(下载PDF)

这种数据处理的补充,包括其附件,(DPA)当且仅适用于栈交流程度,Inc .(“堆栈”)收集或处理个人数据代表客户与协议相关的性能的义务(如下定义)。江南电子竞技平台双方同意这个分区是一个附录,形成协议的一部分,每一方应当接受条款,包括责任限制。

签署这个DPA堆栈将使堆栈遵守适用的数据保护和处理法律法规在执行和提供所请求的服务。

如何执行这个分区

  1. 这个DPA pre-signed代表堆栈交换,Inc .)作为数据进口国。江南电子竞技平台

  2. 为了完成这个DPA,客户必须:

    1. 完整的签名框中的信息并签署;和

    2. 完整的信息作为数据出口国在附录2中。

  3. 通过电子邮件发送完成并签署了DPA堆栈,表明客户的完整的实体名称和产品主标题的邮件legal@stackoverflow.com。该分区将成为有效的具有法律约束力的堆栈的收据DPA完成在这个电子邮件地址。

数据处理附录

这种数据处理的补充(“德通社”)是进入堆栈之间的交换,Inc . (“江南电子竞技平台堆栈”)和以下签署以下地址(“客户”)。尽管双方同意任何相反的协议(如下定义),这个分区是在此纳入协议的一个重要组成部分。否则定义应当资本化的条件没有意义给他们的协议。

  1. 定义

    1. 下列用语在这个分区,将下面的含义出发,同源条款将据此解释:

      充足的国家”是指一个国家或地区被认为是提供充足的保护个人数据在一个适当的决定,不时地(如适用):(i)信息专员办公室和/或根据适用的英国(英国)法律(包括英国GDPR),或(ii)在欧盟GDPR欧盟委员会(European Commission)。

      下属”是指直接或间接控制的任何实体,控制或共同控制的实体。“控制”为目的的这个定义,意味着直接或间接的所有权或控制权超过50%的投票主题实体的利益。

      协议”是指共同的书面协议(s)堆栈牌照或提供服务。

      客户集团公司”是指客户和/或任何实体,直接或间接地控制,是控制的,或者是与客户共同控制,这个分区,在“控制”是指权力(直接或间接)任命或删除大多数实体的董事,包括子公司。

      数据保护法律”是指所有适用的法律、法规或其他法律要求有关隐私,数据安全,和保护个人数据,和任何个人数据的处理,包括但不限于:

      1. 在欧洲联盟(欧盟),一般的数据保护法规2016/679 (“欧盟GDPR”);

      2. 在英国,英国通用数据保护法规2016/679,作为实现的数据保护、隐私和电子通讯(修正案等)(欧盟出口)条例2019和数据保护、隐私和电子通讯(修正案等)(欧盟出口)条例2020年和2018年《数据保护法》(“英国GDPR”);

      3. 在瑞士,瑞士数据保护法案》(“瑞士德通社”);和

      4. 国家隐私法。

      数据主体请求”是指要求或代表数据主体行使任何权利与个人数据在数据保护法律(也可以称为“客户要求”)。

      欧盟的条款”是指国际的标准合同条款将个人资料转移到第三方国家在欧盟委员会的决定2021/914的2021年6月4 (http://data.europa.eu/eli/dec_impl/2021/914/oj)合并模块两个控制器处理器转移和形式的一部分DPA附表1按照附录1。

      个人资料”是指任何个人信息有关,直接或间接地识别或可识别的自然人客户的收集,访问,使用,披露,或以其他方式处理栈代表客户在这个分区。按照2.2节的分区,这可能包括客户集团公司的个人资料。

      违反个人资料”是指任何违反安全或其他行为或不作为导致意外或非法破坏,损失,变更、未经授权的披露,或访问个人数据堆栈的任何员工或sub-processors,或任何其他标识或身份不明的第三方。个人数据违反不包括任何失败的尝试或活动,不妥协的个人数据的安全,包括常规、失败的登录尝试,ping,端口扫描,拒绝服务攻击或其他网络攻击防火墙或网络系统。

      限制转让”意思是:(i)的个人资料转移任何客户集团公司堆栈;或(ii)开始将个人数据从堆栈的sub-processor栈,在每种情况下,并在一定程度上转移到个人资料受欧洲数据保护法(包括欧盟GDPR或英国GDPR适用)和党接收个人资料没有提供充足的保护个人数据在欧洲数据保护法律的意义。

      敏感数据”是指个人的数据下特别立法的保护,需要独特的治疗,如“特殊类别的数据”,“敏感数据”或其他实质性类似的数据保护法律条款,其中可能包括下列:(a)社会安全号码,税务档案号码,护照号码,驾照号码,或类似的标识符(或其任何部分);(b)财务或信用信息,信用卡或借记卡号码;(c)信息揭示种族或民族起源,政治观点,宗教或哲学信仰,工会会员,基因数据或生物识别数据为目的的独特识别自然人,数据有关一个人的健康,性生活或性取向,或犯罪记录和犯罪有关的数据;(d)对儿童有关的个人资料;和/或(e)账户密码处理的形式。

      国家隐私法”是指美国国家隐私法(“我们”),其中可能包括但不限于:

      1. 加州消费者隐私法案》(“CCPA”),卡尔,文明。1798.100节的代码。修改,包括2020年的加州隐私权法案(“CPRA”),及其实施条例;

      2. 弗吉尼亚州弗吉尼亚消费者数据保护法案,代码标题59.1,52章(“VCDPA”),及其实施条例;

      3. 科罗拉多州科罗拉多隐私法启统计,6-1-1301节。(“注册会计师”),及其实施条例;

      4. 犹他州消费者隐私法案,犹他州代码13-61-101节。(“UCPA”),及其实施条例;和

      5. 康涅狄格法案有关个人数据保护和在线监测,康涅狄格州PA 22-15§1节。(“PDPOM”),及其实施条例,或任何法规或指导本公司发行。

      英国通过附录”是指模板附录B.1.0颁发英国信息专员办公室前,把议会按照s119A数据保护法案2018的英国2022年2月2日,于2022年3月21日起实行。

      英国强制性条款”意味着英国批准的强制性条款附录,不时更新和/或取代任何信息专员办公室发布的最终版本。

    2. 术语“业务”,“商业目的”、“商业目的”,“消费者”、“控制器”,“数据主题”,“个人资料”,“个人信息”,“处理器”,“过程/处理”,“卖”,“服务提供者”、“分享”、“分包商”、“sub-processor”,“监督权力”的意义归结为他们的数据保护法律。

  2. 角色

    1. 客户是业务和控制器和数据出口的个人数据和堆栈是一个服务提供者和被认为是数据进口国或处理器的个人数据,因此可以定义在数据保护法律。

    2. 为免生疑问,客户集团公司以外的客户不是也不会成为党协议,以下,是这个分区只有一方。在客户集团公司想成为一方这DPA和欧盟GDPR或英国GDPR适用欧盟的条款7中过程相应条款适用。

    3. 每一方将遵守(并将采购人员遵守和使用商业上合理的努力获得其sub-processors遵守),数据保护法律适用于这样的政党在处理个人数据。作为当事人之间,客户有唯一的准确性负责,质量和合法性的个人数据和个人数据的手段。

    4. 客户,在其使用的服务,和客户对处理器的指令,应符合数据保护法律、协议,这个分区。客户应建立并有任何和所有必需的法律基础为了收集、过程,和转移到堆栈的个人资料,并授权处理活动栈代表客户按照协议这个分区,包括商业目的的追求。

    5. 任何一方将及时通知其他决定,它可以不再遵守其义务(i)数据保护法,(ii)协议,或(3)这个分区。

  3. 处理需求

    1. 堆栈承认客户披露个人数据与指定的协议只对有限的和接收的目的服务。按照,堆栈不得出售或分享个人信息,或收集、保留、使用、披露或以其他方式处理个人数据为任何目的除了只代表特定目的的客户提供服务或法律另有要求。堆栈的处理个人数据将按照堆栈和客户之间的直接业务关系,时刻做到符合数据保护法律、协议,这个分区。

    2. 作为一个处理器,堆栈将只处理个人数据:(i)为了提供服务,客户同意在协议;或(ii) /客户的书面指令。堆栈将通知客户(除非适用法律禁止)如果需要堆栈根据适用法律处理个人数据除了依照客户的指示。尽快意识到,堆栈将告知客户,如果在堆栈的意见,客户提供的任何指示侵犯的数据保护法律。为了澄清,堆栈没有义务评估是否由客户的指令侵犯任何数据保护法。

    3. 当事人承认服务并不是用于处理敏感数据。因此,客户不得提交任何敏感数据服务。

    4. 栈不会把个人资料收到客户与个人数据堆栈接收,或代表,另一个人或人,或从自己的与消费者互动,收集提供堆栈可能结合个人数据业务目的如果直接通过客户或另有明确允许的数据保护法律。

    5. 协议的终止和客户的书面请求,堆栈将返回或删除个人资料,除非适用法律要求或许可,除非另有允许的协议。

    6. 客户可能在提供合理的通知堆栈,采取一切合理和适当的措施来预防、阻止或纠正任何未经授权处理的客户的个人资料。

    7. 适用,栈处理个人数据也将受到欧盟条款如果栈处理个人数据的欧盟数据对象限制转让。在这种情况下,有关客户集团公司的“数据出口国”和堆栈是“数据进口国”和“转移”这个词在欧盟条款还包括任何“处理”。英国批准的附录,然而,只有有限制转让申请英国GDPR的目的。

  4. 技术和组织的安全措施

    1. 堆栈将实现适当的技术和组织安全措施适当的风险提出的个人数据的处理,特别是防止意外或非法破坏,损失,变更,未经授权的披露或访问个人数据,在附录4所示。

    2. 堆栈将采取合理的步骤来确保只有授权的人才可以访问个人数据,任何个人谁授权访问个人数据是保密的义务。

    3. 堆栈可能安排一个合格的和独立的评估员对堆栈的政策进行评估并使用适当的技术和组织措施和接受控制标准或框架和评估程序评估。堆栈应当提供一份报告的评估客户书面请求。

  5. Sub-processors

    1. 客户授予对堆栈的一般授权指定第三方为sub-processors支持服务的性能,包括数据中心运营商、基于云的软件提供商和其他外包支持和服务提供商。堆栈将保持sub-processors(可用的列表https://stackoverflow.com/legal/gdpr/subprocessors可能会不时更新,以及在附录3)。

    2. 堆栈应当通知客户其任命的新sub-processors通过其网站上三十(30)天前展开sub-processing个人数据。客户可能会反对sub-processor合理理由的堆栈的任命通知堆栈的十五(15)天内以书面形式发布。如果客户没有对象在这样的时期,新sub-processor应被视为接受。如果客户对象,当事人应当讨论客户的问题与一个视图实现诚信商业上合理的决议。如果双方无法达成协议,没有进一步的客户可能终止DPA责任堆栈。堆栈可能使用一个新的或更换sub-processor虽然这个异议程序的过程。

    3. 栈不会分包任何sub-processor处理客户的个人资料没有首先确保订婚是依照书面合同绑定sub-processor条款保护个人数据的不比那些强加在堆栈在这个DPA (“有关条款”)。栈由这样的客户对任何违约责任sub-processor所需的任何相关条款在某种程度上在数据保护法律。

  6. 个人数据泄露,数据对象请求和进一步的帮助

    1. 堆栈将及时通知客户个人资料的任何违约行为,在任何情况下不迟于四十八(48)小时后意识到的个人数据被破坏。

    2. 法律允许,堆栈将通知客户如果收到数据请求没有不当延误和在任何情况下在七十二(72)小时。栈不会回应数据请求,只要客户同意堆栈可能在其自由裁量权回复与客户确认这样的请求。客户承认并同意服务可能包括功能将允许客户管理数据对象请求直接通过堆栈的服务没有额外的援助。如果客户没有能力解决数据请求,堆栈将客户的书面请求后,提供合理的援助,促进客户的响应数据主体请求在某种程度上这种援助与适用法律是一致的。

    3. 考虑加工和信息的本质堆栈,堆栈将提供这种帮助客户合理要求与客户的数据保护法律对义务:(i)数据保护影响评估;(2)通知监管部门在数据保护法律和/或通信对象的数据客户针对个人资料泄露;或(3)客户遵守其义务的数据保护法律关于安全处理。

    4. 堆栈进行,每年至少和堆栈的代价,堆栈的审计政策、技术和组织措施,支持数据保护法律的义务。

    5. 堆栈同意配合任何合理和适当的审计或评论,限于每年一次,或者其他步骤,客户认为合理必要确认栈处理个人数据的方式符合客户的数据保护法律义务,包括安全和隐私的调查问卷。客户应当只使用的信息,包括文件反映审计的结果和/或认证,来评估符合这个分区,而不是为任何其他目的。客户应当保持这些信息的保密,不向任何第三方披露此类信息没有堆栈的事先书面批准。

  7. 国际转账

    1. 客户同意使用它的服务可以包括个人数据的传输,和处理个人数据,基于堆栈的国家。栈不会过程或许可证的处理个人数据在另一个国家在欧洲经济区(EEA),英国,瑞士,除部分7.2 - -7.4中指定,没有在每种情况下客户的书面同意。

    2. 英国转移

      1. 在某种程度上个人资料转移到堆栈和处理或代表英国以外的堆栈(如果在一个适当的国家除外)等情况下,传输将禁止英国GDPR没有转移机制的情况下,双方同意欧盟条款受英国批准附录将适用。英国通过附录纳入这个分区。

      2. 安排2附录1引用所需的信息表1到4包括英国批准的附录。

    3. 经济区转移

      1. 在一定程度上转移到堆栈和处理个人数据堆栈或代表的欧洲经济区以外(如果在一个适当的国家除外)转移等情况将由欧盟禁止GDPR在缺乏转移机制,双方同意欧盟条款将适用于处理和纳入这方面DPA附表1按照附录1。

      2. 表1附录1包含所需信息的欧盟的条款。

    4. 瑞士转移

      1. 在某种程度上个人资料转移到堆栈和瑞士以外的由或代表栈处理(如果在一个适当的国家除外)等情况下转移将禁止在缺乏转移机制,双方同意的标准合同条款也比照适用当事人的个人数据的处理,瑞士分区。在适用情况下,引用欧盟成员国法律或欧盟监管机构应当修改为包括适当的参考根据瑞士法律与转移相关的个人资料受瑞士分区。

    5. 堆栈可能(我)取代欧盟条款和/或英国批准附录一般或在EEA的尊敬,和/或英国(适当地)与任何替代或更换转移机制符合数据保护法律,包括任何进一步或替代标准合同条款不时批准和(2)进行必要合理的变更通知客户这个分区的新转移机制或新标准合同条款的内容(提供其内容符合相关的决定或批准),如适用。

  8. 客户收到数据请求

    1. 客户同意通知堆来自消费者行使权利的请求下数据保护法律,包括删除个人资料,和堆栈同意遵守这样的请求,只要没有决心异常申请,按照数据保护法律,考虑到加工的本质和栈的信息,通过适当的技术和组织措施,提供合理的援助等客户,使客户遵守有效的请求。当客户通知堆栈依照本节这样的请求,客户应当:(a)验证消费者的身份所要求的数据保护法律,(b)协助定位的个人资料与堆栈,堆栈和(c)合作诚信决定是否请求应遵守或任何异常是否符合请求适用。

  9. 去除了识别信息的数据

    1. 堆栈不得处理客户的个人数据创建消除识别信息数据如果不首先从客户获得授权。如果堆栈是正确授权,堆栈:

      1. 采取合理的措施防止鉴定数据被用来推断信息,或被链接到一个特定的自然人或家庭;

      2. 维护和使用消除识别信息数据消除识别信息的形式,而不是试图再识别鉴定数据,除了堆栈可能尝试之后的信息的目的仅仅是为了确定其de-identification流程满足数据保护法律的要求;和

      3. 合约地预留任何收件人的鉴定数据,包括sub-processors,承包商和其他第三方,符合数据保护法律。

  10. 一般

    1. 这个分区是不影响当事人的权利和义务根据协议,这将继续有完整的力量和效果。在发生任何冲突的条款这DPA和协议的条款,条款(包括定义)的DPA为准的主题问题的处理个人数据。这个DPA集所有的条款,双方同意在有关科目。除了欺诈方面的陈述,没有其他表示或条款适用形式DPA的一部分。

    2. 栈的最大总客户下或与本分区有关的责任在任何情况下不得超过栈的最大累积责任给客户制定的协议。

    3. 该分区将法律管辖,并按照法律解释的权限管理协议,除非另有要求的数据保护法律,在这种情况下,该分区将由爱尔兰共和国的法律。然而,英国的争端的处理个人数据在这个分区下,此类纠纷应由英格兰和威尔士的法律和应在伦敦,英国。

    4. 这个分区构成了完整且唯一的理解和协议当事人对标的物。任何豁免,修改或修改任何规定DPA将有效只有在写作和签署的双方。

    5. 如果在某种程度上,这个分区的任何条款是被认为是非法的,无效的,或在任何管辖不能强制执行,这些条款应没有影响管辖,但没有任何剩余的条款无效的分区。

以资证明,每一方造成这个分区执行由其正式授权的代表,下面签名的有效日期。

代表签署

江南电子竞技平台栈交流公司

代表签署

客户/控制器

签名 马修·加勒廷签名 签名
的名字 马特·加勒廷 的名字
日期

附录1 -特定的管辖规定

表1 -欧盟条款

  1. 适用,对于本计划1,欧盟条款(模块II),可用https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX: 32021 d0914&from = EN,应当参照这个时间表和DPA和应被视为不可分割的一部分,和当事人的签名在德通社应当视为双方的签名欧盟条款。在分区之间的不一致和欧盟条款,后者会获胜。

  2. 对于欧盟条款的目的,以下适用:

    • 客户应出口商的数据和堆栈应进口商的数据。每一方同意遵守并遵守其义务作为出口国和进口国分别在欧盟的条款。

    • 条款7(对接条款)应视为包括在内。

    • sub-processors条款9(使用):选择2 -一般适用书面授权。进口商的数据应当明确书面通知数据出口国的任何意图改变列表通过添加或更换sub-processors至少提前三十(30)天。

    • 第11条款(赔偿):可选条款(可选纠正机制之前,一个独立的争端解决机构)应当视为不包括在内。

    • 条款13 (a)(监督):

      • 客户是建立在一个欧盟成员国:监察机关负责确保合规的数据与监管出口国(欧盟)2016/679数据传输,如附件我表示。C,应当作为监督主管部门。

      • 客户不是建立在一个欧盟成员国但属于监管的领土适用范围(欧盟)2016/679按照第三条(2)已经任命了一个代表依第二十七条(1)的监管(欧盟):2016/679成员国的监督权力的代表在第二十七条(1)监管的意义(欧盟)建立了2016/679,如附件我表示。C,应当作为监督主管部门。

      • 客户不是建立在一个欧盟成员国,但属于监管的领土适用范围(欧盟)2016/679按照第三条(2)无需然而任命一位代表依第二十七条(欧盟)2016/679(2)的规定:监管部门的数据对象的成员国之一的个人数据传输在这些条款的提供商品或服务,或其行为监控,所在地,表示我在附件。C,应当作为监督主管部门。

    • 第17条(适用法律):

      这些条款适用的欧盟成员国的数据建立出口国。这样的法律不允许第三方受益人的权利,他们应当由另一个欧盟成员国的法律,允许第三方受益人的权利。双方同意这将是爱尔兰共和国的法律。

    • 第18条(b)(选择论坛和管辖权):双方同意他们之间的任何争议由欧盟条款应由法院解决爱尔兰共和国。

  3. 欧盟有关责任条款的任何规定当事人彼此须经协议的限制和排除。

  4. 任何条款在欧盟条款有关审计的权利依法被DPA的6.4条款和协议。

表2 -英国数据传输

为了英国批准的附录,

  1. 表1所需的信息包含在附录2的DPA和开始日期应被视为过时的相同的日期作为欧盟条款;

  2. 表2、欧盟版本的英国批准的条款附录是模块两个控制器适用于处理器;

  3. 表3、政党的列表和描述的转移是在附录2 DPA,堆栈的技术和组织措施附录4中设置分区,和堆栈的列表的sub-processors应提供按照附录3的德通社;和

  4. 与表4,任何一方将有权终止英国批准依法附录条款19英国强制性条款,表4和在英国的第1部分附录应被视为通过选择“数据出口国”完成。

表3 -国家隐私法的生效日期

双方同意各自国家隐私法律的规定应当在以下日期和生效之前没有任何力量或效果的日期:

  1. CPRA于2023年1月1日

  2. VCDPA于2023年1月1日

  3. 注册会计师在2023年7月1日

  4. PDPOM于2023年7月1日

  5. UCPA于2023年12月31日

附录2
数据处理细节

a方列表

数据出口国(s):

名称:(_________)

地址:(_________)

联系人的姓名,职位和联系方式:(_________)

在这些条款下活动相关的数据传输:

  • 出口商要求进口商的数据的数据处理必要的个人资料提供数据进口国的服务和产品,同意在双方当事人之间的协议。

签名和日期:请参阅DPA签名和日期。

角色(控制器/处理器):控制器

数据进口国(s):

名称:江南电子竞技平台堆栈交易公司。

地址:威廉街110号,28日地板,纽约10038

联系人的姓名,职位和联系方式:

  • 隐私顾问,privacy@stackoverflow.com

在这些条款下活动相关的数据传输:

  • 进口商的数据将根据需要处理个人数据提供服务和产品详细的适用顺序文档作为同意双方根据协议。

角色(控制器/处理器):处理器

b的描述转移

主题的处理 堆栈的提供服务,客户按照协议。
性质和处理的目的 堆栈提供服务的客户按照协议,包括安全性和完整性、修复功能,并代表客户执行服务。
类型/类别的个人数据
  • 全名
  • 业务邮件,业务用户名;业务IP地址
  • 业务密码散列,浏览器ID
敏感的个人数据和应用的限制 没有一个
类别的数据对象或消费者

授权用户在客户的自由裁量权,这可能包括:

  • 员工的客户
  • 咨询的客户
  • 代理或第三方
传输频率 连续的基础上提供的服务
处理时间 协议期间,或直到处理不再是必要的目的。
转移(子)处理器 见附录3

c .监督主管部门

识别/ ies监督主管部门依照条款13

  • 数据保护的爱尔兰

附录3
批准SUB-PROCESSORS列表

按照适用的部分(s)分区,数据进口国可能使用sub-processors目前上市https://stackoverflow.com/legal/gdpr/subprocessors,可能会不时更新按照适用的德通社。

附录4
技术和组织措施,确保数据的安全性

  1. 范围

    1. 这个附录4适用于所有个人数据收集,生成或处理堆栈的过程中提供服务。

  2. 人们和操作

    1. 所有堆栈的员工,包括分包商,可以访问其数据处理系统或客户集团公司的数据处理系统和独特的用户名和强大的密码进行身份验证。

    2. 堆栈应当有适当的数据保护和数据安全培训所有的员工参与的处理个人数据并在合理的时间间隔进行此类培训。

    3. 堆栈应当要求其员工承诺的契约义务的保密或机密性的一个适当的法定义务。

    4. 堆栈将监控员工的访问个人数据。监测应至少包括和捕获,成功和失败的登录尝试,时间,日期和用户名。这些日志保存至少3个月。

  3. 政策和程序

    1. 堆栈将全公司的安全政策,认可和支持的执行官堆栈的高级管理团队,根据或与国际信息安全管理标准(ISO27001)。

  4. 认证评估

    1. 栈处理个人数据,属于支付卡行业数据安全标准的范围(PCI DSS),堆栈应当确保所有处理符合PCI DSS要求的最新版本的标准。这只适用于服务购买通过堆栈的自助服务渠道。

  5. 物理安全

    1. 堆栈应当有适当的系统来限制对其安全的前提和网站的访问。访问安全的区域由堆栈监控和记录。

  6. 应用程序开发

    1. 堆栈提供软件解决方案。在开发软件作为服务提供,堆栈应当采取安全的编码实践,地址至少开放Web应用程序安全性项目(OWASP)十大漏洞。

    2. 堆栈将政策和/或过程确定安全检查记录,和相关的方法,应用在整个开发生命周期。

    3. 堆栈将确保日志的活动对客户接口(例如但不限于web服务器和数据库日志)管理活动日志,在服务器和GUI级别,都是远程登录的服务器本身(如果服务是托管在堆栈的第三方提供商系统)。日志将保留根据堆栈的保留政策。

    4. 每年至少,堆栈,应当在自己的成本,进行一个独立的应用程序和/或基础设施渗透测试服务的提供给客户集团公司使用一个OWASP等国际认可的方法。独立测试可以提供的证据,如果书面请求。

    5. 漏洞扫描应当至少每季度进行。堆栈应当安装(a)临界安全补丁后三十(30)天内供应商的发布日期;和(b)非关键安全补丁的九十(90)天内供应商的发布日期。

  7. 基础设施

    1. 堆栈依法管理变化提供的服务协议,不得降低整体安全控制的有效性。

    2. 中使用的所有基础设施提供的服务和/或举办个人数据将受到频繁的脆弱性评估和修复周期。

  8. 数据处理

    1. 堆栈将隔离的个人数据堆栈的任何其他客户的数据。专用的物理隔离是不可能的,单独的逻辑数据库或存储实例是可以接受的。不可能单独的逻辑实例和隔离依赖于访问控制权限,或视图,堆栈将实时监测和报警的系统管理员修改这些参数。

    2. 堆栈将使用广泛认可的加密协议和技术来保护个人数据,在:(i)交通(数据输入);(2)交换与简约的第三方(数据输出);和(3)存储(如果服务托管在堆栈的第三方提供商系统)。在适当的地方,堆栈将pseudonymise个人资料尽快。为了清晰,pseudonymising意味着处理个人数据在某种程度上,它不再是由一个特定的数据主题不使用额外的信息。

    3. 堆栈应当采取适当的措施,禁止个人资料被转移或复制到未加密的便携设备上,如u盘或闪存驱动器。

  9. 数据删除

    1. 堆栈承担标准行业惯例,当删除个人资料。为了澄清,删除意味着物理或逻辑删除,所以数据不能恢复。逻辑删除方法将被认为是适当的,如果他们多次覆盖的方法。在收到书面请求删除个人资料,堆栈将提供书面确认删除已经完成,包括物理删除和方法,如适用。

Baidu
map