Veri İşleme Sözleşmesi

Bu Veri İşleme Anlaşması (“KVİS”), Müşteri (Sözleşme'de tanımlandığı üzere) ile “Slide Craft Technologies Pvt Ltd arasındaki Kullanım Koşulları'nın (veya aynı konuyu ele alan benzer başlıklı diğer yazılı veya elektronik anlaşmanın) (“Sözleşme”) bir parçasını oluşturur ve İşleyici bu kapsamda Kontrolöre yazılım ve hizmetler (bundan böyle “Hizmetler” olarak anılacaktır) sağlar. Kontrolör ve İşleyici ayrı ayrı “Taraf”, birlikte ise “Taraflar” olarak anılacaktır.

Taraflar, İşleyicinin Sözleşme kapsamındaki yükümlülüklerinin bir parçası olarak Kişisel Verileri (AB GDPR'ı kapsamında tanımlandığı üzere) işlemesiyle ilgili olarak AB GDPR'ının (aşağıda tanımlanmıştır) gerekliliklerine uymak için bu KVİS'i uygulamayı amaçlamaktadır.

Bu KVİS, İşleyicinin Sözleşme kapsamındaki yükümlülüklerinin bir parçası olarak Kontrolör tarafından sağlanan Kişisel Verileri işlemesine uygulanacaktır.

Aşağıda belirtilen değişiklikler dışında, Sözleşme'nin şartları tam olarak yürürlükte kalacaktır.

1. Tanımlar

Burada aksi belirtilmeyen terimler, AB GDPR'ında veya Sözleşme'de kendilerine verilen anlama sahip olacaktır. Aşağıdaki terimler, kendilerine aşağıda atanan karşılık gelen anlamlara sahip olacaktır:

  1. 1.1. "Veri Aktarımı" Kişisel Verilerin Kontrolörden İşleyiciye, İşleyicinin iki kuruluşu arasında veya İşleyici tarafından bir Alt İşleyiciye aktarılması anlamına gelir.
  2. 1.2. “AB GDPR” Avrupa Parlamentosu ve Konseyi'nin, kişisel verilerin işlenmesi ve bu tür verilerin serbest dolaşımı ile ilgili olarak gerçek kişilerin korunmasına ilişkin 27 Nisan 2016 tarihli (AB) 2016/679 sayılı Tüzüğü ve 95/46/EC sayılı Direktifi yürürlükten kaldıran (Genel Veri Koruma Tüzüğü) anlamına gelir.
  3. 1.3. “Standart Sözleşme Maddeleri” Avrupa Komisyonu'nun, yeterli düzeyde veri koruması sağlamayan üçüncü ülkelerde yerleşik veri işleyicilerine Kişisel Verilerin aktarılmasına ilişkin Standart Sözleşme Maddeleri hakkındaki 4 Haziran 2021 tarihli (AB) 2021/914 sayılı Uygulama Kararı uyarınca işbu belgeye Ek 1 olarak ekli sözleşme hükümlerini ifade eder.
  4. 1.4. “Veri Sorumlusu” tek başına veya başkalarıyla birlikte kişisel verilerin işlenmesinin amaçlarını ve araçlarını belirleyen gerçek veya tüzel kişi, kamu kurumu, ajans veya diğer birim anlamına gelir; bu tür bir işlemenin amaçları ve araçları Birlik veya Üye Devlet hukuku tarafından belirlendiğinde, veri sorumlusu veya atanmasına ilişkin özel kriterler Birlik veya Üye Devlet hukuku tarafından sağlanabilir.
  5. 1.5. “İşleyen” veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi, kamu kurumu, ajans veya diğer birim anlamına gelir.
  6. 1.6. “Alt İşleyen” Veri İşleyen tarafından Hizmetlerin tamamının veya bir kısmının sağlanması için atanan ve Veri Sorumlusu tarafından sağlanan Kişisel Verileri İşleyen bir işleyen/alt yüklenici anlamına gelir.
  1. 2. Bu Sözleşmenin Amacı
  2. Bu Veri İşleme Sözleşmesi, Veri İşleyen'in Kişisel Verilerin İşlenmesi ile ilgili çeşitli yükümlülüklerini ortaya koyar ve İşleyen'in Sözleşme kapsamındaki yükümlülükleriyle sınırlı olacaktır. Sözleşme hükümleri ile bu Veri İşleme Sözleşmesi arasında bir çelişki olması halinde, bu Veri İşleme Sözleşmesi'nin hükümleri geçerli olacaktır.
  3. 3. Kişisel Veri Kategorileri ve İlgili Kişiler
    1. Veri İşleyen tarafından Kişisel Verilerin İşlenmesinin amacı, İşleyen'in Sözleşme uyarınca Veri Sorumlusu ve/veya Müşterisine Hizmetleri sağlamasıyla sınırlı olacaktır.
  5. 4. İşlemenin Amacı
    1. Veri Sorumlusu, Kişisel Verilerin, Veri Sorumlusu tarafından belirlenen ve düzenlenen ölçüde Veri İşleyen tarafından işlenmesine izin verir. Kişisel Verilerin mevcut niteliği, bu Veri İşleme Sözleşmesi'nin Çizelge 1'inin Ek I'inde belirtilmiştir. Veri İşleyen tarafından Kişisel Verilerin İşlenmesinin amacı, İşleyen'in Sözleşme uyarınca Veri Sorumlusu ve/veya Müşterisine Hizmetleri sağlamasıyla sınırlı olacaktır.
  6. 5. İşleme Süresi
    1. İşleyen, Kişisel Verileri, Veri Sorumlusu tarafından yazılı olarak aksi kararlaştırılmadıkça, Sözleşme süresince işleyecektir.
  1. 6. Veri Sorumlusunun Yükümlülükleri
    1. 6.1. Veri Sorumlusu, kararlaştırılan hizmetlerle ilgili olarak gerçekleştirilecek İşleme için Kişisel Verileri Veri İşleyen'e sağlamak üzere gerekli tüm haklara sahip olduğunu garanti eder. Veri Gizliliği Yasaları'nın gerektirdiği ölçüde, Veri Sorumlusu, hukuka uygun işleme faaliyetlerine izin veren uygun bir hukuki dayanağa dayanarak söz konusu Kişisel Verileri Veri İşleyen'e sağladığından, bu İşleme için gerekli tüm İlgili Kişi rızalarının alındığından ve bu rızaların kaydının tutulmasını sağlamaktan sorumludur. Söz konusu rızanın İlgili Kişi tarafından geri çekilmesi halinde, Veri Sorumlusu bu geri çekilme gerçeğini Veri İşleyen'e bildirmekten sorumludur.
    2. 6.2. Veri Sorumlusu, Kişisel Verilerini topladığı tüm gerçek kişilere ilgili aydınlatma metnini sağlayacaktır.
    3. 6.3. Veri Sorumlusu, kendisi veya Kişisel Verilerini topladığı herhangi bir İlgili Kişi tarafından talep edildiğinde, Veri İşleyen'den Kişisel Verileri silmesini talep edecektir; meğer ki Veri İşleyen'in geçerli yasa gereği Kişisel Verileri saklaması zorunlu olmasın.
    4. 6.4. The Data Controller shall immediately advise the Data Processor in writing if it receives or learns of any:
      1. 6.4.1. Complaint or allegation indicating a violation of Data Privacy Laws regarding Personal Data;
      2. 6.4.2. Request from one or more individuals seeking to access, correct, or delete Personal Data;
      3. 6.4.3. Inquiry or complaint from one or more individuals relating to the collection, processing, use, or transfer of Personal Data; and
      4. 6.4.4. Any regulatory request, search warrant, or other legal, regulatory, administrative, or governmental process seeking Personal Data
  1. 7. Data Processor’s Obligations
  1. 7.1. The Processor will follow written and documented instructions received, including email, from the Controller, its affiliate, agents, or personnel, with respect to the Processing of Personal Data (each, an “Instruction”).
  2. 7.2. The Processing described in the Agreement and the relating documentation shall be considered as Instruction from the Controller.
  3. 7.3. At the Data Controller’s request, the Data Processor will provide reasonable assistance to the Data Controller in responding to/ complying with requests/ directions by Data Subject in exercising their rights or of the applicable regulatory authorities regarding Data Processor’s Processing of Personal Data.
  4. 7.4. In relation to the Personal Data, Data Controller shall obtain consent (where necessary) and/or provide notice to the Data Subject in accordance with Data Protection Laws to enable shared Personal Data to be provided to, and used by, the other Party as contemplated by this Agreement.
  5. 7.5. Where shared Personal Data is transferred outside the Data Processor’s territorial boundaries, the transferor shall ensure that the recipient of such data is under contractual obligations to protect such Personal Data to the same or higher standards as those imposed under this DPA and the Data Protection Laws.
  6. 7.6. The processor shall inform the controller if, in its opinion, a processing instruction infringes applicable legislation or regulation.
  7. 7.5. As A Data Processor, taking into account the nature of the processing and the information available to the Data Processor, the Data Processor shall assist the data controller in conducting any necessary Data Protection Impact Assessments (DPIAs), as required under GDPR.
  1. 8. Data Secrecy
    1. 8.1. To Process the Personal Data, the Processor will use personnel who are:
      1. 8.1.1. Informed of the confidential nature of the Personal Data, and
      2. 8.1.2. Perform the Services in accordance with the Agreement.
    2. 8.2. The Processor will regularly train individuals having access to Personal Data in data security and data privacy in accordance with accepted industry practice and shall ensure that all the Personal Data is kept strictly confidential.
    3. 8.3. The Processor will maintain appropriate technical and organizational measures for protection of the security, confidentiality, and integrity of the Personal Data as per the specifications as per the standards mutually agreed in writing by the Parties.
  1. 9. Audit Rights
  1. 9.1. Upon the Controller's reasonable request, the Processor will make available to the Controller, information as is reasonably necessary to demonstrate Processor’s compliance with its obligations under the EU GDPR or other applicable laws in respect of its Processing of the Personal Data.
  2. 9.2. When the Controller wishes to conduct the audit (by itself or through a representative) at Processor’s site, it shall provide at least fifteen (15) days’ prior written notice to the Processor; the Processor will provide reasonable cooperation and assistance in relation to audits, including inspections, conducted by the Controller or its representative.
  3. 9.3. The Controller shall bear the expense of such an audit.
  1. 10. Mechanism of Data Transfers
  1. Any Data Transfer for the purpose of Processing by the Processor in a country outside the European Economic Area (the “EEA”) shall only take place in compliance as detailed in Schedule 1 to the DPA. Where such model clauses have not been executed at the same time as this DPA, the Processor shall not unduly withhold the execution of such template model clauses, where the transfer of Personal Data outside of the EEA is required for the performance of the Agreement.
  1. 11. Sub-processors
    1. 11.1. The Controller acknowledges and agrees that the Processor, may engage a third-party Sub-processor(s) in connection with the performance of the Services, provided such Sub-processor(s) take technical and organizational measures to ensure confidentiality of Personal Data shared with them; The current Sub-processors engaged by the Processors and approved by the Controller are listed in Annex III of Schedule 1 hereto. The processor shall notify the controller at least thirty (30) calendar days in advance of any intended changes or additions to its Sub-processors listed in Annex III by emailing notice of the intended change to Customer. In accordance with Article 28(4) of the GDPR, the Processor shall remain liable to Controller for any failure on behalf of a Sub-processor to fulfil its data protection obligations under the DPA in connection with the performance of the Services.
    2. 11.2. If the Controller has a concern that the Sub-processor(s) Processing of Personal Data is reasonably likely to cause the Controller to breach its data protection obligations under the GDPR, the Controller may object to Processor’s use of such Sub-processor and the Processor and Controller shall confer in good faith to address such concern.
  1. 12. Personal Data Breach Notification
    1. 12.1. The Processor shall maintain defined procedures in case of a Personal Data Breach (as defined under the GDPR) and shall without undue delay notify Controller if it becomes aware of any Personal Data Breach unless such Data Breach is unlikely to result in a risk to the rights and freedoms of natural persons.
    2. 12.2. The Processor shall provide the Controller with all reasonable assistance to comply with the notification of Personal Data Breach to the Supervisory Authority and/or the Data Subject, to identify the cause of such Data Breach and take such commercially reasonable steps as reasonably required to mitigate and remedy such Data Breach.
    3. 12.3. No Acknowledgement of Fault by Processor. Processor’s notification of or response to a Personal Data Breach under this DPA will not be construed as an acknowledgement by Processor of any fault or liability with respect to the data incident.
  1. 13. Return and Deletion of Personal Data
    1. 13.1. The Processor shall at least thirty (30) days from the end of the Agreement or cessation of the Processor’s Services under the Agreement, whichever occurs earlier, shall return to the Controller all the Personal Data, or if the Controller so instructs, the Processor shall have the Personal Data deleted. The Processor shall return such Personal Data in a commonly used format or in the current format in which it was stored at discretion of the Controller, soon as reasonably practicable following receipt of Controller’s notification.
    2. 13.2. In any case, the Processor shall delete Personal Data including all the copies of it as soon as reasonably practicable following the end of the Agreement.
  1. 14. Technical and Organizational Measures
    1. Having regard to the state of technological development and the cost of implementing any measures, the Processor will take appropriate technical and organizational measures against the unauthorized or unlawful processing of Personal Data and against the accidental loss or destruction of, or damage to, Personal Data to ensure a level of security appropriate to: (a) the harm that might result from unauthorized or unlawful processing or accidental loss, destruction or damage; and (b) the nature of the data to be protected [including the measures stated in Annex II of Schedule 1]

SCHEDULE 1

ANNEX I

A. LIST OF PARTIES

Data exporter(s):

  1. Name : Customer (As set forth in the relevant Order Form).

Address: As set forth in the relevant Order Form.

Contact person’s name, position, and contact details: As set forth in the relevant Order Form.

Activities relevant to the data transferred under these Clauses: Recipient of the Services provided by Slide Craft Technologies Pvt Ltd in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/ Processor): Controller

Data importer(s):

  1. Name: Slide Craft Technologies Pvt Ltd

Address: Cabin no 05 63/3 4th Floor, Arham Towers Off K R Road, Bangalore South, 560082, Karnataka

Contact person’s name, position, and contact details: Avinash DPO, avinash@deck.in

EU representative contact details: Rickert Rechtsanwaltsgesellschaft mbH, art-27-rep-slidecraft@rickert.law

Activities relevant to the data transferred under these Clauses: Provision of the Services to the Customer in accordance with the Agreement.

Signature and date: Signature and date are set out in the Agreement.

Role (Controller/processor): Processor.

B. DESCRIPTION OF TRANSFER

  1. Categories of data subjects whose personal data is transferred
  2. Customer’s authorized users of the Services.

Categories of personal data transferred

  1. Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Job, Language, Phone, Related person, Related URL, User ID, Username.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

  1. No sensitive data collected.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

  1. Continuous basis

Nature of the processing
The nature of the processing is more fully described in the Agreement and accompanying order forms

Purpose(s) of the data transfer and further processing

The purpose of the transfer is to facilitate the performance of the Services more fully described in the Agreement and accompanying order forms.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The period for which the Customer Personal Data will be retained is more fully described in the Agreement, Addendum, and accompanying order forms.

For transfers to (sub-) processors, also specify subject matter, nature, and duration of the processing

  1. The subject matter, nature, and duration of the Processing more fully described in the Agreement, Addendum, and accompanying order forms.

C.COMPETENT SUPERVISORY AUTHORITY

Data exporter is established in an EEA country.

The competent supervisory authority is as determined by application of Clause 13 of the EU SCCs.

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

Description of the technical and organisational security measures implemented by Slide Craft Technologies Pvt Ltd as the data processor/data importer to ensure an appropriate level of security, taking into account the nature, scope, context, and purpose of the processing, and the risks for the rights and freedoms of natural persons.

  • Security
  • Security Management System.
    • Organization. Slide Craft Technologies Pvt Ltd designates qualified security personnel whose responsibilities include development, implementation, and ongoing maintenance of the Information Security Program.
    • Policies. Management reviews and supports all security related policies to ensure the security, availability, integrity and confidentiality of Customer Personal Data. These policies are updated at least once annually.
    • Assessments. Slide Craft Technologies Pvt Ltd engages a reputable independent third-party to perform risk assessments of all systems containing Customer Personal Data at least once annually.
    • Risk Treatment. Slide Craft Technologies Pvt Ltd maintains a formal and effective risk treatment program that includes penetration testing, vulnerability management and patch management to identify and protect against potential threats to the security, integrity or confidentiality of Customer Personal Data.
    • Vendor Management. Slide Craft Technologies Pvt Ltd , etkin bir tedarikçi yönetim programı sürdürmektedir
    • Olay Yönetimi. Slide Craft Technologies Pvt Ltd , kök nedenin etkin bir şekilde belirlenmesi ve düzeltici eylemler dahil olmak üzere güvenlik olaylarını düzenli olarak inceler.
    • Standartlar. Slide Craft Technologies Pvt Ltd , ISO/IEC 27001:2022 standardının gerekliliklerine uygun bir bilgi güvenliği yönetim sistemi işletmektedir.
  • Personel Güvenliği.
    • Slide Craft Technologies Pvt Ltd personeli, şirketin gizlilik, iş etiği, uygun kullanım ve profesyonel standartlara ilişkin yönergeleriyle tutarlı bir şekilde hareket etmek zorundadır. Slide Craft Technologies Pvt Ltd , bu Sözleşme kapsamında müşteri verilerine erişimi olacak tüm çalışanlar üzerinde, iş geçmişi ve adli sicil kayıtları dahil olmak üzere, yasal olarak izin verilen ölçüde ve yürürlükteki yerel iş kanunlarına, teamüllere ve yasal düzenlemelere uygun olarak makul ve uygun arka plan kontrolleri yapar.
    • Personel, işe alım sırasında yazılı bir gizlilik sözleşmesi imzalamak ve Müşteri Kişisel Verilerini her zaman korumak zorundadır. Personel, ... aldığını ve bunlara uyduğunu beyan etmelidir, Slide Craft Technologies Pvt Ltd’nın gizlilik, mahremiyet ve güvenlik politikaları. Personele, Bilgi Güvenliği Programını nasıl uygulayacakları ve uyacakları konusunda gizlilik ve güvenlik eğitimi verilir. Müşteri Kişisel Verilerini işleyen personel, rollerine uygun ek gereksinimleri (örn. sertifikalar) tamamlamak zorundadır. Slide Craft Technologies Pvt Ltd ’nın personeli, Müşteri Kişisel Verilerini yetkilendirme olmaksızın işlemeyecektir.
  • Erişim Kontrolleri
    • Erişim Yönetimi. Slide Craft Technologies Pvt Ltd Şirket, Müşteri Kişisel Verilerine erişimi olan tüm personelin talep, inceleme, onay ve yetkilendirme işlemleri için resmi bir erişim yönetimi süreci sürdürmektedir. Bu süreç, Müşteri Kişisel Verilerine ve bu verileri depolayan, erişen veya ileten sistemlere erişimi, bu tür erişime ihtiyacı olan uygun şekilde yetkilendirilmiş kişilerle sınırlamak içindir. Yalnızca Müşteri Kişisel Verilerine erişimi olan personelin hala bu erişime ihtiyacı olduğundan emin olmak için erişim incelemeleri periyodik olarak yapılır.
    • Altyapı Güvenlik Personeli. Slide Craft Technologies Pvt Ltd personeli için bir güvenlik politikasına sahiptir ve bunu sürdürmektedir; ayrıca personeli için eğitim paketinin bir parçası olarak güvenlik eğitimi zorunlu kılar. Slide Craft Technologies Pvt Ltd'nin altyapı güvenlik personeli, ... sürekli izlenmesinden sorumludur Slide Craft Technologies Pvt Ltd Şirket'in güvenlik altyapısı, Hizmetlerin incelenmesi ve güvenlik olaylarına müdahale etmek için.
    • Erişim Kontrolü ve Ayrıcalık Yönetimi. Slide Craft Technologies Pvt LtdŞirket'in ve Müşteri'nin yöneticileri ve son kullanıcıları, Hizmetleri kullanabilmek için Çok Faktörlü kimlik doğrulama sistemi veya tek oturum açma sistemi aracılığıyla kimliklerini doğrulamalıdır
    • Dahili Veri Erişim Süreçleri ve Politikaları – Erişim Politikası. Slide Craft Technologies Pvt Ltd'nın dahili veri erişim süreçleri ve politikaları, Müşteri Kişisel Verilerinin yetkisiz erişim, kullanım, ifşa, değiştirme veya yok edilmesine karşı koruma sağlamak üzere tasarlanmıştır. Slide Craft Technologies Pvt Ltd sistemlerini, yalnızca yetkili kişilerin "en az ayrıcalık" ve "bilmesi gereken" ilkelerine dayanarak erişmeye yetkili oldukları verilere erişmesine izin verecek ve erişmemesi gereken diğer kişilerin erişim sağlamasını önleyecek şekilde tasarlar. Slide Craft Technologies Pvt Ltd yetkisiz hesap kullanım potansiyelini en aza indirmek için benzersiz kullanıcı kimlikleri, güçlü parolalar, iki faktörlü kimlik doğrulama ve dikkatle izlenen erişim listelerinin kullanılmasını gerektirir. Erişim haklarının verilmesi veya değiştirilmesi şunlara dayanır: yetkili personelin iş sorumlulukları; yetkili görevleri yerine getirmek için gerekli iş görevleri; bilmesi gereken prensibi; ve şunlara uygun olmalıdır: Slide Craft Technologies Pvt Ltd 'nın dahili veri erişim politikaları ve eğitimleri. Onaylar, tüm değişikliklerin denetim kayıtlarını tutan iş akışı araçları tarafından yönetilir. Hesap verebilirlik için bir denetim izi oluşturmak amacıyla sistemlere erişim kaydedilir. Kimlik doğrulama için parolaların kullanıldığı durumlarda (örn. iş istasyonlarına giriş), parola politikaları endüstri standardı uygulamaları takip eder. Bu standartlar arasında parola karmaşıklığı, parola süresinin dolması, parola kilitleme, parola yeniden kullanımına ilişkin kısıtlamalar ve belirli bir süre hareketsizlikten sonra parolanın yeniden istenmesi yer alır.
  • Veri Merkezi ve Ağ Güvenliği
    • Veri Merkezleri.
      • Altyapı. Slide Craft Technologies Pvt Ltd veri merkezi AWS'tir.
      • Dayanıklılık. Çoklu Kullanılabilirlik Alanları AWS üzerinde etkinleştirilmiştir ve Slide Craft Technologies Pvt Ltd dayanıklılığı sağlamak amacıyla düzenli olarak Yedekleme Geri Yükleme Testleri yapar.
      • Sunucu İşletim Sistemleri. Slide Craft Technologies Pvt Ltd sunucular uygulama ortamına göre özelleştirilmiştir ve Hizmetlerin güvenliği için güçlendirilmiştir. Slide Craft Technologies Pvt Ltd Hizmetleri sağlamak için kullanılan kodun güvenliğini artırmak ve üretim ortamlarındaki güvenlik ürünlerini geliştirmek amacıyla bir kod inceleme süreci uygular.
      • Felaket Kurtarma. Slide Craft Technologies Pvt Ltd verileri birden fazla sistemde çoğaltarak kazara imha veya kayba karşı korunmaya yardımcı olur. Slide Craft Technologies Pvt Ltd felaket kurtarma programlarını tasarlamış ve düzenli olarak planlayıp test etmektedir.
      • Güvenlik Günlükleri. Slide Craft Technologies Pvt Ltd ’nin sistemlerinde, güvenlik denetimlerini desteklemek, ayrıca gerçek ve teşebbüs edilen saldırıları veya izinsiz girişleri izlemek ve tespit etmek amacıyla ilgili sistem günlük tesislerine günlük kaydı etkinleştirilmiştir, Slide Craft Technologies Pvt Ltd ’nin sistemleri.
      • Güvenlik Açığı Yönetimi. Slide Craft Technologies Pvt Ltd üretim ve geliştirme ortamının tüm altyapı bileşenlerinde düzenli güvenlik açığı taramaları gerçekleştirir. Güvenlik açıkları risk bazında giderilir; tüm bileşenler için Kritik, Yüksek ve Orta düzey güvenlik yamaları ticari olarak mümkün olan en kısa sürede yüklenir.
  • Ağlar ve İletim.
    • Veri İletimi. Üretim ortamındaki iletimler İnternet standart protokolleri aracılığıyla gerçekleştirilir.
    • Dış Saldırı Yüzeyi. AWS Güvenlik Grubu, AWS üzerindeki Üretim ortamında sanal güvenlik duvarı işlevi görmektedir.
    • Olay Müdahalesi. Slide Craft Technologies Pvt Ltd olay yönetimi politikalarını ve prosedürlerini, ayrıntılı güvenlik olayı tırmandırma prosedürleri dahil olmak üzere sürdürür. Slide Craft Technologies Pvt Ltd güvenlik olayları için çeşitli iletişim kanallarını izler ve Slide Craft Technologies Pvt Ltdgüvenlik personeli, şüpheli veya bilinen olaylara hızla tepki verecek, bu tür güvenlik olaylarının zararlı etkilerini azaltacak ve bu tür güvenlik olaylarını ve sonuçlarını belgeleyecektir.
    • Şifreleme Teknolojileri. Slide Craft Technologies Pvt Ltd aktarımdaki veriler için HTTPS şifrelemesini (SSL veya TLS olarak da anılır) kullanılabilir kılar.
  • Veri Depolama, İzolasyon, Kimlik Doğrulama ve İmha. Slide Craft Technologies Pvt Ltd verileri AWS sunucularında çok kiracılı bir ortamda depolar. Veriler, Hizmetler veritabanı ve dosya sistemi mimarisi, AWS üzerindeki birden fazla kullanılabilirlik bölgesi arasında çoğaltılır. Slide Craft Technologies Pvt Ltd farklı müşterilerin verilerini mantıksal olarak izole eder. Verilerin tek tip güvenliğini artırmak için tüm Hizmetlerde merkezi bir kimlik doğrulama sistemi kullanılır. Slide Craft Technologies Pvt Ltd Müşteri Verilerinin güvenli bir şekilde imha edilmesini, bir dizi veri imha süreci kullanarak sağlar.

EK III

ALT İŞLEYİCİLER LİSTESİ

Veri sorumlusu, aşağıdaki alt işleyicilerin kullanımına yetki vermiştir:

Name of Sub- Processor Description of Processing Location of Other Processor
Amazon Web Services Hosting the Production Environment and All customer data (eg document data etc) USA
Slack For messaging USA
Webflow For websites USA
Stripe Payment gateway USA
Adobe For design USA