데이터 처리 계약

본 데이터 처리 계약("DPA")은 고객(본 계약에 정의됨)과 "Slide Craft Technologies Pvt Ltd" 간의 이용 약관(또는 동일한 주제를 다루는 유사한 제목의 서면 또는 전자 계약)("본 계약")의 일부를 구성하며, 이에 따라 처리자는 컨트롤러에게 소프트웨어 및 서비스(“서비스”)를 제공합니다. 컨트롤러와 처리자는 개별적으로 “당사자”로, 총칭하여 “당사자들”로 지칭됩니다.

당사자들은 본 계약에 따른 처리자의 의무의 일부로서 개인 데이터(EU GDPR에 따라 정의됨) 처리에 관하여 EU GDPR(본 계약에서 정의됨)의 요구 사항을 준수하기 위해 본 DPA를 이행하고자 합니다.

본 DPA는 본 계약에 따른 처리자의 의무의 일부로 컨트롤러가 제공한 개인 데이터에 대한 처리자의 처리에 적용됩니다.

아래에 명시된 수정 사항을 제외하고, 본 계약의 조건은 완전한 효력을 유지합니다.

1. 정의

본 계약에 달리 정의되지 않은 용어는 EU GDPR 또는 본 계약에서 부여된 의미를 가집니다. 다음 용어는 아래에 할당된 해당 의미를 가집니다.

1. 1.1. "데이터 전송"는 컨트롤러에서 처리자로, 또는 처리자의 두 사업장 간에, 또는 처리자에 의한 하위 처리자와의 개인 데이터 전송을 의미합니다.
2. 1.2. “EU GDPR”는 개인 데이터 처리에 관한 자연인의 보호 및 해당 데이터의 자유로운 이동에 관한 2016년 4월 27일 유럽 의회 및 이사회 규정 (EU) 2016/679 및 지침 95/46/EC를 폐지하는 규정(일반 데이터 보호 규정)을 의미합니다.
3. 1.3. “표준 계약 조항”는 적절한 수준의 데이터 보호를 보장하지 않는 제3국에 설립된 처리자에게 개인 데이터를 전송하기 위한 표준 계약 조항에 관한 2021년 6월 4일 유럽 위원회 이행 결정 (EU) 2021/914에 따라 본 계약에 별첨 1로 첨부된 계약 조항을 의미합니다.
4. 1.4. “컨트롤러”는 단독으로 또는 다른 주체와 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 단체를 의미한다. 그러한 처리의 목적과 수단이 연합 또는 회원국 법률에 의해 결정되는 경우, 컨트롤러 또는 그 지명에 대한 특정 기준은 연합 또는 회원국 법률에 의해 규정될 수 있다.
5. 1.5. “처리자” 는 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 단체를 의미한다.
6. 1.6. “하위 처리자”는 처리자가 서비스의 전부 또는 일부 제공을 위해 지정한 처리자/하도급업체를 의미하며, 컨트롤러가 제공한 개인 데이터를 처리한다.

1. 2. 본 계약의 목적
2. 본 DPA는 개인 데이터 처리와 관련하여 처리자의 다양한 의무를 명시하며, 본 계약에 따른 처리자의 의무로 제한된다. 본 계약의 조항과 본 DPA의 조항 사이에 충돌이 있는 경우, 본 DPA의 조항이 우선한다.
3. 3. 개인 데이터 및 정보 주체의 범주
4. 1. 처리자에 의한 개인 데이터 처리의 목적은 본 계약에 따라 처리자가 컨트롤러 및/또는 그 고객에게 서비스를 제공하는 것으로 제한된다.
5. 4. 처리 목적
   
   1. 컨트롤러는 컨트롤러가 결정하고 규제하는 범위 내에서 처리자가 개인 데이터를 처리하도록 허용한다. 개인 데이터의 현재 특성은 본 DPA의 스케줄 1의 부록 I에 명시되어 있다. 처리자에 의한 개인 데이터 처리의 목적은 본 계약에 따라 처리자가 컨트롤러 및/또는 그 고객에게 서비스를 제공하는 것으로 제한된다.
6. 5. 처리 기간
   
   1. 처리자는 컨트롤러가 서면으로 달리 합의하지 않는 한, 본 계약 기간 동안 개인 데이터를 처리한다.

1. 6. 데이터 컨트롤러의 의무
   
   1. 6.1. 데이터 컨트롤러는 합의된 서비스와 관련하여 수행될 처리를 위해 데이터 처리자에게 개인 데이터를 제공할 모든 필요한 권리를 보유하고 있음을 보증해야 한다. 데이터 개인정보 보호법에서 요구하는 범위 내에서, 데이터 컨트롤러는 적법한 처리 활동을 허용하는 적절한 법적 근거에 따라 해당 개인 데이터를 데이터 처리자에게 제공하고, 이 처리에 필요한 정보 주체의 동의를 얻었으며, 해당 동의 기록이 유지되도록 할 책임이 있다. 정보 주체가 해당 동의를 철회하는 경우, 데이터 컨트롤러는 해당 철회 사실을 데이터 처리자에게 통지할 책임이 있다.
   2. 6.2. 데이터 컨트롤러는 개인 데이터를 수집하는 모든 자연인에게 관련 개인정보 처리방침을 제공해야 한다.
   3. 6.3. 데이터 컨트롤러는 데이터 컨트롤러 또는 개인 데이터를 수집하는 정보 주체의 요청이 있는 경우 데이터 처리자에게 개인 데이터 삭제를 요청해야 하며, 단 데이터 처리자가 관련 법률에 따라 개인 데이터를 보관해야 하는 경우는 제외한다.
   4. 6.4. 데이터 컨트롤러는 다음 중 어느 하나라도 수신하거나 알게 되는 경우 즉시 데이터 처리자에게 서면으로 통보해야 합니다.
      
      1. 6.4.1. 개인 데이터와 관련된 데이터 프라이버시 법규 위반을 나타내는 불만 또는 주장;
      2. 6.4.2. 개인 데이터에 대한 접근, 수정 또는 삭제를 요청하는 한 명 이상의 개인으로부터의 요청;
      3. 6.4.3. 개인 데이터의 수집, 처리, 사용 또는 전송과 관련된 한 명 이상의 개인으로부터의 문의 또는 불만; 및
      4. 6.4.4. 개인 데이터를 요구하는 모든 규제 요청, 수색 영장 또는 기타 법적, 규제적, 행정적 또는 정부 절차

1. 7. 데이터 처리자의 의무
   

1. 7.1. 처리자는 컨트롤러, 그 계열사, 대리인 또는 직원이 개인 데이터 처리에 관하여 수신한 서면 및 문서화된 지시(이메일 포함)를 따릅니다(각각 "지시"라 함).
2. 7.2. 본 계약 및 관련 문서에 명시된 처리는 컨트롤러의 지시로 간주됩니다.
3. 7.3. 데이터 컨트롤러의 요청에 따라, 데이터 처리자는 데이터 주체가 자신의 권리를 행사하거나 관련 규제 당국이 데이터 처리자의 개인 데이터 처리에 관해 요청/지시하는 사항에 응답/준수하는 데 필요한 합리적인 지원을 데이터 컨트롤러에게 제공합니다.
4. 7.4. 개인 데이터와 관련하여, 데이터 컨트롤러는 본 계약에 따라 공유된 개인 데이터가 다른 당사자에게 제공되고 사용될 수 있도록 데이터 보호법에 따라 (필요한 경우) 동의를 얻고/얻거나 데이터 주체에게 통지해야 합니다.
5. 7.5. 공유된 개인 데이터가 데이터 처리자의 관할 구역 밖으로 전송되는 경우, 전송자는 해당 데이터의 수신자가 본 DPA 및 데이터 보호법에 따라 부과된 것과 동일하거나 더 높은 수준으로 해당 개인 데이터를 보호할 계약상 의무를 지도록 보장해야 합니다.
6. 7.6. 처리자는 자신의 판단에 따라 처리 지침이 관련 법규 또는 규정을 위반하는 경우 컨트롤러에게 통보해야 합니다.
7. 7.5. 데이터 처리자는 처리의 성격과 데이터 처리자가 이용할 수 있는 정보를 고려하여, GDPR에 따라 필요한 데이터 보호 영향 평가(DPIA)를 수행하는 데 데이터 컨트롤러를 지원합니다.

1. 8. 데이터 기밀성
   
   1. 8.1. 개인 데이터를 처리하기 위해 처리자는 다음 조건을 갖춘 인력을 사용합니다.
      
      1. 8.1.1. 개인 데이터의 기밀성에 대해 인지하고 있으며,
      2. 8.1.2. 본 계약에 따라 서비스를 수행합니다.
   2. 8.2. 처리자는 개인 데이터에 접근하는 개인에게 인정된 산업 관행에 따라 데이터 보안 및 데이터 프라이버시 교육을 정기적으로 실시하며, 모든 개인 데이터가 엄격하게 기밀로 유지되도록 보장합니다.
   3. 8.3. 처리자는 당사자들이 서면으로 상호 합의한 표준에 따라 개인 데이터의 보안, 기밀성 및 무결성 보호를 위한 적절한 기술적 및 조직적 조치를 유지합니다.

1. 9. 감사 권한
   

1. 9.1. 컨트롤러의 합리적인 요청 시, 처리자는 개인 데이터 처리에 관하여 EU GDPR 또는 기타 관련 법률에 따른 처리자의 의무 준수를 입증하기 위해 합리적으로 필요한 정보를 컨트롤러에게 제공할 것입니다.
2. 9.2. 컨트롤러가 처리자의 현장에서 (직접 또는 대리인을 통해) 감사를 수행하고자 하는 경우, 처리자에게 최소 십오(15)일 전 서면 통지를 제공해야 합니다. 처리자는 컨트롤러 또는 그 대리인이 수행하는 검사를 포함한 감사와 관련하여 합리적인 협력과 지원을 제공할 것입니다.
3. 9.3. 컨트롤러는 해당 감사 비용을 부담해야 합니다.

1. 10. 데이터 이전 메커니즘
   

1. 유럽 경제 지역 외 국가에서 처리자에 의한 처리를 목적으로 하는 모든 데이터 이전("EEA”)는 본 DPA의 별첨 1에 상세히 명시된 바에 따라 준수되어야 합니다. 본 DPA와 동시에 해당 표준 계약 조항이 체결되지 않은 경우, EEA 외부로의 개인 데이터 이전이 본 계약의 이행을 위해 필요한 경우 처리자는 해당 템플릿 표준 계약 조항의 체결을 부당하게 보류해서는 안 됩니다.

1. 11. 하위 처리자
   
   1. 11.1. 컨트롤러는 처리자가 서비스 수행과 관련하여 제3자 하위 처리자를 고용할 수 있음을 인정하고 동의합니다. 단, 해당 하위 처리자는 공유된 개인 데이터의 기밀성을 보장하기 위한 기술적 및 조직적 조치를 취해야 합니다. 처리자가 고용하고 컨트롤러가 승인한 현재 하위 처리자는 본 계약의 별첨 1의 부록 III에 명시되어 있습니다. 처리자는 부록 III에 명시된 하위 처리자에 대한 변경 또는 추가 예정 사항이 있는 경우, 고객에게 변경 예정 통지를 이메일로 발송하여 최소 삼십(30) 역일 전에 컨트롤러에게 통지해야 합니다. GDPR 제28조 (4)항에 따라, 처리자는 서비스 수행과 관련하여 하위 처리자가 본 DPA에 따른 데이터 보호 의무를 이행하지 못하는 경우 컨트롤러에게 계속해서 책임을 집니다.
   2. 11.2. 컨트롤러가 하위 처리자의 개인 데이터 처리가 GDPR에 따른 데이터 보호 의무를 위반하게 할 가능성이 합리적으로 있다고 우려하는 경우, 컨트롤러는 처리자의 해당 하위 처리자 사용에 이의를 제기할 수 있으며, 처리자와 컨트롤러는 해당 우려를 해결하기 위해 성실하게 협의해야 합니다.

1. 12. 개인 데이터 유출 통지
   
   1. 12.1. 처리자는 개인 데이터 유출(GDPR에 정의된 바와 같음) 발생 시 명확한 절차를 유지해야 하며, 어떠한 개인 데이터 유출을 인지하는 경우 지체 없이 컨트롤러에게 통지해야 합니다. 단, 해당 데이터 유출이 자연인의 권리와 자유에 대한 위험을 초래할 가능성이 없는 경우는 제외합니다.
   2. 12.2. 처리자는 감독 기관 및/또는 정보 주체에게 개인 데이터 유출을 통지하는 것을 준수하고, 해당 데이터 유출의 원인을 파악하며, 해당 데이터 유출을 완화하고 해결하기 위해 합리적으로 필요한 상업적으로 합리적인 조치를 취하도록 컨트롤러에게 모든 합리적인 지원을 제공해야 합니다.
   3. 12.3. 처리자의 과실 인정 없음. 본 DPA에 따른 개인 데이터 유출에 대한 처리자의 통지 또는 대응은 해당 데이터 사고와 관련하여 처리자가 어떠한 과실이나 책임을 인정하는 것으로 해석되지 않습니다.

1. 13. 개인 데이터의 반환 및 삭제
   
   1. 13.1. 처리자는 계약 종료일 또는 계약에 따른 처리자 서비스 중단일 중 더 이른 날로부터 최소 삼십(30)일 이내에 컨트롤러에게 모든 개인 데이터를 반환해야 하며, 컨트롤러가 지시하는 경우 처리자는 개인 데이터를 삭제해야 합니다. 처리자는 컨트롤러의 통지를 받은 후 합리적으로 가능한 한 빨리 해당 개인 데이터를 일반적으로 사용되는 형식 또는 컨트롤러의 재량에 따라 저장되었던 현재 형식으로 반환해야 합니다.
   2. 13.2. 어떠한 경우에도 처리자는 계약 종료 후 합리적으로 가능한 한 빨리 모든 사본을 포함한 개인 데이터를 삭제해야 합니다.

1. 14. 기술적 및 조직적 조치
   
   1. 기술 개발 현황 및 조치 이행 비용을 고려하여, 처리자는 개인 데이터의 무단 또는 불법 처리로부터, 그리고 개인 데이터의 우발적인 손실, 파괴 또는 손상으로부터 보호하기 위해 다음 사항에 적합한 보안 수준을 보장하는 적절한 기술적 및 조직적 조치를 취해야 합니다: (a) 무단 또는 불법 처리 또는 우발적인 손실, 파괴 또는 손상으로 인해 발생할 수 있는 피해; 그리고 (b) 보호 대상 데이터의 특성 [별첨 1의 부록 II에 명시된 조치 포함]

별첨 1

부록 I

A. 당사자 목록

데이터 수출자:

1. 이름 : 고객 (관련 주문서에 명시된 바와 같습니다).

주소: 관련 주문서에 명시된 바와 같습니다.

담당자 이름, 직위 및 연락처: 관련 주문서에 명시된 바와 같습니다.

본 조항에 따라 전송되는 데이터와 관련된 활동: 계약에 따라 Slide Craft Technologies Pvt Ltd가 제공하는 서비스의 수신자.

서명 및 날짜: 서명 및 날짜는 계약서에 명시되어 있습니다.

역할(관리자/처리자): 관리자

데이터 수입자:

1. 이름: Slide Craft Technologies Pvt Ltd

주소: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

담당자 이름, 직위 및 연락처: Avinash DPO, avinash@deck.in

EU 대표 연락처: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

본 조항에 따라 전송되는 데이터와 관련된 활동: 계약에 따라 고객에게 서비스 제공.

서명 및 날짜: 서명 및 날짜는 계약서에 명시되어 있습니다.

역할(관리자/처리자): 처리자.

B. 전송 설명

1. 개인 데이터가 전송되는 데이터 주체 범주
2. 서비스에 대한 고객의 승인된 사용자.

전송되는 개인 데이터 범주

3. 이름, 주소, 생년월일, 나이, 학력, 이메일, 성별, 이미지, 직업, 언어, 전화번호, 관련 인물, 관련 URL, 사용자 ID, 사용자 이름.

전송되는 민감 데이터 (해당하는 경우) 및 데이터의 성격과 관련된 위험을 충분히 고려한 적용된 제한 또는 보호 조치 (예: 엄격한 목적 제한, 접근 제한(전문 교육을 이수한 직원에게만 접근 허용 포함), 데이터 접근 기록 유지, 추가 전송 제한 또는 추가 보안 조치 등)

4. 민감 데이터 수집 없음.

전송 빈도 (예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부)

5. 지속적으로

처리 성격
처리 성격은 계약 및 첨부된 주문서에 더 자세히 설명되어 있습니다.

데이터 전송 및 추가 처리의 목적

전송 목적은 계약 및 첨부된 주문서에 더 자세히 설명된 서비스 수행을 용이하게 하는 것입니다.

개인 데이터가 보관될 기간, 또는 불가능한 경우 해당 기간을 결정하는 데 사용된 기준

고객 개인 데이터가 보관될 기간은 계약, 추가 계약 및 첨부된 주문서에 더 자세히 설명되어 있습니다.

(하위) 처리자로의 전송의 경우, 처리 대상, 성격 및 기간도 명시하십시오.

1. 처리 대상, 성격 및 기간은 계약, 추가 계약 및 첨부된 주문서에 더 자세히 설명되어 있습니다.

C. 관할 감독 기관

데이터 수출자는 EEA 국가에 설립되어 있습니다.

관할 감독 기관은 EU SCCs 제13조 적용에 따라 결정됩니다.

부록 II

데이터 보안을 보장하기 위한 기술적 및 조직적 조치

데이터 처리자/데이터 수입자로서 Slide Craft Technologies Pvt Ltd가 처리 활동의 성격, 범위, 맥락 및 목적과 자연인의 권리 및 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 구현한 기술적 및 조직적 보안 조치에 대한 설명.

• 보안

• 보안 관리 시스템.
  
  • 조직. Slide Craft Technologies Pvt Ltd 정보 보안 프로그램의 개발, 구현 및 지속적인 유지를 책임지는 자격을 갖춘 보안 인력을 지정합니다.
  • 정책. 경영진은 고객 개인 데이터의 보안, 가용성, 무결성 및 기밀성을 보장하기 위해 모든 보안 관련 정책을 검토하고 지원합니다. 이러한 정책은 최소 연 1회 업데이트됩니다.
  • 평가. Slide Craft Technologies Pvt Ltd 고객 개인 데이터를 포함하는 모든 시스템에 대한 위험 평가를 수행하기 위해 신뢰할 수 있는 독립적인 제3자를 최소 연 1회 고용합니다.
  • 위험 처리. Slide Craft Technologies Pvt Ltd 고객 개인 데이터의 보안, 무결성 또는 기밀성에 대한 잠재적인 위협을 식별하고 방어하기 위해 침투 테스트, 취약점 관리 및 패치 관리를 포함하는 공식적이고 효과적인 위험 처리 프로그램을 유지합니다.
  • 협력업체 관리. 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 회사는 효과적인 공급업체 관리 프로그램을 유지합니다.
  • 사고 관리. 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 회사는 보안 사고를 정기적으로 검토하며, 근본 원인 및 시정 조치의 효과적인 결정을 포함합니다.
  • 표준. 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 회사는 ISO/IEC 27001:2022 표준의 요구 사항을 준수하는 정보 보안 관리 시스템을 운영합니다.
• 인력 보안.
  
  • 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 직원은 기밀 유지, 비즈니스 윤리, 적절한 사용 및 전문 표준에 관한 회사의 지침에 따라 행동해야 합니다. 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 회사는 본 계약에 따라 고객 데이터에 접근할 모든 직원에 대해 고용 이력 및 범죄 기록과 관련하여 법적으로 허용되는 범위 내에서 관련 현지 노동법, 관례 및 법규에 따라 합리적으로 적절한 신원 조사를 실시합니다.
  • 직원은 고용 시 서면 기밀 유지 계약을 체결해야 하며 항상 고객 개인 데이터를 보호해야 합니다. 직원은 다음 사항을 수령했음을 확인하고 준수해야 합니다, 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드의 기밀 유지, 개인 정보 보호 및 보안 정책을 준수합니다. 직원들은 정보 보안 프로그램을 구현하고 준수하는 방법에 대한 개인 정보 보호 및 보안 교육을 받습니다. 고객 개인 데이터를 처리하는 직원은 자신의 역할에 적합한 추가 요구 사항(예: 자격증)을 이수해야 합니다. 슬라이드 크래프트 테크놀로지스 프라이빗 리미티드 직원은 승인 없이 고객 개인 데이터를 처리하지 않습니다.
• 접근 제어
  
  • 접근 관리. Slide Craft Technologies Pvt Ltd 고객 개인 데이터에 접근하는 모든 직원의 요청, 검토, 승인 및 프로비저닝을 위한 공식적인 접근 관리 프로세스를 유지하며, 고객 개인 데이터 및 이를 저장, 접근 또는 전송하는 시스템에 대한 접근을 해당 접근이 필요한 적절히 승인된 사람에게만 제한합니다. 접근 검토는 고객 개인 데이터에 접근하는 직원 중 해당 접근이 여전히 필요한 사람만 접근할 수 있도록 보장하기 위해 주기적으로 수행됩니다.
  • 인프라 보안 담당자. Slide Craft Technologies Pvt Ltd 직원을 위한 보안 정책을 보유하고 유지하며, 직원 교육 패키지의 일환으로 보안 교육을 의무화하고 있습니다. Slide Craft Technologies Pvt LtdSlide Craft Technologies Pvt Ltd의 인프라 보안 담당자는 ~에 대한 지속적인 모니터링을 담당합니다. Slide Craft Technologies Pvt Ltd 회사의 보안 인프라, 서비스 검토, 그리고 보안 사고 대응을 위해.
  • 접근 제어 및 권한 관리. Slide Craft Technologies Pvt LtdSlide Craft Technologies Pvt Ltd 및 고객의 관리자 및 최종 사용자는 서비스를 이용하기 위해 다단계 인증 시스템 또는 단일 로그인 시스템을 통해 본인 인증을 해야 합니다.
  • 내부 데이터 접근 프로세스 및 정책 – 접근 정책. Slide Craft Technologies Pvt Ltd의 내부 데이터 접근 프로세스 및 정책은 고객 개인 데이터의 무단 접근, 사용, 공개, 변경 또는 파괴를 방지하도록 설계되었습니다. Slide Craft Technologies Pvt Ltd "최소 권한" 및 "알아야 할 필요성" 원칙에 따라 승인된 사람만 승인된 데이터에 접근할 수 있도록 시스템을 설계하며, 접근 권한이 없는 다른 사람이 접근하지 못하도록 방지합니다. Slide Craft Technologies Pvt Ltd 고유 사용자 ID, 강력한 암호, 2단계 인증 및 무단 계정 사용 가능성을 최소화하기 위해 신중하게 모니터링되는 접근 목록 사용을 요구합니다. 접근 권한 부여 또는 수정은 승인된 직원의 직무 책임, 승인된 작업을 수행하는 데 필요한 직무 요구 사항, 알아야 할 필요성을 기반으로 하며, 다음 사항을 준수해야 합니다. Slide Craft Technologies Pvt Ltd 의 내부 데이터 접근 정책 및 교육. 승인은 모든 변경 사항에 대한 감사 기록을 유지하는 워크플로우 도구로 관리됩니다. 시스템 접근은 책임 추적을 위한 감사 추적을 생성하기 위해 기록됩니다. 인증에 암호가 사용되는 경우(예: 워크스테이션 로그인), 암호 정책은 업계 표준 관행을 따릅니다. 이러한 표준에는 암호 복잡성, 암호 만료, 암호 잠금, 암호 재사용 제한 및 비활성 기간 후 암호 재입력 요청이 포함됩니다.
• 데이터 센터 및 네트워크 보안
  
  • 데이터 센터.
    
    • 인프라. Slide Craft Technologies Pvt Ltd AWS를 데이터 센터로 사용합니다.
    • 복원력. AWS에서 다중 가용 영역이 활성화되어 있으며 Slide Craft Technologies Pvt Ltd 복원력을 보장하기 위해 정기적으로 백업 복원 테스트를 수행합니다.
    • 서버 운영 체제. Slide Craft Technologies Pvt Ltd 서버는 애플리케이션 환경에 맞게 맞춤 설정되며, 서비스 보안을 위해 강화되었습니다. Slide Craft Technologies Pvt Ltd 는 서비스 제공에 사용되는 코드의 보안을 강화하고 프로덕션 환경의 보안 제품을 개선하기 위해 코드 검토 프로세스를 사용합니다.
    • 재해 복구. Slide Craft Technologies Pvt Ltd 는 우발적인 파괴 또는 손실로부터 보호하기 위해 여러 시스템에 데이터를 복제합니다. Slide Craft Technologies Pvt Ltd 는 재해 복구 프로그램을 설계하고 정기적으로 계획 및 테스트합니다.
    • 보안 로그. Slide Craft Technologies Pvt Ltd 의 시스템은 보안 감사 지원 및 실제 또는 시도된 공격이나 침입을 모니터링하고 감지하기 위해 각 시스템 로그 시설에 로깅이 활성화되어 있습니다. Slide Craft Technologies Pvt Ltd 의 시스템.
    • 취약점 관리. Slide Craft Technologies Pvt Ltd 는 프로덕션 및 개발 환경의 모든 인프라 구성 요소에 대해 정기적인 취약점 스캔을 수행합니다. 취약점은 위험 기반으로 해결되며, 모든 구성 요소에 대한 중요, 높음, 중간 수준의 보안 패치는 상업적으로 가능한 한 빨리 설치됩니다.
• 네트워크 및 전송.
  
  • 데이터 전송. 프로덕션 환경에서의 전송은 인터넷 표준 프로토콜을 통해 이루어집니다.
  • 외부 공격 표면. 가상 방화벽과 동일한 AWS 보안 그룹이 AWS 프로덕션 환경에 적용되어 있습니다.
  • 인시던트 대응. Slide Craft Technologies Pvt Ltd 상세한 보안 사고 에스컬레이션 절차를 포함한 사고 관리 정책 및 절차를 유지합니다. Slide Craft Technologies Pvt Ltd 보안 사고에 대비하여 다양한 통신 채널을 모니터링하며, Slide Craft Technologies Pvt Ltd보안 담당자는 의심되거나 알려진 사고에 신속하게 대응하고, 그러한 보안 사고의 유해한 영향을 완화하며, 그러한 보안 사고 및 그 결과를 문서화할 것입니다.
  • 암호화 기술. Slide Craft Technologies Pvt Ltd 전송 중인 데이터에 대해 HTTPS 암호화(SSL 또는 TLS라고도 함)를 제공합니다.
• 데이터 저장, 격리, 인증 및 파기. Slide Craft Technologies Pvt Ltd AWS 서버의 다중 테넌트 환경에 데이터를 저장합니다. 데이터, 서비스 데이터베이스 및 파일 시스템 아키텍처는 AWS의 여러 가용 영역 간에 복제됩니다. Slide Craft Technologies Pvt Ltd 서로 다른 고객의 데이터를 논리적으로 격리합니다. 모든 서비스에서 중앙 인증 시스템을 사용하여 데이터의 균일한 보안을 강화합니다. Slide Craft Technologies Pvt Ltd 일련의 데이터 파기 프로세스를 사용하여 클라이언트 데이터의 안전한 폐기를 보장합니다.

부록 III

하위 처리자 목록

컨트롤러는 다음 하위 처리자의 사용을 승인했습니다.

‍