本データ処理ポリシー(以下「本ポリシー」といいます。)“DPP“) は、両当事者間で適用され、本契約に自動的に組み込まれたものとみなされます。本 DPP で使用されている大文字の用語は、以下に定義されている場合を除き、本契約で与えられた意味を持ちます。以下に定義されている用語は、本 DPP にのみ適用されます。.
定義
“「“十分な国”「」は、適用されるデータ保護法の下で個人データに対する十分な保護を提供すると認められている国または地域を意味します。.
“「“認定アフィリエイト”「」とは、顧客の関連会社を指し、(a)顧客により直接的または間接的に支配されており、(b)データ保護法の対象であり、(c)本契約に基づきサービスの使用が許可されているものの、本契約に署名していないものをいいます。.
“「“カリフォルニア州消費者プライバシー法”「カリフォルニア州消費者プライバシー法(2018年)」、およびその後のすべての改正を意味します。.
“「“データ保護法”「」とは、本契約に基づき個人データを処理するにあたり適用される、欧州連合(GDPRを含む)、欧州経済領域、その加盟国、スイス、英国、および/または米国連邦、州、地方自治体のすべての法令および規制を指します。.
“「“GDPR”「」とは、個人データの処理に関する自然人の保護、そのようなデータの自由な移動、および欧州議会および理事会による2016年4月27日の規則(EU)2016/679を意味します。.
“「“個人情報”CybelAngelがサービスの一部として処理するデータであって、GDPR、UK GDPRで「個人データ」と定義されるもの、および/またはCCPAで「個人情報」と定義されるもの、を意味します。.
“「“個人情報漏洩”「」とは、サイベルエンジェルが保持または管理する個人データの、偶然または不法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反であり、当該違反がサイベルエンジェルのシステムのみから発生したと記録され、サービスまたはサイベルエンジェルの日常業務活動に関連して検出された可能性のあるいかなる違反とも無関係なものを意味します。.
“「“標準契約条項”「(または「SCC」)とは、データ保護レベルが十分でない第三国に設立された処理業者への個人データ移転のために欧州委員会によって承認された最新の標準契約条項を意味します。.
“「“処理“、“データ管理者“、“データ主体“、“監督当局”と「“データプロセッサー”GDPR で定義されている意味に従う。.
“英国GDPR”ブレグジット後の英国一般データ保護規則。.
1. 当事者の状況
当事者は、個人データに関し、顧客がデータ管理者であり、CybelAngelがデータ処理者であることを認め、同意します。各当事者は、個人データに関連して適用されるデータ保護法を遵守し、そのすべての関連会社が遵守することを保証するものとします。当事者間においては、顧客は、本サービスの使用に関連して個人データを処理するために必要なすべての同意、ライセンス、および承認を取得することに単独で責任を負い、すでに取得したか、または今後取得するものとします。.
2. 処理の内容
2.1. CybelAngelは、契約で定義されたサービスを提供するため、またはサービスに関連する事業目的(例:新規権限付与ユーザーの認証情報作成)のためにのみ、個人データを処理するものとします。データ保護法により、CybelAngelが契約で許可されている範囲を超えて個人データを処理する必要がある場合、適用法により禁止されない限り、CybelAngelはお客様に処理前に通知するものとします。.
2.2. 本契約に基づき処理される個人データの種類、処理の対象、期間、性質、目的、およびデータ主体のカテゴリは以下のとおりとします。
2.2.1. データ主体(データ・サブジェクト)のカテゴリー
· お客様およびその関連会社の従業員
· 顧客、サプライヤー、または顧客のその他のビジネスパートナー
· 個人識別情報が監視対象ソース(例:漏洩で検出されたメールアドレスや氏名)に含まれる個人
2.2.2. 個人データの処理カテゴリ
サービスにおいて処理される個人データの一般的なカテゴリには、以下のようなものがあります。
| 文脈 | サンプルデータ | ソース |
|---|---|---|
| 認証情報と侵害検出 | メールアドレス、ユーザー名、ハッシュ化されたパスワード、IPアドレス | データベースの侵害、ダークウェブのソース |
| ドメインおよびアカウント保護 | プロフェッショナルなメールアドレス、ドメイン所有権データ | WHOIS、ウェブクローラー |
| エグゼクティブ&ブランドモニタリング | 役職名、ソーシャルハンドルの公開情報 | ソーシャルメディアとオープンソース |
| カスタマーサポート&サービスデリバリー | 連絡先情報(氏名、メールアドレス、電話番号)、利用メタデータ | 顧客プラットフォームインタラクション |
すべてのデータ処理は、GDPRのデータ最小化と目的制限の原則に準拠しており、契約で定義されたサイバー脅威の検出および顧客保護の目的に必要な範囲に限定されます。.
2.2.3. 処理の性質
収集、記録、整理、構造化、保存、適応または改変、検索、相談、利用、管理者への伝送による開示、管理者への伝達またはその他の利用可能化、連携または組み合わせ、制限、消去または破棄。.
具体的には、処理操作には以下が含まれます。
デジタル資産および脅威インテリジェンス指標の収集、整理、分析
· 顧客の監視対象エンティティへの公開データの照合
· 顧客へのアラート生成と通知
・サポート対応(インシデント分析、テイクダウン支援、報告)
2.2.4. データ処理の目的
処理の目的は、インターネット上でのデータ漏洩を防止・検知することで、コントローラーとその関連会社のITを確保することです。.
2.2.5. データ処理期間
データ処理は、本契約の期間中に実施されるものとする。.
2.2.6. データ保持期間
個人データは、データ処理者によって、コントローラーに処理者から提供されるすべてのサービス契約が終了した後、最長6ヶ月間保持されます。運用検知データは、通常、調査目的が完了した後、ローテーションまたは匿名化されます。.
3. プロセッサーの権利と義務
3.1. 処理者は、管理者からの文書化された指示があった場合にのみ個人データを処理するものとし、処理者が服する連合法または加盟国法によってそのように要求される場合を除きます。その場合、処理者は、法律で公益上の重要な理由から禁止されていない限り、処理の前に管理者に対し、その法的要件を通知するものとします。その後の指示は、個人データの処理期間中、管理者から随時与えられることがあります。これらの指示は常に文書化されるものとします。.
上記段落の目的において、本契約、本DPP、およびお客様によるサービスの使用は、個人データの処理に関するお客様からCybelAngelへの書面による指示とみなされます。.
3.1.1. 明確にするため、顧客からサイベルエンジェルへの文書化された指示は以下の通りです。
(a) 契約上の指示:本DPP第2.2項および本契約において定義される処理の範囲、性質、目的、期間。;
(b) 運用指示: 顧客がサービスを通じて提供する検索基準(キーワード、データ識別子、検索パラメータ)であり、CybelAngelが検索および処理すべき個人データを指定するもの。;
(c) 継続的な指示:本契約期間中に、個人データの処理に関して顧客が提供する追加の書面または電子的指示。顧客は、本契約に署名し、検索条件を提供し、サービスを利用することにより、GDPR第28条(3)(a)の意味における文書化された指示をCybelAngelに提供するものとすることを承諾するものとします。.
3.1.2. AI処理およびサブプロセッサの承認
顧客は、CybelAngelのサービスにAI機能(自動コンテンツ要約、エンリッチメント、タスク自動化、分析、翻訳を含む)がサービスに不可欠な要素として組み込まれていることを認めます。本契約に署名し、別紙IIのサブプロセッサリストに同意することにより、顧客は、CybelAngelが本契約に定められた保護措置に従って個人データを処理するために、第三者のAIサービスプロバイダーを利用することを許可する書面による指示を提供します。顧客は以下のことを認めます。
(a) AIおよび機械学習処理 – 本サービスは、コンテンツ分析、要約、エンリッチメント、タスク自動化、および翻訳機能のために、別紙IIに記載されたAIプロバイダーを利用しますが、これは本サービスの提供に必要とされる範囲に限定されます。;
(b) プラットフォーム分析 – 本サービスは、分析プロバイダー(ANNEX IIに記載)を利用して、検出アルゴリズムの最適化、誤検出の削減、および顧客の環境と利用パターンに特化したプラットフォームパフォーマンスの向上を行います。;
(c) トレーニング目的での不使用 – AIサブプロセッサとのCybelAngelの契約では、顧客の個人データが、顧客へのサービス提供に無関係な第三者サービスのモデルトレーニングまたは改善のために使用されることを禁止しています。.
異議申し立て権:顧客が、データ保護上の理由により、いかなるサブプロセッサ(AIプロバイダーを含む)の使用にも異議を唱える場合、顧客はセクション6.1に定める異議申し立て権を行使することができます。.
3.2. CybelAngelは、処理の性質およびCybelAngelが利用可能な情報を考慮し、顧客がデータ保護法令に基づく義務に関して合理的に要求した場合、GDPRで定義されるデータ保護影響評価(i)、データ保護法令に基づく監督機関への通知(ii)、および監督機関との事前協議(iii)に関して顧客を支援します。.
3.3. CybelAngelは、データ保護法に基づき権利を行使しようとするデータ主体からの、CybelAngelが保有または管理する個人データに関する要求に対し、顧客が対応できるよう、商業的に合理的な努力をもって支援します。CybelAngelは、顧客に関連するデータ主体からの要求を受領した後、適用法により別途要請される場合を除き、遅くとも5営業日以内に顧客に通知します。.
4. 技術的および組織的対策
(i) 標準的な業界慣行、(ii) 実施にかかる費用、および (iii) 処理の性質、範囲、文脈、目的に鑑み、CybelAngel は、Annex 1 に定められた適切な技術的および組織的措置を講じるものとし、偶然または不法な破壊、損失、改変、個人データへの不正な開示、または CybelAngel が保有または管理する個人データへのアクセスに関連するものを含む、個人データの処理によって生じるリスクに応じたセキュリティレベルを確保するものとします。.
5. 個人情報漏洩
CybelAngel は、個人データ侵害を認識してから遅くとも 72 時間以内に、顧客に通知するものとします。CybelAngel は、当該個人データ侵害に関連して、商業的に合理的な協力、支援、および情報を提供するものとします。これには、CybelAngel が把握している範囲で、(i) 個人データ侵害の性質、(ii) 関係するデータ主体のカテゴリおよびおおよその数、(iii) 影響を受ける個人データ記録のカテゴリおよびおおよその数、(iv) 個人データ侵害に対処するために CybelAngel が既に実施した、または実施を計画している措置(該当する場合は、発生しうる悪影響を軽減するための措置を含む)が含まれます。適用法により個人データ侵害に関する情報の開示が義務付けられている場合を除き、CybelAngel は個人データ侵害に関するいかなる情報も開示せず、かかるすべての情報を機密情報として取り扱うものとします。.
6. サブプロセッシング
6.1 お客様は、CybelAngelが本サービスを提供するためにサブプロセッサーリスト(付属書IIとして添付)に含まれるサブプロセッサーを使用すること、およびCybelAngelが当該サブプロセッサーに個人データを開示および提供することに同意します。本契約締結日現在のサブプロセッサーリストは、お客様によって承認されたものです。お客様の主な連絡先は、サブプロセッサーリストの変更により新しいサブプロセッサーが任命された場合、事前にCybelAngelから書面で通知されるものとします。いずれの場合においても、更新されたサブプロセッサーリストは、サブプロセッサーリストの変更の通知後30営業日以内に、GDPRに関連する理由で[email protected]、書面による合理的な異議申し立てを行わない限り、お客様によって承認されたものとみなされるものとします。この場合、当事者が問題の問題について誠意を持って解決策を見いだせない場合、お客様は唯一の救済措置として、異議を申し立てられたサブプロセッサーを使用しなければCybelAngelが提供できないサービスに関してのみ、CybelAngelに書面で通知することにより、該当する契約を終了することができます。お客様はCybelAngelに対して、(i) 異議申し立ての日以前に承認されたサブプロセッサを過去に使用したこと、または(ii) 本項に記載された状況における契約の終了(返金を要求することを含むがこれに限定されない)により、それ以上の請求を行うことはできません。.
6.2 CybelAngelは、そのサブプロセッサーが、個人データに対する本DPPの下で要求されるものと実質的に同等の保護レベルを提供する契約上の義務に拘束されることを保証します。CybelAngelは、そのサブプロセッサーの義務の履行について引き続き責任を負いますが、顧客または第三者によるサブプロセッサーの監査を可能にまたは容易にすることを約束するものではありません。.
7. 監査
適用されるデータ保護法に基づき、お客様は、CybelAngel に 15 営業日前までに書面による監査を通知することを条件として、自己のために、自己の費用負担で、年に 1 回監査を実施することができます。監査の最大期間は 5 営業日(フランスで定義)であり、CybelAngel の営業時間内にのみ実施することができます。CybelAngel は、お客様が自ら監査を実施しない場合、お客様が指名する第三者監査人の選択を承認する権利を留保し、その合理的な裁量で当該監査人を拒否することができます。監査の範囲、方法、およびタイミングは、事前に相互に合意するものとし、CybelAngel の業務運営、ツール、またはインフラストラクチャを不当に妨害しないものとし、すべての監査は、本契約に基づくお客様のデータ処理を担当する CybelAngel のシステムおよびインフラストラクチャに範囲を限定するものとします。お客様は、可能な場合、監査を依頼する代わりに、CybelAngel が提供する第三者認証および監査報告書(SOC 2、ISO など)を利用することに同意する。.
8. データ転送
本セクション8は、CybelAngelまたはそのサブプロセッサーによるGDPRの対象となる個人データのあらゆる処理に適用されます。.
8.1 CybelAngel は、お客様の事前の書面による同意なしに、本契約で許可されている場合、適用される法律、規制、または公的機関により開示または移転が要求される場合、または第6.1条に基づかない限り、個人データを第三者に開示または移転しません。.
8.2 お客様は、本契約に基づくサービス提供には、EEA域外の国におけるサブプロセッサによる個人データの処理が必要となる場合があることを認めます。CybelAngelが、EEA域外(十分性認定国以外)で個人データを処理するサブプロセッサ(サブプロセッサとして機能するCybelAngelアフィリエイトを含む)に個人データを移転する場合、CybelAngelは、当該処理に関して十分性を確保するメカニズム((i) CybelAngelとサブプロセッサ間での標準契約条項(モジュール2:管理者から処理者への移転に基づく)の締結、(ii)EU-米データプライバシーフレームワーク認証(米国を拠点とするサブプロセッサに適用される場合)、(iii)EU-米データプライバシーフレームワークへの英国拡張(英国の個人データ移転に適用される場合)、または(iv)データ保護法の下で認められるその他の承認されたデータ移転の保護措置)を導入します。.
9. 認定アフィリエイト
9.1 本契約を締結することにより、顧客は、自己およびその権限を有する関連会社の名において、DPPに同意したものとみなされます。各権限を有する関連会社は、本DPPにおける顧客の義務、および適用される範囲で本契約の義務を遵守することに同意します。.
9.2 契約の当事者である顧客は、個人データに関するすべてのコミュニケーションをCybelAngelと調整する責任を負い、その権限のある関連会社のために個人データに関するあらゆるコミュニケーションを行う権利およびそれを受け取る権利を有します。.
9.3 認定アフィリエイトがCybelAngelとの契約当事者となる場合、適用されるデータ保護法に基づき必要とされる範囲および本契約の規定に従い、以下の対象として権利を行使し、救済を求める権利を有するものとします。
9.3.1 適用されるデータ保護法により、正規承認された関連会社が、CybelAngel に対して直接、自ら権利を行使するか、または救済を求めることが要求される場合を除き、本契約の条項に基づき、当事者は以下のことに合意します。(i) 本契約の契約当事者である顧客のみが、正規承認された関連会社に代わって、そのような権利を行使するか、またはそのような救済を求めるものとし、(ii) 本契約の契約当事者である顧客は、正規承認された関連会社それぞれで個別にではなく、自己およびすべての正規承認された関連会社を合わせて、統合的な方法で、本契約の条項に基づくそのような権利を行使するものとします。.
9.3.2 契約の当事者である顧客は、個人データ保護に関する手続きについて監査を実施する際、自社およびその権限を有する関連会社からのすべての監査要求を可能な限り一つの監査に統合することにより、CybelAngelおよびそのサブプロセッサーへの影響を限定するためにあらゆる合理的な措置を講じるものとします。.
10. 責任の制限
本規約に基づく各当事者およびそのすべての関連会社の責任は、契約、不法行為、またはその他の責任理論によるかどうかにかかわらず、合計で第10条(責任の制限)の規定に従うものとし、同条において当事者の責任に言及する際は、当事者およびそのすべての関連会社の本書に基づく合計責任を意味するものとします。明確にするために、CybelAngelおよびその関連会社の顧客およびすべての承認済み関連会社からのすべての請求に対する総責任は、個別にまたは連帯して、本書のいずれかのDPPの契約当事者である顧客および/または承認済み関連会社に適用されるものと理解されないものとします。.
11. 階級序列
本DPPは、完全な効力を有し続ける契約に基づく当事者の権利および義務を留保する。本契約の条項と契約の条項との間に矛盾がある場合、個人データの処理に関する事項については、本DPPの条項が優先される。.
12. その他
本書の規定に従うすべての連絡および通知は、管理者から処理者のデータ保護担当者宛てに、以下の宛先に送信されるものとします。
名前 シベルエンジェルSAS 住所 8階 – モーニング・クリシー、1-5 rue du 8 Mai 1945, 92110 クリシー、フランス
担当者氏名、役職、連絡先:
ヘザー・クック データ保護オフィサー [email protected]
附属書I
データセキュリティを確保するための技術的および組織的措置
A. 物理アクセス制御
個人データを処理または使用するデータ処理装置には、権限のない者を立ち入らせてはならない。.
処理者は、個人データが処理者の敷地/建物内で処理される限り、以下の物理的アクセス管理措置を講じなければならない。これらの敷地/建物の外での個人データへのアクセスは許可されない。
- オフィスビル、データセンター、サーバー室へのアクセス権限を必要最小限に制限すること。.
- 適切な施錠システム(例:鍵管理が文書化されたセキュリティキー、権限管理が文書化された電子施錠システム)によるアクセス権の効果的な管理.
- アクセス権限の取得、変更、および剥奪に関する包括的かつ完全に文書化されたプロセスを整備しなければなりません。.
- これまでに付与されたアクセス権限の定期的かつ文書化されたレビュー。.
- 不正アクセスおよびアクセス試行の防止・検知のための妥当な対策(例:ドア、ゲート、窓の防犯対策の定期的な見直し、警報システム、ビデオ監視、警備員、巡回警備など)。.
- 技術的アクセスセキュリティ対策に関する従業員および訪問者向けの規制.
B. システムへの論理的アクセス制御
個人情報処理システムは、権限のない者による使用を防止しなければならない。.
プロセッサは、個人データが処理されるシステムおよびネットワーク、または個人データへのアクセスを可能にするシステムおよびネットワークへのアクセスを制御するために、次の措置を講じるものとします。
- ITシステムおよび非公開ネットワークへのアクセス権限を必要最低限に制限すること。.
- パーソナライズされたユニークなユーザー識別情報とセキュアな認証プロセスによる、認証、認可、アカウンティングの効果的な制御。.
- 認証にパスワードを使用する場合、パスワードの品質を長さ、複雑さ、および変更頻度の点で確保するための規則をAdoptしなければならない。パスワードの品質を確保するために、技術的なテスト手法を導入しなければならない。.
- 非対称鍵暗号方式(証明書、公開鍵・秘密鍵方式など)を認証に利用する場合、秘密鍵は常にパスワード(パスフレーズ)で保護されていることを保証しなければならない。上記第3項に準拠した要求事項を遵守すること。.
- すべての口座について定期的に完全なレビューを実施し、定期的には必要とされない場合はアクセスを削除する必要があります。.
- これまでに付与された論理アクセス権限の定期的かつ文書化されたレビュー。.
- ネットワークインフラストラクチャを確保するためには、適切な対策(例:ネットワークポートセキュリティ IEEE 802.1X、侵入検知システム、リモートアクセスにおける2要素認証の使用、ネットワークの分離、コンテンツフィルタリング、暗号化されたネットワークプロトコルなど)を講じる必要があります。.
- 上記セキュリティ対策およびパスワードの安全な利用に関する従業員向け規定.
- 製造元から公開された後、48時間以内に次のものにクリティカル/または重要なセキュリティアップデート/パッチを直ちにインストールすることを保証する。 a. コントローラーのオペレーティングシステム b. 公共ネットワークからアクセス可能なサーバーオペレーティングシステム(例:Webサーバー) c. アプリケーションプログラム(ブラウザ、プラグイン、PDFリーダーなどを含む) d. セキュリティインフラストラクチャ(ウイルススキャナー、ファイアウォール、IDSシステム、コンテンツフィルター、ルーターなど) さらに、内部サーバーのオペレーティングシステムについては、製造元から公開された後1週間以内にインストールすることを保証する。.
C. 個人データへのアクセス制御
個人データ処理システムを使用する権限を付与された者のみが、そのアクセス権限に従って個人データにアクセスでき、処理中、使用中、および保管後において、権限なく個人データを読み取り、コピー、変更、または削除することはできません。.
プロセッサが個人データへのアクセス権限を管理する場合、プロセッサはアクセス制御のために以下の措置を講じなければならない。
- 個人データへのアクセス権限を必要最低限に制限すること.
- 適切な権限とロールコンセプトによるアクセス権限の効果的な管理。.
- 個人データへのアクセス、変更、コピー、および個人データの削除を承認するための、包括的で完全に文書化されたプロセスが整備されていなければなりません。.
- これまでの担当アクセス権限の定期的かつ文書化されたレビュー。.
- 端末機器、サーバー、その他のインフラストラクチャ要素を不正アクセスから保護するための合理的な措置(例:多層的なウイルス対策コンセプト、コンテンツフィルタリング、アプリケーションファイアウォール、侵入検知システム、デスクトップファイアウォール、システム強化、コンテンツ暗号化など)を講じなければなりません。.
- 個人データメディアの暗号化 – 最新技術に準拠した、モバイルデバイス(ラップトップ、タブレットPC、スマートフォンなど)および個人データメディア(外付けハードドライブ、USBメモリ、メモリカードなど)の保護のために適用されるアルゴリズム。.
- 管理者を含む全ユーザーによる個人データへのアクセスログ記録。.
- 輸出入インターフェース(ハードウェアおよびアプリケーション関連)の技術的セキュリティ対策.
プロセッサが個人データへのアクセス権限を管理しない場合、プロセッサはアクセス制御に関して以下の義務を負うものとします。
- 責任範囲内におけるアクセス権限の申請、変更、および取り消しに関する包括的かつ十分に文書化されたプロセス。.
- 過去に付与されたアクセス権限について、可能な限り定期的かつ文書化されたレビューを行う。.
- 既存のアクセス権限が不要になった場合は、直ちにコントローラーに通知すること。.
D. 送信制御
処理装置は、契約/注文で定義された送信手順で処理される個人データを提供するものとします。処理の結果も、定義された送信手順でコントローラーに送信されます。送信方法および送信のセキュリティ対策(送信制御)は、要件に従って設定されるものとし、特に最新の暗号化技術の使用を規定するものとします。.
個人データは、電子的な転送中、または輸送中や個人データ記録媒体への保管中に、不正に読み取り、コピー、変更、または削除されないことが保証され、データ伝送装置による個人データの転送がどの場所で提供されているかを確認および確立できるものとします。.
プロセッサは、プロセッサによって個人データを受信、転送、または輸送する場合、伝送制御に関して以下の措置を講じるものとする。
- ネットワークインフラストラクチャのセキュリティを確保するための適切な対策(例:ネットワークポートセキュリティ IEEE 802.1X、侵入検知システム、リモートアクセスにおける二要素認証の使用、ネットワークの分離、コンテンツフィルタリング、暗号化されたネットワークプロトコルなど)を講じる必要があります。.
- 個人データメディアの暗号化は、最新技術によると、モバイルデバイス(ラップトップ、タブレットPC、スマートフォンなど)およびデータメディア(外付けハードドライブ、USBメモリ、メモリカードなど)を保護するために安全と分類されるアルゴリズムを使用します。.
- 暗号化された通信プロトコルの使用(TLSベースのプロトコルなど)。.
- 通信中のリモート端末を識別するための検査メカニズム。.
- 受信した個人データとのチェックサム調整。.
- モバイルデバイスおよびデータキャリアの取り扱いとセキュリティに関する従業員向け規定.
E. データ入力管理
個人データがデータ処理システムでアクセス、変更、または削除される可能性があったかどうか、また誰によってそれが可能であったかを後から確認および検証できることを保証します。.
プロセッサは、データ処理を行うシステム、またはそのようなシステムへのアクセスを可能にする、あるいは提供するシステムへの進入を制御するために、以下の措置を講じるものとする。
- プロセス記録の作成、改訂、安全な保管.
- バックアップログファイルの改ざん防止.
- ログイン試行失敗のログ記録と分析.
- グループアカウント(管理者またはrootを含む)が使用できないことを保証する。.
F. データ処理制御
処理された個人データは、管理者からの指示に従ってのみ処理されるようにする必要があります。.
プロセッサは、以下のためのデータ処理、プロセスおよび文書を実装するものとする。
- データ保護法における(サブ)プロセッサーの選定と技術的側面;
- データ保護法規に従い、(サブ)プロセッサの規定された法定先行検査を確実に実施すること。;
- 個人データ処理に関する新しい手順の導入または既存の手順の変更時に、適時にオペレーショナルデータ保護担当者に指示を出すことを確保する。;
- データ保護法規に基づき、個人データ処理に関わる全ての担当者がデータ秘密保持義務を負うこと。;
- 個人データが処理されるデータ処理プログラムの適用が正しいかどうかの定期的検証;
- データ処理担当者に、関連するデータ保護法についての周知を徹底すること;
- (選任された場合)運用データ保護オフィサーの資格維持。;
- 個人データの不正取得を知った場合に、監督当局に遅滞なく通知することを確保すること。
- 管理者からの指示による個人データの即時訂正、ブロック、削除の確保。.
G. 利用実績管理
個人データは、偶発的な破壊または損失から保護されることが保証されなければならない。.
プロセッサは、可用性を制御するために以下の対策を実装するものとする。
- サーバー室、データセンター、およびクリティカルインフラストラクチャスペースにおける火災報知システムの運用および定期メンテナンス。.
- 日次バックアップを作成し、堅牢で回復力のある災害復旧機能を確実に実装する
- バックアップストレージを別の防火区画に確保する。.
- バックアップの整合性の定期的なレビューとテスト。.
- システムおよび個人データの復旧に関するプロセスとドキュメント。.
H. 予算執行管理
異なる目的で収集された個人データは、個別に処理されることが保証されなければならない。.
処理装置は、責任範囲内にある個人データを分離するため、以下の措置を講じるものとする。
- テスト、開発、本番システムの論理的および/または物理的な分離。.
- 処理システム内およびインターフェースでのコントローラーの分離.
- 個人データの継続的な識別可能性を確保すること。.
I. 個人データの保持および削除
個人データは、必要とされる期間のみ保持され、処理の履行が完了したときは削除されます。.
処理装置は、その責任範囲内にある個人データについて、削除を確実にするために、以下の措置を講じるものとします。
- コントローラーの要求に応じて、データの継続的な消去可能性を保証する。.
- 最新技術をもってしてもデータの復元が不可能となるような、セキュアな削除のためのプロセス、ツール、およびドキュメント.
- 従業員向けデータ削除に関するガイドライン(方法と時期).
G. 認証
CybelAngelはSOC 2 TYPE I認証の保有者です。当該証明書の提示は、依頼に応じてコントローラーに提供可能です。.
別紙II
CYBELANGELの、お客様の個人データの一部が移転される可能性のあるサブプロセッサのリスト
透明性と参照の容易さのため、サブプロセッサーは、サービスを提供および運用する上での機能的な役割別に以下のようにグループ化されています。これらのカテゴリは、組織的な明確化のためだけに提供されるものであり、データアクセスレベルやオプション処理の違いを反映するものではありません。記載されているすべてのサブプロセッサーは、データ処理ポリシーに従ってサービスを提供、保護、保守、および改善するために必要に応じて利用されています。.
コアインフラストラクチャ、データ処理およびホスティングプロバイダー
サービス提供、データ処理、およびコアオペレーションに必要なサブプロセッサー
これらのプロバイダーは、CybelAngelサービスが構築・実行される基盤となるプラットフォームホスティング、処理ストレージ、ID/認証、および不可欠なインフラストラクチャをサポートしています。
| サブプロセッサー | 場所 | サブプロセスの性質 | 識別可能データカテゴリ | セーフガード |
|---|---|---|---|---|
| ファイバートラン Fivetran, Inc.、1221 Broadway St Floor 20、Oakland、CA 94612, アメリカ合衆国 [email protected] | ヨーロッパ | データ同期 | サポートチームとのやり取りで共有された、個人を特定できる情報(メールアドレス、名、姓、会社名、役職、言語、電話番号、署名に含まれる個人情報)およびその他の情報 | EU一般データ保護規則 ISO 27001 • SOC 2 タイプ I & II ほぼ瞬時の削除 |
| グーグル Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, アイルランド [email protected] | アイルランド、オランダ、フィンランド、ベルギー | ホスティングプロバイダー、メール交換サービス、機械学習処理(コンテンツ分析、要約、エンリッチメント、翻訳を含む) | サービス利用中に提供または検出された、専門的または個人的な識別可能な情報 | EU一般データ保護規則 ISO 27001 • SOC 2 タイプ II |
| Neo4j Neo4j, Inc.、111 East 5th Avenue、San Mateo, CA 99401、USA [email protected] | ベルギー | アセットマップ | キーワードとして提供されたIPアドレス、サービス利用中に検出されたメールアドレス | EU・米国データプライバシーフレームワーク EU一般データ保護規則 • SOC 2 タイプ II |
| OKTA(旧Auth0) Okta, Inc.、100 First Street、6階、サンフランシスコ、カリフォルニア州94105、米国 [email protected] | ドイツ、アメリカ合衆国 | 認証 | プロフェッショナル識別情報(メールアドレス、名、姓、電話番号) | EU・米国データプライバシーフレームワーク 英国延長 スイス・米国DPF EU一般データ保護規則 標準契約条項 • SOC 2 タイプ II |
| オープンエーアイ OpenAI、1455 3rd Street、San Francisco、CA 94158、USA [email protected] | アメリカ合衆国 | タスク自動化; コンテンツ要約、エンリッチメント | サービス利用中に提供または検出された、専門的または個人的な識別可能な情報 | EU一般データ保護規則 CCPA 標準契約条項 • SOC 2 タイプ I および III ISO 27001 ISO 27018 |
プラットフォーム監視、分析、セキュリティプロバイダー
パフォーマンス、信頼性、ロギング、セキュリティ監視をサポートするサブプロセッサー
これらのベンダーは、オブザーバビリティ、テレメトリ、脅威/エンドポイントセキュリティ、分析、およびロギングを提供し、プラットフォームのパフォーマンス、信頼性、インシデント監視、およびセキュリティの整合性を維持するのに役立ちます。
| サブプロセッサー | 場所 | サブプロセスの性質 | 識別可能データカテゴリ | セーフガード |
|---|---|---|---|---|
| 振幅 Amplitude, Inc.、631 Howard Street, Floor 5, San Francisco, CA 94105, アメリカ合衆国 [email protected] | アメリカ合衆国 | 統計レポートやサービス品質向上のためのダッシュボードを作成するために、匿名化または仮名化されたテレメトリおよび利用状況のメトリクスを集計・分析すること | プロフェッショナル識別情報(メールアドレス、名、姓、プラットフォームユーザーロール、言語、IPアドレス)およびサービスの使用習慣 | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II ISO 27001 |
| データドッグ Datadog, Inc.、620 8th Avenue、Floor 45、New York, NY 10018, アメリカ合衆国 [email protected] | ヨーロッパ | サービスのプラットフォームの信頼性、セキュリティ、デバッグ、パフォーマンス最適化を確保するために必要なアプリケーションロギング、アプリケーションパフォーマンスモニタリング(APM)、およびリアルユーザモニタリング(RUM)サービス。. | キーワードとして提供されるIPアドレス、専門的な個人識別可能なユーザーアカウント識別子(例:メールアドレス)、キーワードとして提供されるIPアドレス、および顧客プラットフォームとのやり取りに関する使用メタデータ(例:セッションアクティビティおよび機能インタラクションテレメトリ)は、運用監視およびサービス改善の目的のみに利用されます。. | EU一般データ保護規則 • SOC 2 タイプ II |
| セグメント トゥイリオ株式会社、375 Beale Street, Suite 300, San Francisco, CA 94105 アメリカ合衆国 [email protected] | アメリカ合衆国 | 統計レポートやサービス品質向上のためのダッシュボードを作成するために、匿名化または仮名化されたテレメトリおよび利用状況のメトリクスを集計・分析すること | 個人を特定できる専門情報(メールアドレス、名、姓、プラットフォームのユーザーロール、言語、IPアドレス)とプラットフォームの利用習慣 | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II ISO 27001 |
| センチネルワン センチネルワン、444 キャストロ ストリート、スイート 400、マウンテン ビュー、カリフォルニア州 94041, アメリカ合衆国 [email protected] | アメリカ合衆国 | ウイルス対策分析 | アナリストによってダウンロードされたサーバーのメタデータ、キーワード検索の結果としてダウンロードされたコンテンツ、および共有ドキュメントに存在する専門的な識別可能な情報(メールアドレス、名、姓、プラットフォームユーザーロール、言語、会社、役職、電話番号) | EU・米国データプライバシーフレームワーク • SOC 2 タイプ II ISO 27001 |
カスタマーサポート&リレーションシップマネジメントプロバイダー
顧客コミュニケーション、サポート、CRM、オンボーディング、サービス管理をサポートするサブプロセッサー
これらのプロバイダーは、CybelAngel がインタラクション、サービス提供のタッチポイント、カスタマーサポートのワークフロー、アプリ内ガイダンス、CRM を管理するのに役立ちます。
| サブプロセッサー | 場所 | サブプロセスの性質 | 識別可能データカテゴリ | セーフガード |
|---|---|---|---|---|
| アプカイズ Appcues, Inc., 177 Huntington Ave Ste 1703, Boston, MA 02115, アメリカ合衆国 [email protected] | アメリカ合衆国 | アプリ内カスタム通知 | プロフェッショナル識別情報(メールアドレス、名、姓、プラットフォームユーザーロール、言語) | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II |
| フレッシュデスク Freshworks Inc.、2950 S. Delaware Street、San Mateo, CA 94403, アメリカ合衆国 [email protected] | ヨーロッパ | テクニカルサポートアプリケーション | プロフェッショナルな個人識別情報(メールアドレス、署名に含まれる個人情報)およびサポートチームとのやり取り中に共有されたその他の情報 | EU一般データ保護規則 • SOC 2 タイプ II ISO 27001 |
| ハブスポット ハブスポット株式会社 25 First Street, 2nd Floor, Cambridge, MA 02141, アメリカ合衆国 | アメリカ合衆国 | マーケティングオートメーション、機能有効化、同意フォーム | プロフェッショナル個人情報(メールアドレス、名、姓、会社名、役職、言語、電話番号) | • EU-U.S. データ プライバシー フレームワーク • 標準契約条項 • SOC 2 タイプ II |
| マッチマイメール RAE Internet, Inc.、30 Cricket Lane、Dobbs Ferry、NY 10522, アメリカ合衆国 | ドイツ | Salesforceとのメール同期 | プロフェッショナル識別情報(メールアドレス、名、姓、会社名) | EU一般データ保護規則 • SOC 2 タイプ II |
| SALESFORCE Salesforce.com EMEA Limited、Village 9、Floor 26、110 Bishopsgate、ロンドン, 英国 EC2N 4AY [email protected] | フランス、ドイツ | 商業関係、マーケティングオートメーション | プロフェッショナル個人情報(メールアドレス、名、姓、会社名、役職、言語、電話番号) | EU一般データ保護規則 ISO 27001 • SOC 2 タイプ II |
サービスコミュニケーション&オペレーションイネーブルメントプロバイダー
サービス提供および管理に必要な、オペレーショナルメッセージング、インテグレーション、ワークフロー有効化をサポートするサブプロセッサー
これらのプロバイダーは、サービスの効果的な提供と管理に必要な、サービス関連のコミュニケーション、システム相互運用性、ワークフロー自動化、および運用プロセスをサポートすることにより、CybelAngelがサービスを管理、統合、および運用するのを支援します。.
| サブプロセッサー | 場所 | サブプロセスの性質 | 識別可能データカテゴリ | セーフガード |
|---|---|---|---|---|
| センログ Twilio Inc.、375 Beale Street, Suite 300、San Francisco, CA 94105、USA [email protected] | アメリカ合衆国 | 応募メール | プロフェッショナル識別情報(メールアドレス) | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II ISO 27001 ISO 27017 ISO 27018 |
| ツイリオ トゥイリオ株式会社, ビールストリート375番地, 300号室, サンフランシスコ, 米国カリフォルニア州94105 [email protected] | アメリカ合衆国 | アプリケーション 2FA テキストメッセージ | 個人情報または電話番号 | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II ISO 27001 ISO 27017 ISO 27018 |
| ワーカート Workerato株式会社, カストロ通り215, マウンテンビュー, 米国カリフォルニア州94041 [email protected] | ヨーロッパ | サードパーティコネクタ | サービス利用中に検出された、個人を特定できる専門情報(メールアドレス)およびあらゆる個人情報または個人を特定できる情報 | 標準契約条項 EU一般データ保護規則 • SOC 2 タイプ II |
| ザピアー ザピアー株式会社, 548 マーケットストリート #62411, サンフランシスコ, 米国カリフォルニア州 94104 [email protected] | アメリカ合衆国 | タスク自動化、通知ワークフロー、ツール連携 | プロフェッショナル識別情報(メールアドレス、名、姓、会社、プラットフォームユーザーロール) | EU・米国データプライバシーフレームワーク 標準契約条項 • SOC 2 タイプ II |
“「プラットフォームユーザーロール」とは、CybelAngelプラットフォーム内でのユーザーアクセスレベル(例:管理者、標準ユーザー)を指し、組織内の役職ではありません。.
