اتفاقية معالجة البيانات

تشكل اتفاقية معالجة البيانات هذه ("DPA") جزءًا من شروط الاستخدام (أو أي اتفاقية مكتوبة أو إلكترونية أخرى ذات عنوان مشابه تتناول نفس الموضوع) ("الاتفاقية") بين العميل (كما هو معرف في الاتفاقية) و" Slide Craft Technologies Pvt Ltd " التي بموجبها يوفر المعالج للمتحكم البرامج والخدمات (يشار إليها بـ "الخدمات" ). يشار إلى المتحكم والمعالج بشكل فردي بـ "الطرف" وبشكل جماعي بـ "الطرفين" .

يسعى الطرفان إلى تنفيذ اتفاقية معالجة البيانات هذه للامتثال لمتطلبات اللائحة العامة لحماية البيانات للاتحاد الأوروبي (المعرفة أدناه) فيما يتعلق بمعالجة المعالج للبيانات الشخصية (كما هي معرفة بموجب اللائحة العامة لحماية البيانات للاتحاد الأوروبي) كجزء من التزاماته بموجب الاتفاقية.

تنطبق اتفاقية معالجة البيانات هذه على معالجة المعالج للبيانات الشخصية، المقدمة من المتحكم كجزء من التزامات المعالج بموجب الاتفاقية.

باستثناء ما تم تعديله أدناه، تظل شروط الاتفاقية سارية المفعول بالكامل.

1. التعريفات

تكون للمصطلحات غير المعرفة هنا المعاني المحددة لها في اللائحة العامة لحماية البيانات للاتحاد الأوروبي (EU GDPR) أو الاتفاقية. يكون للمصطلحات التالية المعاني المقابلة المخصصة لها أدناه:

  1. 1.1. "نقل البيانات" تعني نقل البيانات الشخصية من المتحكم إلى المعالج، أو بين مؤسستين للمعالج، أو مع معالج فرعي بواسطة المعالج.
  2. 1.2. "الاتحاد الأوروبي اللائحة العامة لحماية البيانات (GDPR)" تعني اللائحة (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس بتاريخ 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات).
  3. 1.3. "البنود التعاقدية القياسية” تعني البنود التعاقدية المرفقة طيه كجدول 1 عملاً بقرار المفوضية الأوروبية التنفيذي (الاتحاد الأوروبي) 2021/914 الصادر في 4 يونيو 2021 بشأن البنود التعاقدية القياسية لنقل البيانات الشخصية إلى المعالجين المنشأين في بلدان ثالثة لا تضمن مستوى مناسبًا من حماية البيانات.
  4. 1.4. “مراقب البيانات” يعني الشخص الطبيعي أو الاعتباري، أو السلطة العامة، أو الوكالة، أو الهيئة الأخرى التي تحدد، بمفردها أو بالاشتراك مع آخرين، أغراض ووسائل معالجة البيانات الشخصية؛ وحيثما يتم تحديد أغراض ووسائل هذه المعالجة بموجب قانون الاتحاد أو قانون الدولة العضو، يجوز النص على مراقب البيانات أو المعايير المحددة لتعيينه بموجب قانون الاتحاد أو قانون الدولة العضو.
  5. 1.5. “المعالج” يعني شخصًا طبيعيًا أو اعتباريًا، أو سلطة عامة، أو وكالة، أو هيئة أخرى تعالج البيانات الشخصية نيابة عن مراقب البيانات.
  6. 1.6. “المعالج الفرعي” يعني معالجًا/مقاولًا فرعيًا يعينه المعالج لتقديم كل أو جزء من الخدمات ويعالج البيانات الشخصية كما يقدمها مراقب البيانات.
  1. 2. الغرض من هذه الاتفاقية
  2. تحدد اتفاقية حماية البيانات هذه التزامات مختلفة للمعالج فيما يتعلق بمعالجة البيانات الشخصية وتقتصر على التزامات المعالج بموجب الاتفاقية. في حال وجود تعارض بين أحكام الاتفاقية واتفاقية حماية البيانات هذه، تسود أحكام اتفاقية حماية البيانات هذه.
  3. 3. فئات البيانات الشخصية وأصحاب البيانات
    1. يقتصر الهدف من معالجة البيانات الشخصية من قبل المعالج على تقديم المعالج للخدمات إلى مراقب البيانات و/أو عميله، بموجب الاتفاقية.
  5. 4. الغرض من المعالجة
    1. يصرح مراقب البيانات للمعالج بمعالجة البيانات الشخصية بالقدر الذي يحدده وينظمه مراقب البيانات. يتم تحديد الطبيعة الحالية للبيانات الشخصية في الملحق الأول للجدول 1 من اتفاقية حماية البيانات هذه.يقتصر الهدف من معالجة البيانات الشخصية من قبل المعالج على تقديم المعالج للخدمات إلى مراقب البيانات و/أو عميله، بموجب الاتفاقية.
  6. 5. مدة المعالجة
    1. سيقوم المعالج بمعالجة البيانات الشخصية طوال مدة الاتفاقية، ما لم يتفق مراقب البيانات على خلاف ذلك كتابيًا.
  1. 6. التزامات مراقب البيانات
    1. 6.1. يجب على مراقب البيانات أن يضمن أن لديه جميع الحقوق اللازمة لتوفير البيانات الشخصية لمعالج البيانات لإجراء المعالجة المتعلقة بالخدمات المتفق عليها. بالقدر الذي تتطلبه قوانين خصوصية البيانات، يكون مراقب البيانات مسؤولاً عن ضمان توفيره لهذه البيانات الشخصية لمعالج البيانات بناءً على أساس قانوني مناسب يسمح بأنشطة المعالجة المشروعة، بما في ذلك الحصول على أي موافقات ضرورية من أصحاب البيانات على هذه المعالجة، وعن ضمان الاحتفاظ بسجل لهذه الموافقات. في حال سحب صاحب البيانات لهذه الموافقة، يكون مراقب البيانات مسؤولاً عن إبلاغ معالج البيانات بحقيقة هذا السحب.
    2. 6.2. يجب على مراقب البيانات تزويد جميع الأشخاص الطبيعيين الذين يجمع منهم البيانات الشخصية بإشعار الخصوصية ذي الصلة.
    3. 6.3. يجب على مراقب البيانات أن يطلب من معالج البيانات مسح البيانات الشخصية عندما يطلب ذلك مراقب البيانات أو أي صاحب بيانات يجمع بياناته الشخصية، ما لم يُطلب من معالج البيانات الاحتفاظ بالبيانات الشخصية بموجب القانون المعمول به.
    4. 6.4. يجب على مراقب البيانات إبلاغ معالج البيانات كتابيًا على الفور إذا تلقى أو علم بأي مما يلي:
      1. 6.4.1. شكوى أو ادعاء يشير إلى انتهاك لقوانين خصوصية البيانات فيما يتعلق بالبيانات الشخصية؛
      2. 6.4.2. طلب من فرد واحد أو أكثر يسعى للوصول إلى البيانات الشخصية أو تصحيحها أو حذفها؛
      3. 6.4.3. استفسار أو شكوى من فرد واحد أو أكثر تتعلق بجمع أو معالجة أو استخدام أو نقل البيانات الشخصية؛ و
      4. 6.4.4. أي طلب تنظيمي أو أمر تفتيش أو أي إجراء قانوني أو تنظيمي أو إداري أو حكومي آخر يسعى للحصول على بيانات شخصية
  1. 7. التزامات معالج البيانات
  1. 7.1. سيتبع المعالج التعليمات المكتوبة والموثقة المستلمة، بما في ذلك البريد الإلكتروني، من مراقب البيانات أو شركته التابعة أو وكلائه أو موظفيه، فيما يتعلق بمعالجة البيانات الشخصية (يُشار إلى كل منها بـ "تعليمات").
  2. 7.2. تعتبر المعالجة الموضحة في الاتفاقية والوثائق ذات الصلة بمثابة تعليمات من مراقب البيانات.
  3. 7.3. بناءً على طلب مراقب البيانات، سيقدم معالج البيانات مساعدة معقولة لمراقب البيانات في الاستجابة لـ/الامتثال لطلبات/توجيهات صاحب البيانات عند ممارسة حقوقه أو من السلطات التنظيمية المعمول بها فيما يتعلق بمعالجة معالج البيانات للبيانات الشخصية.
  4. 7.4. فيما يتعلق بالبيانات الشخصية، يجب على مراقب البيانات الحصول على الموافقة (عند الضرورة) و/أو تقديم إشعار لصاحب البيانات وفقًا لقوانين حماية البيانات لتمكين توفير البيانات الشخصية المشتركة للطرف الآخر واستخدامها من قبله، على النحو المتوخى في هذه الاتفاقية.
  5. 7.5. عند نقل البيانات الشخصية المشتركة خارج الحدود الإقليمية لمعالج البيانات، يجب على الناقل ضمان أن يكون مستلم هذه البيانات ملتزمًا تعاقديًا بحماية هذه البيانات الشخصية بنفس المعايير أو بمعايير أعلى من تلك المفروضة بموجب اتفاقية حماية البيانات هذه وقوانين حماية البيانات.
  6. 7.6. يجب على المعالج إبلاغ مراقب البيانات إذا كان يرى أن تعليمات المعالجة تنتهك التشريعات أو اللوائح المعمول بها.
  7. 7.5. بصفته معالج بيانات، ومع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة لمعالج البيانات، يجب على معالج البيانات مساعدة مراقب البيانات في إجراء أي تقييمات ضرورية لتأثير حماية البيانات (DPIAs)، وفقًا لما يقتضيه اللائحة العامة لحماية البيانات (GDPR).
  1. 8. سرية البيانات
    1. 8.1. لمعالجة البيانات الشخصية، سيستخدم المعالج موظفين يكونون:
      1. 8.1.1. مُطّلعون على الطبيعة السرية للبيانات الشخصية، و
      2. 8.1.2. أداء الخدمات وفقًا للاتفاقية.
    2. 8.2. سيقوم المعالج بتدريب الأفراد الذين لديهم وصول إلى البيانات الشخصية بانتظام في أمن البيانات وخصوصية البيانات وفقًا للممارسات الصناعية المقبولة ويجب أن يضمن الحفاظ على سرية جميع البيانات الشخصية بشكل صارم.
    3. 8.3. سيحافظ المعالج على تدابير تقنية وتنظيمية مناسبة لحماية أمن وسرية وسلامة البيانات الشخصية وفقًا للمواصفات والمعايير المتفق عليها كتابيًا بين الطرفين.
  1. 9. حقوق التدقيق
  1. 9.1. بناءً على طلب المتحكم المعقول، سيوفر المعالج للمتحكم المعلومات الضرورية بشكل معقول لإثبات امتثال المعالج لالتزاماته بموجب اللائحة العامة لحماية البيانات للاتحاد الأوروبي (EU GDPR) أو القوانين الأخرى المعمول بها فيما يتعلق بمعالجته للبيانات الشخصية.
  2. 9.2. عندما يرغب المتحكم في إجراء التدقيق (بنفسه أو من خلال ممثل) في موقع المعالج، يجب عليه تقديم إشعار كتابي مسبق لا يقل عن خمسة عشر (15) يومًا إلى المعالج؛ وسيقدم المعالج تعاونًا ومساعدة معقولين فيما يتعلق بالتدقيقات، بما في ذلك عمليات التفتيش، التي يجريها المتحكم أو ممثله.
  3. 9.3. يتحمل المتحكم تكلفة هذا التدقيق.
  1. 10. آلية نقل البيانات
  1. أي نقل للبيانات لغرض المعالجة من قبل المعالج في بلد خارج المنطقة الاقتصادية الأوروبية ("EEA") يجب أن يتم فقط بما يتوافق مع التفاصيل الواردة في الجدول 1 من اتفاقية حماية البيانات (DPA). في حال عدم تنفيذ هذه البنود النموذجية في نفس وقت اتفاقية حماية البيانات هذه، لا يجوز للمعالج حجب تنفيذ هذه البنود النموذجية دون مبرر، عندما يكون نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية مطلوبًا لأداء الاتفاقية.
  1. 11. المعالجون الفرعيون
    1. 11.1. يقر المتحكم ويوافق على أن المعالج قد يستعين بمعالج فرعي/معالجين فرعيين من طرف ثالث فيما يتعلق بأداء الخدمات، شريطة أن يتخذ هؤلاء المعالجون الفرعيون تدابير تقنية وتنظيمية لضمان سرية البيانات الشخصية المشتركة معهم؛ المعالجون الفرعيون الحاليون الذين يستعين بهم المعالجون والمعتمدون من قبل المتحكم مدرجون في الملحق الثالث من الجدول 1 المرفق بهذا. يجب على المعالج إخطار المتحكم قبل ثلاثين (30) يومًا تقويميًا على الأقل بأي تغييرات أو إضافات مقترحة على معالجيه الفرعيين المدرجين في الملحق الثالث عن طريق إرسال إشعار بالبريد الإلكتروني بالتغيير المقصود إلى العميل. وفقًا للمادة 28(4) من اللائحة العامة لحماية البيانات (GDPR)، يظل المعالج مسؤولاً أمام المتحكم عن أي إخفاق من جانب المعالج الفرعي في الوفاء بالتزاماته المتعلقة بحماية البيانات بموجب اتفاقية حماية البيانات (DPA) فيما يتعلق بأداء الخدمات.
    2. 11.2. إذا كان لدى المتحكم قلق من أن معالجة المعالج الفرعي/المعالجين الفرعيين للبيانات الشخصية من المرجح بشكل معقول أن تتسبب في خرق المتحكم لالتزاماته المتعلقة بحماية البيانات بموجب اللائحة العامة لحماية البيانات (GDPR)، يجوز للمتحكم الاعتراض على استخدام المعالج لهذا المعالج الفرعي ويجب على المعالج والمتحكم التشاور بحسن نية لمعالجة هذا القلق.
  1. 12. الإخطار بخرق البيانات الشخصية
    1. 12.1. يجب على المعالج الاحتفاظ بإجراءات محددة في حالة خرق البيانات الشخصية (كما هو معرف في اللائحة العامة لحماية البيانات GDPR) ويجب عليه إخطار المتحكم دون تأخير لا مبرر له إذا علم بأي خرق للبيانات الشخصية ما لم يكن من غير المحتمل أن يؤدي هذا الخرق للبيانات إلى خطر على حقوق وحريات الأشخاص الطبيعيين.
    2. 12.2. يجب على المعالج تزويد المتحكم بكل المساعدة المعقولة للامتثال لإشعار خرق البيانات الشخصية إلى السلطة الإشرافية و/أو صاحب البيانات، لتحديد سبب هذا الخرق للبيانات واتخاذ الخطوات المعقولة تجاريًا والمطلوبة بشكل معقول للتخفيف من هذا الخرق للبيانات ومعالجته.
    3. 12.3. لا يُعد إقرارًا بالخطأ من جانب المعالج. لا يُفسر إشعار المعالج أو رده على خرق البيانات الشخصية بموجب اتفاقية حماية البيانات هذه على أنه إقرار من المعالج بأي خطأ أو مسؤولية فيما يتعلق بحادث البيانات.
  1. 13. إعادة وحذف البيانات الشخصية
    1. 13.1. يجب على المعالج، في غضون ثلاثين (30) يومًا على الأقل من تاريخ انتهاء الاتفاقية أو توقف خدمات المعالج بموجب الاتفاقية، أيهما أسبق، إعادة جميع البيانات الشخصية إلى المتحكم، أو إذا طلب المتحكم ذلك، يجب على المعالج حذف البيانات الشخصية. يجب على المعالج إعادة هذه البيانات الشخصية بتنسيق شائع الاستخدام أو بالتنسيق الحالي الذي تم تخزينها به، وفقًا لتقدير المتحكم، في أقرب وقت ممكن عمليًا بعد استلام إشعار المتحكم.
    2. 13.2. في أي حال، يجب على المعالج حذف البيانات الشخصية بما في ذلك جميع نسخها في أقرب وقت ممكن عمليًا بعد انتهاء الاتفاقية.
  1. 14. التدابير التقنية والتنظيمية
    1. مع الأخذ في الاعتبار حالة التطور التكنولوجي وتكلفة تنفيذ أي تدابير، سيتخذ المعالج تدابير تقنية وتنظيمية مناسبة ضد المعالجة غير المصرح بها أو غير القانونية للبيانات الشخصية وضد الفقدان العرضي أو التدمير أو التلف الذي يلحق بالبيانات الشخصية لضمان مستوى أمان مناسب لـ: (أ) الضرر الذي قد ينجم عن المعالجة غير المصرح بها أو غير القانونية أو الفقدان العرضي أو التدمير أو التلف؛ و (ب) طبيعة البيانات المراد حمايتها [بما في ذلك التدابير المذكورة في الملحق الثاني من الجدول 1]

الجدول 1

الملحق الأول

أ. قائمة الأطراف

مصدر (مصدرو) البيانات:

  1. الاسم : العميل (كما هو منصوص عليه في نموذج الطلب ذي الصلة).

العنوان: كما هو منصوص عليه في نموذج الطلب ذي الصلة.

اسم جهة الاتصال، المنصب، وتفاصيل الاتصال: كما هو منصوص عليه في نموذج الطلب ذي الصلة.

الأنشطة المتعلقة بالبيانات المنقولة بموجب هذه البنود: مستلم الخدمات المقدمة من Slide Craft Technologies Pvt Ltd وفقًا للاتفاقية.

التوقيع والتاريخ: يتم تحديد التوقيع والتاريخ في الاتفاقية.

الدور (المتحكم/المعالج): المتحكم

مستورد (مستوردو) البيانات:

  1. الاسم: Slide Craft Technologies Pvt Ltd

العنوان: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

اسم جهة الاتصال، المنصب، وتفاصيل الاتصال: Avinash DPO, avinash@deck.in

تفاصيل الاتصال بممثل الاتحاد الأوروبي: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

الأنشطة المتعلقة بالبيانات المنقولة بموجب هذه البنود: تقديم الخدمات للعميل وفقًا للاتفاقية.

التوقيع والتاريخ: التوقيع والتاريخ منصوص عليهما في الاتفاقية.

الدور (المراقب/المعالج): المعالج.

ب. وصف النقل

  1. فئات أصحاب البيانات الذين تُنقل بياناتهم الشخصية
  2. المستخدمون المصرح لهم من قبل العميل للخدمات.

فئات البيانات الشخصية المنقولة

  1. الاسم، العنوان، تاريخ الميلاد، العمر، التعليم، البريد الإلكتروني، الجنس، الصورة، الوظيفة، اللغة، الهاتف، الشخص ذو الصلة، عنوان URL ذو الصلة، معرف المستخدم، اسم المستخدم.

البيانات الحساسة المنقولة (إن وجدت) والقيود أو الضمانات المطبقة التي تأخذ في الاعتبار بشكل كامل طبيعة البيانات والمخاطر المتضمنة، مثل تحديد الغرض الصارم، وقيود الوصول (بما في ذلك الوصول للموظفين الذين تلقوا تدريبًا متخصصًا فقط)، والاحتفاظ بسجل للوصول إلى البيانات، وقيود على عمليات النقل اللاحقة أو تدابير أمنية إضافية.

  1. لم يتم جمع بيانات حساسة.

تكرار النقل (على سبيل المثال، ما إذا كانت البيانات تُنقل لمرة واحدة أو على أساس مستمر).

  1. على أساس مستمر

طبيعة المعالجة
طبيعة المعالجة موصوفة بشكل أكثر تفصيلاً في الاتفاقية ونماذج الطلبات المصاحبة

الغرض (الأغراض) من نقل البيانات والمعالجة اللاحقة

الغرض من النقل هو تسهيل أداء الخدمات الموصوفة بشكل أكثر تفصيلاً في الاتفاقية ونماذج الطلبات المصاحبة.

الفترة التي سيتم خلالها الاحتفاظ بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة

الفترة التي سيتم خلالها الاحتفاظ بالبيانات الشخصية للعميل موصوفة بشكل أكثر تفصيلاً في الاتفاقية والملحق ونماذج الطلبات المصاحبة.

بالنسبة لعمليات النقل إلى المعالجين (الفرعيين)، يجب أيضًا تحديد موضوع المعالجة وطبيعتها ومدتها

  1. موضوع المعالجة وطبيعتها ومدتها موصوفة بشكل أكثر تفصيلاً في الاتفاقية والملحق ونماذج الطلبات المصاحبة.

ج. السلطة الإشرافية المختصة

مُصدّر البيانات مقيم في إحدى دول المنطقة الاقتصادية الأوروبية.

تُحدد السلطة الإشرافية المختصة وفقًا لتطبيق البند 13 من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs).

الملحق الثاني

الإجراءات التقنية والتنظيمية بما في ذلك الإجراءات التقنية والتنظيمية لضمان أمن البيانات

وصف الإجراءات الأمنية التقنية والتنظيمية التي تنفذها سلايد كرافت تكنولوجيز بي في تي المحدودة بصفتها معالج البيانات/مستورد البيانات لضمان مستوى مناسب من الأمان، مع الأخذ في الاعتبار طبيعة ونطاق وسياق والغرض من المعالجة، والمخاطر التي تهدد حقوق وحريات الأشخاص الطبيعيين.

  • الأمن
  • نظام إدارة الأمن.
    • المنظمة. سلايد كرافت تكنولوجيز بي في تي المحدودة تُعيّن موظفين أمن مؤهلين تشمل مسؤولياتهم تطوير وتنفيذ وصيانة مستمرة لبرنامج أمن المعلومات.
    • السياسات. تقوم الإدارة بمراجعة ودعم جميع السياسات المتعلقة بالأمن لضمان أمن وتوافر وسلامة وسرية بيانات العملاء الشخصية. يتم تحديث هذه السياسات مرة واحدة سنويًا على الأقل.
    • التقييمات. سلايد كرافت تكنولوجيز بي في تي المحدودة تتعاقد مع طرف ثالث مستقل وذو سمعة طيبة لإجراء تقييمات للمخاطر لجميع الأنظمة التي تحتوي على بيانات العملاء الشخصية مرة واحدة سنويًا على الأقل.
    • معالجة المخاطر. سلايد كرافت تكنولوجيز بي في تي المحدودة تحافظ على برنامج رسمي وفعال لمعالجة المخاطر يتضمن اختبار الاختراق وإدارة الثغرات الأمنية وإدارة التصحيحات لتحديد وحماية البيانات الشخصية للعملاء من التهديدات المحتملة لأمنها وسلامتها وسريتها.
    • إدارة الموردين. سلايد كرافت تكنولوجيز بي في تي ليمتد تحافظ على برنامج فعال لإدارة الموردين
    • إدارة الحوادث. سلايد كرافت تكنولوجيز بي في تي ليمتد تراجع حوادث الأمان بانتظام، بما في ذلك التحديد الفعال للسبب الجذري والإجراءات التصحيحية.
    • المعايير. سلايد كرافت تكنولوجيز بي في تي ليمتد تدير نظامًا لإدارة أمن المعلومات يتوافق مع متطلبات معيار ISO/IEC 27001:2022.
  • أمن الأفراد.
    • سلايد كرافت تكنولوجيز بي في تي ليمتد يُطلب من الموظفين التصرف بطريقة تتفق مع إرشادات الشركة فيما يتعلق بالسرية وأخلاقيات العمل والاستخدام المناسب والمعايير المهنية. سلايد كرافت تكنولوجيز بي في تي ليمتد تجري فحوصات خلفية مناسبة بشكل معقول على أي موظفين سيكون لديهم وصول إلى بيانات العميل بموجب هذه الاتفاقية، بما في ذلك ما يتعلق بتاريخ التوظيف والسجلات الجنائية، بالقدر المسموح به قانونًا ووفقًا لقانون العمل المحلي المعمول به والممارسات العرفية واللوائح القانونية.
    • يُطلب من الموظفين توقيع اتفاقية سرية كتابيًا عند التوظيف وحماية البيانات الشخصية للعملاء في جميع الأوقات. يجب على الموظفين الإقرار بالاستلام والامتثال لـ سلايد كرافت تكنولوجيز بي في تي ليمتدسياسات Slide Craft Technologies Pvt Ltd للسرية والخصوصية والأمن. يتم تزويد الموظفين بتدريب على الخصوصية والأمن حول كيفية تنفيذ برنامج أمن المعلومات والامتثال له. يُطلب من الموظفين الذين يتعاملون مع البيانات الشخصية للعملاء إكمال متطلبات إضافية مناسبة لدورهم (مثل الشهادات). Slide Craft Technologies Pvt Ltd لن يعالج موظفو Slide Craft Technologies Pvt Ltd البيانات الشخصية للعملاء بدون تفويض.
  • ضوابط الوصول
    • إدارة الوصول. Slide Craft Technologies Pvt Ltd تحتفظ Slide Craft Technologies Pvt Ltd بعملية رسمية لإدارة الوصول لطلب ومراجعة واعتماد وتوفير جميع الموظفين الذين لديهم وصول إلى البيانات الشخصية للعملاء، وذلك للحد من الوصول إلى البيانات الشخصية للعملاء والأنظمة التي تخزن أو تصل إلى أو تنقل البيانات الشخصية للعملاء، بحيث يقتصر الوصول على الأشخاص المصرح لهم بشكل صحيح والذين يحتاجون إلى هذا الوصول. تُجرى مراجعات الوصول بشكل دوري لضمان أن الموظفين الذين لديهم وصول إلى البيانات الشخصية للعملاء ما زالوا بحاجة إليه.
    • موظفو أمن البنية التحتية. Slide Craft Technologies Pvt Ltd تحتفظ Slide Craft Technologies Pvt Ltd بسياسة أمنية لموظفيها وتطبقها، وتتطلب تدريبًا أمنيًا كجزء من حزمة التدريب لموظفيها. Slide Craft Technologies Pvt Ltdموظفو أمن البنية التحتية لـ Slide Craft Technologies Pvt Ltd مسؤولون عن المراقبة المستمرة لـ Slide Craft Technologies Pvt Ltd البنية التحتية الأمنية لـ Slide Craft Technologies Pvt Ltd، ومراجعة الخدمات، والاستجابة للحوادث الأمنية.
    • التحكم في الوصول وإدارة الامتيازات. Slide Craft Technologies Pvt Ltdيجب على مدراء Slide Craft Technologies Pvt Ltd والعميل والمستخدمين النهائيين المصادقة عبر نظام مصادقة متعدد العوامل أو عبر نظام تسجيل دخول موحد لاستخدام الخدمات.
    • عمليات وسياسات الوصول إلى البيانات الداخلية – سياسة الوصول. سلايد كرافت تكنولوجيز بي في تي إل تي ديعمليات وسياسات الوصول إلى البيانات الداخلية الخاصة بها مصممة للحماية من الوصول غير المصرح به، أو الاستخدام، أو الكشف، أو التعديل، أو التدمير لبيانات العملاء الشخصية. سلايد كرافت تكنولوجيز بي في تي إل تي دي تصمم أنظمتها للسماح فقط للأشخاص المصرح لهم بالوصول إلى البيانات التي يُسمح لهم بالوصول إليها بناءً على مبادئ "أقل الامتيازات" و "الحاجة إلى المعرفة"، ولمنع الآخرين الذين لا ينبغي أن يكون لديهم وصول من الحصول عليه. سلايد كرافت تكنولوجيز بي في تي إل تي دي تتطلب استخدام معرفات مستخدم فريدة، وكلمات مرور قوية، ومصادقة ثنائية، وقوائم وصول مراقبة بعناية لتقليل احتمالية الاستخدام غير المصرح به للحسابات. يتم منح أو تعديل حقوق الوصول بناءً على: المسؤوليات الوظيفية للموظفين المصرح لهم؛ متطلبات الواجبات الوظيفية اللازمة لأداء المهام المصرح بها؛ مبدأ الحاجة إلى المعرفة؛ ويجب أن يكون متوافقًا مع سلايد كرافت تكنولوجيز بي في تي إل تي دي سياسات الوصول إلى البيانات الداخلية والتدريب الخاص بها. تتم إدارة الموافقات بواسطة أدوات سير العمل التي تحتفظ بسجلات تدقيق لجميع التغييرات. يتم تسجيل الوصول إلى الأنظمة لإنشاء مسار تدقيق للمساءلة. حيثما تُستخدم كلمات المرور للمصادقة (مثل تسجيل الدخول إلى محطات العمل)، تتبع سياسات كلمات المرور الممارسات القياسية في الصناعة. تتضمن هذه المعايير تعقيد كلمة المرور، وانتهاء صلاحية كلمة المرور، وقفل كلمة المرور، والقيود على إعادة استخدام كلمة المرور، وإعادة طلب كلمة المرور بعد فترة من عدم النشاط
  • أمن مراكز البيانات والشبكات
    • مراكز البيانات.
      • البنية التحتية. سلايد كرافت تكنولوجيز بي في تي إل تي دي تستخدم AWS كمركز بيانات لها.
      • القدرة على التعافي. مناطق توفر متعددة مفعلة على AWS و سلايد كرافت تكنولوجيز بي في تي إل تي دي تجري اختبار استعادة النسخ الاحتياطي بشكل منتظم لضمان القدرة على التعافي.
      • أنظمة تشغيل الخوادم. Slide Craft Technologies Pvt Ltd خوادمها مخصصة لبيئة التطبيق وقد تم تعزيز أمان الخوادم لضمان أمان الخدمات. Slide Craft Technologies Pvt Ltd تستخدم عملية مراجعة الكود لزيادة أمان الكود المستخدم لتقديم الخدمات وتحسين المنتجات الأمنية في بيئات الإنتاج.
      • التعافي من الكوارث. Slide Craft Technologies Pvt Ltd تقوم بنسخ البيانات عبر أنظمة متعددة للمساعدة في الحماية من التلف أو الفقدان العرضي. Slide Craft Technologies Pvt Ltd قامت بتصميم وتخطيط واختبار برامجها للتعافي من الكوارث بانتظام.
      • سجلات الأمان. Slide Craft Technologies Pvt Ltd أنظمتها لديها تسجيل مفعل في مرفق سجل النظام الخاص بها لدعم عمليات تدقيق الأمان، ومراقبة واكتشاف الهجمات الفعلية والمحاولات، أو عمليات الاختراق التي تستهدف، Slide Craft Technologies Pvt Ltd أنظمتها.
      • إدارة الثغرات الأمنية. Slide Craft Technologies Pvt Ltd تُجرى عمليات فحص منتظمة للثغرات الأمنية على جميع مكونات البنية التحتية لبيئة الإنتاج والتطوير الخاصة بها. يتم معالجة الثغرات بناءً على تقييم المخاطر، مع تثبيت تحديثات الأمان الحرجة والعالية والمتوسطة لجميع المكونات في أقرب وقت ممكن تجاريًا.
  • الشبكات والنقل.
    • نقل البيانات. يتم نقل البيانات في بيئة الإنتاج عبر بروتوكولات الإنترنت القياسية.
    • سطح الهجوم الخارجي. مجموعة أمان AWS، التي تعادل جدار حماية افتراضي، موجودة لبيئة الإنتاج على AWS.
    • الاستجابة للحوادث. سلايد كرافت تكنولوجيز بي في تي المحدودة تحتفظ بسياسات وإجراءات إدارة الحوادث، بما في ذلك إجراءات تصعيد الحوادث الأمنية المفصلة. سلايد كرافت تكنولوجيز بي في تي المحدودة تراقب مجموعة متنوعة من قنوات الاتصال للكشف عن الحوادث الأمنية، و سلايد كرافت تكنولوجيز بي في تي المحدودةسيتفاعل موظفو الأمن لديها بسرعة مع الحوادث المشتبه بها أو المعروفة، ويخففون الآثار الضارة لهذه الحوادث الأمنية، ويوثقون هذه الحوادث الأمنية ونتائجها.
    • تقنيات التشفير. سلايد كرافت تكنولوجيز بي في تي المحدودة توفر تشفير HTTPS (المشار إليه أيضًا باسم SSL أو TLS) للبيانات أثناء النقل.
  • تخزين البيانات، العزل، المصادقة، والتدمير. سلايد كرافت تكنولوجيز بي في تي المحدودة تخزن البيانات في بيئة متعددة المستأجرين على خوادم AWS. يتم نسخ البيانات وقاعدة بيانات الخدمات وهندسة نظام الملفات بين مناطق توفر متعددة على AWS. سلايد كرافت تكنولوجيز بي في تي المحدودة تعزل منطقياً بيانات العملاء المختلفين. يُستخدم نظام مصادقة مركزي عبر جميع الخدمات لزيادة الأمان الموحد للبيانات. سلايد كرافت تكنولوجيز بي في تي المحدودة تضمن التخلص الآمن من بيانات العميل من خلال استخدام سلسلة من عمليات تدمير البيانات.

الملحق الثالث

قائمة المعالجات الفرعية

أذن المتحكم باستخدام المعالجات الفرعية التالية:

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA