נספח עיבוד נתונים

תוספת עיבוד הנתונים של שופרוקט ("תוספת") משנה את תנאי השימוש של שופרוקט ("הסכם") בינך ("אתה") לבין שופרוקט בע"מ (חברת מס' 12656598, רשומה באנגליה ובוויילס בכתובת 20-22 רחוב ונלוק, לונדון, NG 17U). אם יש לך הסכם SLA נפרד עם שופרוקט, ההתייחסויות להסכם משמעותן SLA זה. תוספת זו כפופה ומוכללת בהסכם. כל מונח שמופיע באותיות רמאות ולא מוגדר כאן יש לו את המשמעות שניתנה בהסכם.

---

הגדרות

• הגדרות החשבון: הגדרות עבור חשבון השופרוקט שלך (כולל אבטחה) שמאפשרות לך לנהל כיצד שופרוקט מעבד נתונים אישיים.

• מטרות עסקיות: השירותים המוגדרים בהסכם.

• נתוני חשבון הלקוח: נתונים אישיים על הקשר שלך עם שופרוקט (למשל, אנשי קשר מורשים, פרטי תשלום), בנוסף למידע שכר שירותי השופטת לאיסוף לניהול חשבון, בדיקות זהות, או דרישות חוקיות.

• נתוני השימוש של הלקוח: נתוני שימוש שמעבירה שופרוקט בהקשר לשימוש שלך בשירותים (למשל, יומנים, מדדי ביצועים, נתוני מניעת הונאה).

• חוקי הגנת הנתונים: כולל את ה- CCPA, GDPR EU, חוק הפדראלי השוויצרי להגנת נתונים, GDPR UK, DPA 2018, ו- PECR 2003, כל אחד מעודכן. המונחים (למשל, "בקר נתונים," "מעבד נתונים") עוקבים אחר ה-GDPR של האיחוד האירופי.

• EEA: אזור הכלכלה האירופאית.

• EU SCCs: הסעיפים החוזיים הסטנדרטיים לפי החלטת הקומיסיה 2021/914.

• העברת Ex-EEA: העברת נתונים אישיים (לפי GDPR של האיחוד האירופי) מחוץ ל-EEA ללא החלטת נאותות לפי סעיף 45 GDPR של האיחוד האירופי.

• העברת Ex-UK: העברת נתונים אישיים (לפי GDPR של בריטניה) מחוץ לממלכה המאוחדת ללא החלטת נאותות של מזכיר המדינה הבריטי.

• ספק שירותים: כפי שמוגדר ב-CCPA.

• שירותים: הכלים של שופרוקט ליצירת/ניהול חנויות מקוונות ("חנות שופרוקט"), טיפול במוצרים, תשלומים, משלוחים, שיווק וכל כלי או שירות ששופרוקט עשויה להציע.

• חשבון שופרוקט: החשבון שלך המעניק גישה לשירותים, כולל הגדרות החשבון, בכתובת https://www.shoprocket.io.

• מדיניות הפרטיות של שופרוקט: ההודעה בכתובת https://shoprocket.io/privacy, כפי שעודכנה.

• חנות שופרוקט: אתר המסחר האלקטרוני שלך המאוחסן או מופעל על ידי שופרוקט.

• נתוני קטגוריה מיוחדת: כפי שמוגדר בסעיפים 4(13), 4(14), 4(15), ו-9 של GDPR של האיחוד האירופי/בריטניה (כפי שחל).

• סעיפים חוזיים סטנדרטיים (SCCs): ה-SCCs של האיחוד האירופי וה-SCCs של בריטניה, כפי שנדרש.

• UK SCCs: ה-SCCs של האיחוד האירופי כפי שתוקנו על ידי תוספת IDTA של ה-ICO הבריטי.

• אנחנו/לנו/שלנו: שופרוקט בע"מ (כולל "שופרוקט" ו-"shoprocket.io").

• אתה/שלך: הצד החוזי המוזכר בהסכם.

---

הנחיות לקוחות

תוספת זו וההסכם (כולל הנחיות בהגדרות החשבון שלך) מהוות את ההנחיות המתועדות כיצד שופרוקט מעבדת נתונים אישיים. שופרוקט תעבד רק נתונים אישיים כפי שניתן לה הנחיות. הנחיות נוספות שאינן כלולות בתנאים אלה דורשות הסכמה בכתב מראש (ויכולות לגרום לעלויות נוספות).

שופרוקט עשויה לסיים את תוספת זו וההסכם אם ההנחיות שלך סותרות את חוקי הגנת הנתונים או סוטות מההנחיות המוסכמות. בהתחשב בטבע העיבוד, שופרוקט ככלל אינה יכולה לשפוט אם ההנחיות שלך מפרות את החוק; אם היא יבנה דעה כזו, היא תיידע אותך, ואתה עשוי לשנות או למשוך את ההנחיות.

---

עיבוד נתונים

1. עיבוד של שופרוקט

   • מעבד נתונים/ספק שירותים: למעט נתוני חשבון הלקוח ונתוני השימוש של הלקוח, שופרוקט מעבדת נתונים אישיים (לפי GDPR של האיחוד האירופי/בריטניה) או מידע אישי (לפי CCPA) בשמך.

   • בקר נתונים עצמאי: שופרוקט היא בקר נתונים עבור נתונים אישיים שנאספים ישירות מלקוחות החנות ועבור נתוני חשבון הלקוח או נתוני השימוש של הלקוח.

2. אחסון

   • נתונים אישיים מאוחסנים ב:

     1. שרתים של AWS באירלנד (או באזורים EEA אחרים),

     2. שרתים של Hetzner בנירנברג/פלקנשטין (גרמניה).

3. היקף ומטרה

   • שופרוקט מעבדת נתונים אישיים אך ורק כנדרש עבור מטרות עסקיות שאתה מציין (בהתאם לשירותים שנרכשו) ובתאימות עם חוקי הגנת הנתונים.

   • אם דרוש על פי החוק לעבד בצורה שונה, שופרוקט תודיע לך אלא אם כן החוק אוסר זאת.

   • שופרוקט עוקבת אחר הנחיותיך בכתב לשנות, להעביר או למחוק נתונים אישיים, או להפסיק עיבוד שלא אושר.

   • שופرוקט שומרת על סודיות הנתונים האישיים אלא אם כן הגילוי מורשה או נדרש חוקית.

   • שופרוקט מסייעת במילוי החובות שלך (למשל, בקשות של נושאי נתונים, DPIAs) ללא עלות נוספת.

   • שופרוקט מודיעה לך על שינויים חוקיים שעשויים להשפיע על ההסכם או על תוספת זו.

4. שופרוקט כבקר נתונים עצמאי

   • עבור נתוני חשבון הלקוח ונתוני השימוש של הלקוח, שופרוקט אינה בקר משותף אלא מעבדת נתונים אלו לניהול הקשר שלה איתך, למניעת הונאות/תקריות אבטחה, לעמידה בהתחייבויות החוקיות וכו', בהתאם למדיניות הפרטיות של שופרוקט.

5. CCPA

6. תוספות

   • אתה עשוי לשלב תוספות של צד שלישי ("תוספות") לפי EULAs נפרדות עם כל מוציא לאור. שופרוקט מעבירה את הנתונים האישיים הנחוצים למו"ל התוספת, אך אינה אחראית על העיבוד שלהם. התוספות הנוכחיות המשווקות על ידי שופרוקט כוללות:

     • אמזון, Ebay, שוק פייסבוק, גוגל שופינג, שופינג באינסטגרם: ביצוע ומיזוג רב ערוציים.

     • אפרים, Afterpay, Alipay, אפל פיי, קליק לתשלום, GrabPay, GooglePay, iDEAL, קלארנה, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: אינטגרציות תשלום התומכות בשיטות/מטבעות שונים.

     • Zapier: אוטומציה של העברות נתונים/עבודות בין שופרוקט ליישומים אחרים.

   • אם לשופרוקט ולך יש SCCs, ההנחיה שלך לשלב תוספות נחשבת להסכמה להעברת נתונים אישיים למו"ל התוספות אם דרוש על פי ה-SCCs.

7. אחריותך

   • אתה הבקר נתונים עבור כל נתונים אישיים שנאספו או עיבדו על ידי שופרוקט בשמך.

   • אתה אחראי למילוי דרישות ההודעות/הסכמות ולוודא תאימות עם חוקי הגנת הנתונים.

---

סוגי נתונים אישיים ומטרות עיבוד

• נושא: נתונים אישיים שאתה מעלה לשירותים, כולל חשבון השופרוקט או החנות שלך.

• משך: נקבע על ידך (עד שתשעה/תסיים את המנוי שלך בשופרוקט או אינטגרציות רלוונטיות).

• מטרה: לספק את השירותים לפי ההנחיה שלך (למשל, הפעלת חנות/חשבונך בשופרוקט).

• טבע העיבוד: הפלטפורמה של שופרוקט למסחר אלקטרוני (וכל תתי-מעבדים/מו"לים של תוספות) עשויה לאחסן או לעבד נתונים אישיים.

• סוגי נתונים אישיים: נתונים שאתה מעלה (למשל, פרטי קשר, פרטי לקוחות, רשומות עסקה).

• נושאי נתונים: אתה, הלקוחות שלך, עובדים, קבלנים, סוכנים, ספקים או מוכרים.

---

אבטחת עיבוד הנתונים

שופרוקט תשמור על אמצעים טכניים וארגוניים מתאימים כדי להגן על נתונים אישיים מפני עיבוד בלתי מורשה או בלתי חוקי, אובדן או הרס לא מכוון בהתאמה עם סעיף 32 של ה-GDPR של האיחוד האירופי/בריטניה. האמצעים כוללים (ככל שיהיה מתאים):

• פנימיזציה/הצפנת נתונים;

• להבטיח סודיות, שלמות, נגישות ועמידות של מערכות;

• שחזור זמינות נתונים באופן מיידי לאחר תקריות;

• בדיקה, הערכה והערכה רגילה של אמצעים אלו.

עובדי שופרוקט

• שופרוקט מבטיחה שעובדים, קבלנים וסוכנים המטפלים בנתונים אישיים עברו הכשרה, מחויבים לסודיות ומודעים לחלוטין לחובות ההגנה על נתונים שלהם.

אבטחה (חוזרת)

• שופרוקט מעדכנת באופן מתמשך אמצעי אבטחה טכניים/ארגוניים כדי למנוע עיבוד בלתי מורשה, כולל הצפנה, עמידות מערכת, יכולת שחזור ובדיקת אפקטיביות.

---

פריצת נתונים אישיים

1. הודעה

   • שופרוקט תודיע לך בתוך 72 שעות (ובלי דיחוי מיותר) אם היא מודעת ל:

     1. אובדן/נזק לנתונים אישיים;

     2. כל עיבוד בלתי מכוון, בלתי מורשה או בלתי חוקי;

     3. פריצת נתונים אישיים.

2. מידע

   • שופרוקט מספקת תיאור של האירוע, קטגוריות/מספרים של נתונים שנפגעו, ואמצעים שננקטו או מוצעים כדי להקל על ההשפעה.

3. שיתוף פעולה

   • שופרוקט משתפת פעולה איתך בחקירה ולא תודיע לצדדים שלישיים ללא הסכמתך בכתב אלא אם כן נדרשה בכך החוק.

4. עלויות

   • שופרוקט מכסה הוצאות סבירות עבור התחייבויות אלו אלא אם האירוע נובע מההנחיות שלך, רשלנות או הפרה, במקרה זה אתה מכסה את ההוצאות הסבירות של שופרוקט (כולל יועצים מקצועיים).

---

תתי-מעבדים

שופרוקט משתמשת כיום בתתי-המעבדים הבאיםhosting/processing נתונים, שירותים תשתית/רשת, או פונקציות שירות אחרות:

שם	תיאור	מיקום
200OK LLC (Profitwell)	דיווח/אנליטיקה של מנוי.	MA, ארה"ב
Amazon Web Services EMEA SARL	אחסון בענן, חישוב, אחסון.	לוקסמבורג, האיחוד האירופי
Automattic, Inc. (Gravatar)	מאפשר למשתמשים להעלות תמונות פרופיל לחשבונות שופרוקט.	CA, ארה"ב
Cloudflare, Inc.	אבטחת רשת וחיבוריות.	CA, ארה"ב
Crisp IM SAS	אפליקציית צ'אט חי וודאות למשתמשים.	צרפת, האיחוד האירופי
טכנולוגיות פייסבוק אירלנד	פיקסלים של פייסבוק עבור המרות, אופטימיזציה של פרסומות, בניית קהלים.	אירלנד, האיחוד האירופי
Google Ireland Limited	אנליטיקת גוגל (אנליטיקה של התנהגות), Adwords (הצבת פרסומות/מונטיזציה).	אירלנד, האיחוד האירופי
GmbH	אחסון בענן, חישוב ואחסון.	גרמניה, האיחוד האירופי
TPS Unlimited, Inc. (Taxjar)	אוטומציה של מס עבור VAT של האיחוד האירופי ומס מכירות של ארה"ב על חנויות שופרוקט.	CA, ארה"ב
Twilio, Inc. (Sendgrid)	מסרים רב ערוציים (דואר אלקטרוני, SMS, WhatsApp).	אירלנד, האיחוד האירופי
Twitter, Inc.	פיקסל טוויטר עבור מעקב המרות ומדדי ביצועי פרסומות.	CA, ארה"ב

אתה מאשר לשופרוקט להשתמש בתתי-מעבדים הנ"ל ומעניק אישור כללי לשופרוקט להוסיף אחרים ("תתי-מעבדים מורשים"). שופרוקט תספק לפחות 30 ימים הודעה (באמצעות אתר אינטרנט, דואר אלקטרוני, או הודעה בחשבון) לפני השימוש בתת-מעבד חדש. אתה יכול להתנגד בתוך 10 ימים מההודעה, בכתב, על בסיס הגנות פרטיות סבירות. אם תת-מעבד חיוני מעורב ולא נמצא אלטרנטיבה תוך 90 ימים, אתה יכול להפסיק או להפסיק את השירותים הרלוונטיים (עדיין לשלם כל תשלום שמגיע).

אם אינך מתנגד בתוך 10 ימים, תת-מעבד החדש נחשב כמבוקר. כאשר שופרוקט מעסיקה תת-מעבד, היא:

• מגבילה גישה רק למה שדרוש עבור מתן או שיפור השירותים;

• מטילה את אותן התחייבויות הגנה על נתונים עליהם;

• נשארת אחראית לתאימותם.

אם SCCs חלים, האישור שלך נחשב כהסכמה בכתב קודמת לפי סעיף 9(c) או סעיפים רלוונטיים של SCCs של בריטניה. שופרוקט עשויה להחסיר פרטים מסחריים לא חיוניים לפני שיתוף חוזים לתת-עיבוד איתך.

---

העברות של נתונים אישיים

שופרוקט עשויה להעביר נתונים אישיים מחוץ ל-EEA, UK או שוויץ כדי לספק את השירותים (למשל, חלק מהמוציאים לאור תוספות/תתי-מעבדים בארצות הברית). כאשר לא חלה החלטת נאותות, שופרוקט תבטיח אמצעי הגנה מתאימים לפי חוקי הגנת הנתונים.

• העברות Ex-EEA: מכוסות על ידי SCCs של האיחוד האירופי (מודול אחד עבור שופרוקט כבקר, מודול שני עבור שופרוקט כמפענח). סעיפים מסוימים (למשל, דוקינג בסעיף 7) אינם חלים; סכסוכים כפופים לחוקי/בתי המשפט האיריים.

• העברות Ex-UK: מכוסות על ידי תוספת IDTA.

• העברות משוויץ: דומות ל-SCCs של האיחוד האירופי, עם התאמות לחוקי הגנת הנתונים השוויצריים.

• אמצעים משלימים:

  • אין בקשות גישה לנתונים ממשלתיות רשמיות במועד תוספת זו.

  • אם נדרשת לחשוף את הנתונים שלך, שופרוקט תודיע לך (אלא אם זה אסור) ותסייע לך לחפש אמצעי הגנה.

  • שופרוקט ואתה תדונו באופן רגיל אם החוקים במדינה המייבאת מספקים הגנה שוות ערך או דורשים אמצעים נוספים.

  • אם כל מנגנון העברה מפסיק להיות תקף או רשות פיקוח עוצרת אותו, שופרוקט עשויה ליישם הסדרים חלופיים או להפסיק העברות.

כאשר אתה מאשר תת-מעבד/תוספת מחוץ ל-EEA, אתה גם מאשר לשופרוקט לחתום על SCCs בשמך.

---

תלונות, בקשות של נושאי נתונים וזכויות צדדים שלישיים

שופרוקט תספק לך במהירות כל מידע או סיוע שתצטרך כדי:

1. למלא זכויות של נושאי נתונים (גישה, תיקון, מחיקה, ניידות, התנגדויות וכו ').

2. לטפל או לעמוד בהודעות/בקשות ממסדיות.

שופרוקט מודיעה לך מיד אם היא מקבלת תלונות או התכתבויות לגבי העיבוד, ובתוך 14 ימים אם היא מקבלת בקשה של נושא הנתונים. שופרוקט מסייעת בתגובה, ולא תחשוף נתונים אישיים לצדדים שלישיים אלא אם נדרשה החוק או בהנחיות שלך.

---

משך וסיום

תוספת זו נשארת בתוקף כל עוד ההסכם בתוקף, או שופרוקט מחזיקה בכל נתונים אישיים קשורים. הוראות שחייבות לשרוד לשם הגנת נתונים נשארות בתוקף. כל הפרה מהותית של DPA זו היא הפרה מהותית של ההסכם, והזכות שלך לסיים מיד ללא חבות נוספת.

אם שינויים בחוקי הגנת הנתונים מונעים צד אחד למלא את התחייבויותיו, הצדדים יכולים להפסיק עיבוד עד להגשמת תאימות. אם לא ייפתר תוך 90 יום, כל צד יכול לסיים את ההסכם בהודעה מיידית.

---

החזרת נתונים והשמדתם

• בהתאם לבקשה, שופרוקט מספקת לך (או צד שלישי שאתה ממנה בכתב) עותקים או גישה לנתונים אישיים בפורמט שאתה מציין (בהתאם להיגיון).

• כשההסכם מסתיים, שופרוקט מחזירה או מוחקת נתונים אישיים אלא אם כן נדרש על פי החוק להמשיך באחסון. אם מחיקה אינה אפשרית או לא חוקית, שופרוקט חוסמת עיבוד נוסף וממשיכה להגן על הנתונים.

• אישורים של SCC: אם SCCs חלים, שופרוקט תאשר מחיקה בהתאם לסעיף 8.1(d) של SCCs של האיחוד האירופי (או SCCs של בריטניה) לפי בקשתך בכתב.

• אם כל חוק/רגולציה מחייבת את שופרוקט לשמור על נתונים מסוימים, היא תודיע לך על הבסיס, לוח הזמן, ולאחר מכן תמחוק כאשר זה כבר לא יתבקש.

• שופרוקט מאשרת את המחיקה תוך 30 ימים לאחר סיום הפעולה.

---

רשומות

שופרוקט שומרת רשומות מפורטות, מדויקות ומעודכנות של כל עיבוד נתונים אישיים (למשל, אמצעי אבטחה, תתי מעבדים, מטרות עיבוד, כל העברות בינלאומיות). רשומות אלו חייבות לאפשר לך לוודא את תאימות שופרוקט. עותקים מסופקים לפי בקשה.

---

ערבויות

שופרוקט ערב שהיא:

1. עובדיה, קבלניה או סוכניה הגישה לנתונים אישיים הם אמינים, מהימנים ומאומנים בהתאם.

2. היא תעבד נתונים אישיים בתאימות מלאה עם חוקי הגנת הנתונים וחוקים נלווים.

3. אין לה סיבה להאמין שהחוק מונע את מתן השירותים המוסכמים.

4. בהתחשב בטכנולוגיה ועלויות, היא נוקטת אמצעים מתאימים כדי למנוע עיבוד בלתי מורשה או נזק/אובדן לא מכוון, להבטיח אבטחה פרופורציונלית לסיכון ולרגישות הנתונים.

---

ביצוע ושינויים

על ידי החתימה על ההסכם, אתה מסכים לתוספת זו ומחוייב לה. שופרוקט עשויה לעדכן תוספה זו לאחר 30 ימים בלבד בהודעה בכתב אם יש צורך מסיבות חוקיות או רגולטוריות. אם אתה מתנגד ולא הושג פתרון הדדי, אתה יכול לסיים את השירותים הנוגעים להודעה בכתב בתקופה זו (והחוב כלפי כל תשלום הנדרש). לא יוגשו תביעות נוספות בעקבות סיום כזה.

נספח א

סטנדרטים של אבטחת שופרוקט

(מונחים המוזכרים כאן באותיות רמאות לא מוגדרים כאן יש להם את המשמעות שניתנה להם בתוספת.)

נספח זה מפרט את האמצעים הטכניים והארגוניים של שופרוקט כדי:

1. לאבטח נתונים אישיים מפני אובדן, גישה או גילוי לא מכוונים או בלתי חוקיים;

2. לזהות סיכונים צפויים לאבטחה ולמנוע גישה בלתי מורשית לשירותים (כולל החשבון שלך בשופרוקט);

3. מזעור סיכוני אבטחה באמצעות הערכות סיכון ובדיקות.

שופרוקט ממנה אחד או יותר עובדים לפקח על פעולות האבטחה של מידע אלו ולענות על שאלות הקשורות אליהם.

---

1. מודל אחריות משותפת

שופרוקט היא אפליקציה מבוססת על ענן, SaaS המאוחסנת על ידי:

• Amazon Web Services (AWS) באזור eu-west-1 (אירלנד)

• Hetzner Online בפלקנשטין, גרמניה

AWS מפעילה את הפלטפורמה העיקרית של שופרוקט, תשתיות ואחסון נתונים. Hetzner Online מספקת מקום שרת נוסף ייעודי לתמונות, הורדות דיגיטליות, יומנים וחשבוניות. תחת מודל זה:

• שופרוקט מנהלת את אבטחת רמת היישום (למשל, גישה למשתמש, תיקונים ליישומים).

• AWS / Hetzner מנהלים את האבטחה הפיזית ואת הסביבה המבוססת על הענן.

לפרטים נוספים על האבטחה של AWS ושל Hetzner, ראה את התיעוד שלהם.

---

2. שרתי AWS ו-Hetzner Online

AWS

שופרוקט בחרה ב-AWS לאחר בחינה זהירה לפי הסעיפים 28(3)(c) ו-32 של GDPR של בריטניה. AWS מוסמכת לפי מספר סטנדרטים (למשל, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) ומספקת תיעוד תאימות נרחב. שופרוקט מגדרת את AWS לאחסן נתונים אישיים רק באיחוד האירופי/EEA.

Hetzner Online

Hetzner Online, מוסמכת לפי DIN ISO/IEC 27001, מספקת מקום שרת ייעודי לגיבויים מסוימים וליומנים. מרכזי הנתונים של Hetzner Online בנירנברג ובפלקנשטין מעודקים ומוסמכים על ידי צדדים שלישיים, ומיישמים מערכת ניהול אבטחת מידע (ISMS).

---

3. עיצוב, שלמות וזמינות של אפליקציית שופרוקט

• ארכיטקטורה: בנויה באמצעות מסגרת JavaScript, אפליקציית שופרוקט מתבססת על שירות מאגר נתונים רלציוני של אמזון (Amazon RDS) עבור MySQL.

• ביצועים גבוהים ויתרון: AWS מטיפול אוטומטי באיזון עומסים, ושופרוקט שומרת גיבויים יומיים על Amazon S3. הגיבויים מאוחסנים באזורים שונים של AWS לעמידות. בנוסף, גיבויים מאוחסנים בשרתים הייעודיים של Hetzner Online (עם מערכות דיסק RAID-1).

• אבטחה בעיצוב: שופרוקט בודקת באופן קבוע פגיעויות רשת ידועות (למשל, OWASP Top Ten) ומיישמת הגנה מפני XSS וחיטוי. צד שלישי מומחה בודק מדי שנה את הקוד והתשתית לפגיעויות, יחד עם שירות סריקת פגיעויות מצד שלישי.

---

4. הצפנה

• בכוונה: נתונים אישיים ב-AWS/Hetzner מוצפנים באמצעות AES-256 או גבוה יותר.

• ניהול מפתחות: שירות ניהול המפתחות של AWS (KMS) מבטיח שאף אחד (כולל צוות AWS) לא יכול לגשת למפתחות טקסט גלוי; המפתחות מסתובבים מדי שנה. Hetzner מיישמת הצפנה AES-256 על כל הדיסק יחד עם אימות חובה.

• במהלך העברת נתונים: כל העברות נתונים חיצוניות משתמשות בTLS 1.2+. APIs וראיונות אינטרנט דורשים HTTPS (אין חיבורים לא מוצפנים).

---

5. הגבלת מיקומי השרתים ל-EEA/האיחוד האירופי

שופרוקט מאחסנת נתונים רק ב-EA (AWS באירלנד, Hetzner בגרמניה), ומצמצמת את הסיכונים הקשורים להעברות נתונים שאינן של ה-EEA (למשל, עמידות חוקיות לפי ההחלטה של שקרם II).

---

6. אזורי זמינות

המערכות הקדמיות/אחוריות של שופרוקט פזורות באופן יתר על פני מספר אזורי זמינות (גם ב-AWS וגם ב-Hetzner). כל אזור יש לו מספר ספקי אינטרנט, מקורות כוח, וקישורים מהירים, ומבטיח זמינות גבוהה וביצועים אופטימליים.

---

7. זיהוי חדירה

שופרוקט משתמשת במערכת זיהוי חדירה (IDS) לפקח על:

• יומני אירועים עבור רשומות לא רגילות,

• שינויים באיתור תיק,

• תעבורת רשת (חיקוי, פגיעויות מוכרות, רוט קיטים),

• שינויים בנמל, ו

• אירועי חשבון AWS (למשל, שינויים בקונפיגורציה).

חריגות קריטיות מפעילות את אמצעי מניעה אוטומטיים. ה-IDS תומך גם בדרישות PCI DSS 3.0.

---

8. רישום / שביל ביקורת

שופרוקט רושמת:

• אירועי מערכת,

• שגיאות,

• פעילות משתמשים,

• כניסות/בקשות למאגר נתונים,

• אירועים אחרים הקשורים לאבטחה.

באמצעות AWS CloudTrail, שופרוקט רושמת את כל האירועים בסביבות הענן שלה לצורך שקיפות ולזכויות.

---

9. פיקוח

שופרוקט משתמשת במספר כלי פיקוח כדי להבטיח זמינות וביצועים, ועוקבת על:

• זמינות: נגישות האפליקציה, בריאות מערכת/אחורית;

• משאבים: CPU, ממשקי רשת, שימוש באחסון;

• ביצועים: זמני תגובה של האפליקציה/מאגר הנתונים;

• אבטחה: מצב IDS, עדכוני מערכת, יומני שגיאות/גישה.

צוות שופרוקט גם עוקב אחרי עדכוני אבטחה, דוחות פגיעות, ובלוגי אבטחה רלוונטיים (כמו OWASP).

---

10. בדיקות אבטחה ובדיקות חדירה

שופרוקט מבצעת בדיקות אבטחה פנימיות וחיצוניות באופן תקופתי. ספקים חיצוניים בודקים פגיעויות, בעוד שבדיקות פנימיות מעריכות את האמצעים הטכניים והארגוניים לאפקטיביות.

---

11. ניהול שינויים

שופרוקט שומרת על מאגרי מידע עם שליטה על גרסאות לשינויים בקוד, עם סביבה דמוי ייצור. שינויים נבדקים טרם פריסה, כדי להבטיח מעקב אחר זמן/תוכן.

---

12. בקרת גישה

• עיקרון צורך לדעת: רק עובדים שתפקידיהם דורשים גישה למערכת מקבלים אותה.

• מערכות IAM: בקרת גישה עושה שימוש בניהול זהות של AWS/Hetzner.

• אבטחה: מערכות אחוריות נגישות רק דרך חיבורים מאובטחים ומאומתים. מספר מאוד מצומצם של עובדים בעלי גישה ישירה לנתונים למטרות אבחנתיות; גישה כזו נרשמת ומנוטרת.

נספח ב

העברות跨י-גבול

חלק 1 - העברות Ex-EEA

1. נספח I.A של סעיפים חוזיים סטנדרטיים (SCCs)

   • מייצא נתונים: אתה (בהתאם להסכם).

     • פרטי קשר: בהתאם להסכם.

     • תפקיד: בקר נתונים.

     • מודול אחד: מייבא נתונים הינו בקר נתונים (עבור נתוני חשבון לקוח ונתוני שימוש לקוח).

     • מודול שני: מייבא נתונים הוא מעבד נתונים (עבור כל שאר הנתונים האישיים).

     • חתימה/תאריך: על ידי הכניסה להסכם ול-DPA, מייצא הנתונים נחשב כחף מהחתימה על ה-SCCs במועד היעיל.

   • מייבא נתונים: שופרוקט.

     • פרטי קשר: בהתאם להסכם.

     • חתימה/תאריך: על ידי הכניסה להסכם ול-DPA, מייבא הנתונים נחשב כחף מהחתימה על ה-SCCs במועד היעיל.

2. נספח I.B של ה-SCCs

   • נושאי נתונים: מתוארת בהקשר 4.6 של התוספת.

   • קטגוריות נתונים אישיים: מתוארת בהקשר 4.5 של התוספת.

   • לא קיימים נתונים משויכים למכוני ישומים המיועדים להעברה.

   • תדירות: באופן רציף במשך כל תקופת ההסכם.

   • מהות: ראה סעיף 4.4 של התוספת.

   • מטרה: ראה סעיף 4.3 של התוספת.

   • שימור: במשך תקופת ההסכם אלא אם נאמר אחרת.

   • העברות תתי-מעבדים: נושא, מהות ומשך לפי סעיף 9 של התוספת.

3. נספח I.C של ה-SCCs

   • רשות פיקוח מוסמכת: בהתאם לסעיף 10(e) של התוספת.

   • סטנדרטים לאבטחת שופרוקט (נספח א) ממלאים את דרישות נספח II העוסק ב-SCC.

4. סכסוכים

   • אם יש סכסוך בין ה-SCCs לבין ה-DPA או ההסכם, ה-SCCs מקדימים.

---

חלק 2 - העברות Ex-UK

1. הIDTA Addendum חל על העברות Ex-UK, היעיל 21 במרץ 2022.

2. תנאים שאינם מוגדרים בהסכם או ב-DPA עוקבים אחר המשמעות בחלק 2 של נספח 2 (סעיפים מחייבים).

חלק 1: טבלאות

טבלת 1 של תוספת IDTA

1. טבלה 1

   • מייצא נתונים: אתה (בהתאם להסכם).

     • פרטי קשר: בהתאם להסכם.

     • חתימה/תאריך: על ידי הכניסה להסכם ולתוספת, המייצא נחשב כחף מהחתימה על תוספת IDTA במועד היעיל.

   • מייבא נתונים: שופרוקט.

     • פרטי קשר: בהתאם להסכם.

     • חתימה/תאריך: על ידי הכניסה להסכם ול-DPA, המייבא נחשב כחף מהחתימה על תוספת IDTA במועד היעיל.

טבלת 2 של תוספת IDTA

1. טבלה 2

   • SCCs מאושרות מהאיחוד האירופי: הסעיפים/מודולים מה-SCCs המאושרות מהאיחוד האירופי בתוקף עבור תוספת זו.

   • מודולים/סעיפים בשימוש:

     • מודול 1 ו-מודול 2, סעיף 7 וסעיף 11 (אופציה) אינם חלים, סעיף 9a הוא אישור כללי עם תקופה של הודעה של 30 יום (סעיף 9.2 של התוספת).

     • אין שילוב של נתונים אישיים מהמייבא עם נתונים מהמייצא.

טבלת 3 של תוספת IDTA

1. נספח I.A

   • מייצא נתונים: אתה (בקר).

   • מייבא נתונים: שופרוקט (בקר עבור נתוני חשבון לקוח/נתוני שימוש; מעבד עבור נתונים אישי אחרים).

   • חתימה/תאריך: נחשב לחתום בעת כניסה להסכם ול-DPA.

2. נספח I.B

   • נושאי נתונים, קטגוריות נתונים, העדר נתוני קטגוריה מיוחדת, העברות רציפות, מהות/מטרה של העיבוד, ושימור תואמים סעיפים 4.4, 4.3, 4.5, 4.6 של התוספת.

   • מידע על תתי-מעבדים לפי סעיף 9 של התוספת.

   • נספח III (רשימת תתי-מעבדים) אינו חל, מכיוון ששופרוקט משתמשת באישור כללי.

טבלת 4 של תוספת IDTA

1. המייבא יכול לסיים את תוספת ה-IDTA זו לפי סעיף 26 של תוספת IDTA זו.

חלק 2: סעיפים מחייבים

1. כל צד מחויב בתנאים של תוספת IDTA זו בתמורה להסכמת הצד השני, ומאפשר לנושאי נתונים להפעיל זכויות כפי שנאמר.

2. כניסת תוספת IDTA זו שווה לחתימה על ה-SCCs המאושרות (כולל כל חתימה נדרשת בהתאם לנספח 1A/סעיף 7).

פרשנות

1. מונחים מ-SCCs המאושרות נושאים את אותה משמעות כאן; מונחים רלוונטיים נוספים (למשל, "SCCs של תוספת האיחוד האירופי," "תוספת מאושרת," "חוקי הגנת המידע בבריטניה") מוגדרים בתוך תוספת IDTA זו.

2. תוספת IDTA זו יש לפרש בהתאמה עם חוקי הגנת המידע בבריטניה וחובת קיום "אמצעי הגנה מתאימים".

3. כל שינוי ב-SCCs המאושרות שלא מורשה תחת SCCs הללו או תוספת מאושרת הוא לא בתוקף. הוראות סותרות חוזרות לסעיפים שלא תוקנו.

4. אם יש סתירה עם חוקי הגנת המידע בבריטניה, האחרונים מתקבלים.

5. כל אמביגואיות ייפתרו בצורה הטובה ביותר כך שתשקף את חוקי הגנת המידע בבריטניה.

6. אזכורים לחוקים כוללים כל גרסה מעודכנת או מאוחדת.

היררכיה

1. סעיף 5 של ה-SCCs המאושרות קובע כי הם גוברים על הסכמים אחרים, אבל עבור העברות מוגבלות, ההיררכיה בסעיף 17 להלן חלה.

2. אם יש סתירה או סתירות עם SCCs המאושרות, התוספת המאושרת גוברת אלא אם כן ה-SCCs מספקות הגנה גדולה יותר לנושאי הנתונים, במקרים אלו התנאים של ה-SCC מכן גוברים.

3. שום דבר כאן לא משפיע על SCCs שמנסות הצדדים להשתמש בהן לצורך תאימות עם ה-GDPR של האיחוד האירופי.

הכללה ושינויים ל-SCCs של האיחוד האירופי

1. תוספת IDTA זו כוללת את SCCs המאושרות עם שינויים הנדרשים כך שהם יתפקדו להעברות קשורות לבריטניה, יעקפו את היררכיה של סעיף 5, ויבטיחו שהם יכפופים לחוק/בתי המשפט של אנגליה (אלא אם נבחר אחרת עבור סקוטלנד או צפון אירלנד).

2. אם לא הוסכם על אלטרנטיבה ספציפית, סעיף 22 חל.

3. אין לאפשר שינויים נוספים ב-SCCs המאושרות מעבר למה שנדרש בסעיף 19.

4. שינויים ל-SCCs של תוספת האיחוד האירופי כוללים הבהרות הנוגעות להתייחסויות לחוקי הגנת המידע בריטיים, החלפת המונחים לרגולציה (האיחוד האירופי) 2016/679 ב- "חוקי הגנת המידע הבריטיים,", הסרת התייחסויות לרגולציה (האיחוד האירופי) 2018/1725, והתאמת סעיפים 17/18 לחוק/בתי המשפט של אנגליה, וכו'. הערות שוליים אינן חלק מהתוספת אלא אם כן הערות שוליים 8, 9, 10, 11.

שינויים בתוספת IDTA זו

1. צדדים יכולים לשנות סעיפים 17 או 18 להתייחסות לבתי המשפט הסקוטיים או הצפון איריים.

2. צדדים יכולים גם להתאים את פורמט הטבלאות בהסכמה בכתב הדדית, ולהבטיח כי רמת ההגנה נותרת זהה.

3. ה-ICO יכול להנפיק תוספת מאושרת מעת לעת, אשר אוטומטית משנה תוספת IDTA זו מתאריך הכניסה שלה, עשויה לדרוש ביקורת על ידי הצדדים.

4. אם השינויים של ה-ICO מגבירים באופן משמעותי ולא פרופורציונלי את עלויות או הסיכונים של צד, ואין אפשרות להפחית את העלויות/סיכונים הללו, אותו צד יכול לסיים את תוספת IDTA זו עם את הצד השני בהודעה קודם למועד כניסת תוספת זו לתוקף.

5. אין צורך בהסכמת צד שלישי לשינויים, אך השינויים חייבים לעמוד בתנאים של תוספת IDTA זו.