数据处理协议

最后更新：20 年 2026 月 XNUMX 日

缔约方

本数据处理协议（“DPA”或“协议”）由以下双方签订：

数据控制者（“控制者”或“客户”）

领域	信息
公司名称	[客户全名]
注册地址	[地址]
增值税号/公司编号	[增值税号]
数据保护联系人	[数据保护官邮箱/联系方式]
签字代表	[姓名，职称]

数据处理器（“处理器”或“Xygeni”）：

领域	信息
公司名称	Xygeni Security, SL
注册地址	C/Pasión 4, 2 Planta, 47001 巴利亚多利德, 西班牙
增值税	B09620287
数据保护联系人	info@xygeni.io
签字代表	[姓名，职称]

以下分别称控制者和处理者为“一方”，合称双方为“双方”。

本数据处理协议构成双方之间关于 Xygeni 提供其应用程序安全性的主服务协议或服务条款（“主协议”）的一部分，并且 software supply chain security 服务（以下简称“服务”）。如果本数据处理协议与主协议之间存在冲突，则就数据保护事宜而言，应以本数据处理协议为准。

1. 定义

为本 DPA 的目的：

“GDP是” 指欧洲议会和理事会 2016 年 4 月 27 日关于在处理个人数据方面保护自然人的 (EU) 2016/679 号条例。
“LOPDGDD” 指 Ley Orgánica 3/2018、de 5 de diciembre、de Protección de Datos Personales y garantía de los derechos digitales。
“个人数据”、“处理”、“控制者”、“处理者”、“子处理者”、“数据主体”、“监管机构”、“个人数据泄露” 应具有GDPR中赋予它们的含义。
“客户数据” 指由控制者或代表控制者提交给服务的任何个人数据，或由处理者代表控制者处理与服务相关的任何个人数据。
“子处理器” 指经处理者事先获得控制者授权（如第 7 条所述）而聘用的任何第三方，代表控制者处理客户数据。
“SCCs” 意思是 Standard 根据欧盟委员会实施细则批准的《通用数据保护条例》(GDPR) 向第三国传输个人数据的合同条款cis2021 年 6 月 4 日的 ion (EU) 2021/914。
“服务” 意思是 application security posture management, software supply chain securityXygeni 根据委托协议向控制者提供的漏洞检测及相关服务。
“适用的数据保护法” 指 GDPR、LOPDGDD 以及任何其他适用的国家数据保护法律（包括不时修订的法律）。

2. 各方角色

双方确认并同意：

控制者作为客户数据的数据控制者，负责确定提交给服务的客户数据的处理目的和方式。
处理者作为客户数据的数据处理者，仅代表控制者并按照控制者的书面指示处理此类数据。
各方应履行其作为控制者或处理者在适用数据保护法下的各自义务。

当 Xygeni 出于自身目的（例如，账户管理、计费、服务改进分析）处理个人数据时，它作为独立的数据控制者。此类处理受 Xygeni 隐私政策的约束，且不在本数据处理协议的范围内。

3. 处理的主题、性质和目的

本数据处理协议的附录 1（处理详情）中列明了处理的主题、性质、持续时间和目的，以及处理的个人数据类型和数据主体类别。

处理者应仅在提供主协议中所述服务所必需的范围内，并按照控制者的书面指示处理客户数据，除非适用法律另有规定。在此情况下，处理者应在处理前告知控制者该法律要求，除非法律基于重要的公共利益理由禁止这样做。

4. 控制器说明

控制者指示处理者根据需要处理客户数据，以便：(a) 根据主协议提供服务；(b) 遵守控制者不时以书面形式传达的指示；以及 (c) 履行处理者在本数据处理协议项下的义务。

如果处理者合理认为控制者的指示违反了适用的数据保护法律，则处理者应立即通知控制者。在此情况下，处理者有权停止根据该指示进行处理，直至控制者澄清或修改该指示为止。

控制者保证并声明：(a) 其处理相关个人数据具有 GDPR 第 6 条（以及在适用情况下，第 9 条）规定的合法依据；(b) 其已提供所有必需的通知并获得所有必需的同意；以及 (c) 将客户数据传输给处理者不违反任何适用的法律。

5. 处理者的义务

5.1 处理限制

处理者仅应根据控制者的书面指示处理客户数据，除非适用的欧盟或成员国法律另有规定。处理者不得为自身目的处理客户数据，也不得将客户数据披露给第三方，除非为提供服务所必需或法律要求。

5.2机密性

处理者应确保有权处理客户数据的人员已具备 commit已承诺保密或负有适当的法定保密义务。客户数据的访问权限仅限于为提供服务而需要访问客户数据的员工、承包商和分包商。

5.3 安全措施

处理者应实施并维持适当的技术和组织措施，以保护客户数据免遭未经授权或非法处理，以及免遭意外丢失、销毁、损坏、更改或泄露，并应考虑到：

现有技术水平和实施成本；
处理的性质、范围、背景和目的；
对自然人的权利和自由构成风险，特别是因意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的客户数据而造成的风险。

此类措施至少应包括本数据处理协议附件二（技术和组织安全措施）中规定的措施。处理方的 ISO 27001 认证可证明其具备基本的信息安全管理体系。处理方应在本数据处理协议有效期内保持 ISO 27001 认证或同等认证。

5.4 数据主体权利

考虑到处理的性质，处理者应尽可能采取适当的技术和组织措施协助控制者履行其回应数据请求的义务。cis根据适用的数据保护法（包括 GDPR 第 15-22 条规定的访问权、更正权、删除权、限制处理权、可移植权和反对权），数据主体享有的权利。

处理者应：(a) 如处理者收到数据主体关于客户数据的请求，应立即通知控制者；(b) 除根据控制者的书面指示或适用法律的要求外，不得回应此类请求；以及 (c) 在适用的法定期限内（根据 GDPR 第 12 条规定为 30 天），向控制者提供合理的协助以回应此类请求。

5.5 协助财务主管履行义务

处理者应协助控制者确保遵守 GDPR 第 32 至 36 条规定的义务，同时考虑到处理的性质和处理者可获得的信息，包括以下方面：

处理安全（第 32 条）；
向监管机构通报个人数据泄露事件并向数据主体进行沟通（第 33-34 条）；
数据保护影响评估和事先咨询（第 35-36 条）。

5.6 数据的删除或返还

在主协议终止或到期后，或应控制者要求，处理者应根据控制者的选择，删除或将所持有的所有客户数据返还给控制者，并删除现有副本，除非适用的欧盟或成员国法律要求存储该个人数据。处理者应在相关触发事件发生后 30 天内以书面形式确认删除已完成。

处理器的 standard 除非控制者提前提出删除请求，否则数据保留计划（见附录 1）适用。

5.7 合规性审核与证明

处理者应向控制者提供所有必要信息，以证明其遵守本数据处理协议中规定的义务，并应允许控制者或控制者委托的审计员进行审计（包括检查），并应配合审计。

处理者可以通过提供以下方式履行此义务：

（一旦获得）其当前的 ISO 27001 证书或 SOC 2 II 型报告副本；
完成财务主管的安全调查问卷（收到后 10 个工作日内）；
经提前 30 天书面通知，财务主管可进行合理的现场审计，费用由财务主管承担，但每年不得超过一次（除非有合理理由怀疑存在不合规行为）。

6. 个人数据泄露通知

处理者应在知悉影响客户数据的个人数据泄露事件后立即通知控制者，且无论如何应在48小时内通知。此类通知应包括（在当时可行的情况下）：

对个人数据泄露的性质进行描述，包括所涉及的数据主体的类别和大致数量，以及所涉及的个人数据记录的类别和大致数量；
数据保护官或其他可获取更多信息的联系人的姓名和联系方式；
对个人数据泄露可能造成的后果的描述；
对已采取或拟采取的应对个人数据泄露的措施进行描述，包括在适当情况下，减轻其可能产生的不利影响的措施。

如无法同时提供上述所有信息，则可分阶段提供，且不得无故拖延。处理者应与控制者合作，并采取控制者可能要求的合理措施，协助调查、减轻和补救违规行为。

双方确认，根据《通用数据保护条例》(GDPR)第33条，数据控制者有义务在知悉个人数据泄露后72小时内通知主管监管机构（西班牙数据保护局——AEPD，或其他相关机构）。处理者根据本条款向数据控制者发出通知，旨在帮助数据控制者履行此项监管义务。处理者的通知不构成对过错或责任的承认。

7. 子处理器

7.1 一般授权

控制者授予处理者一般授权，使其能够聘用本数据处理协议附录3（经批准的子处理者）中所列的子处理者。处理者应要求每个子处理者承担与本数据处理协议所列义务同等的数据保护义务，尤其应提供充分的保证，以确保其实施适当的技术和组织措施。

7.2 子处理器的变更

处理者应通过以下方式通知控制者任何拟增加或更换子处理者的变更：(a) 更新发布在 https://xygeni.io/legal/subprocessors 的子处理者列表，并注明修订后的“最后更新日期”；以及 (b) 至少在变更生效前十 (10) 天以书面形式通知控制者。控制者可在收到该通知后七 (7) 天内基于合理的数据保护理由对该变更提出异议。如果控制者提出异议且双方无法解决该异议，则控制者可在发出合理通知后终止主协议，且无需承担任何违约责任。

如果处理者聘用分包处理者，则在分包处理者未能履行其数据保护义务的情况下，处理者仍应就该分包处理者的义务履行情况对控制者承担全部责任。

7.3 子处理器向下传递要求

对于每个子处理器，处理器应：

在聘用分包商之前，进行适当的尽职调查；
签订书面数据处理协议，其中规定的数据保护义务不得低于本数据处理协议中的义务；
确保分包商的安全措施至少与第 5.3 条和附录 2 所要求的安全措施相当；
包括违约通知义务，要求子处理者在知悉个人数据泄露后 24 小时内通知处理者，以便处理者能够履行其对控制者的 48 小时通知义务。

8。国际转机

除非符合以下情况，否则处理者不得将客户数据传输到欧洲经济区 (EEA) 以外的国家/地区：

欧盟委员会已通过一项充分性声明cis根据 GDPR 第 45 条，对该国进行监管；或
已根据 GDPR 第 46 条实施了适当的保障措施，包括但不限于： Standard 欧盟委员会通过的合同条款实施细则cis2021 年 6 月 4 日的 (EU) 2021/914 号指令（“标准合同条款”）。

如有需要，处理者应根据控制者的要求，与控制者和/或相关子处理者签署适用的标准合同条款。标准合同条款的适用模块应为：控制者向处理者传输数据时，适用模块二（控制者至处理者）；处理者向子处理者进一步传输数据时，适用模块三（处理者至子处理者）。

除非另有书面约定，否则标准合同条款的主管监管机构为西班牙数据保护局（Agencia Española de Protección de Datos — AEPD）。

处理者应保存并应控制者的要求，向其提供所有客户数据国际传输的最新记录以及每次传输的适用机制。

9. 数据保护影响评估

如果处理活动可能对自然人的权利和自由造成高风险，且根据《通用数据保护条例》(GDPR)第35条，数据控制者需要进行数据保护影响评估(DPIA)，则数据处理者应向数据控制者提供必要的合理协助和信息，以使数据控制者能够进行DPIA。数据处理者应在15个工作日内回复数据控制者提出的与DPIA相关的合理请求。

10. 加工活动记录

处理者应根据 GDPR 第 30(2) 条的规定，按照控制者的要求，保存代表控制者进行的处理活动的记录，包括：处理者及其任何子处理者的名称和联系方式；代表控制者进行的处理类别；向第三国传输个人数据；以及技术和组织安全措施的一般描述。

11。责任

各方根据本数据处理协议或与本数据处理协议相关的责任应受主协议中规定的限制和免责条款的约束。如果数据主体因数据处理违反适用数据保护法而遭受损害，则各方应根据《通用数据保护条例》（GDPR）第82-83条的规定，对其违反GDPR的数据处理行为所造成的损害承担责任。本条款中的任何内容均不限制任何一方根据适用法律对数据主体承担的责任。

12. 期限和终止

本数据处理协议自主协议签署之日（或本数据处理协议签署之日，以较晚者为准）起生效，并在主协议有效期内持续有效。主协议因任何原因终止，本数据处理协议亦自动终止。

终止后，处理者根据第5.6条（删除或返还数据）承担的义务仍然有效，处理者应在终止后30天内完成客户数据的删除或返还。与保密、责任、适用法律和审计相关的条款在终止后仍然有效。

13。治理法律和管辖区

本数据处理协议受西班牙法律管辖并按其解释。双方同意接受马德里法院的非专属管辖权，以解决因本数据处理协议引起或与之相关的任何争议。如果本数据处理协议的任何条款与标准合同条款相冲突，则以标准合同条款为准。

14。杂项

整个协议： 本数据处理协议及其附件和主协议构成双方就本协议标的达成的完整协议，并取代此前所有与数据处理相关的协议、谅解或陈述。

修正案： 本数据处理协议仅可通过双方授权代表签署的书面协议进行修改。

可分割性： 如果本数据处理协议的任何条款被认定为无效或不可执行，其余条款仍将完全有效。

优先级： 如果本《数据保护协议》与附件之间存在冲突，则以本《数据保护协议》正文为准，除非附件另有明确规定。如果本《数据保护协议》与标准合同条款（如适用）之间存在冲突，则以标准合同条款为准。

附表 1 — 处理详情

1. 主题

处理的主题是 Xygeni 提供的 application security posture management, software supply chain security 分析、漏洞检测、 CI/CD 安全监控及相关服务，详见主协议。

2. 处理的性质

客户数据的收集、组织、结构化、存储、分析、检索、使用、通过传输、排列或组合披露、限制、擦除或销毁。

3. 处理目的

客户数据的处理仅用于向控制者提供服务，包括：安全漏洞检测和报告；软件供应链风险分析； CI/CD pipeline security 监控；异常检测；以及客户支持。

4. 处理时间

处理方应在主协议有效期内处理客户数据。协议终止后，处理方应在订阅到期日后保留客户数据 3 个月，之后方可删除，除非控制方要求提前删除。试用账户数据在试用期结束后保留 1 个月。

5. 个人数据类型

类别	例子
用户帐户数据	姓名、电子邮件地址、用户名、密码哈希值、角色、组织
活动和使用数据	Login 事件、API 调用、扫描活动日志、时间戳、IP 地址
安全查找元数据	存储库名称、文件路径（发现结果所在的位置）、依赖关系元数据 pipeline 配置参考
通讯数据	支持工单、与服务相关的电子邮件通信

6. 数据主体类别

数据主体包括：访问服务的控制器的员工、承包商和其他授权用户；存储库的贡献者（开发人员、机器人帐户、构建代理）以及 pipeline由服务机构监控；以及控制者的代表和联系人。

7. 特殊类别数据

本服务并非旨在处理 GDPR 第 9 条所定义的特殊类别个人数据。数据控制者保证，未经 Xygeni 事先书面同意并实施适当的额外保障措施，不会将特殊类别个人数据提交给本服务。

附表 2 — 技术和组织安全措施

Xygeni实施以下技术和组织措施来保护客户数据，这些措施符合Xygeni通过ISO 27001认证的信息安全管理体系：

智能门禁

在所有处理客户数据的系统中强制执行基于角色的访问控制（RBAC）。
所有访问生产系统的 Xygeni 人员均需进行多因素身份验证 (MFA)。
所有用户账户均遵循最小权限原则；访问权限每季度审核一次。
生产服务器访问采用基于 SSH 密钥的身份验证；密码身份验证已禁用。

数据加密

客户数据在传输过程中使用 TLS 1.2 或更高版本进行加密。
客户数据静态加密采用 AES-256 或同等加密方式。
通过 AWS 密钥管理服务 (KMS) 管理的加密密钥。

网络安全

生产系统托管在 AWS 虚拟私有云 (VPC) 中，并进行了网络分段。
为面向公众的终端部署 Web 应用防火墙 (WAF)。
已部署入侵检测和防御系统。
定期对基础设施层和应用层进行漏洞扫描和渗透测试。

物理安全

客户数据托管在通过 SOC 2 Type II 和 ISO 27001 认证的 AWS 数据中心。
只有获得授权的 AWS 人员才能通过生物识别控制进入数据中心设施。

可用性和弹性

每日自动备份所有客户数据，至少保留 7 天。
定期验证备份完整性。
Disast每年对恢复程序进行记录和测试。

事件管理

安全事件响应计划每年进行维护和测试。
安全事件受到监控并记录；警报由安全运营部门审核。
已制定个人数据泄露通知程序，以履行向控制者发出 48 小时通知的义务。

人员

所有能够接触客户数据的 Xygeni 员工均受保密义务约束。
每年对全体员工进行安全意识培训。
在适用法律允许的范围内，对有权接触生产系统的人员进行背景调查。

第三方管理

在合作之前，对子处理商进行安全合规性评估。
与所有子处理方签订了数据处理协议。

证书

Xygeni 拥有 ISO 27001 认证（信息安全管理体系）。
Xygeni 正在申请 SOC 2 II 型认证；认证完成后将向财务总监提供证书。