء هذه الاتفاقية تلقائياً.

بعد الإنهاء، تظل التزامات المعالج بموجب البند 5.6 (حذف البيانات أو إعادتها) سارية، ويتعين على المعالج إتمام حذف بيانات العميل أو إعادتها في غضون 30 يومًا من تاريخ الإنهاء. كما تظل البنود المتعلقة بالسرية والمسؤولية والقانون الحاكم والتدقيق سارية بعد الإنهاء.

13. القنون والشريعة السائدة

تخضع اتفاقية حماية البيانات هذه لقوانين إسبانيا وتُفسَّر وفقًا لها. ويخضع الطرفان للاختصاص القضائي غير الحصري لمحاكم مدريد للفصل في أي نزاع ينشأ عن هذه الاتفاقية أو يتعلق بها. وفي حال تعارض أي بند من بنود هذه الاتفاقية مع الشروط التعاقدية القياسية، تُعتمد الشروط التعاقدية القياسية.

14. متنوع

اتفاق كامل: يشكل هذا الاتفاق، بالإضافة إلى جداوله والاتفاقية الرئيسية، الاتفاق الكامل بين الطرفين فيما يتعلق بموضوعه، ويلغي جميع الاتفاقيات أو التفاهمات أو الإقرارات السابقة المتعلقة بمعالجة البيانات.

تعديلات: لا يجوز تعديل اتفاقية حماية البيانات هذه إلا بموجب اتفاقية مكتوبة موقعة من قبل ممثلين مفوضين من كلا الطرفين.

الاستقلالية: إذا تم اعتبار أي بند من بنود اتفاقية حماية البيانات هذه غير صالح أو غير قابل للتنفيذ، فإن الأحكام المتبقية تظل سارية المفعول بالكامل.

الأولوية: في حال وجود تعارض بين اتفاقية حماية البيانات هذه والجداول الملحقة بها، يُعتدّ بنص الاتفاقية ما لم ينص الجدول الملحق صراحةً على خلاف ذلك. وفي حال وجود تعارض بين اتفاقية حماية البيانات هذه والبنود التعاقدية القياسية (إن وجدت)، تُعتدّ بالبنود التعاقدية القياسية.

الجدول 1 - تفاصيل المعالجة

1. الموضوع

موضوع المعالجة هو تقديم شركة Xygeni لـ application security posture management, software supply chain security التحليل، والكشف عن الثغرات الأمنية، CI/CD مراقبة الأمن، والخدمات ذات الصلة كما هو موضح في الاتفاقية الرئيسية.

2. طبيعة المعالجة

جمع بيانات العملاء وتنظيمها وهيكلتها وتخزينها وتحليلها واسترجاعها واستخدامها والإفصاح عنها عن طريق النقل أو المواءمة أو الدمج أو التقييد أو المحو أو التدمير.

3. غرض المعالجة

تتم معالجة بيانات العملاء لغرض وحيد هو تقديم الخدمات إلى وحدة التحكم، بما في ذلك: اكتشاف الثغرات الأمنية والإبلاغ عنها؛ تحليل مخاطر سلسلة توريد البرامج؛ CI/CD pipeline security المراقبة؛ اكتشاف الحالات الشاذة؛ ودعم العملاء.

4. مدة المعالجة

يتولى المعالج معالجة بيانات العميل طوال مدة الاتفاقية الرئيسية. عند انتهاء الاتفاقية، يحتفظ المعالج ببيانات العميل لمدة ثلاثة أشهر بعد تاريخ انتهاء الاشتراك قبل حذفها، ما لم يطلب المتحكم حذفها قبل ذلك. تُحفظ بيانات الحساب التجريبي لمدة شهر واحد بعد انتهاء الفترة التجريبية.

5. أنواع البيانات الشخصية

6. فئات موضوعات البيانات

يشمل أصحاب البيانات: الموظفين والمتعاقدين وغيرهم من المستخدمين المصرح لهم من قبل وحدة التحكم الذين يصلون إلى الخدمات؛ والمساهمين (المطورين، وحسابات الروبوتات، ووكلاء البناء) في المستودعات و pipelineيتم رصدها بواسطة الخدمات؛ وممثلو وأشخاص الاتصال التابعون للمراقب.

7. بيانات الفئات الخاصة

لم يتم تصميم الخدمات لمعالجة البيانات الشخصية من الفئات الخاصة كما هو محدد في المادة 9 من اللائحة العامة لحماية البيانات. يضمن المتحكم أنه لن يقدم بيانات شخصية من الفئات الخاصة إلى الخدمات دون اتفاقية كتابية مسبقة مع Xygeni وتنفيذ ضمانات إضافية مناسبة.

الجدول 2 - التدابير الأمنية التقنية والتنظيمية

تطبق شركة Xygeni التدابير التقنية والتنظيمية التالية لحماية بيانات العملاء، بما يتوافق مع نظام إدارة أمن المعلومات المعتمد من قبل Xygeni وفقًا لمعيار ISO 27001:

نظام مراقبة الدخول

• يتم تطبيق نظام التحكم في الوصول القائم على الأدوار (RBAC) على جميع الأنظمة التي تعالج بيانات العملاء.
• المصادقة متعددة العوامل (MFA) مطلوبة لجميع موظفي Xygeni الذين يصلون إلى أنظمة الإنتاج.
• يتم تطبيق مبدأ أقل الامتيازات على جميع حسابات المستخدمين؛ ويتم مراجعة حقوق الوصول بشكل ربع سنوي.
• المصادقة المستندة إلى مفتاح SSH للوصول إلى خادم الإنتاج؛ تم تعطيل مصادقة كلمة المرور.

تشفير البيانات

• يتم تشفير بيانات العملاء أثناء النقل باستخدام بروتوكول TLS 1.2 أو أعلى.
• يتم تشفير بيانات العملاء أثناء الراحة باستخدام AES-256 أو ما يعادله.
• تتم إدارة مفاتيح التشفير من خلال خدمة إدارة المفاتيح AWS (KMS).

شبكة الأمن

• أنظمة الإنتاج المستضافة داخل سحابة AWS الافتراضية الخاصة (VPC) مع تجزئة الشبكة.
• تم نشر جدار حماية تطبيقات الويب (WAF) لنقاط النهاية العامة.
• أنظمة كشف ومنع الاختراقات موجودة.
• إجراء عمليات فحص منتظمة للثغرات الأمنية واختبارات اختراق لطبقات البنية التحتية والتطبيقات.

الأمن المادي

• بيانات العملاء مستضافة في مراكز بيانات AWS الحاصلة على شهادات SOC 2 Type II و ISO 27001.
• يقتصر الوصول المادي إلى مرافق مركز البيانات على موظفي AWS المصرح لهم والذين يستخدمون ضوابط بيومترية.

التوافر والمرونة

• يتم إجراء نسخ احتياطية تلقائية يومية لجميع بيانات العملاء، ويتم الاحتفاظ بها لمدة لا تقل عن 7 أيام.
• يتم التحقق من سلامة النسخ الاحتياطية بشكل دوري.
• Disastيتم توثيق إجراءات التعافي واختبارها سنوياً.

إدارة الحوادث

• يتم تحديث خطة الاستجابة للحوادث الأمنية واختبارها سنوياً.
• تتم مراقبة الأحداث الأمنية وتسجيلها؛ ويتم مراجعة التنبيهات من قبل قسم العمليات الأمنية.
• تم وضع إجراءات إخطار بشأن خرق البيانات الشخصية للوفاء بالتزام الإخطار خلال 48 ساعة إلى وحدة التحكم.

شؤون الموظفين

• جميع موظفي شركة Xygeni الذين لديهم إمكانية الوصول إلى بيانات العملاء ملزمون بواجبات السرية.
• يتم إجراء تدريب على الوعي الأمني ​​لجميع الموظفين سنوياً.
• يتم إجراء فحوصات خلفية للموظفين الذين لديهم إمكانية الوصول إلى أنظمة الإنتاج، وذلك بالقدر الذي يسمح به القانون المعمول به.

إدارة الطرف الثالث

• يتم تقييم المعالجات الفرعية للتأكد من امتثالها للمعايير الأمنية قبل التعاقد معها.
• اتفاقيات معالجة البيانات سارية مع جميع المعالجين الفرعيين.

الشهادات

• شركة Xygeni حاصلة على شهادة ISO 27001 (نظام إدارة أمن المعلومات).
• تسعى شركة Xygeni للحصول على شهادة SOC 2 من النوع الثاني؛ وسيتم تقديم الشهادة إلى المراقب المالي عند الانتهاء.