3. नियंत्रक – प्रोसेसर संबंध
4. अंतर्राष्ट्रीय डेटा स्थानांतरण
अनुलग्नक I
|
स्वतंत्र नियंत्रक - नियंत्रक संबंध विवरण
(यह अनुभाग उन व्यक्तिगत डेटा के विवरण से संबंधित है जो नियंत्रक के रूप में पक्षों के बीच साझा किया जा रहा है।)
|
|
|
पार्टियां
|
डेटा निर्यातक: मुख्य समझौते पर हस्ताक्षर करने वाली ग्राहक इकाई
डेटा आयातक: Globalization Partners एलएलसी।
|
|
पार्टियों के संपर्क विवरण
|
मास्टर समझौते में निर्धारित संपर्क विवरण।
|
|
स्थानांतरित किए गए डेटा से संबंधित गतिविधियाँ
|
नियोक्ता ऑफ रिकॉर्ड सेवाओं से संबंधित गतिविधियाँ।
|
|
भूमिकाएँ
|
डेटा निर्यातक: नियंत्रक।
डेटा आयातक: नियंत्रक।
|
|
प्रसंस्करण गतिविधियाँ
|
संसाधित/स्थानांतरित व्यक्तिगत डेटा निम्नलिखित प्रसंस्करण गतिविधियों के अधीन हो सकता है: लागू किए गए साधनों और प्रक्रियाओं की परवाह किए बिना व्यक्तिगत डेटा के संबंध में कोई भी ऑपरेशन, विशेष रूप से डेटा का संग्रह, आयोजन, भंडारण, धारण, उपयोग, पुनर्प्राप्ति, परामर्श, संग्रह, प्रसारण, अवरोधन, मिटाना या नष्ट करना, सिस्टम का संचालन और रखरखाव, अनुपालन, कानूनी और लेखापरीक्षा कार्य।
|
|
प्रसंस्करण की अवधि
|
मुख्य समझौते की अवधि के दौरान और निरंतर आधार पर।
|
|
प्रसंस्करण की प्रकृति और उद्देश्य
|
ग्राहक अपने ग्राहक डेटा को G-P को हस्तांतरित कर सकता है, जिसकी सीमा ग्राहक द्वारा अपने विवेकानुसार निर्धारित और नियंत्रित की जाती है। प्रोसेसिंग का उद्देश्य मास्टर एग्रीमेंट के अनुसार ब्रोकरेज ऑफ रिकॉर्ड सेवाएं प्रदान करना है।
|
|
डेटा विषयों की श्रेणियाँ
|
पेशेवर।
|
|
व्यक्तिगत डेटा के प्रकार
|
संपर्क विवरण (जिसमें नाम, पता, ईमेल पता, टेलीफोन, फैक्स, आपातकालीन संपर्क विवरण और संबंधित स्थानीय समय क्षेत्र की जानकारी शामिल हो सकती है)।
रोजगार विवरण (जिसमें शिक्षा, बायोडेटा, नौकरी का शीर्षक, ग्रेड, जनसांख्यिकीय, स्थान डेटा, राष्ट्रीयता और निर्यात कंप्लान्स स्थिति, वेतन, बोनस शामिल हो सकते हैं)।
डेटा विषयों की ईमेल सामग्री।
डेटा विषयों को प्रदान की जाने वाली या उनके लाभ के लिए प्रदान की जाने वाली सेवाओं का विवरण।
|
|
डेटा की विशेष श्रेणियां (यदि उपयुक्त हो)
|
एन / ए
|
|
अवधारण
|
व्यक्तिगत डेटा को कम से कम तब तक बनाए रखा जाएगा जब तक कि कोई भी लागू कानूनी रूप से अनिवार्य न्यूनतम अवधारण अवधि, जो सीमाओं के लागू क़ानूनों के अनुरूप है और अच्छी व्यावसायिक प्रथाओं को पूरा करता है।
|
|
सक्षम पर्यवेक्षी प्राधिकारी
|
सक्षम पर्यवेक्षी प्राधिकारी को लागू डेटा संरक्षण कानूनों के अनुसार निर्धारित किया जाएगा और इसमें शामिल होंगे: आयरिश डेटा संरक्षण आयोग (ईयू सामान्य डेटा संरक्षण के लिए); स्विस संघीय डेटा संरक्षण और सूचना आयुक्त / एफडीपीआईसी (स्विस एफएडीपी के लिए); यूके सूचना आयुक्त कार्यालय / आईसीओ (यूके सामान्य डेटा संरक्षण के लिए); और ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस / एएनपीडी (ब्राजील एलजीपीडी के लिए)।
|
|
सबप्रोसेसरों को स्थानान्तरण
|
प्रोसेसरों को स्थानांतरण के लिए, प्रसंस्करण का विषय, प्रकृति और अवधि ऊपर परिभाषित के समान ही हैं।
|
|
G-P गोपनीयता संपर्क विवरण
|
ध्यान दें: वैश्विक गोपनीयता कार्यालय।
|
|
नियंत्रक-प्रोसेसर संबंध विवरण
(यह अनुभाग ग्राहक की ओर से G-P द्वारा संसाधित किए जा रहे व्यक्तिगत डेटा के विवरण से संबंधित है)
|
|
|
पार्टियां
|
डेटा निर्यातक: मुख्य समझौते पर हस्ताक्षर करने वाली ग्राहक इकाई
डेटा आयातक: Globalization Partners एलएलसी।
|
|
पार्टियों के संपर्क विवरण
|
मास्टर समझौते में निर्धारित संपर्क विवरण।
|
|
स्थानांतरित किए गए डेटा से संबंधित गतिविधियाँ
|
ग्राहक को सेवा के रूप में प्रदान की जाने वाली जीपीपी सेवाओं और उपयोग से संबंधित गतिविधियाँ।
|
|
भूमिकाएँ
|
डेटा निर्यातक: नियंत्रक
डेटा आयातक: प्रोसेसर
|
|
प्रसंस्करण गतिविधियाँ
|
संसाधित/स्थानांतरित व्यक्तिगत डेटा निम्नलिखित प्रसंस्करण गतिविधियों के अधीन हो सकता है: लागू किए गए साधनों और प्रक्रियाओं की परवाह किए बिना व्यक्तिगत डेटा के संबंध में कोई भी ऑपरेशन, विशेष रूप से डेटा का संग्रह, आयोजन, भंडारण, धारण, उपयोग, पुनर्प्राप्ति, परामर्श, संग्रह, प्रसारण, अवरोधन, मिटाना या नष्ट करना, सिस्टम का संचालन और रखरखाव, अनुपालन, कानूनी और लेखापरीक्षा कार्य।
|
|
प्रसंस्करण की अवधि
|
मुख्य समझौते की अवधि के दौरान और निरंतर आधार पर।
|
|
प्रसंस्करण की प्रकृति और उद्देश्य
|
ग्राहक अपने ग्राहक डेटा को G-P को हस्तांतरित कर सकता है, जिसकी सीमा ग्राहक द्वारा अपने विवेकानुसार निर्धारित और नियंत्रित की जाती है। इस प्रक्रिया का उद्देश्य मास्टर एग्रीमेंट के अनुसार ग्राहक को जीपीपी सेवा प्रदान करना है।
|
|
डेटा विषयों की श्रेणियाँ
|
जीपीपी के अधिकृत उपयोगकर्ताओं में ग्राहक के कर्मचारी और/या ठेकेदार शामिल हो सकते हैं।
|
|
व्यक्तिगत डेटा के प्रकार
|
संपर्क विवरण (जैसे फोन नंबर और ईमेल)।
कर्मचारियों/ठेकेदारों का डेटा (जैसे कि पदनाम और कंपनी का नाम)।
उपयोग डेटा (जैसे अधिकृत उपयोगकर्ता के डिवाइस के बारे में डेटा और ऐसा डिवाइस GPP के साथ कैसे इंटरैक्ट करता है)।
स्थान डेटा (जैसे आईपी पते से प्राप्त स्थान)।
सामग्री डेटा (जैसे पेशेवरों और संबंधित संचार के संबंध में ग्राहक की फाइलों की सामग्री)।
क्रेडेंशियल्स (जैसे पासवर्ड, पासवर्ड, संकेत और प्रमाणीकरण और GPP के लिए खाता एक्सेस के लिए उपयोग की जाने वाली समान सुरक्षा जानकारी)।
अधिकृत उपयोगकर्ताओं द्वारा प्रदान किया गया कोई भी व्यक्तिगत डेटा।
|
|
डेटा की विशेष श्रेणियां (यदि उपयुक्त हो)
|
एन / ए
|
|
अवधारण
|
व्यक्तिगत डेटा को कम से कम तब तक बनाए रखा जाएगा जब तक कि कोई भी लागू कानूनी रूप से अनिवार्य न्यूनतम अवधारण अवधि, जो सीमाओं के लागू क़ानूनों के अनुरूप है और अच्छी व्यावसायिक प्रथाओं को पूरा करता है।
|
|
सक्षम पर्यवेक्षी प्राधिकारी
|
सक्षम पर्यवेक्षी प्राधिकारी को लागू डेटा संरक्षण कानूनों के अनुसार निर्धारित किया जाएगा और इसमें शामिल होंगे: आयरिश डेटा संरक्षण आयोग (ईयू सामान्य डेटा संरक्षण के लिए); स्विस संघीय डेटा संरक्षण और सूचना आयुक्त / एफडीपीआईसी (स्विस एफएडीपी के लिए); यूके सूचना आयुक्त कार्यालय / आईसीओ (यूके सामान्य डेटा संरक्षण के लिए); और ऑटोरिडेड नैशनल डी प्रोटेकाओ डी दादोस / एएनपीडी (ब्राजील एलजीपीडी के लिए)।
|
|
सबप्रोसेसरों को स्थानान्तरण
|
प्रोसेसरों को स्थानांतरण के लिए, प्रसंस्करण का विषय, प्रकृति और अवधि ऊपर परिभाषित के समान ही हैं।
|
|
G-P गोपनीयता संपर्क विवरण
|
ध्यान दें: वैश्विक गोपनीयता कार्यालय।
|
अनुलग्नक II
तकनीकी और संगठनात्मक उपाय
G-P स्वतंत्र लेखा परीक्षकों द्वारा एसओसी 2 और आईएसओ 27001 मानकों के अनुरूप प्रमाणित और सत्यापित किया गया है। इस प्रकार के प्रमाणपत्र ग्राहक डेटा की सुरक्षा के प्रति हमारी प्रतिबद्धता को दर्शाते हैं। G-Pका सुरक्षा कार्यक्रम इस प्रकार डिज़ाइन किया गया है:
G-Pके पास मौजूद या जिस तक G-P की पहुंच है, ऐसे ग्राहक डेटा की गोपनीयता, अखंडता और उपलब्धता की रक्षा करना;
ग्राहक डेटा की गोपनीयता, अखंडता और उपलब्धता के लिए किसी भी प्रत्याशित खतरे या खतरों से सुरक्षा करें;
ग्राहक डेटा की अनधिकृत या गैरकानूनी पहुंच, उपयोग, प्रकटीकरण, परिवर्तन या विनाश से बचाएं;
ग्राहक डेटा के आकस्मिक नुकसान या विनाश, या क्षति से बचाएं; तथा
किसी भी ऐसे नियम के अनुसार जानकारी की सुरक्षा करें जिसके तहत G-P विनियमित किया जा सकता है।
निम्नलिखित में उन कार्यों, प्रक्रियाओं, नियंत्रणों, प्रणालियों, कार्यविधियों और उपायों का वर्णन किया गया है जिन्हें G-P ग्राहक डेटा के प्रसंस्करण की सुरक्षा सुनिश्चित करने के लिए अपनाया है:
1) डेटा गोपनीयता और सुरक्षा सुनिश्चित करने के लिए तकनीकी उपाय
डिजाइन और डिफ़ॉल्ट रूप से गोपनीयता:
G-P उत्पाद विकास की संकल्पना और विकास चरण में अनुच्छेद 25 सामान्य डेटा संरक्षण की आवश्यकताओं को ध्यान में रखता है। प्रक्रियाओं और कार्यप्रणालियों को इस तरह से स्थापित किया गया है कि डेटा सुरक्षा के सिद्धांत जैसे कि वैधता, पारदर्शिता, उद्देश्य सीमा, डेटा न्यूनीकरण आदि के साथ-साथ प्रसंस्करण की सुरक्षा को प्रारंभिक चरण में ही ध्यान में रखा जाए।
ख) व्यक्तिगत डेटा का एन्क्रिप्शन:
यह सुनिश्चित करना कि व्यक्तिगत डेटा को सिस्टम में केवल इस तरह से संग्रहीत किया जाए जिससे तीसरे पक्ष डेटा विषय की पहचान न कर सकें।
डेटाबेस और स्टोरेज एन्क्रिप्शन:
G-P द्वारा उपयोग किए जाने वाले सभी डेटाबेस पर अत्याधुनिक तकनीक के अनुसार "स्थिर अवस्था" में एन्क्रिप्शन का उपयोग किया जाता है ताकि डेटाबेस से डेटा को संबंधित डेटाबेस सिस्टम पर उचित प्रमाणीकरण के बाद ही पढ़ा जा सके।
मोबाइल डेटा मीडिया का एन्क्रिप्शन:
ग्राहक डेटा को संग्रहित करने के लिए मोबाइल डेटा प्रदाताओं का उपयोग करने की अनुमति नहीं है।
लैपटॉप पर डेटा वाहकों का एन्क्रिप्शन:
सभी कर्मचारियों के लैपटॉप में अत्याधुनिक हार्ड डिस्क एन्क्रिप्शन स्थापित किया गया है।
सूचनाओं और फाइलों का एन्क्रिप्टेड आदान-प्रदान:
सिद्धांत रूप में, सूचनाओं और फाइलों का आदान-प्रदान एक विशेष आवेदन पत्र के माध्यम से सीधे एन्क्रिप्ट किया जाता है। यदि व्यक्तिगत डेटा या गोपनीय जानकारी को ऐसे सर्वरों पर स्थानांतरित करना आवश्यक है जिन्हें टीएलएस-एन्क्रिप्टेड एचटीपीएस अपलोड के माध्यम से नहीं भेजा जा सकता है, तो इन्हें अत्याधुनिक तकनीक के अनुसार सुरक्षित फ़ाइल स्थानांतरण प्रोटोकॉल (एसएफटीपी), एन्क्रिप्टेड लिफाफा सेवा या किसी अन्य एन्क्रिप्टेड तंत्र का उपयोग करके स्थानांतरित किया जाएगा।
ई-मेल एन्क्रिप्शन:
सिद्धांत रूप में, G-P के कर्मचारियों द्वारा भेजे गए सभी ई-मेल टीएलएस के साथ एन्क्रिप्टेड होते हैं। अपवाद तब हो सकता है जब प्राप्तकर्ता मेल सर्वर टीएलएस का समर्थन न करता हो। ग्राहक यह सुनिश्चित करेगा कि ऑर्डर के दायरे में उपयोग किए जाने वाले संबंधित मेल सर्वर TLS एन्क्रिप्शन का समर्थन करते हों।
ग) प्रवेश नियंत्रण
प्रवेश नियंत्रण का उद्देश्य डेटा सुरक्षा कानूनों द्वारा संरक्षित डेटा का अनधिकृत व्यक्तियों द्वारा उपयोग और प्रसंस्करण को रोकना है।
प्रमाणीकरण विधियों का उपयोग
व्यक्तिगत डेटा तक पहुंच हमेशा एन्क्रिप्टेड प्रोटोकॉल के माध्यम से होती है: एसएसएच, एसएसएल/टीएलएस, एचटीपीएस या तुलनीय प्रोटोकॉल। आईटी सिस्टम के लिए प्रमाणीकरण प्रक्रिया: आईटी सिस्टम में मल्टीफैक्टर प्रमाणीकरण लॉग-इन।
निष्क्रियता की स्थिति में स्वचालित रूप से ब्लॉक हो जाना
G-P के कर्मचारियों द्वारा उपयोग किए जाने वाले लैपटॉप, उपयोगकर्ता द्वारा उपयोग में न होने पर पासवर्ड या पिन सुरक्षा से लॉक कर दिए जाते हैं। इसके अलावा, निष्क्रियता के 15 मिनट के बाद पासवर्ड सुरक्षा के साथ एक स्वचालित स्क्रीन लॉक सेट किया जाता है।
एंटीवायरस सॉफ़्टवेयर का उपयोग
G-P कर्मचारियों द्वारा उपयोग किए जाने वाले लैपटॉप अत्याधुनिक एंटीवायरस सॉफ़्टवेयर से लैस हैं, जिसे सभी परिचालन या व्यावसायिक आईटी सिस्टम पर अद्यतन रखा जाता है। सिद्धांत रूप में, किसी भी कंप्यूटर को तब तक स्थायी वायरस सुरक्षा के बिना संचालित नहीं किया जा सकता है जब तक कि अन्य समकक्ष अत्याधुनिक सुरक्षा उपाय नहीं किए गए हों या कोई जोखिम न हो। डिफ़ॉल्ट सुरक्षा सेटिंग्स को निष्क्रिय या दरकिनार नहीं किया जाना चाहिए।
"स्वच्छ डेस्क नीति"
G-P के कर्मचारियों को निर्देश दिया गया है कि वे डेटा विषयों के व्यक्तिगत डेटा को प्रिंट आउट न करें या स्थानीय रूप से संग्रहीत न करें, कार्य सामग्री को ऐसी जगह पर न छोड़ें जहां उन्हें तीसरे पक्ष द्वारा देखा जा सके, और सभी कार्य सामग्री को ठीक से संग्रहीत करें। जिन दस्तावेजों को कानून के अनुसार G-P हार्ड कॉपी में रखना अनिवार्य है, उन्हें ताले लगे अलमारियों में रखा जाता है।
d) प्लेटफ़ॉर्म के भीतर पहुँच नियंत्रण
पहुँच नियंत्रण यह सुनिश्चित करते हैं कि प्रसंस्करण प्रणाली का उपयोग करने के लिए अधिकृत व्यक्तियों को केवल उन्हीं व्यक्तिगत डेटा तक पहुँच प्राप्त हो, जो उनकी पहुँच प्राधिकरण के अंतर्गत आते हैं।
भूमिकाएँ और प्राधिकरण
भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – ग्राहक पहुँच ग्राहक उपयोगकर्ता ग्राहक खाता जानकारी देख और संपादित कर सकते हैं।
भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – पेशेवर पहुँच पेशेवर उपयोगकर्ता अपनी पेशेवर जानकारी देख और संपादित कर सकते हैं।
आवश्यकता और अनुमोदन होने पर पेशेवर ग्राहक पहुंच की भूमिका भी प्राप्त कर सकते हैं।
भूमिकाएँ और प्राधिकरण प्लेटफ़ॉर्म – आंतरिक पहुँच
आंतरिक पहुंच वाले उपयोगकर्ताओं की भूमिकाएँ भिन्न-भिन्न होती हैं। उनके पास निम्नलिखित को बनाने, देखने, संपादित करने और अनुमोदित करने के लिए विविध प्रकार की पहुंच है:
ग्राहक की जानकारी
बिलिंग जानकारी
पार्टनर की जानकारी
पेशेवर कार्मिक जानकारी रिकॉर्ड करते हैं
प्रशासनिक प्रणाली तक पहुंच आमतौर पर ग्राहक सहायता और उत्पाद विकास के क्षेत्रों में प्रशिक्षित कर्मचारियों तक ही सीमित होती है।
ई) फ़ायरवॉल एक सेवा के रूप में
G-P एक बाहरी फ़ायरवॉल का उपयोग सेवा के रूप में करता है जो उसे वेबसाइटों तक पहुंच प्रदान करने या अवरुद्ध करने की अनुमति देता है ताकि यह सुनिश्चित किया जा सके कि सिस्टम दुर्भावनापूर्ण सामग्री तक पहुंच न सकें और अनुचित सामग्री तक पहुंच को प्रतिबंधित किया जा सके।
f) प्लेटफ़ॉर्म पर लॉग-इन का रिकॉर्ड
G-P सभी लॉगिन गतिविधियों का रिकॉर्ड रखता है।
जी) पृथक्करणीयता
यह सुनिश्चित करना कि विभिन्न उद्देश्यों के लिए एकत्र किए गए व्यक्तिगत डेटा को अलग-अलग संसाधित किया जा सके और अन्य डेटा और सिस्टम से इस तरह अलग रखा जाए कि इन डेटा का अन्य उद्देश्यों के लिए अनियोजित उपयोग रोका जा सके।
विकास, परीक्षण और संचालन वातावरणों का पृथक्करण
ऑपरेटिंग वातावरण से डेटा को परीक्षण या विकास वातावरण में तभी स्थानांतरित किया जा सकता है जब स्थानांतरण से पहले इसे पूरी तरह से गुमनाम बना दिया गया हो। अनाम डेटा का स्थानांतरण एन्क्रिप्टेड होना चाहिए या किसी विश्वसनीय नेटवर्क के माध्यम से होना चाहिए।
ऑपरेटिंग वातावरण में स्थानांतरित किए जाने वाले सॉफ़्टवेयर का पहले एक समान परीक्षण वातावरण ("स्टेजिंग") में परीक्षण किया जाना चाहिए। त्रुटि विश्लेषण या सॉफ़्टवेयर के निर्माण/संकलन के लिए प्रोग्राम का उपयोग ऑपरेटिंग वातावरण में तभी किया जा सकता है जब इससे बचा न जा सके। यह स्थिति विशेष रूप से तब होती है जब त्रुटि की स्थितियां ऐसे डेटा पर निर्भर करती हैं जो परीक्षण वातावरण में स्थानांतरित करते समय गुमनामी की आवश्यकताओं के कारण गलत साबित हो सकता है।
नेटवर्क में पृथक्करण
G-P अपने नेटवर्क को कार्यों के अनुसार अलग करता है। निम्नलिखित नेटवर्क का उपयोग स्थायी रूप से किया जाता है: ऑपरेटिंग वातावरण ("प्रोडक्शन"), परीक्षण वातावरण ("स्टेजिंग", "सैंडबॉक्स"), विकास वातावरण ("डेव") और कार्यालय आईटी कर्मचारी। इन नेटवर्कों के अतिरिक्त, आवश्यकतानुसार अलग-अलग नेटवर्क बनाए जाते हैं, उदाहरण के लिए, पुनर्स्थापना परीक्षण और भेदन परीक्षण के लिए। तकनीकी संभावनाओं के आधार पर, नेटवर्क को भौतिक रूप से या आभासी नेटवर्क के माध्यम से अलग किया जाता है।
h) उपलब्धता नियंत्रण
व्यक्तिगत डेटा को आकस्मिक विनाश या हानि से बचाने के लिए G-P निम्नलिखित कदम उठाता है।
डेटा सुरक्षा प्रक्रियाएं/बैकअप
पर्याप्त उपलब्धता सुनिश्चित करने के लिए, G-P अपने डेटाबेस के दैनिक स्नैपशॉट लेता है और उन्हें एक अलग क्षेत्र में प्रतिकृति करता है। यह सुनिश्चित करने के लिए भी उपाय किए जाते हैं कि नौकरी के आधार पर डेटा की समीक्षा करने की आवश्यकता वाले कर्मचारियों को केवल प्रतिकृति डेटासेट तक ही पहुंच प्रदान की जाए।
उत्पादक डेटा और बैकअप के सर्वर बुनियादी ढांचे के संबंध में भू-अतिरेक
आईटी घटना प्रबंधन ("घटना प्रतिक्रिया प्रबंधन")
घटनाओं और सुरक्षा संबंधी मामलों से निपटने के लिए एक अवधारणा और दस्तावेजित प्रक्रियाएं मौजूद हैं। इसमें घटनाओं पर प्रतिक्रिया की योजना बनाना और तैयारी करना, सुरक्षा से संबंधित घटनाओं की निगरानी, पता लगाने और विश्लेषण करने की प्रक्रियाएं और कानूनी आवश्यकताओं के ढांचे के भीतर व्यक्तिगत डेटा की सुरक्षा के उल्लंघन की स्थिति में संबंधित जिम्मेदारियों और रिपोर्टिंग चैनलों को परिभाषित करना शामिल है।
2) डेटा गोपनीयता और सुरक्षा सुनिश्चित करने के लिए संगठनात्मक उपाय
G-P ने यह सुनिश्चित करने के लिए निम्नलिखित संगठनात्मक उपाय किए हैं कि संगठन डेटा निजता और सुरक्षा आवश्यकताओं को पूरा करने वाले तरीके से संचालित हो।
क) संगठनात्मक निर्देश
G-P ने डेटा गवर्नेंस प्रोग्राम विकसित किया है और इसे विकसित कर रहा है, जिसमें कर्मचारियों द्वारा पालन किए जाने वाले नियम, नीतियां, प्रक्रियाएं और दिशानिर्देश शामिल हैं। इस दस्तावेज़ में डेटा निजता संबंधी समस्याओं की पहचान और प्रबंधन, गोपनीयता सुनिश्चित करने के लिए सर्वोत्तम अभ्यास और गोपनीयता संबंधी घटनाओं से निपटने की नीतियां शामिल हैं।
ख) गोपनीयता और डेटा सुरक्षा के प्रति प्रतिबद्धता
G-P ने डेटा गवर्नेंस प्रोग्राम विकसित किया है और इसे विकसित कर रहा है, जिसमें कर्मचारियों द्वारा पालन किए जाने वाले नियम, नीतियां, प्रक्रियाएं और दिशानिर्देश शामिल हैं। सभी कर्मचारी और ठेकेदार लिखित रूप में गोपनीयता और डेटा सुरक्षा के साथ-साथ अन्य संबंधित कानूनों का पालन करने के लिए बाध्य हैं। सभी कर्मचारियों को गोपनीयता और सुरक्षा संबंधी प्रशिक्षण दिया जाता है। डेटा सुरक्षा और सूचना सुरक्षा पर आंतरिक ऑडिट नियमित रूप से आयोजित किए जाते हैं। लेखापरीक्षाएं सामान्य परीक्षण मानदंडों/योजनाओं के आधार पर की जाती हैं। G-P के कर्मचारियों और ठेकेदारों को निर्देश दिया जाता है कि वे ग्राहक और पेशेवर के साथ लागू अनुबंधों के अनुसार, केवल कानूनी कारणों से ही व्यक्तिगत डेटा को संसाधित करें, डेटा विषय द्वारा दी गई या रोकी गई किसी भी स्पष्ट सहमति पर उचित विचार करते हुए, और संगठन के किसी भी कानूनी कर्तव्य के अनुरूप कार्य करें।
ग) डेटा सुरक्षा प्रशिक्षण
सभी कर्मचारियों को गोपनीयता और सुरक्षा संबंधी प्रशिक्षण प्राप्त होता है, जिसकी समीक्षा G-P प्रशिक्षण प्लेटफॉर्म पर किसी भी समय की जा सकती है।
घ) भौतिक पहुँच नियंत्रण
G-P ने प्रोसेसिंग के लिए उपयोग किए जाने वाले आईटी सिस्टम उपकरणों तक अनधिकृत व्यक्तियों की पहुंच को रोकने के लिए निम्नलिखित भौतिक नियंत्रण लागू किए हैं।
इलेक्ट्रॉनिक डोर प्रोटेक्शन
G-P के कार्यालयों के प्रवेश द्वार हमेशा बंद रहते हैं और इलेक्ट्रॉनिक रूप से सुरक्षित होते हैं। दरवाजे एक व्यक्तिगत इलेक्ट्रॉनिक ट्रांसपोंडर के माध्यम से खोले जाते हैं।
कुंजियों का नियंत्रित वितरण
G-P के कर्मचारियों को चाबियों का एक केंद्रीय, दस्तावेजी आवंटन किया जाता है। इन इलेक्ट्रॉनिक ट्रांसपोंडर/कुंजियों को प्रत्येक कार्यालय प्रबंधक या मानव संसाधन विभाग द्वारा केंद्रीय रूप से निष्क्रिय किया जा सकता है।
बाहरी व्यक्तियों की निगरानी और उनका साथ देना
बाह्य सेवा प्रदाताओं और अन्य तृतीय पक्षों को परिसर में प्रवेश केवल पूर्व अनुमति से या G-P के किसी कर्मचारी के साथ होने पर ही दिया जा सकता है। परिसर में आगंतुकों को आमंत्रित किए जाने पर G-P अपनी लिखित आगंतुक नीति का पालन करता है।
सुरक्षा की बढ़ती आवश्यकता वाले परिसरों की सुरक्षा सुनिश्चित करना
जिन परिसरों या अलमारियों में सुरक्षा संबंधी अतिरिक्त आवश्यकताएं होती हैं, जैसे कि कानूनी कार्यालय और कुछ विशिष्ट परिचालन स्थल, उनमें ताला लगाने योग्य अलमारियां और दराजें लगाई जाती हैं। कानूनी दस्तावेजों, अनुबंधों और गोपनीय दस्तावेजों को रखने वाली अलमारियों और दराजों को उपयोग में होने के अलावा हर समय बंद रखा जाना चाहिए।
बंद दरवाजे और खिड़कियाँ
कर्मचारियों को संगठनात्मक रूप से निर्देश दिया गया है कि वे कार्यालय समय के बाहर खिड़कियां और दरवाजे बंद या ताला लगाकर रखें।
ई) पुनर्प्राप्ति क्षमता
G-P यह सुनिश्चित करता है कि भौतिक या तकनीकी खराबी की स्थिति में उपयोग में आने वाले सिस्टम को बहाल किया जा सके।
डेटा रिकवरी के नियमित परीक्षण ("रिस्टोर-टेस्ट")
आपातकालीन स्थिति/आपदा की स्थिति में पुनर्प्राप्ति सुनिश्चित करने के लिए नियमित रूप से पूर्ण पुनर्स्थापना परीक्षण किए जाते हैं।
आपातकालीन योजना ("आपदा पुनर्प्राप्ति अवधारणा")
आपात स्थितियों/आपदाओं के उपचार के लिए एक अवधारणा और उससे संबंधित एक आपातकालीन योजना मौजूद है। G-P डेटा बैकअप/बैकअप के आधार पर सभी सिस्टमों की रिकवरी सुनिश्चित करता है, आमतौर पर 48 घंटों के भीतर।
समीक्षा और मूल्यांकन उपाय
तकनीकी और संगठनात्मक उपायों की प्रभावशीलता की नियमित समीक्षा, आकलन और मूल्यांकन के लिए प्रक्रियाओं का प्रस्तुतीकरण।
f) गोपनीयता टीम
इस संगठन में एक वैश्विक डेटा गोपनीयता कार्यालय है जिसे डेटा सुरक्षा के क्षेत्र में उपायों की योजना बनाने, उन्हें लागू करने, उनका मूल्यांकन करने और उनमें अनुकूलन करने का कार्य सौंपा गया है।
जी) जोखिम प्रबंधन
जोखिमों का विश्लेषण, मूल्यांकन और आवंटन करने तथा इन जोखिमों के आधार पर उपाय निकालने की एक प्रक्रिया है।
3) सूचना सुरक्षा की स्वतंत्र समीक्षा
लेखापरीक्षाओं का निष्पादन
डेटा सुरक्षा और सूचना सुरक्षा पर आंतरिक ऑडिट नियमित रूप से आयोजित किए जाते हैं। लेखापरीक्षाएं सामान्य परीक्षण मानदंडों/योजनाओं के आधार पर की जाती हैं।
b) सुरक्षा नीतियों और मानकों के साथ कंप्लाएन्स की समीक्षा
व्यक्तिगत डेटा के प्रसंस्करण के लिए लागू सुरक्षा दिशानिर्देशों, मानकों और अन्य सुरक्षा आवश्यकताओं के अनुपालन की नियमित रूप से जांच की जाती है। जहां तक संभव हो, ये जांच यादृच्छिक और अप्रत्याशित आधार पर की जाती हैं।
ग) तकनीकी विशिष्टताओं के साथ कंप्लाएन्स का सत्यापन
आईटी विभाग या अन्य योग्य कर्मियों द्वारा नियमित रूप से स्वचालित और मैन्युअल भेद्यता स्कैन किए जाते हैं ताकि अनुप्रयोगों और बुनियादी ढांचे की सुरक्षा के साथ-साथ उत्पाद के नियमित विकास को सत्यापित किया जा सके। बाहरी सेवा प्रदाता द्वारा विस्तृत प्रवेश परीक्षण किए जाते हैं ताकि अनुप्रयोगों और बुनियादी ढांचे में मौजूद कमजोरियों की विशेष रूप से जांच की जा सके।
d) निर्देशानुसार प्रक्रिया
G-P के कर्मचारियों को निर्देश दिया जाता है कि वे ग्राहक और पेशेवर के साथ लागू अनुबंधों के अनुसार, केवल कानूनी कारणों से ही व्यक्तिगत डेटा को संसाधित करें, डेटा विषय द्वारा दी गई या रोकी गई किसी भी स्पष्ट सहमति पर उचित विचार करते हुए, और संगठन के किसी भी कानूनी कर्तव्य के अनुरूप कार्य करें।
ई) आपूर्तिकर्ता का सावधानीपूर्वक चयन
संरक्षित डेटा से संबंधित समस्याओं का सामना करने वाले विक्रेताओं और आपूर्तिकर्ताओं का चयन करते समय G-P अपनी आपूर्तिकर्ता पूर्व-योग्यता प्रक्रिया का पालन करता है। इस प्रक्रिया में वित्त और कानूनी/गोपनीयता विभागों से प्रतिक्रिया प्राप्त करना शामिल है और इसमें जोखिम मूल्यांकन, सुरक्षा पूर्व-योग्यता और दस्तावेज़ीकरण प्रमाणीकरण के चरण शामिल हैं। जो आपूर्तिकर्ता संरक्षित डेटा संसाधित करेंगे, उन्हें लागू डेटा निजता कानूनों का पालन प्रदर्शित करना होगा, जिसमें कवर किए गए डेटा के लिए अनुच्छेद 28 सामान्य डेटा संरक्षण सुरक्षा भी शामिल है।
अनुलग्नक III
|
सबप्रोसेसर
|
स्थान और संपर्क जानकारी
|
प्रसंस्करण का विवरण
|
|
3933 लेक वाशिंगटन बुलेवार्ड एनई #350, किर्कलैंड, डब्ल्यूए 98033, यूएसए
|
वित्तीय सेवाएं
|
|
|
पी.ओ. बॉक्स 81226
सिएटल, WA 98108-1226, यूएसए
|
होस्टिंग – क्लाउड सेवा प्रदाता
|
|
|
Microsoft Corporation One Microsoft Way
रेडमंड, वाशिंगटन 98052 संयुक्त राज्य अमेरिका टेलीफोन: (+1) 425-882-8080.
|
संचार (ईमेल) और सेवा प्रबंधन के लिए व्यवसाय प्रक्रिया समर्थन
|
|
|
350 बुश स्ट्रीट फ्लोर 13
सैन फ्रांसिस्को, सीए 94104, यूएसए
+1 415 701 1110
|
सेवा प्रबंधन के लिए व्यावसायिक प्रक्रिया समर्थन
|
|
|
डॉक्यूसाइन इंटरनेशनल (ईएमईए) लिमिटेड, ध्यान दें: गोपनीयता टीम, 5 हनोवर क्वे, भूतल, डबलिन 2, आयरलैंड गणराज्य
|
दस्तावेज़ प्रबंधन
|
|
|
सेल्सफोर्स टॉवर, 415 मिशन स्ट्रीट, 3आरडी फ्लोर, सैन फ्रांसिस्को, सीए 94105, यूएसए
1-800-387-3285
|
ग्राहक संबंध प्रबंधन (CRM) के लिए व्यवसाय प्रक्रिया समर्थन
|
|
|
989 मार्केट सेंट
सैन फ्रांसिस्को, सीए 94103, यूएसए zendesk.com
888-670-4887
|
ग्राहक सहायता के लिए हेल्पडेस्क पूछताछ
|
|
|
2225 लॉसन लेन सांता क्लारा, सीए , 95054
अमेरीका
|
आईटी सेवा और संचालन प्रबंधन के लिए व्यावसायिक प्रक्रिया समर्थन, कर्मचारी और ग्राहक अनुभव के माध्यम से ( स्वचालित क्लाउड-आधारित वर्कफ़्लो)
|
|
|
160 स्पीयर स्ट्रीट, 15वीं मंजिल सैन फ्रांसिस्को, सीए 94105 1-866-330-0121
अमेरीका
|
क्लाउड डेटा वेयरहाउस इंफ्रास्ट्रक्चर।
|
|
|
620 8वां औसत 45 वां ज़मीन
न्यूयॉर्क, एनवाई 10018
अमेरीका
|
सेवा निगरानी और डिबगिंग उपकरण
|
|
|
एवेन्यू लुईस 54, कमरा52,
1050 ब्रुसेल्स
बेल्जियम
|
ऑनलाइन भुगतान प्रोसेसर
|
|
|
1600 एम्फीथिएटर पक्की, माउंटेन व्यू, सीए 94043
|
संचार (ईमेल) और आंतरिक दस्तावेज़ संग्रहण के लिए व्यवसाय प्रक्रिया समर्थन
|