Acuerdo de procesamiento de datos

Este Acuerdo de Procesamiento de Datos («DPA») forma parte de los Términos de Uso (u otro acuerdo escrito o electrónico de título similar que aborde el mismo asunto) («Acuerdo») entre el Cliente (según se define en el Acuerdo) y «Slide Craft Technologies Pvt Ltd» en virtud del cual el Encargado del Tratamiento proporciona al Responsable del Tratamiento el software y los servicios (los «Servicios»). El Responsable del Tratamiento y el Encargado del Tratamiento se denominan individualmente «Parte» y colectivamente «Partes».

Las Partes procuran implementar este DPA para cumplir con los requisitos del RGPD de la UE (definido en el presente documento) en relación con el tratamiento de Datos Personales por parte del Encargado del Tratamiento (según se define en el RGPD de la UE) como parte de sus obligaciones en virtud del Acuerdo.

Este DPA se aplicará al tratamiento de Datos Personales por parte del Encargado del Tratamiento, proporcionados por el Responsable del Tratamiento como parte de las obligaciones del Encargado del Tratamiento en virtud del Acuerdo.

Salvo que se modifique a continuación, los términos del Acuerdo permanecerán en pleno vigor y efecto.

1. Definiciones

Los términos no definidos de otro modo en el presente documento tendrán el significado que se les atribuye en el RGPD de la UE o en el Acuerdo. Los siguientes términos tendrán los significados correspondientes que se les asignan a continuación:

  1. 1.1. «Transferencia de Datos» se refiere a una transferencia de Datos Personales del Responsable del Tratamiento al Encargado del Tratamiento, o entre dos establecimientos del Encargado del Tratamiento, o con un Subencargado del Tratamiento por parte del Encargado del Tratamiento.
  2. 1.2. «UE RGPD» se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  3. 1.3. «Cláusulas Contractuales Tipo» se refiere a las cláusulas contractuales adjuntas al presente como Anexo 1 de conformidad con la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.
  4. 1.4. «Responsable del Tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán establecerse en el Derecho de la Unión o de los Estados miembros.
  5. 1.5. “Encargado del Tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
  6. 1.6. “Subencargado del Tratamiento” significa un encargado del tratamiento/subcontratista designado por el Encargado del Tratamiento para la prestación de la totalidad o parte de los Servicios y que Trata los Datos Personales según lo proporcionado por el Responsable del Tratamiento.
  1. 2. Objeto de este Contrato
  2. Este DPA establece diversas obligaciones del Encargado del Tratamiento en relación con el Tratamiento de Datos Personales y se limitará a las obligaciones del Encargado del Tratamiento en virtud del Contrato. En caso de conflicto entre las disposiciones del Contrato y las de este DPA, prevalecerán las disposiciones de este DPA.
  3. 3. Categorías de Datos Personales e Interesados
    1. El objetivo del Tratamiento de Datos Personales por parte del Encargado del Tratamiento se limitará a la prestación de los Servicios por parte del Encargado del Tratamiento al Responsable del Tratamiento y/o a su Cliente, de conformidad con el Contrato.
  5. 4. Finalidad del Tratamiento
    1. El Responsable del Tratamiento autoriza al Encargado del Tratamiento a tratar los Datos Personales en la medida determinada y regulada por el Responsable del Tratamiento. La naturaleza actual de los Datos Personales se especifica en el Anexo I del Anexo 1 de este DPA. El objetivo del Tratamiento de Datos Personales por parte del Encargado del Tratamiento se limitará a la prestación de los Servicios por parte del Encargado del Tratamiento al Responsable del Tratamiento y/o a su Cliente, de conformidad con el Contrato.
  6. 5. Duración del Tratamiento
    1. El Encargado del Tratamiento Tratará los Datos Personales durante la vigencia del Contrato, a menos que el Responsable del Tratamiento acuerde lo contrario por escrito.
  1. 6. Obligaciones del Responsable del Tratamiento
    1. 6.1. El Responsable del Tratamiento garantizará que posee todos los derechos necesarios para proporcionar los Datos Personales al Encargado del Tratamiento para el Tratamiento que se realizará en relación con los servicios acordados. En la medida en que lo exijan las Leyes de Protección de Datos, el Responsable del Tratamiento es responsable de garantizar que proporciona dichos Datos Personales al Encargado del Tratamiento basándose en una base legal adecuada que permita actividades de tratamiento lícitas, incluyendo la obtención de cualquier consentimiento necesario del Interesado para este Tratamiento, y de garantizar que se mantenga un registro de dichos consentimientos. En caso de que el Interesado revoque dicho consentimiento, el Responsable del Tratamiento es responsable de comunicar el hecho de dicha revocación al Encargado del Tratamiento.
    2. 6.2. El Responsable del Tratamiento proporcionará a todas las personas físicas de quienes recopile Datos Personales el aviso de privacidad pertinente.
    3. 6.3. El Responsable del Tratamiento solicitará al Encargado del Tratamiento que elimine los Datos Personales cuando así lo exija el Responsable del Tratamiento o cualquier Interesado de quien recopile Datos Personales, a menos que la ley aplicable exija al Encargado del Tratamiento conservar los Datos Personales.
    4. 6.4. The Data Controller shall immediately advise the Data Processor in writing if it receives or learns of any:
      1. 6.4.1. Complaint or allegation indicating a violation of Data Privacy Laws regarding Personal Data;
      2. 6.4.2. Request from one or more individuals seeking to access, correct, or delete Personal Data;
      3. 6.4.3. Inquiry or complaint from one or more individuals relating to the collection, processing, use, or transfer of Personal Data; and
      4. 6.4.4. Any regulatory request, search warrant, or other legal, regulatory, administrative, or governmental process seeking Personal Data
  1. 7. Data Processor’s Obligations
  1. 7.1. The Processor will follow written and documented instructions received, including email, from the Controller, its affiliate, agents, or personnel, with respect to the Processing of Personal Data (each, an “Instruction”).
  2. 7.2. The Processing described in the Agreement and the relating documentation shall be considered as Instruction from the Controller.
  3. 7.3. At the Data Controller’s request, the Data Processor will provide reasonable assistance to the Data Controller in responding to/ complying with requests/ directions by Data Subject in exercising their rights or of the applicable regulatory authorities regarding Data Processor’s Processing of Personal Data.
  4. 7.4. In relation to the Personal Data, Data Controller shall obtain consent (where necessary) and/or provide notice to the Data Subject in accordance with Data Protection Laws to enable shared Personal Data to be provided to, and used by, the other Party as contemplated by this Agreement.
  5. 7.5. Where shared Personal Data is transferred outside the Data Processor’s territorial boundaries, the transferor shall ensure that the recipient of such data is under contractual obligations to protect such Personal Data to the same or higher standards as those imposed under this DPA and the Data Protection Laws.
  6. 7.6. The processor shall inform the controller if, in its opinion, a processing instruction infringes applicable legislation or regulation.
  7. 7.5. As A Data Processor, taking into account the nature of the processing and the information available to the Data Processor, the Data Processor shall assist the data controller in conducting any necessary Data Protection Impact Assessments (DPIAs), as required under GDPR.
  1. 8. Data Secrecy
    1. 8.1. To Process the Personal Data, the Processor will use personnel who are:
      1. 8.1.1. Informed of the confidential nature of the Personal Data, and
      2. 8.1.2. Perform the Services in accordance with the Agreement.
    2. 8.2. The Processor will regularly train individuals having access to Personal Data in data security and data privacy in accordance with accepted industry practice and shall ensure that all the Personal Data is kept strictly confidential.
    3. 8.3. The Processor will maintain appropriate technical and organizational measures for protection of the security, confidentiality, and integrity of the Personal Data as per the specifications as per the standards mutually agreed in writing by the Parties.
  1. 9. Audit Rights
  1. 9.1. Upon the Controller's reasonable request, the Processor will make available to the Controller, information as is reasonably necessary to demonstrate Processor’s compliance with its obligations under the EU GDPR or other applicable laws in respect of its Processing of the Personal Data.
  2. 9.2. When the Controller wishes to conduct the audit (by itself or through a representative) at Processor’s site, it shall provide at least fifteen (15) days’ prior written notice to the Processor; the Processor will provide reasonable cooperation and assistance in relation to audits, including inspections, conducted by the Controller or its representative.
  3. 9.3. The Controller shall bear the expense of such an audit.
  1. 10. Mechanism of Data Transfers
  1. Any Data Transfer for the purpose of Processing by the Processor in a country outside the European Economic Area (the “EEA”) shall only take place in compliance as detailed in Schedule 1 to the DPA. Where such model clauses have not been executed at the same time as this DPA, the Processor shall not unduly withhold the execution of such template model clauses, where the transfer of Personal Data outside of the EEA is required for the performance of the Agreement.
  1. 11. Sub-processors
    1. 11.1. The Controller acknowledges and agrees that the Processor, may engage a third-party Sub-processor(s) in connection with the performance of the Services, provided such Sub-processor(s) take technical and organizational measures to ensure confidentiality of Personal Data shared with them; The current Sub-processors engaged by the Processors and approved by the Controller are listed in Annex III of Schedule 1 hereto. The processor shall notify the controller at least thirty (30) calendar days in advance of any intended changes or additions to its Sub-processors listed in Annex III by emailing notice of the intended change to Customer. In accordance with Article 28(4) of the GDPR, the Processor shall remain liable to Controller for any failure on behalf of a Sub-processor to fulfil its data protection obligations under the DPA in connection with the performance of the Services.
    2. 11.2. If the Controller has a concern that the Sub-processor(s) Processing of Personal Data is reasonably likely to cause the Controller to breach its data protection obligations under the GDPR, the Controller may object to Processor’s use of such Sub-processor and the Processor and Controller shall confer in good faith to address such concern.
  1. 12. Personal Data Breach Notification
    1. 12.1. The Processor shall maintain defined procedures in case of a Personal Data Breach (as defined under the GDPR) and shall without undue delay notify Controller if it becomes aware of any Personal Data Breach unless such Data Breach is unlikely to result in a risk to the rights and freedoms of natural persons.
    2. 12.2. The Processor shall provide the Controller with all reasonable assistance to comply with the notification of Personal Data Breach to the Supervisory Authority and/or the Data Subject, to identify the cause of such Data Breach and take such commercially reasonable steps as reasonably required to mitigate and remedy such Data Breach.
    3. 12.3. No Acknowledgement of Fault by Processor. Processor’s notification of or response to a Personal Data Breach under this DPA will not be construed as an acknowledgement by Processor of any fault or liability with respect to the data incident.
  1. 13. Return and Deletion of Personal Data
    1. 13.1. The Processor shall at least thirty (30) days from the end of the Agreement or cessation of the Processor’s Services under the Agreement, whichever occurs earlier, shall return to the Controller all the Personal Data, or if the Controller so instructs, the Processor shall have the Personal Data deleted. The Processor shall return such Personal Data in a commonly used format or in the current format in which it was stored at discretion of the Controller, soon as reasonably practicable following receipt of Controller’s notification.
    2. 13.2. In any case, the Processor shall delete Personal Data including all the copies of it as soon as reasonably practicable following the end of the Agreement.
  1. 14. Technical and Organizational Measures
    1. Having regard to the state of technological development and the cost of implementing any measures, the Processor will take appropriate technical and organizational measures against the unauthorized or unlawful processing of Personal Data and against the accidental loss or destruction of, or damage to, Personal Data to ensure a level of security appropriate to: (a) the harm that might result from unauthorized or unlawful processing or accidental loss, destruction or damage; and (b) the nature of the data to be protected [including the measures stated in Annex II of Schedule 1]

SCHEDULE 1

ANNEX I

A. LIST OF PARTIES

Data exporter(s):

  1. Name : Customer (As set forth in the relevant Order Form).

Address: As set forth in the relevant Order Form.

Contact person’s name, position, and contact details: As set forth in the relevant Order Form.

Activities relevant to the data transferred under these Clauses: Recipient of the Services provided by Slide Craft Technologies Pvt Ltd in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/ Processor): Controller

Data importer(s):

  1. Name: Slide Craft Technologies Pvt Ltd

Address: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Contact person’s name, position, and contact details: Avinash DPO, avinash@deck.in

EU representative contact details: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Activities relevant to the data transferred under these Clauses: Provision of the Services to the Customer in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/processor): Processor.

B. DESCRIPTION OF TRANSFER

  1. Categories of data subjects whose personal data is transferred
  2. Customer’s authorized users of the Services.

Categories of personal data transferred

  1. Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Job, Language, Phone, Related person, Related URL, User ID, Username.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

  1. No sensitive data collected.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

  1. Continuous basis

Nature of the processing
The nature of the processing is more fully described in the Agreement and accompanying order forms

Purpose(s) of the data transfer and further processing

The purpose of the transfer is to facilitate the performance of the Services more fully described in the Agreement and accompanying order forms.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The period for which the Customer Personal Data will be retained is more fully described in the Agreement, Addendum, and accompanying order forms.

For transfers to (sub-) processors, also specify subject matter, nature, and duration of the processing

  1. The subject matter, nature, and duration of the Processing more fully described in the Agreement, Addendum, and accompanying order forms.

C.COMPETENT SUPERVISORY AUTHORITY

Data exporter is established in an EEA country.

The competent supervisory authority is as determined by application of Clause 13 of the EU SCCs.

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by Slide Craft Technologies Pvt Ltd as the data processor/data importer to ensure an appropriate level of security, taking into account the nature, scope, context, and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  • Security
  • Security Management System.
    • Organization. Slide Craft Technologies Pvt Ltd designates qualified security personnel whose responsibilities include development, implementation, and ongoing maintenance of the Information Security Program.
    • Policies. Management reviews and supports all security related policies to ensure the security, availability, integrity and confidentiality of Customer Personal Data. These policies are updated at least once annually.
    • Assessments. Slide Craft Technologies Pvt Ltd engages a reputable independent third-party to perform risk assessments of all systems containing Customer Personal Data at least once annually.
    • Risk Treatment. Slide Craft Technologies Pvt Ltd maintains a formal and effective risk treatment program that includes penetration testing, vulnerability management and patch management to identify and protect against potential threats to the security, integrity or confidentiality of Customer Personal Data.
    • Vendor Management. Slide Craft Technologies Pvt Ltd mantiene un programa eficaz de gestión de proveedores
    • Gestión de Incidentes. Slide Craft Technologies Pvt Ltd revisa los incidentes de seguridad regularmente, incluyendo la determinación efectiva de la causa raíz y la acción correctiva.
    • Normas. Slide Craft Technologies Pvt Ltd opera un sistema de gestión de seguridad de la información que cumple con los requisitos de la norma ISO/IEC 27001:2022.
  • Seguridad del Personal.
    • Slide Craft Technologies Pvt Ltd se requiere que el personal se comporte de manera consistente con las directrices de la empresa en cuanto a confidencialidad, ética empresarial, uso apropiado y estándares profesionales. Slide Craft Technologies Pvt Ltd lleva a cabo controles de antecedentes razonablemente adecuados a cualquier empleado que tenga acceso a los datos del cliente bajo este Acuerdo, incluyendo el historial laboral y los antecedentes penales, en la medida en que sea legalmente permisible y de acuerdo con la legislación laboral local aplicable, la práctica habitual y las regulaciones estatutarias.
    • Se requiere que el personal firme un acuerdo de confidencialidad por escrito en el momento de la contratación y que proteja los Datos Personales del Cliente en todo momento. El personal debe acusar recibo y cumplir con Slide Craft Technologies Pvt Ltdpolíticas de confidencialidad, privacidad y seguridad. El personal recibe formación en privacidad y seguridad sobre cómo implementar y cumplir con el Programa de Seguridad de la Información. El personal que maneja Datos Personales del Cliente debe cumplir requisitos adicionales apropiados para su función (por ejemplo, certificaciones). Slide Craft Technologies Pvt Ltd El personal no procesará Datos Personales del Cliente sin autorización.
  • Controles de acceso
    • Gestión de acceso. Slide Craft Technologies Pvt Ltd mantiene un proceso formal de gestión de acceso para la solicitud, revisión, aprobación y provisión de acceso a todo el personal que maneja Datos Personales del Cliente, con el fin de limitar el acceso a los Datos Personales del Cliente y a los sistemas que almacenan, acceden o transmiten Datos Personales del Cliente a personas debidamente autorizadas que necesiten dicho acceso. Se realizan revisiones de acceso periódicamente para garantizar que solo el personal que tiene acceso a los Datos Personales del Cliente siga necesitándolo.
    • Personal de seguridad de la infraestructura. Slide Craft Technologies Pvt Ltd tiene y mantiene una política de seguridad para su personal, y exige formación en seguridad como parte del paquete de formación para su personal. Slide Craft Technologies Pvt Ltdel personal de seguridad de la infraestructura de Slide Craft Technologies Pvt Ltd es responsable de la supervisión continua de Slide Craft Technologies Pvt Ltd la infraestructura de seguridad de Slide Craft Technologies Pvt Ltd, la revisión de los Servicios y la respuesta a incidentes de seguridad.
    • Control de acceso y gestión de privilegios. Slide Craft Technologies Pvt LtdLos administradores y usuarios finales de Slide Craft Technologies Pvt Ltd y del Cliente deben autenticarse mediante un sistema de autenticación multifactor o un sistema de inicio de sesión único para poder utilizar los Servicios.
    • Procesos y políticas de acceso a datos internos – Política de acceso. Slide Craft Technologies Pvt Ltdsus procesos y políticas internas de acceso a datos están diseñados para proteger contra el acceso, uso, divulgación, alteración o destrucción no autorizados de los Datos Personales del Cliente. Slide Craft Technologies Pvt Ltd diseña sus sistemas para permitir que solo las personas autorizadas accedan a los datos a los que están autorizadas a acceder, basándose en los principios de “privilegio mínimo” y “necesidad de conocer”, y para evitar que otros que no deberían tener acceso lo obtengan. Slide Craft Technologies Pvt Ltd requiere el uso de identificadores de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente monitoreadas para minimizar el potencial de uso no autorizado de cuentas. La concesión o modificación de derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; los requisitos de las funciones laborales necesarios para realizar tareas autorizadas; el principio de necesidad de conocer; y debe estar de acuerdo con Slide Craft Technologies Pvt Ltd sus políticas y capacitación internas de acceso a datos. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un rastro de auditoría para la rendición de cuentas. Cuando se utilizan contraseñas para la autenticación (por ejemplo, inicio de sesión en estaciones de trabajo), las políticas de contraseñas siguen las prácticas estándar de la industria. Estos estándares incluyen complejidad de contraseñas, caducidad de contraseñas, bloqueo de contraseñas, restricciones sobre la reutilización de contraseñas y solicitud de contraseña después de un período de inactividad.
  • Seguridad de Centros de Datos y Redes
    • Centros de Datos.
      • Infraestructura. Slide Craft Technologies Pvt Ltd tiene a AWS como su centro de datos.
      • Resiliencia. Las Zonas de Disponibilidad Múltiple están habilitadas en AWS y Slide Craft Technologies Pvt Ltd realiza pruebas de restauración de copias de seguridad de forma regular para garantizar la resiliencia.
      • Sistemas Operativos de Servidor. Slide Craft Technologies Pvt Ltd los servidores están personalizados para el entorno de la aplicación y han sido reforzados para la seguridad de los Servicios. Slide Craft Technologies Pvt Ltd emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios y mejorar los productos de seguridad en entornos de producción.
      • Recuperación ante Desastres. Slide Craft Technologies Pvt Ltd replica datos en múltiples sistemas para ayudar a proteger contra la destrucción o pérdida accidental. Slide Craft Technologies Pvt Ltd ha diseñado y planifica y prueba regularmente sus programas de recuperación ante desastres.
      • Registros de Seguridad. Slide Craft Technologies Pvt Ltd Los sistemas de tienen el registro habilitado en su respectiva facilidad de registro del sistema para apoyar las auditorías de seguridad, y monitorear y detectar ataques reales e intentos de ataque, o intrusiones en, Slide Craft Technologies Pvt Ltd los sistemas de.
      • Gestión de Vulnerabilidades. Slide Craft Technologies Pvt Ltd realiza escaneos regulares de vulnerabilidades en todos los componentes de infraestructura de su entorno de producción y desarrollo. Las vulnerabilidades se corrigen en función del riesgo, y los parches de seguridad Críticos, Altos y Medios para todos los componentes se instalan tan pronto como sea comercialmente posible.
  • Redes y Transmisión.
    • Transmisión de Datos. Las transmisiones en el entorno de producción se realizan a través de protocolos estándar de Internet.
    • Superficie de Ataque Externa. El Grupo de Seguridad de AWS, que equivale a un firewall virtual, está implementado para el entorno de Producción en AWS.
    • Respuesta a Incidentes. Slide Craft Technologies Pvt Ltd mantiene políticas y procedimientos de gestión de incidentes, incluyendo procedimientos detallados de escalada de incidentes de seguridad. Slide Craft Technologies Pvt Ltd supervisa una variedad de canales de comunicación en busca de incidentes de seguridad, y Slide Craft Technologies Pvt Ltdel personal de seguridad reaccionará con prontitud ante incidentes sospechosos o conocidos, mitigará los efectos perjudiciales de dichos incidentes de seguridad y documentará dichos incidentes de seguridad y sus resultados.
    • Tecnologías de Cifrado. Slide Craft Technologies Pvt Ltd ofrece cifrado HTTPS (también conocido como SSL o TLS) para los datos en tránsito.
  • Almacenamiento, Aislamiento, Autenticación y Destrucción de Datos. Slide Craft Technologies Pvt Ltd almacena datos en un entorno multiusuario en servidores de AWS. Los datos, la base de datos de los Servicios y la arquitectura del sistema de archivos se replican entre múltiples zonas de disponibilidad en AWS. Slide Craft Technologies Pvt Ltd aísla lógicamente los datos de diferentes clientes. Se utiliza un sistema de autenticación central en todos los Servicios para aumentar la seguridad uniforme de los datos. Slide Craft Technologies Pvt Ltd garantiza la eliminación segura de los Datos del Cliente mediante el uso de una serie de procesos de destrucción de datos.

ANEXO III

LISTA DE SUBENCARGADOS DEL TRATAMIENTO

El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA