ملحق معالجة البيانات
تعديلات معالجة بيانات Shoprocket ("الإضافات") تعدل شروط وأحكام Shoprocket ("الAgreement") بينك ("أنت") وشركة Shoprocket المحدودة (رقم الشركة 12656598، مسجلة في إنجلترا وويلز في 20-22 Wenlock Road، لندن، NG 17U). إذا كان لديك SLA منفصل مع Shoprocket، فإن الإشارات إلى الAgreement تعني SLA هذا. تعتبر هذه الإضافات جزءاً من وملحقة بالAgreement. أي مصطلح مكتوب بحروف كبيرة غير معرف هنا يحمل المعنى المعطى في الAgreement.
التعريفات
إعدادات الحساب: إعدادات لحسابك في Shoprocket (بما في ذلك الأمان) التي تتيح لك إدارة كيفية معالجة Shoprocket للبيانات الشخصية.
الأغراض التجارية: الخدمات المحددة في الAgreement.
بيانات حساب العميل: البيانات الشخصية المتعلقة بعلاقتك مع Shoprocket (مثل جهات الاتصال المصرح بها، تفاصيل الفواتير)، بالإضافة إلى المعلومات التي تجمعها Shoprocket لإدارة الحساب، والتحقق من الهوية، أو المتطلبات القانونية.
بيانات استخدام العميل: بيانات الاستخدام المعالجة بواسطة Shoprocket فيما يتعلق باستخدامك للخدمات (مثل السجلات، المقاييس الأداء، بيانات منع الاحتيال).
التشريعات الخاصة بحماية البيانات: تشمل CCPA، واللائحة العامة لحماية البيانات للاتحاد الأوروبي، وقانون الحماية الفيدرالي السويسري، واللائحة العامة لحماية البيانات في المملكة المتحدة، وقانون حماية البيانات لعام 2018، واللائحة الخاصة بالخصوصية والاتصالات الإلكترونية لعام 2003، كل منها محدث. المصطلحات (مثل "التحكم في البيانات"، "معالج البيانات") تتبع اللائحة العامة لحماية البيانات للاتحاد الأوروبي.
المنطقة الاقتصادية الأوروبية: المنطقة الاقتصادية الأوروبية.
بنود عقد الاتحاد الأوروبي: بنود العقد القياسية وفقاً لقرار المفوضية 2021/914.
نقل البيانات خارج EEA: نقل البيانات الشخصية (بموجب اللائحة العامة لحماية البيانات للاتحاد الأوروبي) خارج EEA بدون قرار ملائمة بموجب المادة 45 من اللائحة العامة لحماية البيانات للاتحاد الأوروبي.
نقل البيانات خارج المملكة المتحدة: نقل البيانات الشخصية (بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة) خارج المملكة المتحدة بدون قرار ملائمة من وزير الدولة البريطاني.
مزود الخدمة: كما هو محدد في CCPA.
الخدمات: أدوات Shoprocket لإنشاء وإدارة المتاجر الإلكترونية ("متجر Shoprocket")، والتعامل مع المنتجات، والمدفوعات، والشحن، والتسويق، وأي أداة أو خدمة قد تقدمها Shoprocket.
حساب Shoprocket: حسابك الذي يمنح الوصول إلى الخدمات، بما في ذلك إعدادات الحساب، على https://www.shoprocket.io.
سياسة الخصوصية لـ Shoprocket: الإشعار على https://shoprocket.io/privacy، كما هو محدث.
متجر Shoprocket: موقع التجارة الإلكترونية الخاص بك المستضاف أو الذي تسهله Shoprocket.
بيانات الفئة الخاصة: كما هو محدد في المواد 4(13)، 4(14)، 4(15)، و9 من اللائحة العامة لحماية البيانات للاتحاد الأوروبي/المملكة المتحدة (حسب الاقتضاء).
بنود العقد القياسية (SCCs): بنود بنود الاتحاد الأوروبي وبنود المملكة المتحدة، حسب الاقتضاء.
بنود المملكة المتحدة: بنود الاتحاد الأوروبي كما تم تعديلها بواسطة ملحق IDTA للهيئة المنظمة في المملكة المتحدة.
نحن/نا/خاصتنا: شركة Shoprocket المحدودة (بما في ذلك "Shoprocket" و"Shoprocket.io").
أنت/خاصتك: الطرف التعاقدي المسمى في الAgreement.
تعليمات العملاء
تشكل هذه الإضافات والAgreement (بما في ذلك التعليمات في إعدادات حسابك) التعليمات الموثقة لكيفية معالجة Shoprocket للبيانات الشخصية. ستقوم Shoprocket بمعالجة البيانات الشخصية فقط وفقًا للتعليمات. تتطلب التعليمات الإضافية خارج هذه الشروط موافقة كتابية مسبقة (وقد تتطلب رسومًا إضافية).
يمكن لـ Shoprocket إنهاء هذه الإضافات والAgreement إذا كانت تعليماتك تخالف التشريعات الخاصة بحماية البيانات أو تنحرف عن التعليمات المتفق عليها. نظرًا لطبيعة المعالجة، لا يمكن لـ Shoprocket عمومًا الحكم على ما إذا كانت تعليماتك تنتهك القانون؛ إذا تكون لدى Shoprocket رأي من هذا القبيل، فسوف تخبرك، ويمكنك تعديل أو سحب التعليمات.
معالجة البيانات
معالجة Shoprocket
معالج البيانات/مزود الخدمة: باستثناء بيانات حساب العميل وبيانات استخدام العميل، تقوم Shoprocket بمعالجة البيانات الشخصية (بموجب اللائحة العامة لحماية البيانات للاتحاد الأوروبي/المملكة المتحدة) أو المعلومات الشخصية (بموجب CCPA) نيابة عنك.
مدير بيانات مستقل: تعد Shoprocket مديرة بيانات للبيانات الشخصية التي تم جمعها مباشرة من عملاء المتجر ولبيانات حساب العميل أو بيانات استخدام العميل.
التخزين
يتم تخزين البيانات الشخصية على:
خوادم AWS في أيرلندا (أو مناطق EEA الأخرى)،
خوادم Hetzner في نورنبرغ / فالكنشتاين (ألمانيا).
المدى والغرض
تقوم Shoprocket بمعالجة البيانات الشخصية فقط حسب الضرورة للأغراض التجارية التي تحددها (بما يتماشى مع الخدمات المشتراة) ووفقًا للتشريعات الخاصة بحماية البيانات.
إذا تطلبت القوانين معالجة بشكل مختلف، ستقوم Shoprocket بإخطارك ما لم تمنعها القوانين من القيام بذلك.
تتبع Shoprocket على الفور تعليماتك المكتوبة لتعديل أو نقل أو حذف البيانات الشخصية، أو لإيقاف المعالجة غير المصرح بها.
تحافظ Shoprocket على سرية البيانات الشخصية ما لم يكن الإفصاح مصرحًا به أو مطلوبًا قانونيًا.
تساعد Shoprocket في التزامات الامتثال الخاصة بك (مثلاً، طلبات موضوع البيانات، التقييمات التأثيرية على حماية البيانات) بدون تكلفة إضافية.
تقوم Shoprocket بإخطارك بالتغييرات القانونية التي قد تؤثر على الAgreement أو هذه الإضافات.
Shoprocket كمدير بيانات مستقل
بالنسبة لبيانات حساب العميل وبيانات استخدام العميل، تعتبر Shoprocket ليست مديرًا مشتركًا ولكنها تعالج تلك البيانات لإدارة علاقتها معك، ومنع الاحتيال/الحوادث الأمنية، والامتثال للالتزامات القانونية، وما إلى ذلك، وفقًا لسياسة الخصوصية لـ Shoprocket.
CCPA
باستثناء بيانات حساب العميل وبيانات استخدام العميل، تعد Shoprocket مزود الخدمة الخاص بك بموجب CCPA؛ لن "تبيع" هذه المعلومات الشخصية وتستخدمها فقط لأداء الخدمات أو كما يسمح به القانون.
الإضافات
يمكنك دمج الإضافات من طرف ثالث ("الإضافات") بموجب اتفاقيات استخدام مرخصة منفصلة مع كل ناشر. تقوم Shoprocket بنقل البيانات الشخصية اللازمة إلى ناشر الإضافة، ولكنها ليست مسؤولة عن معالجتهم. تشمل الإضافات الحالية التي تسوقها Shoprocket:
أمازون، eBay، سوق فيسبوك، تسوق جوجل، تسوق إنستغرام: تلبية متعددة القنوات ومواءمة.
Affirm، Afterpay، Alipay، Apple Pay، Click to Pay، GrabPay، GooglePay، iDEAL، Klarna، Microsoft Pay، PayPal، P24، Sofort، Stripe، WeChat Pay: تكاملات الدفع التي تدعم طرق / عملات متنوعة.
Zapier: يقوم بأتمتة عمليات نقل البيانات/سير العمل بين Shoprocket وتطبيقات أخرى.
إذا كانت Shoprocket وأنت لديكم SCCs، فإن تعليمك لدمج الإضافات يعد بمثابة موافقة على نقل البيانات الشخصية إلى ناشري الإضافات هؤلاء إذا تطلب ذلك بموجب SCCs.
مسؤولياتك
أنت مدير البيانات لأي بيانات شخصية تم جمعها أو معالجتها بواسطة Shoprocket نيابة عنك.
أنت مسؤول عن تلبية متطلبات الإشعار/الموافقة وضمان الامتثال للتشريعات الخاصة بحماية البيانات.
أنواع البيانات الشخصية وأغراض المعالجة
الموضوع: البيانات الشخصية التي تقوم بتحميلها إلى الخدمات، بما في ذلك حساب Shoprocket الخاص بك أو المتجر.
المدة: تحددها أنت (حتى تقوم بإيقاف/إنهاء اشتراكك في Shoprocket أو التكاملات المعنية).
الغرض: لتقديم الخدمات بناءً على تعليماتك (مثل تشغيل متجر/حساب Shoprocket الخاص بك).
طبيعة المعالجة: قد تقوم منصة التجارة الإلكترونية لـ Shoprocket (وأي من المعالجات الفرعية/ناشري الإضافات) بتخزين أو معالجة البيانات الشخصية.
أنواع البيانات الشخصية: البيانات التي تقوم بتحميلها (مثل معلومات الاتصال، تفاصيل العملاء، سجلات المعاملات).
الموضوعات البيانات: أنت، عملائك، موظفيك، المتعاقدين، الوكلاء، الموردين، أو البائعين.
أمان معالجة البيانات
ستقوم Shoprocket بالحفاظ على تدابير تقنية وتنظيمية مناسبة لحماية البيانات الشخصية ضد المعالجة غير المصرح بها أو غير القانونية، أو الفقدان العرضي، أو التدمير - متوافقة مع المادة 32 من اللائحة العامة لحماية البيانات للاتحاد الأوروبي/المملكة المتحدة. تشمل التدابير (حسب الاقتضاء):
تشفير/تشفير البيانات؛
ضمان سرية وسلامة وتوافر ومرونة الأنظمة؛
استعادة توافر البيانات في الوقت المناسب بعد الحوادث؛
اختبار وتقييم وتقييم هذه التدابير بانتظام.
موظفو Shoprocket
تضمن Shoprocket أن الموظفين والمتعاقدين والوكلاء الذين يتعاملون مع البيانات الشخصية مدربون، ومقيدون بالسرية، ومدركون تمامًا لالتزاماتهم في حماية البيانات.
الأمان (إعادة صياغته)
تقوم Shoprocket بتحديث تدابير الأمان التقنية والتنظيمية باستمرار لمنع المعالجة غير المصرح بها، بما في ذلك التشفير، ومرونة النظام، والقدرة على الاسترداد، واختبار الفعالية.
خرق البيانات الشخصية
الإخطار
تقوم Shoprocket بإخطارك في غضون 72 ساعة (ودون تأخير غير ضروري) إذا أصبح لديها علم بـ:
فقدان/تلف البيانات الشخصية؛
أي معالجة عرضية أو غير مصرح بها أو غير قانونية؛
خرق البيانات الشخصية.
المعلومات
تقوم Shoprocket بتوفير وصف للحادث، وفئات/أعداد البيانات المتأثرة، والتدابير المتخذة أو المقترحة لتخفيف التأثير.
التعاون
تنسق Shoprocket معك بشأن التحقيق ولن تخبر الأطراف الثالثة دون موافقتك الكتابية ما لم يُطلب قانونًا القيام بذلك.
التكاليف
تتحمل Shoprocket التكاليف المعقولة لهذه الالتزامات ما لم ينشأ الحادث نتيجة تعليماتك، أو إهمالك، أو انتهاك، وفي هذه الحالة تتحمل أنت التكاليف المعقولة لـ Shoprocket (بما في ذلك المستشارين المحترفين).
المعالجات الفرعية
تستخدم Shoprocket حاليًا هذه المعالجات الفرعية لاستضافة/معالجة البيانات، وخدمات البنية التحتية/الشبكة، أو وظائف الخدمة الأخرى:
| الاسم | الوصف | الموقع |
|---|---|---|
| 200OK LLC (Profitwell) | تقارير الاشتراك/تحليلات. | MA، الولايات المتحدة الأمريكية |
| Amazon Web Services EMEA SARL | استضافة سحابية، حوسبة، تخزين. | لوكسمبورغ، الاتحاد الأوروبي |
| Automattic، Inc. (Gravatar) | يسمح للمستخدمين بتحميل صور الملف الشخصي إلى حسابات Shoprocket. | CA، الولايات المتحدة الأمريكية |
| Cloudflare، Inc. | أمان الشبكة والاتصال. | CA، الولايات المتحدة الأمريكية |
| Crisp IM SAS | تطبيق الدردشة الحية ورسائل العملاء لدعم المستخدم. | فرنسا، الاتحاد الأوروبي |
| فيسبوك تكنولوجيز أيرلندا | بكسلات فيسبوك للتحويلات، تحسين الإعلانات، بناء الجمهور. | أيرلندا، الاتحاد الأوروبي |
| Google Ireland Limited | جوجل أناليتكس (تحليلات السلوك)، Adwords (وضع الإعلانات/تحقيق الإيرادات). | أيرلندا، الاتحاد الأوروبي |
| GmbH | استضافة سحابية، حوسبة، وتخزين. | ألمانيا، الاتحاد الأوروبي |
| TPS Unlimited، Inc. (Taxjar) | أتمتة الضرائب لضريبة القيمة المضافة في الاتحاد الأوروبي وضريبة المبيعات في الولايات المتحدة على متاجر Shoprocket. | CA، الولايات المتحدة الأمريكية |
| Twilio، Inc. (Sendgrid) | رسائل متعددة القنوات (البريد الإلكتروني، SMS، WhatsApp). | أيرلندا، الاتحاد الأوروبي |
| Twitter، Inc. | بكسل تويتر لتتبع التحويلات ومقاييس الأداء الإعلاني. | CA، الولايات المتحدة الأمريكية |
تفوض Shoprocket باستخدام المعالجات الفرعية المذكورة أعلاه وتعطي تفويضًا عامًا لـ Shoprocket لإضافة أخرى ("المعالجات الفرعية المصرح بها"). ستقدم Shoprocket إشعارًا قبل استخدام معالج فرعي جديد لمدة لا تقل عن 30 يومًا (عبر الموقع الإلكتروني، البريد الإلكتروني، أو إشعار الحساب). يمكنك الاعتراض في غضون 10 أيام من الإخطار، كتابيًا، لأسباب معقولة تتعلق بحماية البيانات. إذا كان معالج فرعي أساسي متضمنًا ولم يتم العثور على بديل خلال 90 يومًا، يمكنك إيقاف أو إنهاء الخدمات المعنية (لا تزال تدفع أي رسوم مستحقة).
إذا كنت لا تعترض خلال 10 أيام، يُعتبر أن المعالج الفرعي الجديد مُعتمد. عندما تتعاقد Shoprocket مع معالج فرعي، فإنها:
تقييد الوصول إلى ما هو ضروري فقط لتوفير أو تحسين الخدمات؛
تفرض نفس الالتزامات المتعلقة بحماية البيانات عليهم؛
تظل مسؤولة عن امتثالهم.
إذا كانت SCCs معمول بها، فإن تفويضك يُعتبر بمثابة موافقة مكتوبة مسبقة بموجب الفقرة 9(c) أو الفقرات ذات الصلة في SCCs المملكة المتحدة. يمكن لـ Shoprocket حذف التفاصيل التجارية غير الأساسية قبل مشاركة عقود المعالجة الفرعية معك.
تحويلات البيانات الشخصية
يمكن أن تقوم Shoprocket بنقل البيانات الشخصية خارج EEA أو المملكة المتحدة أو سويسرا لتقديم الخدمات (على سبيل المثال، بعض ناشري الإضافات/المعالجات الفرعية في الولايات المتحدة). حيث لا ينطبق أي قرار ملائمة، ستضمن Shoprocket اتخاذ احتياطات مناسبة وفقًا للتشريعات الخاصة بحماية البيانات.
نقل البيانات خارج EEA: تغطيها SCCs الاتحاد الأوروبي (الوحدة الأولى لShoprocket كمدير، الوحدة الثانية لـShoprocket كمعالج). لا تنطبق بعض الفقرات (مثل فقرة 7)؛ تتم معالجة النزاعات وفقًا للقانون والمحاكم الأيرلندية.
نقل البيانات خارج المملكة المتحدة: تغطيها ملحق IDTA.
المسارات من سويسرا: مماثلة لسافيات SCCs الأوروبية، مع تعديلات لقانون حماية البيانات الفيدرالي السويسري.
تدابير إضافية:
لا توجد طلبات حكومية رسمية للوصول إلى البيانات في تاريخ هذه الاضافات.
إذا تم الإلزام بالإفصاح عن بياناتك، ستقوم Shoprocket بإخطارك (ما لم يكن محظورًا) وستساعدك في طلب التدابير الوقائية.
ستناقش Shoprocket وأنت بانتظام ما إذا كانت القوانين في الدولة المستوردة توفر الحماية المعادلة أو تتطلب تدابير إضافية.
إذا توقف أي آلية نقل عن كونها صالحة أو إذا تم تعليقها من قبل جهة إشرافية، يمكن لـ Shoprocket تنفيذ ترتيبات بديلة أو تعليق التحويلات.
حيثما توافق على معالج فرعي/إضافة خارج EEA، فإنك أيضًا تفوض Shoprocket بتوقيع SCCs نيابة عنك.
الشكاوى، طلبات موضوع البيانات، وحقوق الأطراف الثالثة
ستقوم Shoprocket بتزويدك بسرعة بأي معلومات أو مساعدة تحتاجها ل:
تحقيق حقوق موضوع البيانات (الوصول، التصحيح، الحذف، النقل، الاعتراض، إلخ).
معالجة أو الالتزام بإشعارات المعلومات/التقييم من الجهات التنظيمية.
تقوم Shoprocket بإخطارك على الفور إذا تلقت شكاوى أو اتصالات بشأن المعالجة، وفي غضون 14 يومًا إذا تلقت طلبًا من موضوع البيانات. تساعد Shoprocket في الرد، ولن تكشف عن البيانات الشخصية للأطراف الثالثة ما لم يُطلب منها قانونًا أو تتلقى تعليمات منك.
المدة وإنهاء العقد
تظل هذه الإضافات فعالة طالما أن الAgreement كذلك، أو تحتفظ Shoprocket بأي بيانات شخصية ذات علاقة. تبقى أحكام التي يجب أن تبقى سارية لأغراض حماية البيانات سارية المفعول. أي انتهاك مادي لهذه الـDPA يمثل انتهاكًا ماديًا للAgreement، مما يخولك لإنهاء العقد على الفور دون أية مسؤولية إضافية.
إذا منعت تغييرات التشريعات المتعلقة بحماية البيانات أحد الأطراف من الوفاء بالتزاماته، يمكن للأطراف تعليق المعالجة حتى يتم تحقيق الامتثال. إذا لم يتم حل الأمر خلال 90 يومًا، يمكن لأي من الطرفين إنهاء العقد بشكل فوري بالإخطار.
إرجاع البيانات وتدميرها
عند الطلب، تقدم Shoprocket لك (أو طرفًا ثالثًا تقوم بترشيحه كتابيًا) نسخ أو الوصول إلى البيانات الشخصية بصيغة تحددها (حيثما كان ذلك معقولاً).
عند الانتهاء، تقوم Shoprocket بإرجاع أو حذف البيانات الشخصية ما لم يكن التخزين مستمرًا مطلوبًا قانونًا. إذا كان الحذف غير عملي أو غير قانوني، تمنع Shoprocket المعالجة الإضافية وتستمر في حماية البيانات.
شهادات SCC: إذا كانت SCCs معمول بها، ستقوم Shoprocket بتأكيد الحذف بموجب الفقرة 8.1(d) من SCCs الاتحاد الأوروبي (أو SCCs المملكة المتحدة) بناءً على طلبك الكتابي.
إذا كانت أي قوانين/لوائح تتطلب من Shoprocket الاحتفاظ ببيانات معينة، ستقوم بإخطارك بالأساس، ومدة الاحتفاظ، ثم حذفها عندما لم تعد مطلوبة.
تؤكد Shoprocket الحذف في غضون 30 يومًا بعد الانتهاء منه.
السجلات
تحفظ Shoprocket سجلات مفصلة، دقيقة، ومحدثة لجميع معالجة البيانات الشخصية (مثل إجراءات الأمان، المعالجات الفرعية، أغراض المعالجة، أي تحويلات دولية). يجب أن تسمح لك هذه السجلات بالتحقق من امتثال Shoprocket. يتم توفير نسخ عند الطلب.
الضمانات
تضمن Shoprocket أن:
موظفوه، والمتعاقدون، أو الوكلاء الذين لديهم وصول إلى البيانات الشخصية موثوقون وموثوق بهم ومدربون بشكل مناسب.
ستقوم بمعالجة البيانات الشخصية بشكل كامل وفقاً للتشريعات الخاصة بحماية البيانات والقوانين ذات الصلة.
ليس لديها ما يدعو للاعتقاد بأن القانون يمنع تقديم الخدمات المتفق عليها.
بالنظر إلى التكنولوجيا والتكاليف، ستتخذ تدابير مناسبة لمنع المعالجة غير المصرح بها أو الأضرار/الفقد العرضي، وضمان الأمان بما يتناسب مع المخاطر وحساسية البيانات.
التنفيذ والتعديلات
من خلال توقيع الAgreement، فإنك توافق على وتكون ملزمًا بهذه الإضافات. يمكن لـ Shoprocket تحديث هذه الإضافات بإشعار كتابي لمدة 30 يومًا إذا لزم الأمر لأسباب قانونية أو تنظيمية. إذا اعترضت ولم يتم التوصل لحل متبادل، يمكنك إنهاء الخدمات المتأثرة بإخطار كتابي خلال تلك الفترة (مع دفع أي رسوم يتم تكبدها). لا تنشأ أي مطالبات إضافية من هذا الإنهاء.
الملحق A
معايير أمان Shoprocket
(المصطلحات المكتوبة بحروف كبيرة والتي لم يتم تعريفها هنا تحمل المعاني المعينة في الإضافات.)
يوضح هذا الملحق تدابير Shoprocket التقنية والتنظيمية لـ:
تأمين البيانات الشخصية ضد الفقدان العرضي أو غير القانوني، أو الوصول، أو الكشف؛
تحديد المخاطر المتوقعة للأمان ومنع الوصول غير المصرح به إلى الخدمات (بما في ذلك حساب Shoprocket الخاص بك)؛
تقليل المخاطر الأمنية من خلال تقييم المخاطر والاختبار.
تحدد Shoprocket موظفًا واحدًا أو أكثر للإشراف على هذه الممارسات الأمنية للمعلومات والاستجابة للاستفسارات ذات الصلة.
1. نموذج المسؤولية المشتركة
Shoprocket هو تطبيق معتمد على السحابة، SaaS مستضاف من قبل:
Amazon Web Services (AWS) في منطقة eu-west-1 (إيرلندا)
Hetzner Online في فالكنشتاين، ألمانيا
AWS يدير المنصة الرئيسية لـ Shoprocket، والبنية التحتية، واستضافة البيانات. Hetzner Online يوفر مساحة خادم مخصصة إضافية للصور، والتنزيلات الرقمية، والسجلات، والفواتير. بموجب هذا النموذج:
Shoprocket تدير أمان المستوى التطبيقي (مثل الوصول إلى المستخدم، تصحيحات التطبيق).
AWS / Hetzner يديرون الأمان المادي والبيئة السحابية الأساسية.
للحصول على مزيد من التفاصيل حول أمان AWS وHetzner، يرجى مراجعة الوثائق الخاصة بهم.
2. خوادم AWS وHetzner Online
AWS
اختارت Shoprocket AWS بعد مراجعة دقيقة بموجب المواد 28(3)(c) و32 من اللائحة العامة لحماية البيانات في المملكة المتحدة. تم اعتماد AWS بموجب العديد من المعايير (مثل SOC 1/2/3، ISO 27001/27017/27018، PCI DSS، FedRAMP، HITRUST) ويقدم وثائق مطابقة شاملة. تقوم Shoprocket بتكوين AWS لتخزين البيانات الشخصية فقط في الاتحاد الأوروبي/EEA.
Hetzner Online
يوفر Hetzner Online، المعتمد بموجب DIN ISO/IEC 27001، مساحة خادم مخصصة لبيانات النسخ الاحتياطية والسجلات. تم تدقيق مراكز بيانات Hetzner Online في نورنبرغ وفالكنشتاين وشهادتها من قبل أطراف ثالثة، مما يوفر نظام إدارة أمان المعلومات (ISMS).
3. التصميم والسلامة والتوافر لتطبيق Shoprocket
العمارة: تم بناء التطبيق Shoprocket بإطار عمل JavaScript، ويعتمد على خدمة قاعدة بيانات Amazon (Amazon RDS) لمطابقة MySQL.
الأداء العالي والمرونة: تعالج AWS التوازن التلقائي للحمل، وتحافظ Shoprocket على نسخ احتياطية يومية على Amazon S3. يتم تخزين النسخ الاحتياطية في مناطق AWS مختلفة لزيادة الدقة. بالإضافة إلى ذلك، يتم تخزين النسخ الاحتياطية على خوادم Hetzner Online المخصصة (مع أنظمة قرص RAID-1).
الأمان من خلال التصميم: تقوم Shoprocket بفحص الثغرات المعروفة على الويب بانتظام (مثل OWASP Top Ten) وتطبيق حماية XSS وتنظيف الشفرات. يتم اختبار الشيفرة والبنية التحتية سنويًا من قبل جهة خارجية مختصة، بالإضافة إلى خدمة مسح الثغرات من طرف ثالث.
4. التشفير
في الراحة: يتم تشفير البيانات الشخصية على AWS/Hetzner باستخدام AES-256 أو أعلى.
إدارة المفاتيح: يضمن AWS Key Management Service (KMS) عدم تمكن أي شخص (بما في ذلك موظفي AWS) من الوصول إلى المفاتيح في نصها العادي؛ تدور المفاتيح سنويًا. يقوم Hetzner بتنفيذ تشفير القرص الكامل AES-256 بالإضافة إلى المصادقة الإلزامية.
أثناء النقل: جميع عمليات نقل البيانات الخارجية تستخدم TLS 1.2+. تتطلب واجهات برمجة التطبيقات والويب HTTPS (لا اتصالات غير مشفرة).
5. تقييد مواقع الخادم إلى EEA/EU
تخزين Shoprocket للبيانات حصراً في EEA (AWS في إيرلندا، Hetzner في ألمانيا)، مما يقلل من المخاطر المرتبطة بتحويلات البيانات غير المتعلقة بـ EEA (مثل الامتثال لقرار Schrems II).
6. مناطق التوافر
تكون أنظمة واجهة Shoprocket الأمامية/الخلفية موزعة بشكل زائد عبر مناطق توافر متعددة (كل من AWS وHetzner). تحتوي كل منطقة على العديد من مقدمي الخدمة، ومصادر الطاقة، وروابط عالية السرعة، مما يضمن توفراً عالياً وأداءً مثالياً.
7. نظام اكتشاف التسلل
تستخدم Shoprocket نظام كشف التسلل (IDS) للمراقبة:
ملفات السجل للمدخلات غير العادية،
تغييرات تكامل الملفات،
حركة الشبكة (التزوير، الثغرات المعروفة، rootkits)،
تغييرات المنفذ، و
أحداث حساب AWS (مثل التغييرات في التكوين).
ت-trigger anomalies critical إجراءات احترازية تلقائية. يدعم IDS أيضًا متطلبات PCI DSS 3.0.
8. التسجيل / مسار التدقيق
تقوم Shoprocket بتسجيل:
أحداث النظام،
الأخطاء،
نشاط المستخدم،
تسجيلات/طلبات قاعدة البيانات،
أحداث أخرى متعلقة بالأمان.
باستخدام AWS CloudTrail، تقوم Shoprocket بتسجيل جميع الأحداث في بيئاتها السحابية لضمان الشفافية والتحقيق.
9. المراقبة
تستخدم Shoprocket العديد من أدوات المراقبة لضمان التوفر والأداء، وتتبع:
التوافر: إمكانية وصول التطبيق، صحة النظام/الخلفية؛
الموارد: المعالج، واجهات الشبكة، استخدام التخزين؛
الأداء: أوقات استجابة التطبيق/قاعدة البيانات؛
الأمان: حالة IDS، تحديثات النظام، سجلات الأخطاء/الوصول.
كما يراقب موظفو Shoprocket التحديثات الأمنية، وتقارير الثغرات، والمدونات الأمنية ذات الصلة (مثل OWASP).
10. تدقيقات الأمان واختبارات الاختراق
تجري Shoprocket اختبارات أمان داخلية وخارجية بشكل دوري. تتحقق الموفرون الخارجيون من الثغرات، بينما تقوم المراجعات الداخلية بتقييم التدابير التقنية والتنظيمية لضمان الفعالية.
11. إدارة التغيير
تحافظ Shoprocket على مستودعات مسجلة الإصدار للتغييرات في التعليمات البرمجية، مع بيئة اختبار تشبه الإنتاج. يتم اختبار التغييرات قبل نشرها، لضمان إمكانية تتبع الوقت/المحتوى.
12. التحكم في الوصول
مبدأ الحاجة إلى المعرفة: يتلقى فقط الموظفون الذين تتطلب أدوارهم الوصول إلى النظام ذلك.
أنظمة IAM: يستخدم التحكم في الوصول إدارة الهوية من AWS/Hetzner.
الأمان: لا يمكن الوصول إلى أنظمة الخلفية إلا عبر اتصالات آمنة ومصادق عليها. عدد الموظفين ذوي الوصول المباشر للبيانات لأغراض تشخيصية محدود للغاية؛ يتم تسجيل ومراقبة مثل هذا الوصول.
الملحق B
التحويلات عبر الحدود
الجزء 1 - التحويلات خارج المنطقة الاقتصادية الأوروبية
الملحق I.A من بنود العقد القياسية (SCCs)
مُصدر البيانات: أنت (وفقًا للAgreement).
تفاصيل الاتصال: كما في الAgreement.
الدور: مدير بيانات.
الوحدة الأولى: مُستورد البيانات هو مدير بيانات (لبيانات حساب العميل وبيانات استخدام العميل).
الوحدة الثانية: مُستورد البيانات هو معالج بيانات (لجميع بيانات الشخصية الأخرى).
التوقيع/التاريخ: من خلال الدخول في الAgreement & DPA، يُعتبر مُصدر البيانات أنه قد وقع SCCs اعتبارًا من التاريخ الفعّال.
مستورد البيانات: Shoprocket.
تفاصيل الاتصال: كما في الAgreement.
التوقيع/التاريخ: من خلال الدخول في الAgreement & DPA، يُعتبر مستورد البيانات أنه قد وقع SCCs اعتبارًا من التاريخ الفعّال.
الملحق I.B من SCCs
موضوع الموضوع: موصوف في بند 4.6 من الإضافات.
فئات البيانات الشخصية: موصوفة في بند 4.5 من الإضافات.
لا توجد بيانات من الفئة الخاصة مُقترحة للتحويل.
التردد: أساس مستمرة طوال مدة الـAgreement.
الطبيعة: انظر بند 4.4 من الإضافات.
الغرض: انظر بند 4.3 من الإضافات.
الاحتفاظ: مدة الـAgreement ما لم يُذكر خلاف ذلك.
تحويلات المعالجات الفرعية: موضوع، طبيعة، ومدة وفقًا لبند 9 من الإضافات.
الملحق I.C من SCCs
الهيئة الإشرافية المختصة: كما في البند 10(e) من الإضافات.
معايير أمان Shoprocket (الملحق A) تلبي متطلبات الملحق II من SCCs.
الصراع
إذا نشأ أي صراع بين SCCs و الـDPA أو الAgreement، فإن SCCs تسود.
الجزء 2 - التحويلات خارج المملكة المتحدة
يطبق ملحق IDTA على التحويلات خارج المملكة المتحدة، اعتبارًا من 21 مارس 2022.
المصطلحات غير المعرفة في الـAgreement أو الـDPA تتبع المعنى في الجزء 2 من الملحق 2 (الفقرات الإجبارية).
الجزء 1: الجداول
جدول 1 من ملحق IDTA
جدول 1
مُصدر البيانات: أنت (وفقًا للAgreement).
تفاصيل الاتصال: كما في الAgreement.
التوقيع/التاريخ: من خلال الدخول في الAgreement & الملحق، يُعتبر المُصدر قد وقع ملحق IDTA اعتبارًا من التاريخ الفعّال.
مستورد البيانات: Shoprocket.
تفاصيل الاتصال: كما في الAgreement.
التوقيع/التاريخ: من خلال الدخول في الAgreement & DPA، يُعتبر المستورد أنه قد وقع ملحق IDTA اعتبارًا من التاريخ الفعّال.
جدول 2 من ملحق IDTA
جدول 2
SCCs المعتمدة من الاتحاد الأوروبي: الفقرات/الوحدات من SCCs المعتمدة من الاتحاد الأوروبي السارية لهذا الملحق.
الوحدات/الفقرات المستخدمة:
لا تنطبق الوحدة 1 والوحدة 2، الفقرة 7 والفقرة 11 (خيار)؛ الفقرة 9أ هي التفويض العام مع فترة إشعار مدتها 30 يومًا (بند الإضافة 9.2).
لا يتم دمج أي بيانات شخصية من المستورد مع بيانات المُصدر.
جدول 3 من ملحق IDTA
الملحق I.A
مُصدر البيانات: أنت (مدير البيانات).
مستورد البيانات: Shoprocket (مدير بيانات لحساب العميل/بيانات الاستخدام؛ معالج لمعلومات الشخصية الأخرى).
التوقيع/التاريخ: يُعتبر تم التوقيع عند الدخول في الAgreement & DPA.
الملحق I.B
مواضيع البيانات، فئات البيانات، عدم وجود بيانات من الفئة الخاصة، التحويلات المستمرة، طبيعة/غرض المعالجة، والاحتفاظ تتطابق مع الفقرات 4.4، 4.3، 4.5، 4.6 من الإضافات.
معلومات المعالجات الفرعية وفقًا لبند الإضافات 9.
الملحق III (قائمة المعالجات الفرعية) لا ينطبق، حيث أن Shoprocket تستخدم تفويضًا عامًا.
جدول 4 من ملحق IDTA
يجوز للمستورد إنهاء هذا الملحق IDTA بموجب الفقرة 26 من هذا الملحق IDTA.
الجزء 2: الفقرات الإلزامية
يلتزم كل طرف ببنود هذا الملحق IDTA مقابل موافقة الطرف الآخر، مما يمكن موضوعات البيانات من إنفاذ الحقوق كما هو مذكور.
يمثل دخول هذا الملحق IDTA توقيعًا على SCCs المعتمدة من الاتحاد الأوروبي (بما في ذلك أي توقيع مطلوب بموجب الملحق 1A/الفقرة 7).
التفسير
تحمل المصطلحات من SCCs المعتمدة من الاتحاد الأوروبي معانيها نفسها هنا؛ يتم تعريف مصطلحات إضافية ذات صلة (مثل "SCCs الإضافية الخاصة بالاتحاد الأوروبي"، "الملحق المعتمد"، "قوانين حماية البيانات في المملكة المتحدة") داخل هذا الملحق IDTA.
يجب تفسير هذا الملحق IDTA بشكل متسق مع قوانين حماية البيانات في المملكة المتحدة ويجب أن يستوفي "تدابير الحماية المناسبة".
أي تعديل على SCCs المعتمدة من الاتحاد الأوروبي غير المسموح به بموجبها أو بموجب الملحق المعتمد باطل. تعود الأحكام المتعارضة إلى شروط SCC غير المعدلة.
إذا كان هناك تعارض مع قوانين حماية البيانات في المملكة المتحدة، تطبق الأخيرة.
يتم حل أي غموض بأفضل طريقة لتتماشى مع قوانين حماية البيانات في المملكة المتحدة.
تشمل الإشارات إلى التشريعات أي نسخ منقحة أو موحدة.
التسلسل الهرمي
تنص الفقرة 5 من SCCs المعتمدة من الاتحاد الأوروبي على أنها تسود على الاتفاقيات الأخرى، ولكن بالنسبة للتحويلات المقيدة، تنطبق التسلسلات في القسم 17 أدناه.
إذا كانت غير متسقة أو متعارضة مع SCCs المعتمدة من الاتحاد الأوروبي، فإن الملحق المعتمد يتجاوز ذلك باستثناء المكان الذي توفر فيه SCCs حماية أكبر لموضوعات البيانات، وفي هذه الحالة تسود شروط SCCs.
لا تؤثر أي شيء هنا على أي SCCs التي تستخدمها الأطراف للامتثال للائحة العامة لحماية البيانات للاتحاد الأوروبي.
إدماج وتغييرات على SCCs المعتمدة من الاتحاد الأوروبي
ي incorpor الأIDTA أدخل SCCs المعتمدة من الاتحاد الأوروبي مع التعديلات اللازمة حتى تعمل للتحويلات ذات الصلة بالمملكة المتحدة، وتتجاوز التسلسل الهرمي للفقرة 5، وتضمن أن تخضع للقانون الإنجليزي/المحاكم (ما لم يُختار خلاف ذلك بالنسبة لاسكتلندا أو أيرلندا الشمالية).
إذا لم يتم الاتفاق على بديل محدد، فإن القسم 22 ينطبق.
لا يُسمح بتعديلات إضافية على SCCs المعتمدة من الاتحاد الأوروبي بخلاف ما هو مطلوب في القسم 19.
تشمل التعديلات على SCCs الإضافية الخاصة بالاتحاد الأوروبي توضيحات بشأن الإشارات إلى قوانين حماية البيانات في المملكة المتحدة، واستبدال الإشارات إلى اللائحة رقم (EU) 2016/679 بـ"قوانين حماية البيانات في المملكة المتحدة"، وإزالة الإشارات إلى اللائحة رقم (EU) 2018/1725، وتعديل الفقرة 17/18 إلى القانون الإنجليزي/المحاكم، إلخ. لا تشكل الحواشي جزءًا من هذا الملحق إلا الحواشي 8، 9، 10، 11.
التعديلات على هذا الملحق IDTA
يمكن للأطراف تعديل الفقرات 17 أو 18 للإشارة إلى المحاكم الإسكتلندية أو الأيرلندية الشمالية.
يمكن للأطراف أيضًا تعديل تنسيق الجداول باتفاق كتابي متبادل، مع ضمان الحفاظ على نفس مستوى الحماية.
يمكن للهيئة المنظمة إصدار ملحق معتمد منقح من وقت لآخر، والذي يعدل تلقائيًا هذا الملحق IDTA اعتبارًا من تاريخ نفاذه، مما قد يتطلب مراجعة من الأطراف.
إذا زادت تغييرات الهيئة المنظمة من costs بشكل كبير وغير مناسب، وليس هناك إمكانية لتقليل تلك التكاليف/المخاطر، يمكن للطرف إنهاء هذا الملحق IDTA بإشعار معقول للطرف الآخر قبل دخول الملحق المعدل حيز التنفيذ.
لا يتطلب أي موافقة من طرف ثالث لإجراء تغييرات، ولكن يجب أن تستوفي التعديلات بنود هذا الملحق IDTA.
هل أنت مستعد للبدء في البيع؟
جميع الأدوات التي ستحتاجها للبيع من موقعك الحالي وقنوات التواصل والمزيد.
لا مهارات تقنية مطلوبة.
34,384 البائعون قد تعاملوا مع أكثر من ٣٬٠٩٠٬٩٣٥٫٢٠ US$
كما ورد في
