为了使您作为服务用户和数据控制者(称为"控制器"或"用户")可以使用或继续使用a)社交和商业网络平台;以及b)使用我们的辅助服务("服务")由我们,304 S的BIMeta公司提供的。 琼斯大道。 #3671, 拉斯维加斯NV 8910,美国("BIMeta","我们","我们","我们","我们的"),您同意您作为使用我们的服务和这些数据的一部分提交的个人数据应适用处理条款("条款")(尽管有任何其他条款和条件)。适用于相反的服务的交付),以便解决根据BIMeta及其用户强加的合规义务适用法律。
1。1。"关联公司"是指下列实体:直接或间接地控制,控制或处于共同控制之下和一个聚会。 如本文所用,"控制"是指指导一个实体的管理或事务以及五十人的受益所有权百分比(50%)或更多有表决权的股权证券或其他同等值证券一个实体的投票权益。
1。2."适用法律"是指所有我们。英国和欧盟的法律、法规和其他法律或法规要求与隐私、数据保护/安全或个人处理相关适用于 BIMeta 根据协议履行其服务的数据,包括《内华达州隐私法》("Nrs 603a")隐私法,卡尔。 四. 代码§1798。100 等等。 经《公约》修订的《公约》2020年加州隐私权法案("Cpra"),包括任何实施《2018年英国数据保护法》和《一般数据》保护条例(Eu)2016/679("gdpr")和印度的数字化2023年个人数据保护法("Dppa")
1。3."用户联系人数据"是指用户的联系信息。
1。4."用户个人数据"是指用户本协议中定义的数据由个人数据组成,用户除外联系数据。
1。5.为此,"欧洲经济区"是指Dpa,欧洲经济区(由成员国组成)欧盟、挪威、冰岛、列支敦士登和瑞士。
1。6."欧盟SCCs"是指标准根据欧盟委员会实施决定发布的合同条款(欧盟)2021年6月4日关于转让标准合同条款的2021/914根据该法规(Eu)2016/679向第三国提供个人数据欧洲议会和理事会,可在http://数据。欧罗巴。中文版 English并如下所述第9款。
1。7."个人数据泄露"是指意外或非法破坏、丢失、更改或未经授权披露或访问用户个人数据。
1。联系我们。"个人数据"包括"个人数据"数据,"个人信息"和"个人身份信息"。根据适用法律的定义。
1。9."过程"和"过程"是指对个人数据或个人数据进行的任何操作或操作集合个人数据,无论是否通过自动化方式,例如收集,记录、组织、创建、结构化、存储、适应或更改,检索、咨询、使用、披露(通过传输、传播或否则提供此类数据),对齐或组合,限制,删除或销毁此类个人数据。
1。10."标准合同条款"指欧盟Scc或英国scc(如适用)。
1。联系我们。"英国SCCs"是指国际欧盟委员会标准合同条款的数据传输增编,截至生效之日https://ico。组织。英国/组织/指南到数据保护/指南到一般数据保护-监管-gdpr/国际数据-转让-协议-和指导/如第9节所述,完成。
2.1。用户是定义的控制器根据适用法律,用户确定其手段和目的用户个人数据由BIMeta处理。 BIMeta处理用户受适用法律约束的个人数据,BIMeta是一个处理者和服务根据适用法律定义的提供商,BIMeta将处理用户根据本Dpa规定的说明,个人数据,协议,并根据适用法律的要求。 用户和BIMeta根据适用法律定义的关于用户的独立控制者联系数据。 任何一方都可以根据需要处理用户联系数据。(i) 履行协议规定的义务,(ii)适用的法律或法规要求,(iii)请求和通信与另一方,(iv) 行政、业务和营销目的,(v) 根据适用法律保护其各自的权利,并,在BIMeta的情况下,维护服务的安全性和完整性。
2.2.BIMeta特此证明理解本Dpa中规定的限制和义务作为处理者和服务提供商的角色,并将遵守他们。
3.1。目的限制。 BIMeta 威尔不是
3.1。1。出售或股份(由Ccpa定义)用户个人数据,
3.1。2.处理任何用户个人数据除本协议规定的具体目的外,
3.1。3.保留、使用或披露任何此类缔约方之间直接业务关系之外的数据,
3.1。4.合并任何用户个人数据它从他人那里或代表他人收到的个人信息个人或个人,或从自身与消费者的互动中收集,但除外适用法律另有允许,或
3.1。5.以其他方式参与任何处理超出处理器可能参与的用户个人数据适用法律或服务提供商可能根据适用法律参与的法律,除非适用法律另有义务这样做。 在这种情况下,Bimeta在参与之前,将通知用户适用的法律义务。除非法律禁止,否则处理。 关于的更多细节BIMeta的处理操作载于附表1。 在一定程度上,用户披露或提供去识别数据(如下所定义的那样)在BIMeta的用户数据中,BIMeta不得试图重新识别这些数据。
3.2.合法的指示。 用户不会指示BIMeta违反适用法律处理用户个人数据。BIMeta将毫不拖延地通知用户,如果BIMeta认为,用户的指示违反了适用法律。 该协议,包括DPA构成用户对BIMeta的完整和最终说明。用户个人数据的处理,包括标准的目的合同条款。 用户也有权采取合理和停止或修复任何未经授权的用户处理的适当步骤BIMeta的个人数据。
BIMeta不会透露向任何第三方提供用户个人数据,而无需首先获得用户的书面同意,但第5节,第7节或第9节规定的除外。法律要求。 BIMeta将要求所有员工,承包商和代理商代表BIMeta处理用户个人数据,以保护BIMeta的机密性用户个人数据并遵守其他相关要求这个Dpa。
5.1。分处理器。 Bimeta 五月仅在以下情况下分包收集或其他处理用户个人数据遵守适用法律和任何其他分包条件协议中规定。 用户承认并同意BIMeta的关联公司和某些第三方可能会被保留为子处理器。代表BIMeta处理用户个人数据(根据本DPA以及根据标准合同条款,如果适用)以便提供10. 服务。 BIMeta的第三方子处理器是:
5.1。1。超级主机公司简介651 N 宽街 套房206,米德尔敦,特拉华州,19709,美国;和
5.1。2.简体中文技术有限公司阿灵顿街75号, 套房810,波士顿,马萨诸塞州02116,美国;
5.2.在子处理器之前处理用户个人数据,BIMeta将对子处理器与强加给BIMeta的子处理器基本相同。在适用于此类服务的性质的范围内,Dpa子处理器。 BIMeta仍然对其子处理器的性能负责本DPA与BIMeta本身的绩效负责。
5.3.10. 通知。 BIMeta将提供至少在十(10)天前书面通知新子处理器的用户授权此类子处理器处理相关的用户个人数据通过提供服务。 BIMeta将在电子邮件中通知用户为此目的在本Dpa的签名块中提供的地址联系我们 根据《公约》第5(j)条提供的子处理器协议欧盟Scc可能拥有与scc无关的所有商业信息或条款。在与用户共享之前编辑的欧盟Scc,用户同意此类副本只有在书面要求下才能提供。
5.4.反对的权利。 用户可以反对BIMeta基于合理的理由使用新的子处理器通过及时书面通知BIMeta来保护用户个人数据支持@bimeta。联系方式收到BIMeta后十(10)个工作日内按照第5节规定的机制发出通知。2. 在其通知,用户将解释其反对的合理理由。 在Theevent 用户反对一个新的子处理器,BIMeta将商业使用合理努力向用户提供服务的更改或建议对用户的配置或使用进行商业上合理的更改避免被反对者处理用户个人数据的服务子处理器没有不合理的负担。 如果BIMeta无法在合理的时间内进行此类更改,不得超过三十(30)天,任何一方均可终止处理。用户个人数据和/或协议仅适用于那些服务如果不使用 ovjected-to new,BIMeta 无法提供通过向另一方提供书面通知来分处理器。
6.1。3. 安全。 BIMeta将提供就用户遵守其安全性向用户提供合理援助根据适用法律承担的与BIMeta在处理用户中的作用相关的义务个人数据,考虑到处理的性质和信息通过实施技术和组织措施,BIMeta附表2所述,但不损害BIMeta创造未来的权利更换或更新不实质性降低水平的措施保护用户个人数据。 BIMeta将确保人BIMeta授权处理用户个人数据须书面保密协议或有适当的法定义务保密性不亚于规定的保密义务在协议中。
6.2.个人数据泄露通知& 响应。 BIMeta将遵守与个人数据泄露相关的根据适用法律直接适用于它的义务。 考虑到处理的性质和BIMeta可用的信息,BIMeta将毫不拖延地通知用户经证实的个人数据泄露事件或在适用法律规定的时间内,并且无论如何不得迟于在此类证实后超过72小时。 BIMeta 将通知在此Dpa的签名块中提供的电子邮件地址的用户个人数据泄露通知的目的。 任何此类通知都不是承认过错或责任。 本通知将包括BIMeta当时对以下信息的评估可用,这可能是基于不完整的信息:
6.2.1。个人数据的性质违规行为,如有可能,包括违规行为的类别和大致数量有关数据主体以及用户的类别和近似数量有关的个人数据记录;
6.2.2.可能的后果个人数据泄露;及
6.2.3.已采取或拟议采取的措施BIMeta为解决个人数据泄露而采取的措施,包括,适用的措施,以减轻其可能的不利影响。
6.3.BIMeta将及时提供定期更新用户作为有关个人数据的附加信息违规成为可用的。 用户全权负责遵守法律。适用于用户和履行任何事件通知的要求与任何个人数据泄露相关的第三方通知义务。本Dpa或标准合同条款中的任何内容都将被解释为要求BIMeta违反或推迟遵守其任何法律义务可能涉及个人数据泄露或其他安全事件一般来说。
在法律上如果BIMeta收到任何,BIMeta将毫不拖延地通知用户寻求行使根据该项规定给予其任何权利的个人的请求有关其个人数据的适用法律("数据主体请求")。 联系我们用户在使用服务时,无权解决数据主体请求,BIMeta将根据用户的要求进行商业化合理努力协助用户响应此类数据主体请求,在法律允许的范围内,BIMeta这样做以及对此类的回应适用法律要求提供数据主体请求。
根据用户的书面要求,BIMeta将根据需要为用户提供合理的合作和帮助并适当履行适用法律规定的用户义务与用户使用服务相关的数据保护影响评估。BIMeta将在合作或事先向用户提供合理的帮助与监管机构(根据Gdpr定义)协商履行与数据保护影响评估相关的任务,以及在适用法律要求的范围内。
9.1。用户授权BIMeta及其子处理器对用户个人数据进行国际传输根据本Dpa,只要此类转让的适用法律是尊重。
9.2.关于用户个人数据从欧洲经济区转移,欧盟Scc将申请并成为该dpa的一部分。除非欧盟委员会向欧盟Scc发布更新,在这种情况下,更新的欧盟Scc将控制。 本文中使用的未定义大写术语规定将具有赋予它们的含义(或它们的功能)在欧盟Scc的定义中。 就欧盟scc而言,它们将被视为已完成如下:
9.2.1。用户充当控制器BIMeta充当用户个人数据主体的用户处理器对于欧盟Scc,模块2适用。
9.2.2.用户充当处理器和BIMeta充当用户对用户个人数据主体的子处理器对于欧盟Scc,模块3适用。
9.2.3.第7节(可选对接部分)是不包括在内。
9.2.4.第9节(使用)缔约方选择备选案文2(一般书面授权)。子处理器的初始列表载于第5节。 BIMeta 威尔至少提前十(10)个工作日提供该列表的更新通知子处理器的任何预期添加或替换,根据该Dpa的第5节。
9.2.5.根据第11条(补救),可选要求允许数据主体向其提出投诉独立的争议解决机构是不适用的。
9.2.6.根据第17条(适用法),缔约方选择备选案文1(欧盟成员国的法律,允许第三方受益人权利)。 双方选择爱尔兰法律。
9.2.7.根据第18节(论坛选择)当事人选择爱尔兰法院。
9.2.联系我们。欧盟Scc附件一和附件二载于下文附表1。
9.2.9.欧盟Scc附件三(清单)子处理器)是不适用的。
9.2.10.通过加入本Dpa,缔约方被视为签署欧盟Scc。
9.3.关于用户个人数据从联合王国转让,联合王国的法律(而不是任何欧洲经济区司法管辖区的法律)管辖转让的国际性质,英国Scc是该dpa的一部分,优先于英国Scc中规定的该dpa的其余部分,除非英国向英国Scc发布更新,在这种情况下,更新的英国Scc将控制。 本条款中使用的未定义大写术语将具有定义中赋予它们的含义(或它们的功能等价物)在英国Scc。 就英国scc而言,它们将被视为已完成以下是:
9.3.1。英国Scc表1:
9.3.1。1。缔约方的细节是当事人及其关联公司参与此类转移,包括附表1所列的转移。
9.3.1。2.关键联系人是联系人载于附表1。
9.3.2.联合王国Scc表2:表2中提到的核准的欧盟Scc是执行的欧盟scc。根据本增编的缔约方。
9.3.3.联合王国安全合作委员会表3:附件1A,图1B和图ii载于附表1。
9.3.4.英国Scc表4:要么缔约方可以按照英国Scc第19条的规定终止本增编。
9.4.通过加入本Dpa,缔约方被视为签署了英国Scc及其适用的表格。附录信息。
9.5.关于用户个人数据从瑞士转移,瑞士法律(而不是任何法律)欧洲经济区管辖权)规范其国际性质转让,欧盟Scc将适用并将被视为具有以下内容《瑞士联邦数据保护法》要求的差异("粮农署"):
9.6.欧盟的Gdpr就数据而言,Scc应被理解为对fadp的参考。转让仅受Fadp的约束,而不是gdpr的约束。
9.7.欧盟的"成员国"一词Scc的解释不会排除数据主体。瑞士从起诉其权利的可能性根据欧盟第18(c)条的惯常居住地(瑞士)Scc。
9.联系我们。提及个人数据欧盟Scc还参考了有关可识别法律实体的数据,直到进入对Fadp的修订生效,以消除这一更广泛的范围。
9.9.根据欧盟Scc附件一(c)(主管监管机构):如果转让完全受制于Fadp而不是gdpr,监管机构是瑞士联邦数据保护和信息专员,以及转移受到Fadp和gdpr,监管机构是瑞士联邦数据保护和信息专员,只要转让受Fadp和监管机构在欧盟scc中规定因为转让受Gdpr管辖。
BIMeta将允许和促进用户或其他人进行的审计,包括检查用户授权的审计师受以下条件约束:只要协议仍然有效,用户可以要求BIMeta向其提供BIMeta最新的Soc ii ii型和iso 27001报告("记录")不超过一次每年与BIMeta遵守本DPA("审计")有关。 联系我们范围 用户使用第三方代表自费进行审计,用户将确保该第三方代表受其约束。保密义务不亚于《公约》所载的义务。协议。 用户将在九十(90)个工作日前向BIMeta提供书面通知其打算进行审计。 用户将主持以对BIMeta业务的干扰最小的方式进行审计运营和此类审计将不超过两(2)个工作日。此外,用户无权接收其他人的数据或信息。BIMeta或BIMeta的任何其他机密信息的用户与审计授权目的直接相关。
如果BIMeta是合法的法院或其他政府当局强迫披露用户个人数据,然后在法律允许的范围内,BIMeta将及时向用户提供充分通知法律要求的所有可用细节,并合理地配合用户挑战披露的努力,寻求适当的保护令,或采取BIMeta认为的其他法律行动适当的。
终止后用户的协议和书面请求,BIMeta将删除或匿名化用户个人数据,除非适用法律禁止。 尽管如前所述,没有任何要求BIMeta删除或匿名化用户个人数据为安全、备份和业务连续性目的而创建的文件比BIMeta的数据保留流程所要求的。 任何用户个人数据在协议的有效期之后可以保留,仍将受到保护。根据本DPA和BIMeta不得处理此类用户个人数据除非适用法律严格允许。
Dpa取代了缔约方以前可能已订立的现有数据处理增编与协议有关。 如果条款之间发生冲突根据协议和本Dpa,dpa的条款将适用。 如果发生本Dpa与适用的标准合同条款之间的冲突,标准合同条款将适用。
计划 1
附件欧盟Scc的i和ii
1。1。1。模块二:传输控制器处理器
1。1。2.模块三:传输处理器处理器
1。2.数据导出商:
1。2.1。名称:出口商是用户协议中规定的。
1。2.2.地址:指定在协议。
1。2.3.联系人的姓名、职位联系方式:协议中规定。
1。2.4.与数据有关的活动根据这些部分传输:从数据导入者处获取服务。
1。2.5.角色(控制器/处理器):控制器
1。3.数据导入商:
1。3.1。名称:304 S的BIMeta公司琼斯大道。 #3671,拉斯维加斯,Nv 8910,美国;
1。3.2.地址:指定在协议。
1。3.3.联系人的姓名、职位联系方式:协议中规定。
1。3.4.与数据有关的活动根据这些部分传输:向数据导出商提供服务。
1。3.5.角色(控制器/处理器):处理器
2.1。模块二:传输控制器处理器
2.2.模块三:传输处理器处理器
3.1。数据主体其个人数据由数据导出商上传到或以其他方式直接或间接接接收从数据导出商通过或通过服务,或由数据导出商提供的BIMeta 输入服务。
4.1。数据导出商可以传输BIMeta的个人数据,其范围由数据出口商自行决定。 此类个人数据可能包括任何数据导出商可能输入服务中的个人数据类别。 联系我们特别是, 帐户持有人/企业主: 全名, 电子邮件地址, 个人资料图片(可选),企业名称,网站Url和网站访问者:姓名(如果提供 ) , 电子邮件地址(如果提供 ) , Ip 地址, 浏览器类型和版本,设备信息。
4.2.敏感数据传输和适用的限制或保障措施,充分考虑到数据的性质和所涉及的风险,例如严格的目的限制,访问限制(包括仅限员工访问)遵循专门培训),保存访问数据的记录,对转让的限制或额外的安全措施。
4.2.1。不预料到
5.1。不断地,对于长度双方之间的协议。
6.1。传输的用户个人数据将被处理为(i)向数据导出商提供服务并履行数据进口商根据协议承担的义务;和 (ii) 遵守适用的法律。
7.1。传输的用户个人数据将被处理为(i)向数据导出商提供服务并履行数据进口商根据协议承担的义务;和 (ii) 遵守适用的法律。
联系我们。1。用户个人数据将是在提供服务所需的时间内保留协议,并根据BIMeta的数据保留流程和适用法律要求的其他情况。
9.1。BIMeta的子处理器将处理用户个人数据,以协助BIMeta提供服务本协议,只要需要BIMeta提供服务。
10.1。模块二:传输控制器处理器
10.2.模块三:传输处理器处理器
联系我们。1。各方将遵守规则。根据第13条确定此类权力,并在法律范围内选择爱尔兰数据保护局。
计划 2
技术和组织联系方式
技术支持组织措施,包括技术和组织措施,确保数据的安全性
1。1。模块二:传输控制器处理器
1。2.模块三:传输处理器处理器
联系方式数据实施的技术和组织措施进口商(包括任何相关认证),以确保安全级别,同时考虑到性质、范围、背景和目的处理以及对自然权利和自由的风险联系方式
1。1。控制措施
1。1。1。BIMeta实施合理系统访问控制和物理访问控制旨在限制访问基于授权,并防止人员和其他不应该拥有从访问包含用户数据的BIMeta系统。
1。2.系统访问控制
1。2.1。BIMeta的系统访问控制措施包括:
1。2.1。1。限制未经授权的用户通过基于角色的用户访问其角色不需要的信息访问,并使用"最小的特权"原则;
1。2.1。2.可识别的唯一用户帐户对个人用户、密码要求和 Auth0 身份验证;
1。2.1。3.提供和删除当不再需要访问时,员工访问用户数据; 和
1。2.1。4.定期访问审查,以确保只有仍然需要访问用户数据的BIMeta人员才有这样的联系我们
1。3.物理访问控制
1。3.1。BIMeta利用云托管服务的基础设施。 所有物理安全控制都由云托管提供商。 每年,BIMeta都会审查适用的安全性。及其云托管提供商的合规性报告,以确保适当物理安全控制,包括:
1。3.1。1。使用物理数据中心以及适合用户数据风险的环境控制用于持有和处理此类用户数据的设备、资产或设施(e.G.联系我们使用钥匙卡访问控制和保安监控;和
1。3.1。2.全天候使用数据中心安全防护,自动防火检测和扑灭,完全冗余电力系统和其他合理的环境控制。
2.1。BIMeta建立和维护合理的运营管理和网络安全措施,包括:
2.1。1。基于网络分割存储信息的标签或分类级别;
2.1。2.保护服务器和网络使用限制性防火墙的应用程序;以及
2.1。3.定期审查、测试和安装安全更新和补丁到服务器。
3.1。更改和发布管理
3.1。1。BIMeta保持正式变更并发布软件,系统和程序的管理策略和程序配置变更。 这些政策和程序包括:
3.1。1。1。一个测试过程和批准促进生产变革;以及
3.1。1。2.执行安全性的过程评估生产的变化。
3.2.安全的应用程序开发
3.2.1。BIMeta遵循安全的应用与之一致的发展政策、程序和标准行业标准实践,如Owasp前10名。
3.3.发展培训
3.3.1。BIMeta提供安全代码基于安全应用程序开发作用的开发培训,配置、测试和部署。
4.1。BIMeta建立和维护合理的数据加密和删除实践,包括:
4.1。1。用户数据加密,而在使用行业最佳实践加密标准和方法休息;
4.1。2.用户数据加密,而使用旨在加密的行业标准加密方法进行传输其服务器和用户浏览器之间的通信;
4.1。3.使用加密控制和服务环境中批准的信息保护算法基于BIMeta的公司政策和标准;
4.1。4.员工加密具有全磁盘加密,强密码和屏幕锁定的工作站;和
4.1。5.维护政策和根据适用的删除用户数据的程序法律和Nist指南(用户数据将根据用户要求删除并删除)BIMeta的云托管提供商服务器)。
BIMeta 使用某些子处理器协助 BIMeta 提供服务。 在参与之前任何可以访问的子处理器,可能可以访问,或处理用户数据,BIMeta对安全和隐私进行评估子处理器的实践,以确保它们与级别相称子处理器将拥有的数据访问及其服务的范围将提供。 BIMeta随后与包含隐私、数据保护和数据安全的子处理器确保适当的保护水平的义务子处理器的处理活动。 BIMeta对其进行年度审查子处理器,以确保保持合规性和安全标准并审查流程的重大变化。
6.1。BIMeta定期监控其针对未经授权的入侵、漏洞和喜欢。 BIMeta的系统监测措施包括:
6.1。1。使用入侵检测方法防止和识别来自外部用户的潜在安全攻击系统的边界;
6.1。2.自动化的性能应用程序和基础设施漏洞扫描以识别漏洞,使用行业标准对漏洞进行分类,并修复基于严重程度的漏洞;
6.1。3.年度第三方渗透率测试(可应要求提供执行摘要);
6.1。4.年度风险评估和持续监控BIMeta的风险登记册;
6.1。5.定期的第三方安全审计;
6.1。6.监控、日志记录和报告与网络设备有关的重大或可疑活动,包括保留日志进行取证相关分析,维护审计日志记录和检查BIMeta生产环境中的活动,备份实时日志,并实现控制以防止修改或篡改原木;
6.1。7."bug 赏金"的操作识别潜在安全漏洞的程序;以及
6.1。联系我们。防病毒和恶意软件工具来检测和修复有害代码或程序,对服务产生负面影响。
7.1。BIMeta尽合理努力确保能够访问用户的BIMeta员工的持续可靠性通过实施以下措施获得数据:
7.1。1。进行背景调查,根据适用法律,所有可能访问用户数据的员工;
7.1。2.要求员工完成新招聘安全培训并承认BIMeta的信息安全但对服务不作任何明示或暗示的保证,包括但不限于秒杀网服务的适用性、没有错误或疏漏、持续性、准确性、可靠性、适用于某一特定用途。在雇佣时使用技术资源政策;
7.1。3.要求员工完成年度隐私和安全培训,涵盖解决他们的主题保护用户数据以及隐私和安全的最佳义务做法;
7.1。4.指示员工报告安全团队可能的个人数据泄露;和
7.1。5.对材料施加纪律违反BIMeta的信息安全政策。
联系我们。1。备份
联系我们。1。1。BIMeta坚持一项政策和执行用户数据备份的过程。
联系我们。2.业务连续性计划
联系我们。2.1。BIMeta保持合理的业务连续性计划,包括灾难恢复计划,尽量减少对服务的干扰。 这些计划每年进行一次测试,并程序根据需要进行修改。
根据用户的书面要求(电子邮件就足够了),BIMeta将提供给用户审查BIMeta的副本。最近的年度审计结果。