3. ความสัมพันธ์ของตัวควบคุม - โปรเซสเซ
4. การถ่ายโอนข้อมูลระหว่างประเทศ
ภาคผนวก 1
|
ตัวควบคุมอิสระ - รายละเอียดความสัมพันธ์ของตัวควบคุม
(ส่วนนี้เกี่ยวข้องกับรายละเอียดของข้อมูลส่วนบุคคลที่กำลังแบ่งปันระหว่างคู่สัญญาในฐานะผู้ควบคุม)
|
|
|
ฝ่ายต่างๆ
|
ผู้ส่งออกข้อมูล: หน่วยงานลูกค้าที่ลงนามในข้อตกลงหลัก
ผู้นำเข้าข้อมูล: Globalization Partners LLC.
|
|
รายละเอียดการติดต่อของคู่กรณี
|
รายละเอียดการติดต่อตามที่ระบุไว้ในข้อตกลงหลัก
|
|
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน
|
กิจกรรมที่เกี่ยวข้องกับการให้บริการตัวแทนนายจ้างบริการ
|
|
บทบาท
|
ผู้ส่งออกข้อมูล: ผู้ควบคุม
ผู้นำเข้าข้อมูล: ผู้ควบคุม
|
|
กิจกรรมการประมวลผล
|
ข้อมูลส่วนบุคคลที่ได้รับการประมวลผล/ถ่ายโอนอาจอยู่ภายใต้กิจกรรมการประมวลผลดังต่อไปนี้: การดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลโดยไม่คำนึงถึงวิธีการและขั้นตอนที่ใช้ โดยเฉพาะอย่างยิ่งการรวบรวม จัดระเบียบ จัดเก็บ ถือครอง ใช้ เรียกค้น ปรึกษา เก็บถาวร ส่งต่อ บล็อก ลบ หรือทำลายข้อมูล การดำเนินงานและการบำรุงรักษาระบบ การประมวลผลข้อมูล หน้าที่ทางกฎหมายและการตรวจสอบ
|
|
ระยะเวลาในการประมวลผล
|
เงื่อนไขของข้อตกลงหลักและเป็นไปอย่างต่อเนื่อง
|
|
ลักษณะและวัตถุประสงค์ของการประมวลผล
|
ลูกค้าสามารถถ่ายโอนข้อมูลลูกค้าไปยัง G-P ซึ่งขอบเขตนั้นถูกกําหนดและควบคุมโดยลูกค้าตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว วัตถุประสงค์ของการประมวลผลคือเพื่อให้บริการตัวแทนนายจ้างตามข้อตกลงหลัก
|
|
หมวดหมู่ของเจ้าของข้อมูล
|
มืออาชีพ
|
|
ประเภทของข้อมูลส่วนบุคคล
|
รายละเอียดการติดต่อ (ซึ่งอาจรวมถึงชื่อ ที่อยู่ ที่อยู่อีเมล โทรศัพท์ แฟกซ์ รายละเอียดการติดต่อฉุกเฉิน และข้อมูลเขตเวลาท้องถิ่นที่เกี่ยวข้อง)
รายละเอียดการจ้างงาน (ซึ่งอาจรวมถึงการศึกษา ประวัติย่อ ตําแหน่งงาน เกรด ข้อมูลประชากร ข้อมูลตําแหน่ง สัญชาติและการส่งออก สถานะการปฏิบัติตามกฎระเบียบ เงินเดือน โบนัส)
เนื้อหาอีเมลของเจ้าของข้อมูล
รายละเอียดการให้บริการแก่หรือเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
|
|
ประเภทข้อมูลพิเศษ (ถ้ามี)
|
ไม่มีข้อมูล
|
|
การเก็บรักษา
|
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้อย่างน้อยที่สุดเท่ากับระยะเวลาการเก็บรักษาขั้นต่ำที่กฎหมายกำหนด ซึ่งสอดคล้องกับข้อจำกัดความรับผิดตามกฎหมาย และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี
|
|
หน่วยงานกำกับดูแลที่มีอำนาจ
|
หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และจะรวมถึง: คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (สำหรับสหภาพยุโรปว่าด้วยข้อมูลทั่วไป); กรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส / FDPIC (สำหรับ FADP ของสวิส) the UK Information Commissioner's Office / ICO (สำหรับ UK ระเบียบว่าด้วยข้อมูลทั่วไป); และ Autoridade Nacional de Proteção de Dados / ANPD (สำหรับ LGPD ของบราซิล)
|
|
การโอนไปยังผู้ประมวลผลย่อย
|
สำหรับการส่งข้อมูลไปยังผู้ประมวลผล เนื้อหา ลักษณะ และระยะเวลาของการประมวลผลจะเหมือนกับที่ได้กำหนดไว้ข้างต้น
|
|
รายละเอียดการติดต่อฝ่ายความเป็นส่วนตัว G-P
|
เรียน: สำนักงานคุ้มครองข้อมูลส่วนบุคคลระดับโลก
|
|
คอนโทรลเลอร์ - รายละเอียดความสัมพันธ์ของโปรเซสเซอร์
(ส่วนนี้เกี่ยวกับรายละเอียดของข้อมูลส่วนบุคคลที่ G-P กําลังประมวลผลในนามของลูกค้า)
|
|
|
ฝ่ายต่างๆ
|
ผู้ส่งออกข้อมูล: หน่วยงานลูกค้าที่ลงนามในข้อตกลงหลัก
ผู้นำเข้าข้อมูล: Globalization Partners LLC.
|
|
รายละเอียดการติดต่อของคู่กรณี
|
รายละเอียดการติดต่อตามที่ระบุไว้ในข้อตกลงหลัก
|
|
กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอน
|
กิจกรรมที่เกี่ยวข้องกับการให้บริการตัวแทนนายจ้าง และการใช้ GPP ที่มอบให้กับลูกค้าเป็นบริการ
|
|
บทบาท
|
ผู้ส่งออกข้อมูล: ผู้ควบคุม
ผู้นําเข้าข้อมูล: ผู้ประมวลผล
|
|
กิจกรรมการประมวลผล
|
ข้อมูลส่วนบุคคลที่ได้รับการประมวลผล/ถ่ายโอนอาจอยู่ภายใต้กิจกรรมการประมวลผลดังต่อไปนี้: การดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลโดยไม่คำนึงถึงวิธีการและขั้นตอนที่ใช้ โดยเฉพาะอย่างยิ่งการรวบรวม จัดระเบียบ จัดเก็บ ถือครอง ใช้ เรียกค้น ปรึกษา เก็บถาวร ส่งต่อ บล็อก ลบ หรือทำลายข้อมูล การดำเนินงานและการบำรุงรักษาระบบ การประมวลผลข้อมูล การดำเนินการทางกฎหมายและการตรวจสอบ
|
|
ระยะเวลาในการประมวลผล
|
เงื่อนไขของข้อตกลงหลักและเป็นไปอย่างต่อเนื่อง
|
|
ลักษณะและวัตถุประสงค์ของการประมวลผล
|
ลูกค้าสามารถถ่ายโอนข้อมูลลูกค้าไปยัง G-P ซึ่งขอบเขตนั้นถูกกําหนดและควบคุมโดยลูกค้าตามดุลยพินิจของลูกค้าแต่เพียงผู้เดียว วัตถุประสงค์ของการประมวลผลคือการให้ GPP เป็นบริการแก่ลูกค้าตามข้อตกลงหลัก
|
|
หมวดหมู่ของเจ้าของข้อมูล
|
ผู้ใช้ที่ได้รับอนุญาตของ GPP ซึ่งอาจรวมถึงพนักงานและ/หรือผู้รับเหมาของลูกค้า
|
|
ประเภทของข้อมูลส่วนบุคคล
|
ข้อมูลติดต่อ (เช่น หมายเลขโทรศัพท์และอีเมล)
ข้อมูลพนักงาน/ผู้รับเหมา (เช่น ตำแหน่งงานและชื่อบริษัท)
ข้อมูลการใช้งาน (เช่น ข้อมูลเกี่ยวกับอุปกรณ์ของผู้ใช้งานที่ได้รับอนุญาต และวิธีการที่อุปกรณ์ดังกล่าวโต้ตอบกับ GPP)
ข้อมูลตำแหน่งที่ตั้ง (เช่น ตำแหน่งที่ตั้งที่ได้จากที่อยู่ IP)
ข้อมูลเนื้อหา (เช่น เนื้อหาในไฟล์ของลูกค้าที่เกี่ยวข้องกับผู้เชี่ยวชาญและการสื่อสารที่เกี่ยวข้อง)
ข้อมูลประจำตัว (เช่น รหัสผ่าน คำแนะนำเกี่ยวกับรหัสผ่าน และข้อมูลความปลอดภัยที่คล้ายกันซึ่งใช้สำหรับการตรวจสอบสิทธิ์และการเข้าถึงบัญชีใน GPP)
ข้อมูลส่วนบุคคลใด ๆ ที่ให้โดยผู้ใช้ที่ได้รับอนุญาต
|
|
ประเภทข้อมูลพิเศษ (ถ้ามี)
|
ไม่มีข้อมูล
|
|
การเก็บรักษา
|
ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้อย่างน้อยที่สุดเท่ากับระยะเวลาการเก็บรักษาขั้นต่ำที่กฎหมายกำหนด ซึ่งสอดคล้องกับข้อจำกัดความรับผิดตามกฎหมาย และเป็นไปตามหลักปฏิบัติทางธุรกิจที่ดี
|
|
หน่วยงานกำกับดูแลที่มีอำนาจ
|
หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และจะรวมถึง: คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (สำหรับสหภาพยุโรปว่าด้วยข้อมูลทั่วไป); กรรมาธิการการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิส / FDPIC (สำหรับ FADP ของสวิส) the UK Information Commissioner's Office / ICO (สำหรับ UK ระเบียบว่าด้วยข้อมูลทั่วไป); และ Autoridade Nacional de Proteção de Dados / ANPD (สำหรับ LGPD ของบราซิล)
|
|
การโอนไปยังผู้ประมวลผลย่อย
|
สำหรับการส่งข้อมูลไปยังผู้ประมวลผล เนื้อหา ลักษณะ และระยะเวลาของการประมวลผลจะเหมือนกับที่ได้กำหนดไว้ข้างต้น
|
|
รายละเอียดการติดต่อฝ่ายความเป็นส่วนตัว G-P
|
เรียน: สำนักงานคุ้มครองข้อมูลส่วนบุคคลระดับโลก
|
ภาคผนวก II
มาตรการทางเทคนิคและองค์กร
G-P ได้รับการรับรองและรับรองเพื่อยืนยันกฎข้อบังคับด้วยมาตรฐาน SOC 2 และ ISO 27001 โดยผู้ตรวจสอบอิสระ การรับรองดังกล่าวแสดงให้เห็นถึงความมุ่งมั่นของเราในการรักษาความปลอดภัยของข้อมูลลูกค้า โปรแกรมรักษาความปลอดภัยของ G-P ออกแบบมาเพื่อ:
รักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าที่อยู่ในความครอบครองของ G-P หรือที่ G-P สามารถเข้าถึงได้
ป้องกันภัยคุกคามหรืออันตรายที่อาจเกิดขึ้นต่อความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า
ป้องกันการเข้าถึง การใช้งาน การเปิดเผย การเปลี่ยนแปลง หรือการทำลายข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย
ป้องกันข้อมูลลูกค้าจากการสูญหาย ถูกทำลาย หรือเสียหายโดยไม่ตั้งใจ และ
รักษาความปลอดภัยของข้อมูลตามที่กำหนดไว้ในข้อบังคับใดๆ ที่อาจใช้ในการกำกับ G-P
ต่อไปนี้เป็นคำอธิบายเกี่ยวกับหน้าที่ กระบวนการ การควบคุม ระบบ ขั้นตอน และมาตรการต่างๆ ที่ G-P ได้ดำเนินการเพื่อรับรองความปลอดภัยของการประมวลผลข้อมูลลูกค้า:
1) มาตรการ ทางเทคนิคเพื่อรับประกันความเป็นส่วนตัวและการคุ้มครองข้อมูล
ความเป็นส่วนตัวตามการออกแบบและค่าเริ่มต้น:
G-P นำข้อกำหนดของ Article 25 โครงสร้างว่าด้วยข้อมูลทั่วไปมาพิจารณาในขั้นตอนความคิดและการพัฒนาของการพัฒนาผลิตภัณฑ์ กระบวนการและฟังก์ชันการทำงานต่างๆ ถูกจัดตั้งขึ้นในลักษณะที่คำนึงถึงหลักการคุ้มครองข้อมูล เช่น ความชอบด้วยกฎหมาย ความโปร่งใส การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล ฯลฯ ตลอดจนความปลอดภัยในการประมวลผลตั้งแต่เริ่มต้น
b) การ เข้ารหัสข้อมูลส่วนบุคคล:
ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลจะถูกจัดเก็บไว้ในระบบในลักษณะที่ไม่อนุญาตให้บุคคลที่สามระบุตัวตนของเจ้าของข้อมูลเท่านั้น
การเข้ารหัสฐานข้อมูลและการจัดเก็บ:
ในฐานข้อมูลทั้งหมดที่ G-P ใช้ การเข้ารหัส "ที่ไม่ได้ใช้งาน" ตามความทันสมัยจะถูกใช้เพื่อให้ข้อมูลจากฐานข้อมูลสามารถอ่านได้หลังจากการรับรองความถูกต้องที่เหมาะสมในระบบฐานข้อมูลที่เกี่ยวข้องเท่านั้น
การเข้ารหัสสื่อข้อมูลมือถือ:
ไม่อนุญาตให้ใช้บริการเครือข่ายมือถือในการจัดเก็บข้อมูลลูกค้า
การเข้ารหัสผู้ให้บริการข้อมูลบนแล็ปท็อป:
มีการติดตั้งการเข้ารหัสฮาร์ดดิสก์ที่ทันสมัยที่เหมาะสมบนแล็ปท็อปของพนักงานทุกคน
การแลกเปลี่ยนข้อมูลและไฟล์ที่เข้ารหัส:
โดยหลักการแล้ว การแลกเปลี่ยนข้อมูลและไฟล์จะถูกเข้ารหัสโดยตรงผ่านการเข้ารหัสพิเศษ หากต้องถ่ายโอนข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับไปยังเซิร์ฟเวอร์ที่ไม่สามารถส่งผ่านการอัปโหลด HTTPS ที่เข้ารหัส TLS สิ่งเหล่านี้จะถูกถ่ายโอนโดยใช้ Secure File Transfer Protocol (SFTP) บริการซองจดหมายที่เข้ารหัส หรือกลไกการเข้ารหัสอื่นตามที่ทันสมัย
การเข้ารหัสอีเมล:
โดยหลักการแล้ว อีเมลทั้งหมดที่ส่งโดยพนักงานของ G-P จะถูกเข้ารหัสด้วย TLS ข้อยกเว้นอาจเป็นหากเซิร์ฟเวอร์อีเมลที่รับไม่รองรับ TLS ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อีเมลที่เกี่ยวข้องที่ใช้ภายในขอบเขตของการสั่งซื้อรองรับการเข้ารหัส TLS
c) การควบคุมการรับเข้าเรียน
การควบคุมการรับเข้ามีจุดประสงค์และบังคับใช้เพื่อป้องกันการใช้และการประมวลผลข้อมูลซึ่งได้รับการคุ้มครองโดยกฎหมายว่าขณะนี้ข้อมูลโดยบุคคลที่ไม่ได้รับอนุญาต
การใช้วิธีการรับรองความถูกต้อง
การเข้าถึงข้อมูลส่วนบุคคลนั้นผ่านโปรโตคอลที่เข้ารหัสเสมอ: SSH, SSL/TLS, HTTPS หรือโปรโตคอลที่เทียบเท่า ขั้นตอนการรับรองความถูกต้องสำหรับระบบไอที: การเข้าสู่ระบบไอทีการรับรองความถูกต้องหลายปัจจัย
การปิดกั้นอัตโนมัติในกรณีที่ไม่มีการใช้งาน
แล็ปท็อปที่พนักงานของ G-P ใช้ จะถูกล็อกด้วยรหัสผ่านหรือรหัส PIN เมื่อไม่ได้ใช้งานโดยผู้ใช้ นอกจากนี้การล็อคหน้าจออัตโนมัติพร้อมการป้องกันรหัสผ่านจะถูกตั้งค่าหลังจากไม่มีการใช้งาน 15 นาที
การใช้ซอฟต์แวร์ป้องกันไวรัส
แล็ปท็อปที่ใช้โดยพนักงาน G-P ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่ล้ําสมัยซึ่งได้รับการอัปเดตอยู่เสมอในระบบไอทีปฏิบัติการหรือธุรกิจทั้งหมด ตามหลักการแล้ว คอมพิวเตอร์จะไม่สามารถใช้งานได้โดยปราศจากการป้องกันไวรัสที่อยู่อาศัย เว้นแต่จะมีการใช้มาตรการรักษาความปลอดภัยที่ทันสมัยเทียบเท่าหรือไม่มีความเสี่ยง ต้องไม่ปิดใช้งานหรือหลีกเลี่ยงการตั้งค่าความปลอดภัยเริ่มต้น
"นโยบายโต๊ะทํางานสะอาด"
พนักงานของ G-P ได้รับคําสั่งไม่ให้พิมพ์หรือจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ในเครื่อง ไม่ให้ทิ้งวัสดุงานไว้ในตําแหน่งที่บุคคลที่สามอาจดูได้ และจัดเก็บวัสดุงานทั้งหมดอย่างเหมาะสม เอกสารที่กฎหมายกําหนดให้ G-P ต้องเก็บไว้ในเอกสารจะถูกเก็บไว้ในตู้ล็อค
d) การควบคุมการเข้าถึงภายในแพลตฟอร์ม
การควบคุมการเข้าถึงช่วยให้มั่นใจได้ว่าบุคคลที่ได้รับอนุญาตให้ใช้ระบบประมวลผลสามารถเข้าถึงข้อมูลส่วนบุคคลที่ครอบคลุมโดยการอนุญาตการเข้าถึงของพวกเขาเท่านั้น
บทบาทและการอนุญาต
แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงของลูกค้า ผู้ใช้ที่เป็นลูกค้าสามารถดูและแก้ไขข้อมูลบัญชีลูกค้าได้
แพลตฟอร์มบทบาทและการอนุญาต – การเข้าถึงระดับมืออาชีพ ผู้ใช้ระดับมืออาชีพสามารถดูและแก้ไขข้อมูลระดับมืออาชีพของตนเองได้
ผู้เชี่ยวชาญยังสามารถรับบทบาทการเข้าถึงลูกค้าได้เมื่อต้องได้รับการอนุมัติ +
บทบาทและแพลตฟอร์มการอนุญาต – การเข้าถึงภายใน
ผู้ใช้การเข้าถึงภายในมีบทบาทที่หลากหลาย มีการเข้าถึงที่หลากหลายเพื่อสร้าง ดู แก้ไข และอนุมัติสิ่งต่อไปนี้:
ข้อมูลลูกค้า
ข้อมูลการเรียกเก็บเงิน
ข้อมูลพันธมิตร
ข้อมูลบันทึกบุคลากรระดับมืออาชีพ
โดยทั่วไปแล้ว การเข้าถึงระบบบริหารจัดการจะจำกัดเฉพาะพนักงานที่ได้รับการฝึกอบรมในด้านการสนับสนุนลูกค้าและการพัฒนาผลิตภัณฑ์เท่านั้น
e) ไฟร์วอลล์เป็นบริการ
G-P ใช้ไฟร์วอลล์ภายนอกเป็นบริการที่อนุญาตให้ให้หรือบล็อกการเข้าถึงเว็บไซต์เพื่อให้แน่ใจว่าระบบไม่สามารถเข้าถึงเนื้อหาที่เป็นอันตรายและเพื่อจํากัดการเข้าถึงเนื้อหาที่ไม่เหมาะสม
f) บันทึกการเข้าสู่ระบบแพลตฟอร์ม
G-P จะบันทึกข้อมูลการเข้าสู่ระบบทั้งหมดไว้
g) ความสามารถในการ แยก
ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่รวบรวมเพื่อวัตถุประสงค์ต่าง ๆ สามารถประมวลผลแยกต่างหากและแยกออกจากข้อมูลและระบบอื่น ๆ ในลักษณะที่ไม่ได้วางแผนการใช้ข้อมูลเหล่านี้เพื่อวัตถุประสงค์อื่น ๆ จะไม่รวม
การแยกสภาพแวดล้อมการพัฒนาการทดสอบและการดำเนินงาน
ข้อมูลจากสภาพแวดล้อมการทำงานอาจถูกถ่ายโอนไปยังสภาพแวดล้อมการทดสอบหรือการพัฒนาก็ต่อเมื่อมีการเปิดตัวไม่ระบุตัวตนอย่างสมบูรณ์ก่อนถ่ายโอน การถ่ายโอนข้อมูลที่ไม่ระบุตัวตนจะต้องเข้ารหัสหรือผ่านเครือข่ายที่น่าเชื่อถือ
ซอฟต์แวร์ที่จะถ่ายโอนไปยังสภาพแวดล้อมการทำงานจะต้องได้รับการทดสอบในสภาพแวดล้อมการทดสอบที่เหมือนกันก่อน (" staging ") โปรแกรมสำหรับการวิเคราะห์ข้อผิดพลาดหรือการสร้าง/รวบรวมซอฟต์แวร์อาจใช้ในสภาพแวดล้อมการทำงานหากไม่สามารถหลีกเลี่ยงได้ โดยเฉพาะอย่างยิ่งในกรณีที่สถานการณ์ข้อผิดพลาดขึ้นอยู่กับข้อมูลที่จะปลอมแปลงเนื่องจากข้อกำหนดสำหรับการเปิดเผยตัวตนเมื่อถ่ายโอนไปยังสภาพแวดล้อมทดสอบ
การแยกในเครือข่าย
G-P แยกเครือข่ายตามงาน เครือข่ายต่อไปนี้ถูกใช้อย่างถาวร: สภาพแวดล้อมการทํางาน ("การผลิต"), สภาพแวดล้อมการทดสอบ ("Staging", "Sandbox"), สภาพแวดล้อมการพัฒนา ("Dev") เจ้าหน้าที่ไอทีของสํานักงาน นอกจากเครือข่ายเหล่านี้แล้ว ยังมีการสร้างเครือข่ายแยกต่างหากเพิ่มเติมตามความจําเป็น เช่น สําหรับการทดสอบการกู้คืนและการทดสอบการเจาะระบบ ทั้งนี้ขึ้นอยู่กับความเป็นไปได้ทางเทคนิคเครือข่ายจะถูกแยกออกจากกันทั้งทางกายภาพหรือโดยใช้เครือข่ายเสมือน
h) การ ควบคุมความพร้อมใช้งาน
G-P ดำเนินการดังต่อไปนี้เพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องจากการถูกทำลายหรือสูญหายโดยไม่ตั้งใจ
ขั้นตอนการปกป้องข้อมูล / การสํารองข้อมูล
เพื่อให้มั่นใจได้ว่าฐานข้อมูลมีความพร้อมใช้งานอย่างเพียงพอ G-P จึงทำการสร้างสแนปช็อตของฐานข้อมูลทุกวัน พร้อมทั้งจำลองข้อมูลไปยังภูมิภาคอื่นด้วย นอกจากนี้ยังมีการใช้มาตรการเพื่อให้แน่ใจว่าพนักงานที่มีความจำเป็นในการตรวจสอบข้อมูลตามงานจะได้รับอนุญาตให้เข้าถึงชุดข้อมูลจำลองเท่านั้น
การสำรองข้อมูลตามภูมิศาสตร์ในส่วนของโครงสร้างพื้นฐานเซิร์ฟเวอร์สำหรับข้อมูลใช้งานและข้อมูลสำรอง
การจัดการเหตุการณ์ไอที (" การจัดการการตอบสนองเหตุการณ์ ")
มีแนวคิดและขั้นตอนที่บันทึกไว้สำหรับการจัดการเหตุการณ์และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงการวางแผนและการเตรียมการตอบสนองต่อเหตุการณ์ขั้นตอนการตรวจสอบตรวจจับและวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยและการกำหนดความรับผิดชอบที่เกี่ยวข้องและช่องทางการรายงานในกรณีที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบของข้อกำหนดทางกฎหมาย
2) มาตรการ ขององค์กรเพื่อรับประกันความเป็นส่วนตัวและการคุ้มครองข้อมูล
G-P ได้วางมาตรการขององค์กรต่อไปนี้เพื่อให้แน่ใจว่าองค์กรดำเนินงานในลักษณะที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวของข้อมูลและการป้องกัน
ก) คําแนะนําขององค์กร
G-P ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางปฏิบัติสําหรับพนักงานที่ต้องปฏิบัติตาม เอกสารประกอบประกอบด้วยวิธีการระบุและจัดการความเป็นส่วนตัวของปัญหาข้อมูล แนวทางปฏิบัติที่ดีที่สุดในการรับรองความเป็นส่วนตัวตามกฎหมาย และนโยบายสำหรับการจัดการเหตุการณ์ความเป็นส่วนตัว
ข) ความมุ่งมั่นในการรักษาความลับและการคุ้มครองข้อมูล
G-P ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางปฏิบัติสําหรับพนักงานที่ต้องปฏิบัติตาม พนักงานและผู้รับเหมาทุกคนมีข้อผูกพันเป็นลายลักษณ์อักษรในการรักษาความลับและการคุ้มครองข้อมูล ตลอดจนกฎหมายอื่นๆ ที่เกี่ยวข้อง พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย มีการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการบนพื้นฐานของเกณฑ์ / รูปแบบการทดสอบทั่วไป พนักงานและผู้รับเหมาของ G-P ได้รับคําสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่บังคับใช้กับลูกค้าและผู้ประกอบวิชาชีพ โดยคํานึงถึงความยินยอมอย่างชัดแจ้งที่ให้ไว้หรือระงับโดยเจ้าของข้อมูล และเพื่อให้สอดคล้องกับหน้าที่ตามกฎหมายขององค์กร
c) การฝึกอบ รมการคุ้มครองข้อมูล
พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย ซึ่งยังคงพร้อมให้ตรวจสอบได้ตลอดเวลาในแพลตฟอร์มการฝึกอบรม G-P
d) การ ควบคุมการเข้าถึงทางกายภาพ
G-P มีมาตรการควบคุมทางกายภาพดังต่อไปนี้ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบอุปกรณ์ไอทีที่ใช้ในการประมวลผล
การป้องกันประตูอิเล็กทรอนิกส์
ประตูทางเข้าสํานักงาน G-P จะถูกล็อคและรักษาความปลอดภัยทางอิเล็กทรอนิกส์เสมอ ประตูเปิดผ่านช่องสัญญาณอิเล็กทรอนิกส์ส่วนบุคคล
ควบคุมการกระจายคีย์
การจัดสรรกุญแจส่วนกลางที่เป็นเอกสารให้กับพนักงานของ G-P เกิดขึ้น ช่องสัญญาณ/กุญแจอิเล็กทรอนิกส์เหล่านี้สามารถปิดใช้งานได้จากส่วนกลางโดยผู้จัดการสํานักงานแต่ละคนหรือแผนกทรัพยากรบุคคล
การกํากับดูแลและการติดตามบุคคลภายนอก
ผู้ให้บริการภายนอกและบุคคลที่สามอื่นๆ จะได้รับอนุญาตให้เข้าสถานที่ได้ก็ต่อเมื่อได้รับอนุญาตล่วงหน้า หรือเมื่อมีผู้แทนของ G-P ร่วมด้วยเท่านั้น G-P จะปฏิบัติตามนโยบายผู้เยี่ยมชมที่เป็นลายลักษณ์อักษรเมื่อมีการเชิญผู้เยี่ยมชมเข้ามาในสถานที่
การรักษาความปลอดภัยของสถานที่ที่มีความต้องการการป้องกัน เพิ่มขึ้น
สถานที่หรือตู้ที่มีข้อกำหนดการป้องกันที่เพิ่มขึ้น เช่น สำนักงานกฎหมายและสถานที่ปฏิบัติการบางแห่ง ติดตั้งตู้ล็อคและลิ้นชัก ตู้และลิ้นชักที่เก็บเอกสารทางกฎหมาย สัญญา และเอกสารที่เป็นความลับจะต้องถูกล็อคตลอดเวลา ยกเว้นเมื่อมีการใช้งาน
ประตูและหน้าต่างที่ปิดสนิท
พนักงานได้รับคําแนะนําจากองค์กรให้ปิดหรือล็อคหน้าต่างและประตูนอกเวลาทําการ
e) ความสามารถในการกู้ค ืน
G-P รับประกันว่าระบบที่ใช้งานอยู่สามารถกู้คืนได้ในกรณีที่เกิดความล้มเหลวทางกายภาพหรือทางเทคนิค
การทดสอบการกู้คืนข้อมูลเป็นประจำ (" การทดสอบการกู้คืน ")
การทดสอบการกู้คืนเต็มรูปแบบเป็นประจำจะดำเนินการเพื่อให้แน่ใจว่าสามารถกู้คืนได้ในกรณีฉุกเฉิน/ภัยพิบัติ
แผนฉุกเฉิน ("แนวคิดการกู้คืนจากภัยพิบัติ")
มีแนวคิดในการรักษาเหตุฉุกเฉิน/ภัยพิบัติและแผนฉุกเฉินที่เกี่ยวข้อง G-P รับประกันการกู้คืนระบบทั้งหมดบนพื้นฐานของการสํารองข้อมูล / สํารองข้อมูล โดยปกติภายใน 48 ชั่วโมง
มาตรการทบทวนและประเมินผล
การนําเสนอขั้นตอนการทบทวนการประเมินและการประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ําเสมอ
f) ทีมความเป็นส่วนตัว
องค์กรมีสำนักงานความเป็นส่วนตัวของข้อมูลทั่วโลกซึ่งทำหน้าที่วางแผน ดำเนินการ ประเมินและปรับใช้มาตรการในด้านข้อมูลสารสนเทศ
g) การบริ หารความเสี่ยง
มีกระบวนการวิเคราะห์ ประเมิน และจัดสรรความเสี่ยง และหามาตรการบนพื้นฐานของความเสี่ยงเหล่านี้
3) การท บทวนความปลอดภัยของข้อมูลอิสระ
ประสิทธิภาพของการตรวจสอบ
มีการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการบนพื้นฐานของเกณฑ์ / รูปแบบการทดสอบทั่วไป
b) การทบทวนกฎระเบียบเกี่ยวกับนโยบายและมาตรฐานด้านความปลอดภัย
มีการตรวจสอบการปฏิบัติตามแนวทาง มาตรฐาน และข้อกําหนดด้านความปลอดภัยอื่นๆ ที่เกี่ยวข้องสําหรับการประมวลผลข้อมูลส่วนบุคคลอย่างสม่ําเสมอ หากเป็นไปได้ การตรวจสอบเหล่านี้จะดําเนินการแบบสุ่มและไม่คาดคิด
c) การตรวจสอบการปฏิบัติตามกฎระเบียบด้วยข้อกําหนดทางเทคนิค
การสแกนช่องโหว่อัตโนมัติและด้วยตนเองเป็นประจำจะดำเนินการโดยแผนกไอทีหรือบุคลากรที่มีคุณสมบัติอื่น ๆ เพื่อตรวจสอบความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐานรวมถึงการพัฒนาผลิตภัณฑ์เป็นประจำ การทดสอบการเจาะอย่างละเอียดดำเนินการโดยผู้ให้บริการภายนอกเพื่อตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานเพื่อหาช่องโหว่โดยเฉพาะ
d) การประม วลผลตามคำแนะนำ
พนักงานของ G-P ได้รับคําสั่งให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่บังคับใช้กับลูกค้าและผู้ประกอบวิชาชีพ โดยคํานึงถึงความยินยอมอย่างชัดแจ้งที่เจ้าของข้อมูลให้หรือระงับไว้ และเพื่อให้สอดคล้องกับหน้าที่ตามกฎหมายขององค์กร
จ) การเลือกซัพพลายเออร์อย่างระมัดระวัง
G-P ปฏิบัติตามกระบวนการคัดเลือกซัพพลายเออร์เบื้องต้นเมื่อเลือกผู้ขายและซัพพลายเออร์ที่อาจพบข้อมูลที่ได้รับการคุ้มครอง กระบวนการนี้รวมถึงข้อเสนอแนะจากแผนกการเงินและกฎหมาย/ความเป็นส่วนตัว และรวมการประเมินความเสี่ยง การรับรองความปลอดภัยเบื้องต้น และขั้นตอนการรับรองเอกสาร ซัพพลายเออร์ที่จะประมวลผลข้อมูลที่ได้รับการคุ้มครองจะต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลที่บังคับใช้ รวมถึงมาตรา 28 ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไปสําหรับข้อมูลที่ครอบคลุม
ภาคผนวก III
|
ซับโปรเซสเซอร์
|
ข้อมูลสถานที่ตั้งและข้อมูลการติดต่อ
|
คำอธิบายกระบวนการ
|
|
3933 Lake Washington Blvd NE #350, เคิร์กแลนด์, WA 98033, สหรัฐอเมริกา
|
บริการทางการเงิน
|
|
|
พีโอ กล่อง 81226
ซีแอตเทิล วอชิงตัน 98108-1226, สหรัฐอเมริกา
|
บริการโฮสติ้ง – ผู้ให้บริการคลาวด์
|
|
|
บริษัท ไมโครซอฟต์ คอร์ปอเรชั่น วิถีแห่งไมโครซอฟต์
เรดมอนด์ วอชิงตัน 98052 สหรัฐอเมริกา โทรศัพท์: (+1) 425-882-8080
|
การสนับสนุนกระบวนการทางธุรกิจสำหรับการสื่อสาร (อีเมล) และการจัดการบริการ
|
|
|
350 ถนนบุช ชั้น 13
ซานฟรานซิสโก, แคลิฟอร์เนีย 94104, สหรัฐอเมริกา
+1 415 701 1110
|
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการ
|
|
|
DocuSign International (EMEA) Ltd, เรียน: ทีมงานด้านความเป็นส่วนตัว, 5 Hanover Quay, ชั้นล่าง, ดับลิน 2 สาธารณรัฐไอร์แลนด์
|
การจัดการเอกสาร
|
|
|
อาคาร Salesforce Tower, 415 Mission Street, ชั้น 3 , ซานฟรานซิสโก, CA 94105, สหรัฐอเมริกา
1-800-387-3285
|
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการความสัมพันธ์กับลูกค้า (CRM)
|
|
|
989 ถนนมาร์เก็ต
ซานฟรานซิสโก, แคลิฟอร์เนีย 94103, สหรัฐอเมริกา zendesk.com
888-670-4887
|
สอบถามข้อมูลฝ่ายบริการลูกค้า (Helpdesk)
|
|
|
2225 Lawson Lane ซานตาคลารา, CA , 95054
สหรัฐอเมริกา
|
การสนับสนุนกระบวนการทางธุรกิจสำหรับการจัดการบริการและปฏิบัติการด้านไอที ประสบการณ์ของพนักงานและลูกค้าผ่านทาง ( เวิร์กโฟลว์บนคลาวด์อัตโนมัติ)
|
|
|
160 สเปียร์สตรีท ชั้น 15ซานฟรานซิสโก แคลิฟอร์เนีย 94105 1-866-330-0121
สหรัฐอเมริกา
|
โครงสร้างพื้นฐานคลังข้อมูลบนคลาวด์
|
|
|
620 8th อเวนิว 45 th ชั้น
นิวยอร์ก, นิวยอร์ก 10018
สหรัฐอเมริกา
|
เครื่องมือตรวจสอบและแก้ไขข้อผิดพลาดของบริการ
|
|
|
ถนนอเวนิวหลุยส์ 54, ห้อง s52,
1050 บรัสเซลส์
เบลเยียม
|
ระบบประมวลผลการชำระเงินออนไลน์
|
|
|
1600 ถนนแอมฟิเธียเตอร์พาร์คเวย์, เมาน์เทนวิว, แคลิฟอร์เนีย 94043
|
การสนับสนุนกระบวนการทางธุรกิจด้านการสื่อสาร (อีเมล) และการจัดเก็บเอกสารภายใน
|