Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung („DPA“) ist Bestandteil der Nutzungsbedingungen (oder einer anderen ähnlich betitelten schriftlichen oder elektronischen Vereinbarung, die denselben Gegenstand betrifft) („Vereinbarung“) zwischen dem Kunden (wie in der Vereinbarung definiert) und „Slide Craft Technologies Pvt Ltd im Rahmen derer der Auftragsverarbeiter dem Verantwortlichen die Software und Dienstleistungen (die „Dienste“) zur Verfügung stellt. Der Verantwortliche und der Auftragsverarbeiter werden einzeln als „Partei“ und gemeinsam als die „Parteien“ bezeichnet.

Die Parteien beabsichtigen, diese DPA umzusetzen, um den Anforderungen der EU-DSGVO (nachstehend definiert) in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (wie in der EU-DSGVO definiert) im Rahmen seiner Pflichten gemäß der Vereinbarung zu entsprechen.

Diese DPA gilt für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, die vom Verantwortlichen im Rahmen der Pflichten des Auftragsverarbeiters gemäß der Vereinbarung bereitgestellt werden.

Sofern nachstehend keine Änderungen vorgenommen werden, bleiben die Bestimmungen der Vereinbarung in vollem Umfang in Kraft.

1. Begriffsbestimmungen

Begriffe, die hierin nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der EU-DSGVO oder der Vereinbarung zugewiesen ist. Die folgenden Begriffe haben die ihnen nachstehend zugewiesenen Bedeutungen:

  1. 1.1. „Datenübermittlung“ bezeichnet eine Übermittlung personenbezogener Daten vom Verantwortlichen an den Auftragsverarbeiter oder zwischen zwei Niederlassungen des Auftragsverarbeiters oder durch den Auftragsverarbeiter an einen Unterauftragsverarbeiter.
  2. 1.2. „EU DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
  3. 1.3. „Standardvertragsklauseln“ bezeichnet die hier als Anhang 1 beigefügten Vertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.
  4. 1.4. „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche oder können die spezifischen Kriterien für seine Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
  5. 1.5. „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  6. 1.6. „Unterauftragsverarbeiter“ bezeichnet einen vom Auftragsverarbeiter bestellten Auftragsverarbeiter/Unterauftragnehmer für die Erbringung aller oder von Teilen der Dienstleistungen, der die vom Verantwortlichen bereitgestellten personenbezogenen Daten verarbeitet.
  1. 2. Zweck dieser Vereinbarung
  2. Diese DPA legt verschiedene Pflichten des Auftragsverarbeiters im Zusammenhang mit der Verarbeitung personenbezogener Daten fest und ist auf die Pflichten des Auftragsverarbeiters gemäß der Vereinbarung beschränkt. Im Falle eines Widerspruchs zwischen den Bestimmungen der Vereinbarung und dieser DPA haben die Bestimmungen dieser DPA Vorrang.
  3. 3. Kategorien personenbezogener Daten und betroffener Personen
    1. Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist auf die Erbringung der Dienstleistungen des Auftragsverarbeiters für den Verantwortlichen und/oder dessen Kunden gemäß der Vereinbarung beschränkt.
  5. 4. Zweck der Verarbeitung
    1. Der Verantwortliche erteilt dem Auftragsverarbeiter die Erlaubnis, die personenbezogenen Daten in dem Umfang zu verarbeiten, der vom Verantwortlichen bestimmt und geregelt wird. Die aktuelle Art der personenbezogenen Daten ist in Anhang I zu Anlage 1 dieser DPA festgelegt. Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist auf die Erbringung der Dienstleistungen des Auftragsverarbeiters für den Verantwortlichen und/oder dessen Kunden gemäß der Vereinbarung beschränkt.
  6. 5. Dauer der Verarbeitung
    1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer der Vereinbarung, sofern vom Verantwortlichen nicht schriftlich anders vereinbart.
  1. 6. Pflichten des Verantwortlichen
    1. 6.1. Der Verantwortliche gewährleistet, dass er über alle erforderlichen Rechte verfügt, um dem Auftragsverarbeiter die personenbezogenen Daten für die im Zusammenhang mit den vereinbarten Dienstleistungen durchzuführende Verarbeitung zur Verfügung zu stellen. Soweit nach den Datenschutzgesetzen erforderlich, ist der Verantwortliche dafür verantwortlich, dass er dem Auftragsverarbeiter solche personenbezogenen Daten auf einer geeigneten Rechtsgrundlage zur Verfügung stellt, die rechtmäßige Verarbeitungsaktivitäten ermöglicht, einschließlich der Einholung aller erforderlichen Einwilligungen der betroffenen Person für diese Verarbeitung, und dass eine Aufzeichnung solcher Einwilligungen geführt wird. Sollte eine solche Einwilligung von der betroffenen Person widerrufen werden, ist der Verantwortliche dafür verantwortlich, dem Auftragsverarbeiter die Tatsache dieses Widerrufs mitzuteilen.
    2. 6.2. Der Verantwortliche stellt allen natürlichen Personen, von denen er personenbezogene Daten erhebt, die entsprechende Datenschutzerklärung zur Verfügung.
    3. 6.3. Der Verantwortliche fordert den Auftragsverarbeiter auf, personenbezogene Daten zu löschen, wenn dies vom Verantwortlichen oder einer betroffenen Person, von der er personenbezogene Daten erhebt, verlangt wird, es sei denn, der Auftragsverarbeiter ist anderweitig durch geltendes Recht zur Aufbewahrung der personenbezogenen Daten verpflichtet.
    4. 6.4. The Data Controller shall immediately advise the Data Processor in writing if it receives or learns of any:
      1. 6.4.1. Complaint or allegation indicating a violation of Data Privacy Laws regarding Personal Data;
      2. 6.4.2. Request from one or more individuals seeking to access, correct, or delete Personal Data;
      3. 6.4.3. Inquiry or complaint from one or more individuals relating to the collection, processing, use, or transfer of Personal Data; and
      4. 6.4.4. Any regulatory request, search warrant, or other legal, regulatory, administrative, or governmental process seeking Personal Data
  1. 7. Data Processor’s Obligations
  1. 7.1. The Processor will follow written and documented instructions received, including email, from the Controller, its affiliate, agents, or personnel, with respect to the Processing of Personal Data (each, an “Instruction”).
  2. 7.2. The Processing described in the Agreement and the relating documentation shall be considered as Instruction from the Controller.
  3. 7.3. At the Data Controller’s request, the Data Processor will provide reasonable assistance to the Data Controller in responding to/ complying with requests/ directions by Data Subject in exercising their rights or of the applicable regulatory authorities regarding Data Processor’s Processing of Personal Data.
  4. 7.4. In relation to the Personal Data, Data Controller shall obtain consent (where necessary) and/or provide notice to the Data Subject in accordance with Data Protection Laws to enable shared Personal Data to be provided to, and used by, the other Party as contemplated by this Agreement.
  5. 7.5. Where shared Personal Data is transferred outside the Data Processor’s territorial boundaries, the transferor shall ensure that the recipient of such data is under contractual obligations to protect such Personal Data to the same or higher standards as those imposed under this DPA and the Data Protection Laws.
  6. 7.6. The processor shall inform the controller if, in its opinion, a processing instruction infringes applicable legislation or regulation.
  7. 7.5. As A Data Processor, taking into account the nature of the processing and the information available to the Data Processor, the Data Processor shall assist the data controller in conducting any necessary Data Protection Impact Assessments (DPIAs), as required under GDPR.
  1. 8. Data Secrecy
    1. 8.1. To Process the Personal Data, the Processor will use personnel who are:
      1. 8.1.1. Informed of the confidential nature of the Personal Data, and
      2. 8.1.2. Perform the Services in accordance with the Agreement.
    2. 8.2. The Processor will regularly train individuals having access to Personal Data in data security and data privacy in accordance with accepted industry practice and shall ensure that all the Personal Data is kept strictly confidential.
    3. 8.3. The Processor will maintain appropriate technical and organizational measures for protection of the security, confidentiality, and integrity of the Personal Data as per the specifications as per the standards mutually agreed in writing by the Parties.
  1. 9. Audit Rights
  1. 9.1. Upon the Controller's reasonable request, the Processor will make available to the Controller, information as is reasonably necessary to demonstrate Processor’s compliance with its obligations under the EU GDPR or other applicable laws in respect of its Processing of the Personal Data.
  2. 9.2. When the Controller wishes to conduct the audit (by itself or through a representative) at Processor’s site, it shall provide at least fifteen (15) days’ prior written notice to the Processor; the Processor will provide reasonable cooperation and assistance in relation to audits, including inspections, conducted by the Controller or its representative.
  3. 9.3. The Controller shall bear the expense of such an audit.
  1. 10. Mechanism of Data Transfers
  1. Any Data Transfer for the purpose of Processing by the Processor in a country outside the European Economic Area (the “EEA”) shall only take place in compliance as detailed in Schedule 1 to the DPA. Where such model clauses have not been executed at the same time as this DPA, the Processor shall not unduly withhold the execution of such template model clauses, where the transfer of Personal Data outside of the EEA is required for the performance of the Agreement.
  1. 11. Sub-processors
    1. 11.1. The Controller acknowledges and agrees that the Processor, may engage a third-party Sub-processor(s) in connection with the performance of the Services, provided such Sub-processor(s) take technical and organizational measures to ensure confidentiality of Personal Data shared with them; The current Sub-processors engaged by the Processors and approved by the Controller are listed in Annex III of Schedule 1 hereto. The processor shall notify the controller at least thirty (30) calendar days in advance of any intended changes or additions to its Sub-processors listed in Annex III by emailing notice of the intended change to Customer. In accordance with Article 28(4) of the GDPR, the Processor shall remain liable to Controller for any failure on behalf of a Sub-processor to fulfil its data protection obligations under the DPA in connection with the performance of the Services.
    2. 11.2. If the Controller has a concern that the Sub-processor(s) Processing of Personal Data is reasonably likely to cause the Controller to breach its data protection obligations under the GDPR, the Controller may object to Processor’s use of such Sub-processor and the Processor and Controller shall confer in good faith to address such concern.
  1. 12. Personal Data Breach Notification
    1. 12.1. The Processor shall maintain defined procedures in case of a Personal Data Breach (as defined under the GDPR) and shall without undue delay notify Controller if it becomes aware of any Personal Data Breach unless such Data Breach is unlikely to result in a risk to the rights and freedoms of natural persons.
    2. 12.2. The Processor shall provide the Controller with all reasonable assistance to comply with the notification of Personal Data Breach to the Supervisory Authority and/or the Data Subject, to identify the cause of such Data Breach and take such commercially reasonable steps as reasonably required to mitigate and remedy such Data Breach.
    3. 12.3. No Acknowledgement of Fault by Processor. Processor’s notification of or response to a Personal Data Breach under this DPA will not be construed as an acknowledgement by Processor of any fault or liability with respect to the data incident.
  1. 13. Return and Deletion of Personal Data
    1. 13.1. The Processor shall at least thirty (30) days from the end of the Agreement or cessation of the Processor’s Services under the Agreement, whichever occurs earlier, shall return to the Controller all the Personal Data, or if the Controller so instructs, the Processor shall have the Personal Data deleted. The Processor shall return such Personal Data in a commonly used format or in the current format in which it was stored at discretion of the Controller, soon as reasonably practicable following receipt of Controller’s notification.
    2. 13.2. In any case, the Processor shall delete Personal Data including all the copies of it as soon as reasonably practicable following the end of the Agreement.
  1. 14. Technical and Organizational Measures
    1. Having regard to the state of technological development and the cost of implementing any measures, the Processor will take appropriate technical and organizational measures against the unauthorized or unlawful processing of Personal Data and against the accidental loss or destruction of, or damage to, Personal Data to ensure a level of security appropriate to: (a) the harm that might result from unauthorized or unlawful processing or accidental loss, destruction or damage; and (b) the nature of the data to be protected [including the measures stated in Annex II of Schedule 1]

SCHEDULE 1

ANNEX I

A. LIST OF PARTIES

Data exporter(s):

  1. Name : Customer (As set forth in the relevant Order Form).

Address: As set forth in the relevant Order Form.

Contact person’s name, position, and contact details: As set forth in the relevant Order Form.

Activities relevant to the data transferred under these Clauses: Recipient of the Services provided by Slide Craft Technologies Pvt Ltd in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/ Processor): Controller

Data importer(s):

  1. Name: Slide Craft Technologies Pvt Ltd

Address: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Contact person’s name, position, and contact details: Avinash DPO, avinash@deck.in

EU representative contact details: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Activities relevant to the data transferred under these Clauses: Provision of the Services to the Customer in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/processor): Processor.

B. DESCRIPTION OF TRANSFER

  1. Categories of data subjects whose personal data is transferred
  2. Customer’s authorized users of the Services.

Categories of personal data transferred

  1. Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Job, Language, Phone, Related person, Related URL, User ID, Username.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

  1. No sensitive data collected.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

  1. Continuous basis

Nature of the processing
The nature of the processing is more fully described in the Agreement and accompanying order forms

Purpose(s) of the data transfer and further processing

The purpose of the transfer is to facilitate the performance of the Services more fully described in the Agreement and accompanying order forms.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The period for which the Customer Personal Data will be retained is more fully described in the Agreement, Addendum, and accompanying order forms.

For transfers to (sub-) processors, also specify subject matter, nature, and duration of the processing

  1. The subject matter, nature, and duration of the Processing more fully described in the Agreement, Addendum, and accompanying order forms.

C.COMPETENT SUPERVISORY AUTHORITY

Data exporter is established in an EEA country.

The competent supervisory authority is as determined by application of Clause 13 of the EU SCCs.

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by Slide Craft Technologies Pvt Ltd as the data processor/data importer to ensure an appropriate level of security, taking into account the nature, scope, context, and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  • Security
  • Security Management System.
    • Organization. Slide Craft Technologies Pvt Ltd designates qualified security personnel whose responsibilities include development, implementation, and ongoing maintenance of the Information Security Program.
    • Policies. Management reviews and supports all security related policies to ensure the security, availability, integrity and confidentiality of Customer Personal Data. These policies are updated at least once annually.
    • Assessments. Slide Craft Technologies Pvt Ltd engages a reputable independent third-party to perform risk assessments of all systems containing Customer Personal Data at least once annually.
    • Risk Treatment. Slide Craft Technologies Pvt Ltd maintains a formal and effective risk treatment program that includes penetration testing, vulnerability management and patch management to identify and protect against potential threats to the security, integrity or confidentiality of Customer Personal Data.
    • Vendor Management. Slide Craft Technologies Pvt Ltd unterhält ein effektives Lieferantenmanagementprogramm
    • Vorfallsmanagement. Slide Craft Technologies Pvt Ltd überprüft Sicherheitsvorfälle regelmäßig, einschließlich der effektiven Ermittlung der Grundursache und Korrekturmaßnahmen.
    • Standards. Slide Craft Technologies Pvt Ltd betreibt ein Informationssicherheits-Managementsystem, das den Anforderungen des Standards ISO/IEC 27001:2022 entspricht.
  • Personalsicherheit.
    • Slide Craft Technologies Pvt Ltd Das Personal ist verpflichtet, sich in Übereinstimmung mit den Richtlinien des Unternehmens bezüglich Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professioneller Standards zu verhalten. Slide Craft Technologies Pvt Ltd führt angemessene Hintergrundüberprüfungen bei allen Mitarbeitern durch, die im Rahmen dieser Vereinbarung Zugriff auf Kundendaten haben werden, einschließlich der Arbeitsgeschichte und Vorstrafen, soweit gesetzlich zulässig und in Übereinstimmung mit dem geltenden lokalen Arbeitsrecht, der üblichen Praxis und den gesetzlichen Bestimmungen.
    • Das Personal ist verpflichtet, bei der Einstellung eine schriftliche Vertraulichkeitsvereinbarung zu unterzeichnen und personenbezogene Kundendaten jederzeit zu schützen. Das Personal muss den Erhalt und die Einhaltung von Slide Craft Technologies Pvt LtdVertraulichkeits-, Datenschutz- und Sicherheitsrichtlinien. Das Personal erhält Datenschutz- und Sicherheitsschulungen zur Implementierung und Einhaltung des Informationssicherheitsprogramms. Personal, das personenbezogene Kundendaten verarbeitet, muss zusätzliche, der jeweiligen Rolle entsprechende Anforderungen erfüllen (z. B. Zertifizierungen). Slide Craft Technologies Pvt Ltd Das Personal wird personenbezogene Kundendaten nicht ohne Genehmigung verarbeiten.
  • Zugriffskontrollen
    • Zugriffsverwaltung. Slide Craft Technologies Pvt Ltd pflegt einen formalen Zugriffsverwaltungsprozess für die Anforderung, Überprüfung, Genehmigung und Bereitstellung des Zugangs für alle Mitarbeiter, die Zugriff auf personenbezogene Kundendaten haben, um den Zugriff auf personenbezogene Kundendaten und Systeme, die personenbezogene Kundendaten speichern, darauf zugreifen oder diese übertragen, auf ordnungsgemäß autorisierte Personen zu beschränken, die diesen Zugriff benötigen. Zugriffsüberprüfungen werden regelmäßig durchgeführt, um sicherzustellen, dass nur diejenigen Mitarbeiter, die Zugriff auf personenbezogene Kundendaten haben, diesen weiterhin benötigen.
    • Infrastruktur-Sicherheitspersonal. Slide Craft Technologies Pvt Ltd hat und pflegt eine Sicherheitsrichtlinie für sein Personal und verlangt Sicherheitsschulungen als Teil des Schulungspakets für sein Personal. Slide Craft Technologies Pvt LtdDas Infrastruktur-Sicherheitspersonal von Slide Craft Technologies Pvt Ltd ist für die fortlaufende Überwachung von verantwortlich. Slide Craft Technologies Pvt Ltd die Sicherheitsinfrastruktur von Slide Craft Technologies Pvt Ltd, die Überprüfung der Dienste und die Reaktion auf Sicherheitsvorfälle.
    • Zugriffskontrolle und Berechtigungsverwaltung. Slide Craft Technologies Pvt LtdDie Administratoren und Endbenutzer von Slide Craft Technologies Pvt Ltd und des Kunden müssen sich über ein Multi-Faktor-Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Dienste nutzen zu können
    • Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinie. Slide Craft Technologies Pvt Ltdinterne Datenzugriffsprozesse und -richtlinien sind darauf ausgelegt, unbefugten Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung von personenbezogenen Kundendaten zu verhindern. Slide Craft Technologies Pvt Ltd entwickelt seine Systeme so, dass nur autorisierte Personen auf Daten zugreifen können, für die sie eine Berechtigung haben, basierend auf den Prinzipien des „geringsten Privilegs“ (Least Privilege) und des „Need-to-know“, und um zu verhindern, dass andere, die keinen Zugriff haben sollten, diesen erhalten. Slide Craft Technologies Pvt Ltd erfordert die Verwendung eindeutiger Benutzer-IDs, starker Passwörter, Zwei-Faktor-Authentifizierung und sorgfältig überwachter Zugriffslisten, um das Potenzial für die unbefugte Nutzung von Konten zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den Aufgabenbereichen des autorisierten Personals; den für die Ausführung autorisierter Aufgaben erforderlichen Arbeitsanforderungen; dem Prinzip der Notwendigkeit des Wissens (Need-to-know-Prinzip); und muss in Übereinstimmung mit Slide Craft Technologies Pvt Ltd interne Richtlinien und Schulungen zum Datenzugriff. Genehmigungen werden über Workflow-Tools verwaltet, die Audit-Protokolle aller Änderungen führen. Der Zugriff auf Systeme wird protokolliert, um einen Audit-Trail zur Nachvollziehbarkeit zu erstellen. Wo Passwörter zur Authentifizierung verwendet werden (z. B. für die Anmeldung an Workstations), folgen die Passwortrichtlinien den Industriestandards. Diese Standards umfassen Passwortkomplexität, Passwortablauf, Passwortsperrung, Einschränkungen bei der Wiederverwendung von Passwörtern und eine erneute Passworteingabe nach einer Zeit der Inaktivität.
  • Rechenzentrums- und Netzwerksicherheit
    • Rechenzentren.
      • Infrastruktur. Slide Craft Technologies Pvt Ltd nutzt AWS als Rechenzentrum.
      • Ausfallsicherheit. Mehrere Verfügbarkeitszonen sind auf AWS aktiviert und Slide Craft Technologies Pvt Ltd führt regelmäßig Tests zur Wiederherstellung von Backups durch, um die Ausfallsicherheit zu gewährleisten.
      • Server-Betriebssysteme. Slide Craft Technologies Pvt Ltd Server sind für die Anwendungsumgebung angepasst und wurden zur Sicherheit der Dienste gehärtet. Slide Craft Technologies Pvt Ltd wendet einen Code-Review-Prozess an, um die Sicherheit des zur Bereitstellung der Dienste verwendeten Codes zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
      • Notfallwiederherstellung. Slide Craft Technologies Pvt Ltd repliziert Daten über mehrere Systeme, um vor versehentlicher Zerstörung oder Verlust zu schützen. Slide Craft Technologies Pvt Ltd hat seine Notfallwiederherstellungsprogramme entworfen und plant und testet diese regelmäßig.
      • Sicherheitsprotokolle. Slide Craft Technologies Pvt Ltd -Systeme verfügen über eine aktivierte Protokollierung in ihrer jeweiligen Systemprotokollfunktion, um Sicherheitsaudits zu unterstützen und tatsächliche sowie versuchte Angriffe oder Eindringversuche in oder auf zu überwachen und zu erkennen, Slide Craft Technologies Pvt Ltd -Systeme.
      • Schwachstellenmanagement. Slide Craft Technologies Pvt Ltd führt regelmäßige Schwachstellenscans auf allen Infrastrukturkomponenten seiner Produktions- und Entwicklungsumgebung durch. Schwachstellen werden risikobasiert behoben, wobei kritische, hohe und mittlere Sicherheitspatches für alle Komponenten so schnell wie geschäftlich möglich installiert werden.
  • Netzwerke und Übertragung.
    • Datenübertragung. Übertragungen in der Produktionsumgebung erfolgen über Internet-Standardprotokolle.
    • Externe Angriffsfläche. Eine AWS Security Group, die einer virtuellen Firewall entspricht, ist für die Produktionsumgebung auf AWS eingerichtet.
    • Incident Response. Slide Craft Technologies Pvt Ltd pflegt Richtlinien und Verfahren für das Vorfallmanagement, einschließlich detaillierter Eskalationsverfahren für Sicherheitsvorfälle. Slide Craft Technologies Pvt Ltd überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle, und Slide Craft Technologies Pvt LtdDas Sicherheitspersonal wird umgehend auf vermutete oder bekannte Vorfälle reagieren, schädliche Auswirkungen solcher Sicherheitsvorfälle mindern und solche Sicherheitsvorfälle und deren Ergebnisse dokumentieren.
    • Verschlüsselungstechnologien. Slide Craft Technologies Pvt Ltd stellt HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) für Daten während der Übertragung zur Verfügung.
  • Datenspeicherung, Isolation, Authentifizierung und Vernichtung. Slide Craft Technologies Pvt Ltd speichert Daten in einer Multi-Tenant-Umgebung auf AWS-Servern. Daten, die Datenbank der Dienste und die Dateisystemarchitektur werden zwischen mehreren Verfügbarkeitszonen auf AWS repliziert. Slide Craft Technologies Pvt Ltd isoliert die Daten verschiedener Kunden logisch. Ein zentrales Authentifizierungssystem wird über alle Dienste hinweg eingesetzt, um die einheitliche Datensicherheit zu erhöhen. Slide Craft Technologies Pvt Ltd gewährleistet die sichere Löschung von Kundendaten durch den Einsatz einer Reihe von Datenvernichtungsprozessen.

ANHANG III

LISTE DER UNTERAUFTRAGSVERARBEITER

Der Verantwortliche hat die Beauftragung der folgenden Unterauftragsverarbeiter genehmigt:

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA