3. العلاقة بين وحدة التحكم ووحدة المعالجة
4. عمليات نقل البيانات الدولية
المرفق الأول
|
تفاصيل العلاقة بين المراقب المستقل والمراقب
(يتعلق هذا القسم بتفاصيل البيانات الشخصية التي يتم تبادلها بين الأطراف بصفتهم جهات تحكم)
|
|
|
الأطراف
|
مصدر البيانات: كيان العميل الذي ينفذ الاتفاقية الرئيسية
مستورد البيانات: شركة Globalization Partners LLC.
|
|
تفاصيل الاتصال بالأطراف
|
تفاصيل الاتصال كما هو موضح في الاتفاقية الرئيسية.
|
|
الأنشطة ذات الصلة بالبيانات المنقولة
|
الأنشطة المتعلقة بخدمات إدارة شؤون الموظفين.
|
|
الأدوار
|
مُصدِّر البيانات: وحدة التحكم.
مستورد البيانات: وحدة التحكم.
|
|
أنشطة المعالجة
|
قد تخضع البيانات الشخصية المعالجة / المنقولة لأنشطة المعالجة التالية: أي عملية تتعلق بالبيانات الشخصية بغض النظر عن الوسائل والإجراءات المطبقة، وخاصة جمع وتنظيم وتخزين واحتفاظ واستخدام واسترجاع واستشارة وأرشفة ونقل وحظر أو مسح أو تدمير البيانات، وتشغيل وصيانة الأنظمة، والامتثال، والوظائف القانونية والتدقيق.
|
|
مدة المعالجة
|
مدة الاتفاقية الرئيسية وبشكل مستمر.
|
|
طبيعة المعالجة والغرض منها
|
يجوز للعميل نقل بيانات العميل إلى G-P ، ويتم تحديد نطاق ذلك والتحكم فيه من قبل العميل وفقًا لتقديره الخاص. الغرض من المعالجة هو توفير خدمات إدارة شؤون الموظفين وفقًا للاتفاقية الرئيسية.
|
|
فئات أصحاب البيانات
|
محترفون.
|
|
أنواع البيانات الشخصية
|
بيانات الاتصال (والتي قد تشمل الاسم والعنوان وعنوان البريد الإلكتروني ورقم الهاتف والفاكس وتفاصيل الاتصال في حالات الطوارئ ومعلومات المنطقة الزمنية المحلية ذات الصلة).
تفاصيل التوظيف (قد تشمل التعليم، سيرة ذاتية، المسمى الوظيفي، الدرجة، الديموغرافيا، بيانات الموقع، حالة الجنسية والتصدير، راتب، المكافأة).
محتوى البريد الإلكتروني الخاص بأصحاب البيانات.
تفاصيل الخدمات المقدمة إلى أو لصالح أصحاب البيانات.
|
|
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)
|
غير متوفر
|
|
الاحتفاظ
|
سيتم الاحتفاظ بالبيانات الشخصية على الأقل ما دامت أي فترة احتفاظ دنيا مفروضة قانونًا، بما يتوافق مع قوانين التقادم المعمول بها ويلبي الممارسات التجارية الجيدة.
|
|
السلطة الإشرافية المختصة
|
يتم تحديد السلطة الإشرافية المختصة وفقًا لقوانين حماية البيانات المعمول بها، ويجب أن تشمل: لجنة حماية البيانات الأيرلندية (لائحة اللائحة لحماية البيانات العامة بالاتحاد الأوروبي)؛ المفوض الفيدرالي السويسري لحماية البيانات والمعلومات / FDPIC (بالنسبة لـ FADP السويسرية)؛ مكتب مفوض المعلومات بالمملكة المتحدة / ICO (للمملكة المتحدة اللائحة العامة لحماية البيانات)؛ و Autoridade Nacional de Proteção de Dados / ANPD (لالبرازيل LGPD).
|
|
عمليات النقل إلى المعالجات الفرعية
|
بالنسبة لعمليات النقل إلى المعالجات، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه.
|
|
تفاصيل الاتصال بخصوصية G-P
|
Attn: مكتب الخصوصية العالمي.
|
|
تفاصيل العلاقة بين وحدة التحكم والمعالج
(يتعلق هذا القسم بتفاصيل البيانات الشخصية التي تتم معالجتها بواسطة G-P نيابة عن العميل)
|
|
|
الأطراف
|
مصدر البيانات: كيان العميل الذي ينفذ الاتفاقية الرئيسية
مستورد البيانات: شركة Globalization Partners LLC.
|
|
تفاصيل الاتصال بالأطراف
|
تفاصيل الاتصال كما هو موضح في الاتفاقية الرئيسية.
|
|
الأنشطة ذات الصلة بالبيانات المنقولة
|
الأنشطة المتعلقة بخدمات إدارة شؤون الموظفين واستخدام GPP المقدمة للعميل كخدمة.
|
|
الأدوار
|
مُصدِّر البيانات: وحدة التحكم
مستورد البيانات: المعالج
|
|
أنشطة المعالجة
|
قد تخضع البيانات الشخصية التي تتم معالجتها / نقلها لأنشطة المعالجة التالية: أي عملية تتعلق بالبيانات الشخصية بغض النظر عن الوسائل والإجراءات المطبقة، ولا سيما جمع البيانات وتنظيمها وتخزينها وحفظها واستخدامها واسترجاعها والاستشارات وأرشفتها ونقلها وحظرها ومحوها أو تدميرها، وتشغيل الأنظمة وصيانتها، والامتثال والوظائف القانونية ووظائف التدقيق.
|
|
مدة المعالجة
|
مدة الاتفاقية الرئيسية وبشكل مستمر.
|
|
طبيعة المعالجة والغرض منها
|
يجوز للعميل نقل بيانات العميل إلى G-P ، ويتم تحديد نطاق ذلك والتحكم فيه من قبل العميل وفقًا لتقديره الخاص. الغرض من المعالجة هو تقديم GPP كخدمة للعميل وفقًا للاتفاقية الرئيسية.
|
|
فئات أصحاب البيانات
|
المستخدمون المعتمدون لبرنامج GPP والذين قد يشملون موظفي العميل و/أو المتعاقدين معه.
|
|
أنواع البيانات الشخصية
|
تفاصيل الاتصال (مثل رقم الهاتف والبريد الإلكتروني).
بيانات الموظفين / المتعاقدين (مثل المسمى الوظيفي واسم الشركة).
بيانات الاستخدام (مثل البيانات حول جهاز المستخدم المعتمد وكيفية تفاعل هذا الجهاز مع GPP).
بيانات الموقع (مثل الموقع المشتق من عنوان IP).
بيانات المحتوى (مثل محتوى ملفات العميل المتعلقة بالمحترفين والاتصالات ذات الصلة).
بيانات الاعتماد (مثل كلمات المرور وتلميحات كلمات المرور ومعلومات الأمان المماثلة المستخدمة للمصادقة والوصول إلى الحساب إلى GPP).
أي بيانات شخصية يقدمها المستخدمون المصرح لهم.
|
|
فئات خاصة من البيانات (إذا كان ذلك مناسبًا)
|
غير متوفر
|
|
الاحتفاظ
|
سيتم الاحتفاظ بالبيانات الشخصية على الأقل ما دامت أي فترة احتفاظ دنيا مفروضة قانونًا، بما يتوافق مع قوانين التقادم المعمول بها ويلبي الممارسات التجارية الجيدة.
|
|
السلطة الإشرافية المختصة
|
يتم تحديد السلطة الإشرافية المختصة وفقًا لقوانين حماية البيانات المعمول بها، ويجب أن تشمل: لجنة حماية البيانات الأيرلندية (لائحة اللائحة لحماية البيانات العامة بالاتحاد الأوروبي)؛ المفوض الفيدرالي السويسري لحماية البيانات والمعلومات / FDPIC (بالنسبة لـ FADP السويسرية)؛ مكتب مفوض المعلومات بالمملكة المتحدة / ICO (للمملكة المتحدة اللائحة العامة لحماية البيانات)؛ و Autoridade Nacional de Proteção de Dados / ANPD (لالبرازيل LGPD).
|
|
عمليات النقل إلى المعالجات الفرعية
|
بالنسبة لعمليات النقل إلى المعالجات، فإن موضوع المعالجة وطبيعتها ومدتها هي نفسها المحددة أعلاه.
|
|
تفاصيل الاتصال بخصوصية G-P
|
Attn: مكتب الخصوصية العالمي.
|
المرفق الثاني
التدابير الفنية والتنظيمية
تم اعتماد وتصديق G-P لتأكيد توافقها مع معايير SOC 2 و ISO 27001 ، من قبل مدققين مستقلين. تُظهر هذه الشهادات التزامنا بتأمين بيانات العملاء. تم تصميم برنامج الأمن الخاص بشركة G-P من أجل:
حماية سرية وسلامة وتوفر بيانات العملاء التي بحوزتها G-P أو التي يملكها G-P؛
الحماية من أي تهديدات أو مخاطر متوقعة لسرية بيانات العميل وسلامتها وتوافرها؛
الحماية من الوصول غير المصرح به أو غير القانوني إلى بيانات العميل أو استخدامها أو الكشف عنها أو تغييرها أو إتلافها؛
الحماية من الفقد العرضي أو التدمير أو التلف الذي يلحق ببيانات العميل؛ و
حماية المعلومات وفقًا لما هو منصوص عليه في أي لوائح قد تخضع لها الممارسة G-P .
يصف ما يلي الوظائف والعمليات والضوابط والأنظمة والإجراءات والتدابير التي اتخذتها G-P لضمان أمن معالجة بيانات العملاء:
1) التدابير التقنية لضمان خصوصية البيانات وحمايتها
الخصوصية بالتصميم والافتراضي:
يأخذ G-P متطلبات المادة 25 اللائحة العامة لحماية البيانات بعين الاعتبار في مرحلة التصميم والتطوير لتطوير المنتج. يتم إعداد العمليات والوظائف بطريقة تراعي مبادئ حماية البيانات مثل الشرعية والشفافية وتحديد الغرض وتقليل البيانات وما إلى ذلك، بالإضافة إلى أمن المعالجة، في مرحلة مبكرة.
ب) تشفير البيانات الشخصية:
ضمان تخزين البيانات الشخصية في النظام بطريقة لا تسمح لأطراف ثالثة بتحديد هوية صاحب البيانات.
تشفير قواعد البيانات والتخزين:
في جميع قواعد البيانات التي يستخدمها G-P، يتم استخدام تشفير "في حالة راحة" حسب حالة التقنية بحيث لا يمكن قراءة البيانات من قاعدة البيانات إلا بعد المصادقة الصحيحة على نظام قاعدة البيانات المعني.
تشفير وسائط بيانات الهاتف المحمول:
لا يُسمح باستخدام شركات نقل البيانات عبر الهاتف المحمول لتخزين بيانات زبون.
تشفير وسائط تخزين البيانات على أجهزة الكمبيوتر المحمولة:
تم تثبيت أحدث تقنيات تشفير القرص الصلب المناسبة على جميع أجهزة الكمبيوتر المحمولة الخاصة بالموظفين.
تبادل المعلومات والملفات بشكل مشفر:
من حيث المبدأ، يتم تشفير تبادل المعلومات والملفات مباشرة عبر طلب خاص. إذا كان يجب نقل البيانات الشخصية أو المعلومات السرية إلى خوادم لا يمكن إرسالها عبر عمليات تحميل HTTPS المشفرة بتقنية TLS، فسيتم نقلها باستخدام بروتوكول نقل الملفات الآمن (SFTP) أو خدمة المغلف المشفر أو آلية تشفير أخرى وفقًا لأحدث التقنيات.
تشفير البريد الإلكتروني:
من حيث المبدأ، يتم تشفير جميع رسائل البريد الإلكتروني التي يرسلها موظفو G-P باستخدام TLS. قد تحدث استثناءات إذا كان خادم البريد المستلم لا يدعم بروتوكول TLS. يجب على العميل التأكد من أن خوادم البريد المستخدمة في نطاق الطلب تدعم تشفير TLS
ج) مراقبة الدخول
تهدف ضوابط القبول إلى منع استخدام ومعالجة البيانات المحمية بموجب قوانين حماية البيانات من قبل أشخاص غير مصرح لهم.
استخدام أساليب المصادقة
يتم الوصول إلى البيانات الشخصية دائمًا عبر بروتوكولات مشفرة: SSH، SSL/TLS، HTTPS أو بروتوكولات مماثلة. إجراءات المصادقة لنظام تكنولوجيا المعلومات: تسجيل الدخول إلى نظام تكنولوجيا المعلومات باستخدام المصادقة متعددة العوامل.
حظر تلقائي في حالة عدم النشاط
أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو G-P مقفلة بكلمة مرور أو رمز PIN عندما لا يستخدمها المستخدم. بالإضافة إلى ذلك، يتم إعداد قفل شاشة تلقائي مع حماية بكلمة مرور بعد 15 دقيقة من عدم النشاط.
استخدام برامج مكافحة الفيروسات
أجهزة الكمبيوتر المحمولة التي يستخدمها موظفو G-P مزودة ببرامج مكافحة فيروسات متطورة يتم تحديثها باستمرار على جميع أنظمة تكنولوجيا المعلومات التشغيلية أو التجارية. من حيث المبدأ، لا يجوز تشغيل أي جهاز كمبيوتر بدون حماية من الفيروسات المدمجة إلا إذا تم اتخاذ تدابير أمنية أخرى مكافئة ومتطورة أو لم يكن هناك أي خطر. يجب عدم تعطيل إعدادات الأمان الافتراضية أو التحايل عليها.
"سياسة المكتب النظيف"
يطلب من موظفي G-P عدم طباعة أو تخزين البيانات الشخصية لأشخاص البيانات محليا، وعدم ترك مواد العمل في مكان يمكن لأطراف ثالثة رؤيتها فيه، وتخزين جميع مواد العمل بشكل صحيح. الوثائق التي يلزم G-P قانونيا بالاحتفاظ بها في نسخة ورقية تخزن في خزائن مغلقة.
د) ضوابط الوصول داخل المنصة
تضمن ضوابط الوصول أن الأشخاص المصرح لهم باستخدام نظام المعالجة لا يمكنهم الوصول إلا إلى البيانات الشخصية التي يغطيها تصريح الوصول الخاص بهم.
الأدوار والترخيص
الأدوار والصلاحيات - وصول العملاء: يمكن لمستخدمي العملاء عرض معلومات حساب زبون وتعديلها.
منصة الأدوار والصلاحيات – الوصول المهني: يمكن للمستخدمين المحترفين عرض وتعديل معلوماتهم المهنية.
يمكن للمحترفين أيضاً الحصول على دور الوصول إلى العملاء عند استيفاء المتطلبات والموافقة.
الأدوار ومنصة التفويض – الوصول الداخلي
يتمتع مستخدمو الوصول الداخلي بأدوار متنوعة. لديهم صلاحيات وصول متنوعة لإنشاء وعرض وتعديل والموافقة على ما يلي:
معلومات العميل
معلومات الفواتير
معلومات الشريك
معلومات سجلات الموظفين الفنيين
يقتصر الوصول إلى نظام الإدارة بشكل عام على الموظفين المدربين في مجالات دعم زبون وتطوير المنتجات.
هـ) جدار الحماية كخدمة
تستخدم G-P جدار حماية خارجي كخدمة تتيح لها منح أو حظر الوصول إلى المواقع لضمان عدم قدرة الأنظمة على الوصول إلى المحتوى الضار وتقييد الوصول إلى المحتوى غير المناسب.
و) سجل تسجيل الدخول إلى المنصة
يحتفظ G-P بسجل لجميع أنشطة تسجيل الدخول.
ز) قابلية الفصل
ضمان إمكانية معالجة البيانات الشخصية التي يتم جمعها لأغراض مختلفة بشكل منفصل وفصلها عن البيانات والأنظمة الأخرى بطريقة تمنع الاستخدام غير المخطط لهذه البيانات لأغراض أخرى.
فصل بيئات التطوير والاختبار والتشغيل
لا يجوز نقل البيانات من بيئة التشغيل إلى بيئات الاختبار أو التطوير إلا إذا تم إخفاء هوية البيانات بشكل كامل قبل النقل. يجب أن يكون نقل البيانات المجهولة مشفرًا أو عبر شبكة موثوقة.
يجب أولاً اختبار البرامج المراد نقلها إلى بيئة التشغيل في بيئة اختبار متطابقة ("بيئة تجريبية"). لا يجوز استخدام برامج تحليل الأخطاء أو إنشاء/تجميع البرامج في بيئة التشغيل إلا إذا تعذر تجنب ذلك. ويصدق هذا بشكل خاص إذا كانت حالات الخطأ تعتمد على بيانات سيتم تزييفها بسبب متطلبات إخفاء الهوية عند نقلها إلى بيئات الاختبار.
الانفصال في الشبكات
يفصل G-P شبكاته وفقًا للمهام. تُستخدم الشبكات التالية بشكل دائم: بيئة التشغيل ("الإنتاج")، بيئة الاختبار ("التجريب"، "الاختبار")، بيئة التطوير ("التطوير")، موظفو تكنولوجيا المعلومات في المكتب. بالإضافة إلى هذه الشبكات، يتم إنشاء شبكات منفصلة أخرى حسب الحاجة، على سبيل المثال، لاختبارات الاستعادة واختبارات الاختراق. اعتمادًا على الإمكانيات التقنية، يتم فصل الشبكات إما فعليًا أو عن طريق الشبكات الافتراضية.
ح) التحكم في التوافر
تتخذ G-P الخطوات التالية لضمان حماية البيانات الشخصية من التلف أو الفقدان العرضي.
إجراءات حماية البيانات/ النسخ الاحتياطية
لضمان التوافر الكافي، تقوم G-P بتنفيذ لقطات يومية لقاعدة بياناتها مع النسخ المتماثل إلى منطقة مختلفة. كما يتم اتخاذ تدابير لضمان منح الموظفين الذين لديهم حاجة وظيفية لمراجعة البيانات حق الوصول فقط إلى مجموعات البيانات المكررة.
التكرار الجغرافي فيما يتعلق بالبنية التحتية للخوادم للبيانات الإنتاجية والنسخ الاحتياطية
إدارة حوادث تكنولوجيا المعلومات ("إدارة الاستجابة للحوادث")
يوجد مفهوم وإجراءات موثقة للتعامل مع الحوادث والأحداث المتعلقة بالسلامة. يشمل ذلك تخطيط وإعداد الاستجابة للحوادث، وإجراءات رصد واكتشاف وتحليل الأحداث ذات الصلة بالأمن، وتحديد المسؤوليات المقابلة وقنوات الإبلاغ في حالة انتهاك حماية البيانات الشخصية في إطار المتطلبات القانونية.
2) التدابير التنظيمية لضمان خصوصية البيانات وحمايتها
وضعت G-P التدابير التنظيمية التالية لضمان عمل المنظمة بطريقة تلبي متطلبات الأمن والحماية.
أ) التعليمات التنظيمية
قامت G-P بتطوير برنامج لحوكمة البيانات، وهي تعمل على تطويره، ويتضمن البرنامج سياسات وإجراءات وإرشادات يجب على الموظفين اتباعها. تتضمن الوثائق كيفية تحديد وإدارة مشكلات خصوصية البيانات، وأفضل الممارسات لضمان الامتثال للخصوصية، وسياسات معالجة حوادث الخصوصية.
ب) الالتزام بالسرية وحماية البيانات
قامت G-P بتطوير برنامج لحوكمة البيانات، وهي تعمل على تطويره، ويتضمن البرنامج سياسات وإجراءات وإرشادات يجب على الموظفين اتباعها. يلتزم جميع الموظفين والمتعاقدين كتابياً بالحفاظ على السرية وحماية البيانات بالإضافة إلى القوانين الأخرى ذات الصلة. يتلقى جميع الموظفين تدريباً على الخصوصية والأمن. تُجرى عمليات تدقيق داخلية منتظمة بشأن حماية البيانات وأمن المعلومات. تُجرى عمليات التدقيق على أساس معايير/مخططات اختبار مشتركة. يتم توجيه موظفي ومتعاقدي G-P لمعالجة البيانات الشخصية لأسباب قانونية فقط، وفقًا للعقود المعمول بها مع Zbon والمهنيين، مع مراعاة أي موافقة صريحة مقدمة أو محجوبة من قبل صاحب البيانات، وبما يتماشى مع أي واجب قانوني للمنظمة.
ج) التدريب على حماية البيانات
يتلقى جميع الموظفين تدريباً على الخصوصية والأمان، والذي يظل متاحاً للمراجعة في أي وقت على منصة التدريب G-P .
د) ضوابط الوصول المادي
لدى G-P الضوابط المادية التالية لمنع الأشخاص غير المصرح لهم من الوصول إلى معدات أنظمة تكنولوجيا المعلومات المستخدمة في المعالجة.
حماية إلكترونية للأبواب
أبواب الدخول إلى مباني مكاتب G-P دائما مغلقة ومؤمنة إلكترونيا. يتم فتح الأبواب عبر جهاز إرسال واستقبال إلكتروني شخصي.
توزيع المفاتيح بشكل منظم
يتم تخصيص مركزي وموثق للمفاتيح لموظفي G-P. يمكن تعطيل هذه الترانسبوندر/المفاتيح الإلكترونية مركزيا من قبل كل مدير مكتب أو قسم الموارد البشرية.
الإشراف على الأشخاص الخارجيين ومرافقتهم
لا يجوز منح مقدمي الخدمات الخارجيين والأطراف الثالثة الأخرى حق الوصول إلى المباني إلا من خلال ترخيص مسبق أو عند مرافقة مسؤول من G-P. يطبق G-P سياسته المكتوبة الخاصة بالزوار عند دعوة الزوار إلى المبنى.
تأمين المباني مع ازدياد الحاجة إلى الحماية
يتم تجهيز المباني أو الخزائن ذات متطلبات الحماية المتزايدة، مثل المكاتب القانونية وبعض مواقع العمليات، بخزائن وأدراج قابلة للقفل. يجب إغلاق الخزائن والأدراج التي تحتوي على المستندات القانونية والعقود والوثائق السرية في جميع الأوقات باستثناء وقت استخدامها.
الأبواب والنوافذ المغلقة
يتم توجيه الموظفين من قبل المؤسسة بإبقاء النوافذ والأبواب مغلقة أو مقفلة خارج ساعات العمل.
هـ) إمكانية الاسترداد
تضمن G-P إمكانية استعادة الأنظمة المستخدمة في حالة حدوث عطل مادي أو تقني.
اختبارات منتظمة لاستعادة البيانات ("اختبارات الاستعادة")
تُجرى اختبارات استعادة كاملة منتظمة لضمان إمكانية الاستعادة في حالة الطوارئ/الكوارث.
خطة الطوارئ ("مفهوم التعافي من الكوارث")
يوجد مفهوم للتعامل مع حالات الطوارئ/الكوارث وخطة طوارئ مقابلة. يضمن G-P استعادة جميع الأنظمة بناء على النسخ الاحتياطية / النسخ الاحتياطية للبيانات، عادة خلال 48 ساعات.
إجراءات المراجعة والتقييم
عرض الإجراءات الخاصة بالمراجعة والتقييم والتقييم المنتظم لفعالية التدابير الفنية والتنظيمية.
و) فريق الخصوصية
لدى المنظمة مكتب عالمي لخصوصية البيانات مكلف بتخطيط وتنفيذ وتقييم وتكييف التدابير في مجال حماية البيانات.
ز) إدارة المخاطر
توجد عملية لتحليل وتقييم وتخصيص المخاطر، ولاستخلاص التدابير بناءً على هذه المخاطر.
3) مراجعة مستقلة لأمن المعلومات
أداء عمليات التدقيق
تجرى تدقيقات داخلية لحماية البيانات وأمن المعلومات بشكل منتظم. تُجرى عمليات التدقيق على أساس معايير/مخططات اختبار مشتركة.
ب) مراجعة الامتثال للسياسات والمعايير الأمنية
يتم التحقق بانتظام من الامتثال لإرشادات ومعايير الأمن المعمول بها ومتطلبات الأمن الأخرى لمعالجة البيانات الشخصية. حيثما أمكن، يتم إجراء هذه الفحوصات بشكل عشوائي وغير متوقع.
ج) التحقق من الامتثال للمواصفات الفنية
يتم إجراء عمليات فحص منتظمة للثغرات الأمنية، سواء كانت آلية أو يدوية، بواسطة قسم تكنولوجيا المعلومات أو موظفين مؤهلين آخرين للتحقق من أمان التطبيقات والبنية التحتية، بالإضافة إلى التطوير المنتظم للمنتج. يتم إجراء اختبارات اختراق مفصلة بواسطة مزود خدمة خارجي لفحص التطبيقات والبنية التحتية بحثًا عن الثغرات الأمنية.
د) المعالجة بناءً على التعليمات
يطلب من موظفي G-P معالجة البيانات الشخصية لأسباب قانونية فقط، وفقا للعقود المعمول بها مع الزبون والمحترف، مع مراعاة أي موافقة صريحة من جهة المعلومات، وبما يتوافق مع أي واجب قانوني للمنظمة.
هـ) اختيار الموردين بعناية
تلتزم G-P بعملية التأهيل المسبق للمورد عند اختيار الموردين والموردين الذين قد يواجهون بيانات محمية. تتضمن هذه العملية ملاحظات من الإدارات المالية والقانونية/الخصوصية، وتشمل تقييم المخاطر والتأهيل الأمني المسبق وخطوات اعتماد الوثائق. سيطلب من الموردين الذين يعالجون البيانات المحمية إثبات التزامهم بقوانين خصوصية البيانات المعمول بها، بما في ذلك المادة 28 اللائحة العامة لحماية البيانات للبيانات المشمولة
المرفق الثالث
|
معالج فرعي
|
الموقع ومعلومات الاتصال
|
وصف المعالجة
|
|
3933 ليك واشنطن بوليفارد NE #350، كيركلاند، WA 98033، الولايات المتحدة الأمريكية
|
خدمات مالية
|
|
|
ص. ب. صندوق 81226
سياتل، واشنطن 98108-1226، الولايات المتحدة الأمريكية
|
الاستضافة - مزود الخدمات السحابية
|
|
|
شركة مايكروسوفت ون مايكروسوفت واي
ريدموند، واشنطن 98052 الولايات المتحدة الأمريكية هاتف: (+1) 425-882-8080.
|
دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وإدارة الخدمات
|
|
|
350 شارع بوش الطابق 13
سان فرانسيسكو، كاليفورنيا 94104، الولايات المتحدة الأمريكية
+1 415 701 1110
|
دعم عمليات الأعمال لإدارة الخدمات
|
|
|
DocuSign International (EMEA) المحدودة، انتباه: فريق الخصوصية، 5 هانوفر كواي، الطابق الأرضي، دبلن 2، جمهورية أيرلندا
|
إدارة المستندات
|
|
|
برج ساليسفورس، 415 شارع ميشن، 3الطابق الثالث، سان فرانسيسكو، كاليفورنيا 94105، الولايات المتحدة الأمريكية
1-800-387-3285
|
دعم العمليات التجارية لإدارة علاقات العملاء (CRM)
|
|
|
989 ماركت ستريت
سان فرانسيسكو، كاليفورنيا 94103، الولايات المتحدة الأمريكية zendesk.com
888-670-4887
|
استفسارات مكتب المساعدة لدعم Z+
|
|
|
2225 لوسون لين، سانتا كلارا، كاليفورنيا، 95054
الولايات المتحدة الأمريكية
|
دعم عمليات الأعمال لإدارة خدمات وعمليات تكنولوجيا المعلومات، وتجارب الضيافة والتواصل من خلال ( سير عمل آلي قائم على الحوسبة السحابية)
|
|
|
160 شارع سبير، 15الطابق الثاني، سان فرانسيسكو، كاليفورنيا 94105 1-866-330-0121
الولايات المتحدة الأمريكية
|
البنية التحتية لمستودع البيانات السحابية.
|
|
|
620 8ذ Ave 45 ذ أرضية
نيويورك، نيويورك 10018
الولايات المتحدة الأمريكية
|
أداة مراقبة الخدمة وتصحيح الأخطاء
|
|
|
شارع لويز 54، الغرفة s52،
1050 بروكسل
بلجيكا
|
معالج الدفع عبر الإنترنت
|
|
|
1600 مدرج بوكوي، ماونتن فيو، كاليفورنيا 94043
|
دعم عمليات الأعمال للاتصالات (البريد الإلكتروني) وتخزين المستندات الداخلية
|