شروط وأحكام Keeper Security

العودة إلى شروط استخدام البرنامج كخدمة

ملحق معالجة البيانات

هذا الملحق لمعالجة البيانات ("الملحق") يكمّل شروط الاستخدام ("الشروط") و/أو أي اتفاقية مكتوبة أو إلكترونية أخرى ("الاتفاقية") بين: (1) Keeper، أي الكيان الذي هو الطرف المتعاقد بموجب الاتفاقية، ("Keeper" أو "البائع") الذي يتصرف نيابة عن نفسه وكوكيل لأي شريك تابع لـ Keeper؛ و(2) العميل Keeper ("أنت" أو "العميل") الذي يتصرف نيابة عن نفسه وكوكيل لأي عميل تابع.

المصطلحات المستخدمة في هذا الملحق يجب أن يكون لها المعاني المنصوص عليها في هذا الملحق. المصطلحات المكتوبة بأحرف كبيرة والتي لم يتم تعريفها هنا يجب أن يكون لها المعنى المعطى لها في الاتفاقية أو غير المحددة في أي من الملحق أو الاتفاقية، يجب أن يكون لهذه المصطلحات المعنى وفقًا للائحة العامة لحماية البيانات الأوروبية (لائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس 27 أبريل 2016) (كما تم تعديلها من وقت لآخر) ("GDPR"). باستثناء ما تم تعديله أدناه، تبقى شروط الاتفاقية سارية المفعول.

التعريفات

في هذا الملحق، يكون للمصطلحات التالية المعاني المبينة أدناه:

  1. الشركة التابعة تعني أي كيان يتحكم بشكل مباشر أو غير مباشر أو يخضع لسيطرة مشتركة مع الكيان المعني. "التحكم" لأغراض هذا التعريف يعني الملكية المباشرة أو غير المباشرة أو السيطرة على أكثر من 50% من مصالح التصويت للكيان الخاضع.
  2. القوانين المعمول بها تعني جميع القوانين المعمول بها لمعالجة بيانات العملاء، والتي قد تشمل قوانين حماية البيانات في الاتحاد الأوروبي، وقوانين أخرى للاتحاد الأوروبي أو أي دولة عضو فيه، وقوانين المملكة المتحدة وقوانين أي دولة أخرى يخضع لها العميل أو بيانات العميل.
  3. بيانات العميل تعني البيانات الشخصية التي تجمعها Keeper و/أو تتلقاها و/أو تعالجها نيابةً عن المراقب ووفقًا لتعليمات المراقب وفقًا للاتفاقية، باستثناء أي بيانات شخصية تعالجها Keeper بصفتها مراقبًا. أمثلة على بيانات العملاء تشمل قوائم أسماء المستخدمين المعتمدين، وعناوين البريد الإلكتروني، والأدوار المعينة أو غيرها من معلومات الاتصال.
  4. المراقب يعني الكيان الذي يحدد وحده أو بالاشتراك مع الآخرين الأغراض ووسائل معالجة البيانات الشخصية. للتوضيح، لا يهدف أي شيء في هذا الملحق إلى إنشاء علاقة تحكم مشترك بين الطرفين. يظل كل طرف مسؤولاً بشكل فردي عن الامتثال لالتزاماته الخاصة بموجب القوانين المعمول بها.
  5. يشير مصطلح "صاحب البيانات" إلى شخص طبيعي تتم معالجة بياناته الشخصية في سياق هذا الملحق.
  6. قوانين حماية البيانات في الاتحاد الأوروبي تعني اللائحة العامة لحماية البيانات (GDPR) وتوجيه الخصوصية الإلكترونية 2002/58/EC (كما تم تعديله بالتوجيه 2009/136/EC وكما تم تعديله واستبداله من وقت لآخر) وتشريعاتها الوطنية المنفذة، إن وجدت.
  7. يعني مصطلح "اللائحة العامة لحماية البيانات" لائحة حماية البيانات العامة للاتحاد الأوروبي 2016/679؛
  8. لائحة المملكة المتحدة العامة لحماية البيانات تعني لائحة المملكة المتحدة العامة لحماية البيانات وقانون حماية البيانات لعام 2018
  9. المتحكم المستقل يشير إلى كيان يحدد أغراض ووسائل معالجة البيانات الشخصية لأغراضه المستقلة.
  10. البيانات الشخصية تعني بيانات العميل التي تتضمن أي معلومات تتعلق بشخص طبيعي معرّف أو يمكن تحديد هويته.
  11. يعني مصطلح "المعالج" الكيان الذي يعالج البيانات الشخصية نيابة عن الجهة المتحكمة.
  12. يعني مصطلح "معالجة أو المعالجة" أي عملية أو مجموعة عمليات يتم إجراؤها على البيانات، بشكل فردي أو بشكل مجموعات، سواء بوسائل تلقائية أم لا، مثل الجمع، أو التسجيل، أو التنظيم، أو الهيكلة، أو التخزين، أو التكييف، أو التعديل، أو الاسترجاع، أو التشاور، أو الاستخدام، أو الإفصاح عن طريق الإرسال، أو النشر أو الإتاحة بخلاف ذلك، أو التراصف أو الجمع، أو التقييد، أو المحو، أو الإتلاف
  13. يعني مصطلح "الخدمات" الخدمات والأنشطة الأخرى المتوجب توفيرها أو تنفيذها من قبل Keeper للعميل بناء على الاتفاقية؛
  14. البنود التعاقدية القياسية تعني البنود التعاقدية القياسية لنقل البيانات الشخصية إلى معالجين محددين في دول ثالثة لا تضمن مستوى مناسبًا من حماية البيانات كما هو موضح في قرار المفوضية الأوروبية 2021/914 بتاريخ 4 يونيو 2021.
  15. يُقصد بالمعالج الفرعي أي معالج فرعي يستعين به Keeper لمعالجة البيانات الشخصية فيما يتعلق بالخدمات.

معالجة البيانات الشخصية

  1. الغرض من المعالجة بموجب الملحق هو توفير الخدمات من قبل Keeper على النحو المحدد في الاتفاقية. يتفق الأطراف على أنه فيما يتعلق بمعالجة Keeper نيابة عن العميل، يكون العميل هو المتحكم وKeeper هو المعالج، باستثناء بعض البيانات المحدودة المحددة في الفقرة 2.4 حيث تتصرف Keeper كمراقب. فئات وأنواع البيانات الشخصية التي يعالجها Keeper مدرجة في الملحق الفرعي أ. يجب أن تكون مدة معالجة البيانات الشخصية بموجب هذا الملحق طوال مدة الاتفاقية، ما لم تنص القوانين السارية على خلاف ذلك.
  2. لا يجوز لـ Keeper التصرف ومعالجة البيانات الشخصية إلا وفقا للتعليمات الموثقة من العميل ("التعليمات")، ما لم تُطالب قانونا بالتصرف دون هذه التعليمات. التعليمات في وقت الدخول في هذا الملحق تنص على أن Keeper يمكنها فقط معالجة البيانات الشخصية بهدف تقديم الخدمات كما هو موضح في الاتفاقية. وفقا لشروط هذا الملحق وباتفاق متبادل بين الأطراف، يجوز للعميل إصدار تعليمات مكتوبة إضافية تتوافق مع شروط هذا الملحق. العميل مسؤول عن التأكد من أن جميع الأفراد الذين يقدمون تعليمات مكتوبة مخوّلون بذلك.
  3. سوف تقوم Keeper بإبلاغ العميل بأي تعليمات ترى أنها تنتهك القوانين المعمول بها، بما في ذلك قوانين حماية البيانات في الاتحاد الأوروبي، ولن تقوم بتنفيذ التعليمات حتى يتم تأكيدها أو تعديلها.
  4. معالجة البيانات كمراقب: ستقوم Keeper بمعالجة بيانات شخصية معينة لأغراض قانونية خاصة بها، بصفتها مراقباً مستقلاً، فقط عندما تكون المعالجة ضرورية ومتناسبة مع أحد الأغراض التجارية المشروعة التالية: (1) الأمن أو الكشف عن الاحتيال، (2) جمع واستخدام التحليلات لأغراض تجارية معقولة خاصة بـ Keeper ولصالح العميل، (3) تقديم وتحسين الدعم الفني والصيانة للخدمات (بما في ذلك تسجيل الحساب والفواتير) و(4) إدارة علاقات العملاء، مثل معالجة تفاصيل الاتصال بالعميل لتلقي الاتصالات.

السرية والأمان

  1. يجب على Keeper التعامل مع جميع البيانات الشخصية على أنها معلومات سرية للغاية. لا يجوز نسخ البيانات الشخصية أو نقلها أو معالجتها بأي شكل من الأشكال بما يتعارض مع التعليمات، إلا إذا وافق العميل كتابيًا على ذلك. يخضع موظفو Keeper لالتزام السرية الذي يضمن أن يتعامل الموظفون مع جميع البيانات الشخصية بموجب هذا الملحق بسرية تامة. لن يتم إتاحة البيانات الشخصية إلا للموظفين الذين يحتاجون إلى الوصول إلى هذه البيانات الشخصية لتقديم الخدمات ولأغراض هذا الملحق.
  2. يجب على Keeper تنفيذ التدابير الفنية والتنظيمية المناسبة على النحو المبين في الملحق الفرعي (ج) لهذه الاتفاقية وبما يتوافق مع القوانين المعمول بها، بما في ذلك وفقًا للمادة 32 من اللائحة العامة لحماية البيانات. تخضع إجراءات الأمان للتقدم والتطوير التقني. قد تقوم Keeper بتحديث أو تعديل التدابير الأمنية من وقت لآخر شريطة ألا تؤدي هذه التحديثات والتعديلات إلى تدهور المستوى العام للأمن.

حقوق صاحب البيانات

  1. إذا تلقى العميل طلبا من أحد أصحاب البيانات لممارسة حقوقه بموجب القوانين السارية، وكان الرد الصحيح والقانوني على هذا الطلب يتطلب مساعدة Keeper، يجب على Keeper مساعدة العميل من خلال توفير المعلومات والوثائق اللازمة. تُمنح Keeper وقتًا معقولاً لمساعدة العميل في مثل هذه الطلبات وفقًا للقوانين السارية.
  2. إذا تلقت Keeper طلبًا من صاحب البيانات لممارسة حقوقه بموجب القوانين السارية وكان هذا الطلب متعلقًا بالبيانات الشخصية للعميل، ما لم يحظر القانون ذلك، فستقوم Keeper على الفور بإحالة الطلب إلى العميل والامتناع عن الرد على الشخص مباشرة ما لم يتم توجيهه بخلاف ذلك من قبل العميل.

خروقات البيانات الشخصية

  1. يجب على Keeper إخطار العميل دون تأخير، في موعد لا يتجاوز 72 ساعة، بعد تأكيد حدوث خرق يمكن أن يؤدي إلى التدمير العرضي أو غير القانوني أو الفقدان أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بأي شكل آخر نيابة عن العميل ("خرق البيانات الشخصية").
  2. يجب على Keeper بذل الجهود المعقولة لتحديد سبب هذا الخرق واتخاذ الخطوات التي تقدر ضرورتها لتحديد السبب ومنع تكرار مثل هذا الخرق.

توثيق الامتثال وحقوق التدقيق

  1. بناءً على طلب العميل، وعند وجود سبب وجيه أو بالقدر المطلوب بموجب المادة 28 من اللائحة العامة لحماية البيانات، يجب على Keeper أن توفر للعميل جميع المعلومات ذات الصلة اللازمة لإثبات الامتثال لهذا الملحق، وأن تسمح بإجراء عمليات التدقيق وتتعاون معها بشكل معقول، بما في ذلك عمليات التفتيش التي يجريها العميل أو مدقق حسابات يعينه العميل. يجب على العميل تقديم إشعار بأي تدقيق أو تفتيش على المستندات المزمع إجراؤه، ويجب عليه بذل المساعي المعقولة لتجنب التسبب في إلحاق الضرر أو تعطيل مباني Keeper ومعداتها وأعمالها أثناء إجراء هذا التدقيق أو التفتيش. يتم تنفيذ أي تدقيق أو فحص للمستندات بإشعار كتابي مسبق ومعقول صادر قبل وقت لا يقل عن ستين (60) يومًا تقويميًا ولا يتم إجراؤه أكثر من مرة واحدة في السنة.
  2. على الرغم من القيود المذكورة أعلاه، يُسمح بإجراء عمليات تدقيق إضافية في أي وقت عندما تكون هناك مؤشرات على عدم الامتثال، أو وقوع حادث أمني، أو بناءً على طلب أو تعليمات من سلطة رقابية مختصة.
  3. يجوز للعميل أن يطلب توقيع اتفاقية عدم إفصاح مقبولة بشكل معقول من Keeper قبل تزويده بما ورد أعلاه.

عمليات نقل البيانات

  1. المنطقة الاقتصادية الأوروبية وسويسرا
    فيما يتعلق بالبيانات الشخصية للعميل الصادرة من المنطقة الاقتصادية الأوروبية ("EEA") أو سويسرا والتي يتم نقلها من العميل إلى Keeper، يوافق الطرفان على الامتثال للبنود التعاقدية القياسية المعتمدة بموجب قرار التنفيذ الصادر عن المفوضية (الاتحاد الأوروبي) 2021/914 ("البنود التعاقدية القياسية للاتحاد الأوروبي")، والتي تم دمجها هنا بالإشارة.
  2. توافق الأطراف على أن شروط المراقب إلى المعالج (الوحدة الثانية) تنطبق. بالنسبة للبيانات الصادرة من سويسرا، يجب أن تشمل الإشارات إلى "دولة عضو" سويسرا، والإشارات إلى اللائحة العامة لحماية البيانات يجب أن تُفهم على أنها إشارات إلى القانون الاتحادي السويسري لحماية البيانات ("FADP"). يتولى المفوض الفيدرالي السويسري لحماية البيانات والمعلومات (FDPIC) دور السلطة الرقابية المختصة.
  3. إكمال البنود التعاقدية القياسية الخاصة بالاتحاد الأوروبي
    لأغراض اتفاقيات الاتحاد الأوروبي SCCs:
    (أ) يتصرف العميل كمصدر للبيانات وKeeper كمستورد للبيانات؛
    (ب) لا يُطبق البند 7 (بند الانضمام) إلا بناءً على اتفاق كتابي متبادل بين الطرفين;
    (ج) البند 9 (التعاقد مع معالجين فرعيين) يتبع الخيار 2، مع وجود المعالجين الفرعيين على النحو المحدد في الملحق الفرعي ب
    (د) البند 11 (تسوية المنازعات المستقلة) لا تطبق الصيغة الاختيارية؛
    (هـ) البند 17 (القانون الواجب التطبيق) هي قوانين أيرلندا؛ البند 18 (الاختصاص القضائي) - لمحاكم أيرلندا؛ و
    (و) يُستكمل الملحقان الأول والثاني بالرجوع إلى اتفاقية معالجة البيانات هذه. تم وصف التدابير الفنية والتنظيمية لـ Keeper في الملحق الفرعي ج
  4. المملكة المتحدة
    بالنسبة لبيانات العملاء الشخصية المنقولة من المملكة المتحدة إلى Keeper، يتفق الطرفان على أن اتفاقية نقل البيانات الدولية في المملكة المتحدة (IDTA)، والملحق البريطاني لبنود التعاقد القياسية للاتحاد الأوروبي، كما أصدرها مكتب مفوض المعلومات، سوف يتم تطبيقها وتضمينها بالإشارة إليها. لأغراض الملحق الخاص بالمملكة المتحدة:
    (أ) يتصرف العميل كمصدر للبيانات وتتصرف Keeper كمستورد للبيانات؛
    (ب) القانون الواجب التطبيق والاختصاص القضائي — إنجلترا وويلز؛ و
    (ج) التدابير الأمنية هي كما هو موضح في الملحق الفرعي ج وفي وثائق الأمن الخاصة بـ Keeper.
    لا ينطبق بند الانضمام إلا بناء على اتفاق كتابي متبادل بين الطرفين.
  5. القانون الفيدرالي العام لحماية البيانات الخاص بالبرازيل
    بالنسبة إلى بيانات العملاء الشخصية الخاضعة للقانون الفيدرالي العام لحماية البيانات (القانون الفيدرالي رقم 13709/2018 - "LGPD")، يتفق الطرفان على أن عمليات النقل الدولية يجب أن تمتثل للمواد 33-36 من LGPD واللائحة الخاصة بعمليات نقل البيانات الشخصية الدولية الصادرة عن الهئية الوطنية لحماية البيانات (ANPD)، بما في ذلك الشروط التعاقدية القياسية المعتمدة في الملحق الثاني من تلك اللائحة، والتي يتم إدراجها هنا بالإشارة.

    5.1 تطبق هذه البنود دون تعديل وتكتمل على النحو التالي:
    (أ) المصدِّر: العميل (المتحكم)؛ (ب) المستورد: Keeper (المعالج) (ج) الغرض: تقديم خدمات Keeper والدعم ذي الصلة بموجب الاتفاقية؛ (د) فئات أصحاب البيانات: بيانات العملاء المشمولة بموجب الاتفاقية؛ (هـ) البيانات الشخصية: كما هو موضح في الملحق الفرعي أ (و) النقل إلى المراحل التالية: مسموح به للمعالجين الفرعيين المصرح لهم من Keeper المتاحين في الملحق الفرعي B بموجب الضمانات المكافئة؛ (ز) الطرف المعين (البند 4): Keeper، المسؤول عن الشفافية، والتعامل مع حقوق موضوع البيانات والإبلاغ عن الحوادث بموجب البنود 14-16 من البنود التعاقدية القياسية البرازيلية; (ح) القانون الحاكم والاختصاص القضائي: بصرف النظر عن القانون الحاكم للاتفاق، تخضع بنود العقد القياسية البرازيلية للقوانين البرازيلية وتفسر وفقًا لها، وتخضع لاختصاص المحاكم المختصة في البرازيل. (أ) إجراءات الأمان: هي تلك الموصوفة في الملحق الفرعي ج.

    5.2 يُطبق بند الانضمام (البند 9 من البنود التعاقدية القياسية البرازيلية) فقط بناءً على موافقة خطية متبادلة بين الطرفين.

  6. بالنسبة لجميع الولايات القضائية الأخرى التي تفتقر إلى قرار الكفاية، يتعين على Keeper تنفيذ آليات نقل مناسبة بموجب المادة 46 من اللائحة العامة لحماية البيانات، ولائحة حماية البيانات البريطانية، والمواد 33-36 من قانون حماية البيانات العامة؛ أو أي قانون آخر معمول به لضمان الحماية الكافية.
  7. حيث لا تنطبق أطر خصوصية البيانات، يتعين على الأطراف الاعتماد على البنود التعاقدية القياسية المناسبة أو الضمانات المكافئة المعترف بها بموجب قوانين حماية البيانات المعمول بها.
  8. بالنسبة لجميع الولايات القضائية الأخرى التي تفتقر إلى قرار الكفاية، يتعين على Keeper تنفيذ آليات نقل مناسبة بموجب المادة 46 من اللائحة العامة لحماية البيانات، ولائحة حماية البيانات البريطانية، والمواد 33-36 من قانون حماية البيانات العامة؛ أو أي قانون آخر معمول به لضمان الحماية الكافية.
  9. تحديثات آليات النقل
    إذا تبنت المفوضية الأوروبية، أو مكتب مفوض المعلومات في المملكة المتحدة، أو مكتب حماية البيانات الفيدرالي السويسري، أو الهيئة الوطنية لحماية البيانات في البرازيل آليات نقل منقحة أو بديلة، فيجب أن تحل تلك آليات تلقائيًا محل البنود المشار إليها هنا للحفاظ على الامتثال المستمر لقوانين حماية البيانات المعمول بها.
  10. إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة
    Keeper مشارك نشط في إطار عمل خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة الأمريكية، وملحق المملكة المتحدة لإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة وإطار خصوصية البيانات بين سويسرا والولايات المتحدة. يمكنك التحقق من حالة شهادة Keeper من هنا: https://www.dataprivacyframework.gov/list. في حالة توقف إطار خصوصية البيانات عن التطبيق، سوف تستمر عمليات نقل البيانات بموجب بنود العقود القياسية.
  11. إذا رأى العميل أن هذه التدابير غير كافية لتلبية المتطلبات القانونية في أي ظرف معين، يقدم العميل إشعارًا كتابيًا إلى Keeper بالأسس التي استند إليها في هذه الآراء، ويعمل الطرفان معًا بحسن نية لإيجاد بديل مقبول بشكل متبادل.
  12. قوانين الخصوصية في الولايات المتحدة الأمريكية (بما في ذلك قانون خصوصية المستهلك في كاليفورنيا، بصيغته المعدلة)

    بالقدر الذي تقوم فيه Keeper بمعالجة بيانات العميل الشخصية الخاضعة لقانون كاليفورنيا لخصوصية المستهلك لعام 2018، وتعديلاته السارية (بما في ذلك قانون الحقوق الخصوصية بكاليفورنيا "CPRA" وأي تعديلات لاحقة، ويشار إليها مجتمعة بـ "CCPA")، أو أي قانون خصوصية آخر في الولايات الأمريكية يفرض التزامات مماثلة جوهرياً على معالجي البيانات أو مقدمي الخدمة؛ فإن Keeper ستعمل بصفتها مقدم خدمة أو معالج بيانات للعميل، حسب مقتضى الحال:

    (أ) سوف تعالج Keeper هذه البيانات الشخصية فقط للأغراض التجارية الموضحة في الاتفاقية وهذا الملحق، وليس لأي غرض آخر غير توفير الخدمات.
    (ب) لن تقوم Keeper ببيع البيانات الشخصية أو مشاركتها أو الإفصاح عنها بأي طريقة أخرى، أو الإفصاح عن هذه البيانات لأي غرض خارج علاقة العمل المباشرة مع العميل، باستثناء ما تسمح به قوانين الخصوصية الحكومية.
    (ج) سوف تضمن Keeper أن تتضمن أي اتفاقية معالج فرعي قيوداً والتزامات مماثلة لمزود الخدمة أو المعالج.
    (د) سوف تقوم Keeper بإخطار العميل على الفور إذا قررت أنها لم يعد بإمكانها الوفاء بالتزاماته بموجب قوانين الخصوصية الحكومية، ويجوز للعميل اتخاذ خطوات معقولة ومناسبة لوقف أي استخدام غير مصرح به للبيانات الشخصية ومعالجته.
    (هـ) تقرّ Keeper بأنها تتفهم التزاماتها بموجب قوانين الخصوصية الحكومية وسوف تمتثل لها.

المعالجون الفرعيون

  1. تُمنح Keeper تفويضًا عامًا لإشراك أطراف ثالثة لمعالجة البيانات الشخصية ("المعالجات الفرعية") دون الحصول على أي تفويض كتابي محدد آخر من العميل. يجب على Keeper إبرام اتفاقية مكتوبة للمعالج الفرعي مع أي معالج فرعي. يجب أن تنص مثل هذه الاتفاقية كحد أدنى على التزامات حماية البيانات نفسها التي تنطبق على Keeper، بما في ذلك الالتزامات بموجب هذه الإضافة. يجب على Keeper، على أساس مستمر، المراقبة والتحكم في امتثال المعالجين الفرعيين التابعين لها لقانون حماية البيانات المعمول به، ويجب تقديم وثائق هذه المراقبة والرقابة إلى العميل، إذا طُلب منه ذلك كتابيًا.
  2. في حالة قيام المعالج الفرعي بتنفيذ الخدمات المتفق عليها خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، يجب على Keeper ضمان موافاتها لمعايير القبول بموجب قانون حماية البيانات من خلال اتخاذ التدابير المناسبة.
  3. في وقت الدخول في هذا الملحق، تستخدم Keeper المعالجات الفرعية كما هو مشار إليه في الملحق الفرعي ب. توفر Keeper للعميل آلية للتسجيل للحصول على تحديثات المعالجات الفرعية الجديدة على مركز الثقة الخاص به. يتم تقديم الإشعار بخصوص المعالجين الفرعيين الجدد أو البدلاء عبر مركز الثقة الخاص بـ Keeper أو أي وسيلة إلكترونية أخرى معقولة، وتبدأ فترة الاعتراض فور تقديم هذا الإشعار.
  4. يجوز للعميل، بحسن نية، الاعتراض بشكل معقول على تغيير Keeper أو استخدام معالج فرعي جديد عن طريق تقديم إشعار كتابي عبر البريد الإلكتروني على privacy@keepersecurity.com في غضون عشرة (10) أيام عمل من استلام إشعار من Keeper بشأن معالج فرعي جديد. يجب أن يتضمن هذا الإشعار الكتابي، كحد أدنى، نية العميل الحسنة والأسباب المعقولة للاعتراض. يجب أن تبذل Keeper جهوداً معقولة تجارياً للتوصية بتغيير في استخدام العميل للخدمات. عدم وجود أي اعتراضات من العميل في غضون عشرة (10) أيام عمل يعتبر موافقة على المعالج الفرعي ذي الصلة.
  5. في حال اعتراض العميل على معالج فرعي جديد وعدم تمكن الطرفين من حل اعتراض العميل بشكل متبادل، يجوز للعميل إنهاء الخدمات فيما يتعلق فقط بالخدمات التي لا يمكن لـ Keeper تقديمها دون استخدام المعالجين الفرعيين الجدد المعترض عليهم عن طريق تقديم إشعار كتابي إلى Keeper.
  6. تكون Keeper مسؤولة أمام العميل عن أي معالج فرعي تمامًا كما تكون مسؤولة عن أفعالها وإغفالاتها الخاصة.

الإنهاء؛ إعادة البيانات الشخصية أو حذفها

  1. بعد انتهاء مدة الاتفاقية أو إنهائها، ستقوم Keeper بحذف كل البيانات الشخصية في حوزتها أو إعادتها إلى العميل على النحو المنصوص عليه في الاتفاقية باستثناء الحد الذي تشترط فيه القوانين المنطبقة على Keeper الاحتفاظ ببعض البيانات الشخصية أو بها كلها (وفي هذه الحالة، تقوم Keeper بأرشفة البيانات وتطبيق تدابير معقولة لمنع أي معالجة أخرى للبيانات الشخصية). تظل شروط هذا الملحق منطبقة على هذه البيانات الشخصية.

تقييم تأثير حماية البيانات والاستشارة المسبقة

  1. إذا كانت مساعدة Keeper ضرورية وذات صلة، سيتعاون الطرفان بالقدر المعقول في إعداد تقييمات تأثير حماية البيانات وفقًا للمادة 35 من اللائحة العامة لحماية البيانات، إلى جانب أي مشاورات مسبقة وفقًا للمادة 36 من ذات اللائحة. ستتحمل الأطراف كل منها تكاليفها الخاصة عند الوفاء بهذه الالتزامات.

أحكام متفرقة

  1. تعديل الملحق: لا يجوز تعديل هذا الملحق إلا بتعديل كتابي موقع من قبل كل طرف من الأطراف.
  2. القانون الحاكم ومكان التقاضي والاختصاص القضائي: يجب أن تُعرض جميع المنازعات والإجراءات المتعلقة بهذه الاتفاقية حصريًا أمام المحاكم، وتُفسر (دون الرجوع إلى أحكام تعارض القوانين) وفقًا للقوانين المحددة في الاتفاقية.
  3. البطلان وقابلية الفصل؛ التعارض: إذا تبين لأي محكمة أو هيئة إدارية ذات اختصاص قضائي أن أي بند من بنود هذا الملحق باطل أو غير قابل للتنفيذ، فإن بطلان هذا البند أو عدم قابليته للتنفيذ لن يؤثر على أي بند آخر من بنود هذا الملحق وسوف تظل جميع البنود غير المتأثرة بهذا البطلان أو عدم قابلية التنفيذ سارية المفعول بالكامل. عند وجود أي تعارض بين هذا الملحق والبنود التعاقدية القياسية المبرمة بين الطرفين، إن وجدت، فإن الأولوية تكون للبنود التعاقدية القياسية.

الملحق الفرعي أ

البيانات الشخصية

  1. تعالج Keeper الأنواع التالية من البيانات الشخصية في ما يتعلق بتقديم الخدمات:
    1. تتعلق البيانات الشخصية المنقولة بمعلومات الاتصال (الاسم، والعنوان، والبريد الإلكتروني، والهاتف) وبيانات الكيان، وعنوان بروتوكول الإنترنت، ومعرف الجهاز، ومعلومات إصدار التطبيق.

فئات أصحاب البيانات

  1. تعالج Keeper البيانات الشخصية المتعلقة بالفئات التالية من أصحاب البيانات نيابة عن العميل:
    1. العميل
    2. المستخدمون النهائيون المصرح لهم من قبل العميل، بما في ذلك موظفو العميل.

الملحق الفرعي ب - المعالجون الفرعيون المعتمدون

تتوفر قائمة حالية بالمعالجات الفرعية لـ Keeper على 1B Sub-Processors . يتضمن هذا تفاصيل أسماء الكيانات القانونية للمعالجات الفرعية ومواقعها. يتم تحديث المعالجات الفرعية من وقت لآخر، ويمكن للعميل التسجيل لتلقي التحديثات على مركز الثقة الخاص بـ Keeper.

الملحق الفرعي ج - جدول أمن البيانات

جدول أمن البيانات هذا يكمل الاتفاقية المبرمة بين العميل وKeeper التي تحكم استخدامك للخدمات. ما لم يتم تحديد خلاف ذلك في هذا الجدول، سيكون لجميع المصطلحات المكتوبة بأحرف كبيرة المستخدمة في هذا الجدول المعاني المعطاة لها في الاتفاقية.

  1. نطاق معالجة البيانات ينطبق هذا الجدول على جميع خدمات Keeper ومعالجة جميع البيانات التي يقدمها العميل إلى Keeper ("بيانات العميل").
  2. سرية بيانات العميل. لن تقوم Keeper بالوصول إلى أي بيانات عميل أو استخدامها أو الإفصاح عنها لأي طرف ثالث، باستثناء ما هو ضروري، في كل حالة، للحفاظ على الخدمات أو تقديمها أو ما هو ضروري للامتثال للقانون أو لأمر ساري المفعول وملزم صادر عن هيئة حكومية (مثل أمر استدعاء أو أمر محكمة). إذا قامت هيئة حكومية بإرسال طلب إلى Keeper للحصول على بيانات العميل، سوف تحاول Keeper إعادة توجيه الهيئة الحكومية لطلب تلك البيانات مباشرةً من العميل. كجزء من هذا الجهد، قد تقدم Keeper معلومات الاتصال الأساسية للعميل إلى الهيئة الحكومية. إذا تم إجبار Keeper على الإفصاح عن بيانات العميل إلى هيئة حكومية، فسوق تقوم بإخطار العميل بشكل معقول بالطلب للسماح للعميل بطلب أمر حماية أو أي وسيلة انتصاف مناسبة أخرى ما لم تكن Keeper ممنوعة قانونًا من القيام بذلك. تحظر Keeper على موظفيها معالجة بيانات العميل دون تصريح من Keeper كما هو موضح في الملحق 1 - المعايير الأمنية المرفق بهذه الوثيقة. تفرض Keeper التزامات تعاقدية مناسبة على موظفيها، بما في ذلك الالتزامات ذات الصلة فيما يتعلق بالسرية وحماية البيانات وأمن البيانات.
  3. أمن معالجة البيانات. نفذت Keeper التدابير التقنية والتنظيمية لأنظمة Keeper كما هو موضح في معايير الأمان وهذا القسم، وسوف تحافظ عليها. وقامت Keeper تحديدًا بتنفيذ التدابير الفنية والتنظيمية التالية وسوف تحافظ عليها:
    1. أمن أنظمة Keeper كما هو منصوص عليه في معايير الأمان؛
    2. الأمن المادي للمرافق حسب ما تم تحديده في معايير الأمان؛
    3. التدابير للتحكم في حقوق وصول الموظفين المعتمدين إلى أنظمة Keeper على النحو المنصوص عليه في معايير الأمان؛ و
    4. عمليات اختبار وتقييم وتقدير وتقييم فعالية التدابير التقنية والتنظيمية التي تنفذها Keeper بانتظام كما هو موضح في القسم 2 من المعايير الأمنية.
  4. شهادات وعمليات تدقيق Keeper.
    1. شهادات وعمليات تدقيق Keeper. بالإضافة إلى المعلومات الواردة في هذا الجدول، وبناءً على طلب العميل، تلتزم Keeper بإتاحة شهادتي ISO 27001 و SOC2 الخاصة به بناءً على طلب العميل. يتم التحقق من صحة ضوابط أمن المعلومات الخاصة دى Keeper من خلال تقييمات وشهادات مستقلة ويمكن الوصول إليها في مركز الثقة الخاص بـ Keeper، وتشمل الشهادات:
      • SOC 2 من النوع الثاني (معايير خدمات ثقة AICPA)
      • ISO 27001 و ISO 27017 و ISO 27018
      • ترخيص FedRAMP للمستوى المتوسط (المخصص لسحابة Keeper الأمنية الحكومية).
      • وحدات تشفير معتمدة وفقًا لمعيار FIPS 140-3
      • البنية المتوافقة مع قانون حماية خصوصية البيانات الصحية (لا تعتبر Keeper شريكًا تجاريًا لأنها تقنيًا تملك صلاحية الوصول إلى المعلومات الصحية الإلكترونية المحمية)
      • التوافق مع متطلبات الامتثال لكل من: اللائحة العامة لحماية البيانات (GDPR)، والنسخة البريطانية منها (UK GDPR)، وقانون المرونة التشيغيلة الرقمية (DORA).
    2. التدقيقات تستخدم Keeper مدققين خارجيين للتحقق من مدى كفاية تدابير الأمن الخاصة بها، بما في ذلك أمن مراكز البيانات المادية التي تقدم Keeper الخدمات من خلالها. سيتم إجراء هذا التدقيق: (أ) سنوياً على الأقل؛ (ب) وفقاً لمعايير ISO 27001 أو أي معايير بديلة أخرى مكافئة لها بشكل كبير؛ (ج) من قبل متخصصين أمنيين مستقلين من طرف ثالث يتم اختيارهم من قبل Keeper وعلى نفقتها؛ و (د) سينتج عنه إعداد تقرير تدقيق ("التقرير")، والذي سيكون معلومات سرية خاصة بـ Keeper.

الملحق 1 - معايير الأمان

برنامج أمن المعلومات. سوف تلتزم Keeper ببرنامج أمن المعلومات المصمم لـ (أ) تمكين العميل من تأمين بياناته ضد الفقدان أو الوصول أو الكشف العرضي أو غير القانوني، (ب) تحديد المخاطر المتوقعة بشكل معقول لدرجة أمن وتوافر أنظمة Keeper و (ج) تقليل مخاطر الأمن المادي والمنطقي لأنظمة Keeper، بما في ذلك من خلال التقييم والاختبار المنتظم للمخاطر. سوف تعين KEEPER واحدًا أو أكثر من الموظفين لتنسيق برنامج أمن المعلومات والمسؤولية عنه.

سيشمل برنامج أمن المعلومات الخاص بشركة Keeper الإجراءات التالية:

  1. الأمن المنطقي.
    1. عناصر التحكم في الوصول. سوف تتيح Keeper إمكانية الوصول إلى أنظمة Keeper فقط للموظفين المصرح لهم وفقط عند الضرورة لصيانة الخدمات وتوفيرها. سوف تلتزم Keeper بضوابط وسياسات الوصول لإدارة تصاريح الوصول إلى أنظمة Keeper من كل اتصال بالشبكة والمستخدم، بما في ذلك من خلال استخدام جدران الحماية أو التقنيات وضوابط المصادقة المكافئة لها وظيفياً. سوف تلتم Keeper بضوابط الوصول المصممة من أجل (1) تقييد الوصول غير المصرح به إلى البيانات و(2) فصل بيانات كل عميل عن بيانات العملاء الآخرين.
    2. وصول المقيد للمستخدم. سوف تقوم Keeper (1) بتوفير وتقييد وصول المستخدم إلى أنظمة Keeper وفقاً لمبادئ الامتيازات الأقل استناداً إلى المهام الوظيفية للموظفين، (2) اشتراط المراجعة والموافقة قبل منح إمكانية الوصول إلى أنظمة Keeper بما يتجاوز مبادئ الامتيازات الأقل، بما في ذلك حسابات المسؤولين، (3) اشتراط مراجعة ربع سنوية على الأقل لامتيازات الوصول إلى أنظمة Keeper، وعند الضرورة، إلغاء امتيازات الوصول إلى أنظمة Keeper في الوقت المناسب، (4) اشتراط المصادقة الثنائية للوصول إلى أنظمة Keeper من المواقع البعيدة.
    3. تقييمات الثغرات الأمنية سوف تقوم Keeper بإجراء تقييمات خارجية منتظمة لنقاط الضعف واختبارات الاختراق لأنظمة Keeper، وسوف تقوم بالتحقيق في المشاكل التي تم تحديدها وتتبعها حتى يتم حلها في الوقت المناسب.
    4. أمان التطبيقات. قبل الإطلاق العام للخدمات الجديدة أو الميزات الجديدة الهامة للخدمات، ستقوم Keeper بإجراء مراجعات أمنية للتطبيقات مصممة لتحديد المخاطر الأمنية وتخفيفها ومعالجتها.
    5. إدارة التغيير. سوف تلتزم Keeper بضوابط مصممة لتسجيل التغييرات على موارد أنظمة Keeper الحالية واعتمادها واختبارها والموافقة عليها وتوثيقها، كما ستوثق تفاصيل التغييرات ضمن أدوات إدارة التغيير أو النشر الخاصة بها. ستقوم Keeper باختبار التغييرات وفقًا لمعايير إدارة التغيير الخاصة بها قبل الترحيل إلى الإنتاج. سوف تلتزم Keeper بعمليات مصممة للكشف عن التغييرات غير المصرح بها على أنظمة Keeper وتتبع المشكلات التي تم تحديدها حتى يتم حلها. تتمتع Keeper بمعايير ترميز آمنة، وتحليل ثابت/ديناميكي، ومراجعة الأقران والموافقة الرسمية على التغيير قبل نشر الإنتاج. يتلقى المطورون تدريبًا سنويًا على الأمن والخصوصية.
    6. سلامة البيانات. سوف تلتزم Keeper بالضوابط المصممة لضمان سلامة البيانات أثناء النقل والتخزين والمعالجة داخل أنظمة Keeper. سوف توفر Keeper للعميل القدرة على حذف بيانات العملاء من أنظمة Keeper.
    7. يحدث التشفير وفك التشفير فقط على جهاز المستخدم النهائي. لا يمكن لـ Keeper الوصول إلى محتوى الخزنة ذات النص العادي أو كلمات المرور الرئيسية. تفرض مبادئ انعدام الثقة مصادقة المستخدم والجهاز قبل منح إمكانية الوصول. يتم اشتقاق مفاتيح التشفير على جهاز المستخدم (على سبيل المثال، باستخدام خوارزمية اشتقاق PBKDF2). لا يتم تخزين المفاتيح غير المشفرة أو كلمات المرور الرئيسية أو نقلها إلى Keeper.
    8. تدعم Keeper بروتوكول كلمة المرور لمرة واحدة والمرتبطة بمؤقت، وخاصية Duo Security، ومفاتيح الأمان FIDO/U2F، وتقنيات التعريف الحيوية. توفر خدمتا ‎SSO Connect®‎ و‎SSO Connect‎® Cloud مصادقة دون معرفة عبر بروتوكول SAML 2.0. ضوابط وصول دقيقة قائمة على الأدوار متاحة للمسؤولين.
    9. تشفير TLS لجميع الاتصالات، ومصادقة قوية لواجهات برمجة التطبيقات، وتقسيم الشبكة، وأنظمة كشف التسلل، والمراقبة على مدار الساعة طوال أيام الأسبوع لضمان توافر الخدمة ورصد التهديدات.
    10. استمرارية الأعمال واستعادة البيانات بعد الكوارث. سوف تلتزم Keeper ببرنامج رسمي لإدارة المخاطر مصمم لدعم استمرارية وظائفها التجارية المهمة ("برنامج استمرارية الأعمال"). يتضمن برنامج استمرارية الأعمال عمليات وإجراءات لتحديد الأحداث التي يمكن أن تمنع أو تعيق بشكل جوهري تقديم Keeper للخدمات ( والتي يطلق عليها "حدث برنامج استمرارية الأعمال") والاستجابة لها وإصلاحها. يشتمل برنامج استمرارية الأعمال على نهج من ثلاث مراحل سوف تتبعه Keeper لإدارة أحداث خطة استمرارية الأعمال:
  2. مرحلة التنشيط والإشعار عندما تحدد Keeper المشكلات التي من المحتمل أن تؤدي إلى حدث برنامج استمرارية الأعمال، سوف تصعّد Keeper هذه المشكلات والتحقق منها والتحقيق فيها. خلال هذه المرحلة، ستقوم Keeper بتحليل السبب الجذري لحدث برنامج استمرارية الأعمال.
    1. مرحلة الإصلاح. تقوم Keeper بتعيين المسؤولية للفرق المناسبة لاتخاذ الخطوات اللازمة لاستعادة وظائف النظام العادية أو تحقيق الاستقرار في الخدمات المتأثرة.
    2. مرحلة إعادة التكوين. تقوم قيادة Keeper بمراجعة الإجراءات المتخذة والتأكد من اكتمال جهود حل المشكلة واستعادة الأجزاء المتأثرة من أنظمة الخدمات وأنظمة Keeper. بعد هذا التأكيد، تقوم Keeper بإجراء تحليل لاحق لحدث برنامج استمرارية الأعمال.
  3. إدارة الحوادث. سوف تلتزم Keeper بخطط العمل التصحيحية وخطط الاستجابة للحوادث للتعاطي مع التهديدات الأمنية المحتملة لأنظمة Keeper. سيكون لخطط استجابة Keeper للحوادث عمليات محددة للكشف عن الحوادث الأمنية والتخفيف من آثارها والتحقيق فيها والإبلاغ عنها. تتضمن خطط Keeper للاستجابة للحوادث وتحليل الهجمات، واحتوائها، وجمع البيانات، ومعالجة المشاكل.
  4. التخلص الآمن من وسائط التخزين. سوف تلتزم Keeper بعملية التخلص الآمن من الوسائط التي يتم إجراؤها قبل التخلص النهائي من وسائط التخزين المستخدمة لتخزين بيانات العميل. قبل التخلص النهائي، سيتم إلغاء مغنطة وسائط التخزين التي تم استخدامها لتخزين بيانات العميل أو محو هذه الوسائط أو تطهيرها أو تدميرها ماديًا أو إتلافها بأي طريقة أخرى وفقًا للممارسات القياسية في الصناعة المصممة لضمان استحالة إمكانية استرداد بيانات العميل من النوع المستخدم من وسائط التخزين.
  5. الأمن المادي.
    1. عناصر التحكم في الوصول. سوف تقوم Keeper (1) بتنفيذ وصيانة الضمانات المادية المصممة لمنع الوصول المادي غير المصرح به أو التلف أو التدخل في أنظمة Keeper ،(2) استخدام أجهزة التحكم المناسبة لحصر الوصول المادي إلى أنظمة Keeper على الموظفين المصرح لهم فقط الذين لديهم حاجة عمل مسببة لهذا الوصول، (3) مراقبة الوصول المادي إلى أنظمة Keeper باستخدام أنظمة كشف التسلل المصممة لمراقبة وكشف وتنبيه الموظفين المناسبين بالحوادث الأمنية، (4) تسجيل الوصول المادي إلى أنظمة Keeper ومراجعة الوصول المادي إلى أنظمة Keeper بانتظام، (5) إجراء مراجعات دورية للتحقق من الالتزام بهذه المعايير.
    2. التوفر. ستقوم شركة Keeper بما يلي: (أ) وضع أنظمة احتياطية متعددة لأنظمة Keeper مصممة لتقليل تأثير أي عطل على أنظمة Keeper، (ب) تصميم أنظمة Keeper بحيث تتوقع أعطال الأجهزة وتتحملها، (ج) تنفيذ عمليات آلية مصممة لنقل حركة بيانات العملاء بعيدًا عن المنطقة المتأثرة في حالة حدوث عطل في الأجهزة.
  6. موظفو Keeper
    1. تدريب الموظفين على الأمن سوف تقوم Keeper بتنفيذ والالتزام ببرامج التدريب الأمني للموظفين فيما يتعلق بمتطلبات أمن معلومات Keeper. ستتم مراجعة برامج التدريب على التوعية الأمنية وتحديثها بمعدل سنوي على الأقل.
    2. فحوصات الخلفية. حيثما يسمح القانون وبقدر ما يسمح به القانون وبقدر ما هو متاح من السلطات الحكومية المعمول بها، ستطلب Keeper أن يخضع كل موظف لتحقيق خلفية يكون معقولاً ومناسباً لمنصب ذلك الموظف ومستوى وصوله إلى أنظمة Keeper.
  7. التقييم المستمر. ستقوم شركة Keeper بإجراء مراجعات دورية لبرنامج أمن المعلومات لأنظمة Keeper. سوف تقوم شركة Keeper بتحديث أو تغيير برنامج أمن المعلومات الخاص بها حسب الضرورة للاستجابة للمخاطر الأمنية الجديدة والاستفادة من التقنيات الجديدة.
  8. الامتثال لقانون المرونة التشغيلية الرقمية (DORA)
    دعماً للامتثال لقانون المرونة التشغيلية الرقمية (DORA)، تلتزم Keeper بتدابير تشغيلية وأمنية شاملة لحماية برامج وأنظمة Keeper. يشمل ذلك، على سبيل المثال لا الحصر، تنفيذ عمليات إدارة المخاطر الفعالة، وتتبع وإدارة توافر وقت التشغيل، والحفاظ على سياسات داخلية صارمة للأمن، واشتراط التدريبات الأمنية الداخلية، ووضع بروتوكولات الاستجابة للحوادث. تقوم Keeper باستمرار بمراقبة وتحديث وتحسين الإجراءات للتخفيف من المخاطر وضمان فاعلية التشغيل والأمان عبر برامج وخدمات Keeper.
close
مبيعات الأعمال
الدعم
close
شراء الآن