डेटा प्रोसेसिंग ऐडंडम

यह Shoprocket डेटा प्रोसेसिंग ऐडेंडम ("ऐडेंडम") Shoprocket नियम और शर्तें ("समझौता") को संशोधित करता है जो आपके ("आप") और Shoprocket LTD (कंपनी संख्या 12656598, इंग्लैंड और वेल्स में रजिस्टर्ड, 20-22 वेनलॉक रोड, लंदन, NG 17U) के बीच है। यदि आपके पास Shoprocket के साथ कोई अलग SLA है, तो समझौते के संदर्भ में SLA का मतलब है। यह ऐडेंडम समझौते के अंतर्गत है और इसमें शामिल है। यहां परिभाषित नहीं किए गए किसी भी बड़े शब्द का अर्थ समझौते में दिया गया है।

परिभाषाएँ

खाता सेटिंग्स: आपके Shoprocket खाते के लिए कॉन्फ़िगरेशन (सुरक्षा सहित) जो आपको प्रबंधित करने देते हैं कि Shoprocket व्यक्तिगत डेटा को कैसे प्रोसेस करता है।
व्यवसायिक उद्देश्यों: समझौते में परिभाषित सेवाएँ।
क्लाइंट खाता डेटा: Shoprocket के साथ आपके रिश्ते के बारे में व्यक्तिगत डेटा (जैसे कि अधिकृत संपर्क, बिलिंग विवरण), इसके अतिरिक्त जानकारी जो Shoprocket खाता प्रबंधन, पहचान जांच, या कानूनी आवश्यकताओं के लिए एकत्र करता है।
क्लाइंट उपयोग डेटा: सेवा के उपयोग से संबंधित Shoprocket द्वारा प्रोसेस किया गया उपयोग डेटा (जैसे कि लॉग, प्रदर्शन मेट्रिक्स, दुरुपयोग रोकथाम डेटा)।
डेटा सुरक्षा कानून: CCPA, EU GDPR, स्विस संघीय डेटा सुरक्षा अधिनियम, UK GDPR, DPA 2018, और PECR 2003 सहित, प्रत्येक को अद्यतन किया गया। शर्तें (जैसे कि "डेटा नियंत्रक," "डेटा प्रोसेसर") EU GDPR के अनुसार हैं।
ईईए: यूरोपीय आर्थिक क्षेत्र।
ईयू एससीसी: कमीशन निर्णय 2021/914 के अनुसार मानक संविदागत धाराएँ।
एक्स-ईईए ट्रांसफर: व्यक्तिगत डेटा का (EU GDPR के तहत) ईईए के बाहर बिना अनुच्छेद 45 EU GDPR के तहत एक उचितता निर्णय के ट्रांसफर।
एक्स-यूके ट्रांसफर: व्यक्तिगत डेटा का (UK GDPR के तहत) यूके के बाहर बिना यूके राज्य सचिव द्वारा एक उचितता निर्णय के ट्रांसफर।
सेवा प्रदाता: CCPA में परिभाषित।
सेवाएँ: ऑनलाइन स्टोर ("Shoprocket स्टोर") बनाने/प्रबंधित करने के लिए Shoprocket के उपकरण, उत्पादों, भुगतान, शिपिंग, विपणन को संभालना, और कोई भी उपकरण या सेवा जो Shoprocket प्रदान कर सकता है।
Shoprocket खाता: आपके खाते को सेवाओं तक पहुँच प्रदान करना, जिसमें खाता सेटिंग्स शामिल हैं, https://www.shoprocket.io पर।
Shoprocket गोपनीयता नीति: https://shoprocket.io/privacy पर सूचना, जैसा कि अद्यतन किया गया।
Shoprocket स्टोर: आपका ई-कॉमर्स साइट जो Shoprocket द्वारा होस्ट या सहायक है।
विशेष श्रेणी डेटा: EU/UK GDPR के अनुच्छेद 4(13), 4(14), 4(15), और 9 में परिभाषित जैसा।
मानक संविदागत धाराएँ (SCCs): संबंधित EU SCCs और UK SCCs।
यूके एससीसी: ब्रिटेन ICO के IDTA ऐडेंडम द्वारा संशोधित EU एससीसी।
हम/हमारा: Shoprocket LTD (जिसमें "Shoprocket" और "Shoprocket.io" शामिल हैं)।
आप/आपका: समझौते में नामित संविदात्मक पार्टी।

ग्राहक निर्देश

यह ऐडेंडम और समझौता (आपकी खाता सेटिंग्स में निर्देश सहित) व्यक्तित्व डेटा को प्रोसेस करने के लिए Shoprocket के लिए एक प्रलेखित निर्देश बनाता है। Shoprocket केवल निर्देश के अनुसार व्यक्तिगत डेटा को प्रोसेस करेगा। इन शर्तों के अलावा अतिरिक्त निर्देशों की आवश्यकता पूर्व लिखित सहमति की है (और संभवतः अतिरिक्त शुल्क लग सकते हैं)।

यदि आपके निर्देश डेटा सुरक्षा कानूनों का उल्लंघन करते हैं या सहमत निर्देशों से विचलित होते हैं, तो Shoprocket इस ऐडेंडम और समझौते को समाप्त कर सकता है। प्रोसेसिंग की प्रकृति को देखते हुए, Shoprocket सामान्यतः यह नहीं बता सकता कि आपके निर्देश कानून का उल्लंघन कर रहे हैं; यदि ऐसा विचार बनता है, तो यह आपको सूचित करेगा, और आप निर्देशों को संशोधित या वापस ले सकते हैं।

डेटा प्रोसेसिंग

Shoprocket's प्रोसेसिंग
- डेटा प्रोसेसर/सेवा प्रदाता: क्लाइंट खाता डेटा और क्लाइंट उपयोग डेटा को छोड़कर, Shoprocket आपकी ओर से व्यक्तिगत डेटा (EU/UK GDPR के तहत) या व्यक्तिगत सूचना (CCPA के तहत) प्रोसेस करता है।
- स्वतंत्र डेटा नियंत्रक: Store ग्राहकों से सीधे एकत्र किए गए व्यक्तिगत डेटा और क्लाइंट खाता डेटा या क्लाइंट उपयोग डेटा के लिए Shoprocket एक डेटा नियंत्रक है।
भंडारण
- व्यक्तिगत डेटा निम्न पर संग्रहीत है:
  1. आयरलैंड में AWS सर्वर (या अन्य EEA क्षेत्र),
  2. न्यूरेमबर्ग/फाल्केनस्टीन (जर्मनी) में Hetzner सर्वर।
परिधि और उद्देश्य
- Shoprocket केवल आवश्यकतानुसार व्यक्तिगत डेटा को प्रोसेस करता है जिसे आप निर्दिष्ट करते हैं (खरीदी गई सेवाओं के अनुसार) और डेटा सुरक्षा कानूनों के अनुपालन में।
- यदि कानून द्वारा अलग तरीके से प्रोसेस करने की आवश्यकता है, तो Shoprocket आपको सूचित करेगा जब तक कि कानून द्वारा मना नहीं किया गया है।
- Shoprocket आपके लिखित निर्देशों का पालन करता है कि व्यक्तिगत डेटा को संशोधित, हस्तांतरित या हटाने के लिए, या अनधिकृत प्रोसेसिंग को रोकने के लिए।
- Shoprocket व्यक्तिगत डेटा को गोपनीय रखता है जब तक कि प्रकटीकरण को अधिकृत नहीं किया जाता या कानूनी रूप से आवश्यक नहीं होता।
- Shoprocket आपकी अनुपालन की जिम्मेदारियों में सहायता करता है (जैसे, डेटा विषय अनुरोध, DPIAs) बिना किसी अतिरिक्त लागत के।
- Shoprocket आपको कानूनी परिवर्तनों के बारे में सूचित करता है जो समझौते या इस ऐडेंडम को प्रभावित कर सकते हैं।
Shoprocket के रूप में स्वतंत्र डेटा नियंत्रक
- क्लाइंट खाता डेटा और क्लाइंट उपयोग डेटा के लिए, Shoprocket एक संयुक्त नियंत्रक नहीं है बल्कि आपको प्रबंधित करने, धोखाधड़ी/सुरक्षा घटनाओं को रोकने, कानूनी दायित्वों को पूरा करने आदि के लिए उस डेटा को प्रोसेस करता है, जो Shoprocket गोपनीयता नीति के अनुसार है।
CCPA
- क्लाइंट खाता डेटा और क्लाइंट उपयोग डेटा को छोड़कर, Shoprocket CCPA के तहत आपका सेवा प्रदाता है; यह ऐसे व्यक्तिगत जानकारी को "बेचेंगे" नहीं और केवल सेवाओं को करने के लिए या कानून द्वारा अनुमत तरीके से इसका उपयोग करेगा।
ऐड-ऑन
- आप प्रत्येक प्रकाशक के साथ अलग-अलग ईयूएलए के तहत तृतीय-पक्ष ऐड-ऑन ("ऐड-ऑन") को एकीकृत कर सकते हैं। Shoprocket आवश्यक व्यक्तिगत डेटा को ऐड-ऑन प्रकाशक को हस्तांतरित करता है, लेकिन उनके प्रोसेसिंग के लिए जिम्मेदार नहीं है। Shoprocket द्वारा विपणन किए गए वर्तमान ऐड-ऑन में शामिल हैं:
  - Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: मल्टी-चैनल पूर्ति और सिंकिंग।
  - Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: विभिन्न तरीकों/मुद्राओं का समर्थन करने वाले भुगतान एकीकरण।
  - Zapier: Shoprocket और अन्य अनुप्रयोगों के बीच डेटा ट्रांसफर/वर्कफ्लो को स्वचालित करता है।
- यदि Shoprocket और आपके पास एससीसी हैं, तो ऐड-ऑन को एकीकृत करने का आपका निर्देश उन ऐड-ऑन प्रकाशकों को व्यक्तिगत डेटा हस्तांतरित करने के लिए सहमति के रूप में माना जाता है यदि एससीसी द्वारा आवश्यक है।
आपकी जिम्मेदारियाँ
- आप किसी भी व्यक्तिगत डेटा के डेटा नियंत्रक हैं जिसे Shoprocket आपकी ओर से एकत्र या प्रोसेस करता है।
- आप नोटिस/सहमति आवश्यकताओं को पूरा करने और डेटा सुरक्षा कानूनों के अनुपालन को सुनिश्चित करने के लिए जिम्मेदार हैं।

व्यक्तिगत डेटा प्रकार और प्रोसेसिंग उद्देश्य

विषय वस्तु: व्यक्तिगत डेटा जिसे आप सेवाओं में अपलोड करते हैं, जिसमें आपका Shoprocket खाता या स्टोर शामिल है।
अवधि: आपके द्वारा निर्धारित (जब तक आप अपने Shoprocket सदस्यता या संबंधित एकीकरण को निलंबित/समाप्त नहीं करते)।
उद्देश्य: आपकी निर्देशानुसार सेवाएँ प्रदान करना (जैसे, आपके Shoprocket स्टोर/खाता का संचालन)।
प्रोसेसिंग का स्वभाव: Shoprocket's ईकॉमर्स प्लेटफॉर्म (और कोई उप-प्रोसेसर/ऐड-ऑन प्रकाशक) व्यक्तिगत डेटा को संग्रहीत या प्रोसेस कर सकते हैं।
व्यक्तिगत डेटा के प्रकार: डेटा जिसे आप अपलोड करते हैं (जैसे कि संपर्क जानकारी, ग्राहक विवरण, लेनदेन रिकॉर्ड)।
डेटा विषय: आप, आपके ग्राहक, कर्मचारी, ठेकेदार, एजेंट, आपूर्तिकर्ता, या विक्रेता।

डेटा प्रोसेसिंग की सुरक्षा

Shoprocket व्यक्तिगत डेटा को अनधिकृत या अवैध प्रोसेसिंग, आकस्मिक हानि, या विनाश के खिलाफ सुरक्षित रखने के लिए उचित तकनीकी और संगठनात्मक उपाय बनाए रखेगा - अनुच्छेद 32 के साथ मेल खा कर EU/UK GDPR का। उपायों में (जैसा कि उचित हो):

डेटा का उपन्यासन/एनक्रिप्शन;
प्रणालियों की गोपनीयता, अखंडता, उपलब्धता, और लचीलापन को सुनिश्चित करना;
घटनाओं के बाद समय पर डेटा उपलब्धता को पुनर्स्थापित करना;
नियमित रूप से इन उपायों का परीक्षण, आकलन, और मूल्यांकन करना।

Shoprocket's कर्मचारी

Shoprocket सुनिश्चित करता है कि व्यक्तिगत डेटा का प्रबंधन करने वाले कर्मचारी, ठेकेदार, और एजेंट प्रशिक्षित हैं, गोपनीयता के दायरे में बंधे हैं, और उनकी डेटा सुरक्षा जिम्मेदारियों के बारे में पूरी तरह से अवगत हैं।

सुरक्षा (पुनः बयान)

Shoprocket लगातार अनधिकृत प्रोसेसिंग को रोकने के लिए तकनीकी/संगठनात्मक सुरक्षा उपायों को अद्यतन करता है, जिसमें एनक्रिप्शन, सिस्टम के लचीलेपन, पुनर्प्राप्ति, और प्रभावशीलता परीक्षण शामिल है।

व्यक्तिगत डेटा उल्लंघन

सूचना
- यदि Shoprocket को पता चलता है कि:
  1. व्यक्तिगत डेटा का हानि/क्षति;
  2. किसी भी आकस्मिक, अनधिकृत, या अवैध प्रोसेसिंग;
  3. एक व्यक्तिगत डेटा उल्लंघन।
जानकारी
- Shoprocket घटना का विवरण, प्रभावित डेटा श्रेणियाँ/संख्याएँ, और प्रभाव को कम करने के लिए उठाए गए या प्रस्तावित उपाय प्रदान करता है।
सहयोग
- Shoprocket आपको जांच में सहयोग करता है और आपके लिखित सहमति के बिना तीसरे पक्षों को सूचित नहीं करेगा जब तक कि कानूनी आवश्यकता न हो।
लागत
- Shoprocket इन दायित्वों के लिए उचित खर्च को कवर करता है जब तक कि घटना आपके निर्देशों, लापरवाही, या उल्लंघन से उत्पन्न नहीं होती, स्थिति में आप Shoprocket के उचित व्यय (पेशेवर सलाहकारों सहित) को कवर करते हैं।

उप-प्रोसेसर

Shoprocket वर्तमान में डेटा होस्टिंग/प्रोसेसिंग, बुनियादी ढांचे/नेटवर्क सेवाओं, या अन्य सेवा कार्यों के लिए इन उप-प्रोसेसरों का उपयोग करता है:

नाम	विवरण	स्थान
200OK LLC (Profitwell)	सब्सक्रिप्शन रिपोर्टिंग/एनालिटिक्स।	MA, USA
Amazon Web Services EMEA SARL	क्लाउड होस्टिंग, कम्प्यूटिंग, भंडारण।	लक्जमबर्ग, EU
Automattic, Inc. (Gravatar)	उपयोगकर्ताओं को Shoprocket खातों पर प्रोफ़ाइल चित्र अपलोड करने की अनुमति देता है।	CA, USA
Cloudflare, Inc.	नेटवर्क सुरक्षा और कनेक्टिविटी।	CA, USA
Crisp IM SAS	उपयोगकर्ता समर्थन के लिए लाइव चैट और ग्राहक संदेश ऐप।	फ्रांस, EU
Facebook Technologies Ireland	परिवर्तनों, विज्ञापन अनुकूलन, दर्शक निर्माण के लिए Facebook Pixels।	आयरलैंड, EU
Google Ireland Limited	Google Analytics (व्यवहार एनालिटिक्स), Adwords (विज्ञापन स्थान/राजस्वकरण)।	आयरलैंड, EU
GmbH	क्लाउड होस्टिंग, कम्प्यूटिंग, और भंडारण।	जर्मनी, EU
TPS Unlimited, Inc. (Taxjar)	EU VAT और यूएस बिक्री कर के लिए कर स्वचालन Shoprocket स्टोर पर।	CA, USA
Twilio, Inc. (Sendgrid)	मल्टी-चैनल संदेश भेजना (ईमेल, एसएमएस, व्हाट्सएप)।	आयरलैंड, EU
Twitter, Inc.	परिवर्तन ट्रैकिंग और विज्ञापन प्रदर्शन मेट्रिक्स के लिए ट्विटर पिक्सेल।	CA, USA

आप Shoprocket को उपरोक्त उप-प्रोसेसरों का उपयोग करने के लिए अधिकृत करते हैं और अन्य ("अधिकारित उप-प्रोसेसर") को जोड़ने के लिए सामान्य अनुमोदन देते हैं। Shoprocket एक नए उप-प्रोसेसर का उपयोग करने से पहले कम से कम 30 दिन की सूचना प्रदान करेगा (वेबसाइट, ईमेल, या खाता सूचना के माध्यम से)। आप सूचना के 10 दिन के भीतर, लेखन में, उचित डेटा सुरक्षा कारणों के लिए आपत्ति कर सकते हैं। यदि कोई आवश्यक उप-प्रोसेसर शामिल है और 90 दिन के भीतर कोई विकल्प नहीं found किया जाता है, तो आप संबंधित सेवाओं को बंद या समाप्त कर सकते हैं (फिर भी कोई भी देय शुल्क का भुगतान करते हुए)।

यदि आप 10 दिन के भीतर आपत्ति नहीं करते हैं, तो नए उप-प्रोसेसर को स्वीकृत माना जाता है। जहां Shoprocket एक उप-प्रोसेसर को संलग्न करता है, यह:

केवल उसी पर पहुंच सीमित करता है जो सेवाओं को प्रदान करने या सुधारने के लिए आवश्यक है;
उन पर डेटा सुरक्षा के समान दायित्व लगाता है;
उनके अनुपालन के लिए जिम्मेदार रहता है।

यदि एससीसी लागू होते हैं, तो आपकी मंजूरी अनुच्छेद 9(c) या संबंधित यूके एससीसी धाराओं के तहत पूर्व लिखित सहमति के रूप में गणना की जाती है। Shoprocket आपके साथ उप-प्रोसेसिंग अनुबंधों को साझा करने से पहले गैर-आवश्यक वाणिज्यिक विवरण को संपादित कर सकता है।

व्यक्तिगत डेटा का ट्रांसफर

Shoprocket व्यक्तिगत डेटा को सेवाएं प्रदान करने के लिए ईईए, यूके, या स्विट्जरलैंड के बाहर भेज सकता है (जैसे, कुछ ऐड-ऑन प्रकाशक/उप-प्रोसेसर अमेरिका में)। जहां कोई उचितता निर्णय लागू नहीं होता, Shoprocket डेटा सुरक्षा कानूनों के अनुसार उचित सुरक्षा सुनिश्चित करेगा।

एक्स-ईईए ट्रांसफर: EU SCCs द्वारा कवर किया गया (Shoprocket के नियंत्रक के रूप में मॉड्यूल एक, Shoprocket के प्रोसेसर के रूप में मॉड्यूल दो)। कुछ धाराएँ (जैसे, धारा 7 का डॉकिंग) लागू नहीं होतीं; विवाद आयरिश कानून/न्यायालयों के तहत होते हैं।
एक्स-यूके ट्रांसफर: IDTA ऐडेंडम द्वारा कवर किया गया।
स्विट्ज़रलैंड से ट्रांसफर: EU SCCs के समान, स्विस FADP के लिए संशोधनों के साथ।
पूरक उपाय:
- इस ऐडेंडम की तिथि तक कोई औपचारिक सरकारी डेटा-प्रवेश अनुरोध नहीं हैं।
- यदि आपकी डेटा को प्रकट करने के लिए मजबूर किया जाता है, तो Shoprocket आपको सूचित करेगा (जब तक कि प्रतिबंधित न हो) और आपको सुरक्षा उपाय खोजने में सहायता करेगा।
- Shoprocket और आप नियमित रूप से चर्चा करेंगे कि आयातित देश में कानून समकक्ष सुरक्षा प्रदान करते हैं या अतिरिक्त उपायों की आवश्यकता है।
- यदि कोई ट्रांसफर तंत्र वैधता खो देता है या एक पर्यवेक्षक प्राधिकरण इसे निलंबित करता है, तो Shoprocket वैकल्पिक व्यवस्थाएँ लागू कर सकता है या ट्रांसफर निलंबित कर सकता है।

जहां आप एक उप-प्रोसेसर/ऐड-ऑन को ईईए के बाहर मंजूरी देते हैं, आप Shoprocket को आपकी ओर से एससीसी पर हस्ताक्षर करने के लिए भी अनुमति देते हैं।

शिकायतें, डेटा विषय अनुरोध, और तीसरे पक्ष के अधिकार

Shoprocket आपको शीघ्रता से कोई भी जानकारी या सहायता प्रदान करेगा जिसकी आपको आवश्यकता है:

डेटा विषय के अधिकारों को पूरा करने के लिए (पहुँच, सुधार, मिटाना, पोर्टेबिलिटी, आपत्तियाँ, आदि)।
नियामकों से सूचना/आकलन नोटिस का जवाब देने या अनुपालन करने के लिए।

यदि Shoprocket को प्रोसेसिंग के बारे में कोई शिकायत या संचार प्राप्त होता है, तो यह आपको तुरंत सूचित करता है, और यदि यह डेटा विषय अनुरोध प्राप्त करता है तो 14 दिन के भीतर। Shoprocket प्रतिक्रिया करने में सहायता करता है, और व्यक्तिगत डेटा को तीसरे पक्षों को नहीं बताएगा जब तक कि कानून या आपके निर्देशों द्वारा आवश्यक न हो।

अवधि और समाप्ति

यह ऐडेंडम तब तक प्रभावी रहता है जब तक कि समझौता स्थिर है, या Shoprocket किसी भी संबंधित व्यक्तिगत डेटा को बनाए रखता है। डेटा सुरक्षा के लिए जो भी प्रावधान अनिवार्य हैं वे प्रभावी रहेंगे। इस DPA का कोई भी महत्वपूर्ण उल्लंघन समझौते का एक महत्वपूर्ण उल्लंघन है, जिससे आपको तुरंत बिना आगे की दायित्व के समाप्त करने का अधिकार है।

यदि डेटा सुरक्षा कानून में परिवर्तन किसी पक्ष को अपनी दायित्वों को पूरा करने से रोकते हैं, तो पक्ष प्रोसेसिंग को निलंबित कर सकते हैं जब तक कि अनुपालन प्राप्त नहीं होता। यदि 90 दिन के भीतर हल नहीं किया गया, तो कोई भी पक्ष सूचना पर तत्काल प्रभाव से समाप्त कर सकता है।

डेटा की वापसी और नष्ट करना

अनुरोध पर, Shoprocket आपको (या एक तृतीय पक्ष जिसे आप लिखित रूप में नामित करते हैं) व्यक्तिगत डेटा की प्रतिलिपियाँ या पहुँच प्रदान करता है जिस प्रारूप में आप निर्दिष्ट करते हैं (जहां उचित हो)।
समाप्ति पर, Shoprocket व्यक्तिगत डेटा को लौटाता है या मिटाता है जब तक कि निरंतर भंडारण कानूनी रूप से आवश्यक न हो। यदि मिटाना असंभव या अवैध है, तो Shoprocket आगे की प्रोसेसिंग को अवरुद्ध करता है और डेटा की सुरक्षा करना जारी रखता है।
SCC प्रमाणपत्र: यदि SCCs लागू होते हैं, तो Shoprocket आपके लिखित अनुरोध पर EU SCCs (या UK SCCs) के अनुच्छेद 8.1(d) के तहत मिटाने का प्रमाण पत्र देगा।
यदि कोई कानून/नियम Shoprocket को कुछ डेटा बनाए रखने की आवश्यकता करता है, तो यह आपको आधार, समयरेखा के बारे में सूचित करेगा, और फिर जब आवश्यक नहीं होगा तो मिटा देगा।
Shoprocket मिटाने के 30 दिन के भीतर प्रमाणित करता है।

रिकॉर्ड

Shoprocket सभी व्यक्तिगत डेटा प्रोसेसिंग (जैसे, सुरक्षा उपाय, उप-प्रोसेसर, प्रोसेसिंग उद्देश्य, कोई भी अंतरराष्ट्रीय ट्रांसफर) के विस्तृत, सटीक, अद्यतन रिकॉर्ड बनाए रखता है। ये रिकॉर्ड आपको Shoprocket's अनुपालन का सत्यापन करने देते हैं। अनुरोध पर प्रतियां प्रदान की जाती हैं।

वारंटी

Shoprocket यह वारंट करता है:

इसके कर्मचारी, उपठेकेदार, या एजेंट जिनके पास व्यक्तिगत डेटा का पहुंच है, विश्वसनीय, भरोसेमंद, और उचित रूप से प्रशिक्षित हैं।
यह व्यक्तिगत डेटा को डेटा सुरक्षा कानूनों और संबंधित कानूनों के पूर्ण अनुपालन में प्रोसेस करेगा।
इसके पास ऐसा कोई कारण नहीं है कि कानून ने प्रदान करने से रोक दिया है।
प्रौद्योगिकी और लागत को ध्यान में रखते हुए, यह अनधिकृत प्रोसेसिंग या आकस्मिक क्षति/हानि को रोकने के लिए उचित उपाय करेगा, जोखिम और डेटा संवेदनशीलता के आधार पर सुरक्षा सुनिश्चित करते हुए।

कार्यवाही और संशोधन

समझौते पर हस्ताक्षर करके, आप इस ऐडेंडम से सहमत होते हैं और इसे मानते हैं। यदि कानूनी या नियामक कारणों के लिए आवश्यक हो, तो Shoprocket इस ऐडेंडम को 30 दिन की लिखित सूचना पर अद्यतन कर सकता है। यदि आप आपत्ति करते हैं और कोई परस्पर समाधान नहीं पहुंचा जाता है, तो आप उस अवधि के भीतर लिखित सूचना के द्वारा प्रभावित सेवाओं को समाप्त कर सकते हैं (कोई भी संपूर्ण शुल्क चुकाने की स्थिति में)। ऐसी समाप्ति से कोई और दावा उत्पन्न नहीं होगा।

अनुलग्नक ए

Shoprocket सुरक्षा मानक

(यहां परिभाषित नहीं किए गए बड़े शब्दों का अर्थ ऐडेंडम में दिया गया है।)

यह अनुलग्नक Shoprocket के तकनीकी और संगठनात्मक उपायों को बताता है:

आकस्मिक या अवैध हानि, पहुंच, या प्रकटीकरण के खिलाफ व्यक्तिगत डेटा की सुरक्षा करें;
सुरक्षा के लिए पूर्वानुमानित जोखिमों की पहचान करें और सेवाओं (आपके Shoprocket खाते सहित) की अनधिकृत पहुंच को रोकें;
जोखिम मूल्यांकन और परीक्षण के माध्यम से सुरक्षा जोखिमों को न्यूनतम करें।

Shoprocket एक या अधिक कर्मचारियों को इन सूचना सुरक्षा प्रथाओं का पर्यवेक्षण करने और संबंधित प्रश्नों का उत्तर देने के लिए नामित करता है।

1. साझा जिम्मेदारी मॉडल

Shoprocket एक क्लाउड-आधारित, सास एप्लिकेशन है जो द्वारा होस्ट किया गया है:

Amazon Web Services (AWS) यूरोपीय संघ के पश्चिमी क्षेत्र (आयरलैंड) में
Hetzner ऑनलाइन फाल्केनस्टीन, जर्मनी में

AWS मुख्य Shoprocket प्लेटफॉर्म, बुनियादी ढांचा, और डेटा होस्टिंग संचालित करता है। Hetzner ऑनलाइन छवियों, डिजिटल डाउनलोड, लॉग, और चालानों के लिए अतिरिक्त समर्पित सर्वर स्थान प्रदान करता है। इस मॉडल के तहत:

Shoprocket अनुप्रयोग स्तर की सुरक्षा (जैसे, उपयोगकर्ता पहुंच, अनुप्रयोग पैच) प्रबंधित करता है।
AWS / Hetzner भौतिक सुरक्षा और बुनियादी क्लाउड पर्यावरण का प्रबंधन करते हैं।

AWS's और Hetzner की सुरक्षा की अधिक जानकारी के लिए, कृपया उनकी संबंधित दस्तावेज़ीकरण देखें।

2. AWS और Hetzner ऑनलाइन सर्वर

AWS

Shoprocket ने यूके GDPR के अनुच्छेद 28(3)(c) और 32 के तहत सावधानीपूर्वक समीक्षा के बाद AWS को चुना। AWS कई मानकों (जैसे, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) के तहत प्रमाणित है और व्यापक अनुपालन दस्तावेज़ प्रदान करता है। Shoprocket AWS को व्यक्तिगत डेटा को केवल EU/EEA में संग्रहीत करने के लिए कॉन्फ़िगर करता है।

Hetzner ऑनलाइन

Hetzner ऑनलाइन, DIN ISO/IEC 27001 के तहत प्रमाणित, कुछ डेटा बैकअप और लॉग्स के लिए समर्पित सर्वर स्थान प्रदान करता है। न्यूरेमबर्ग और फाल्केनस्टीन में Hetzner ऑनलाइन के डेटा केंद्र तृतीय पक्षों द्वारा ऑडिट और प्रमाणित किए गए हैं, और एक सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) लागू करते हैं।

3. Shoprocket एप्लिकेशन का डिज़ाइन, अखंडता, और उपलब्धता

आर्किटेक्चर: एक जावास्क्रिप्ट ढांचे के साथ बनाया गया, Shoprocket एप्लिकेशन अमेज़न के संबंधी डेटाबेस सेवा (अमेज़न आरडीएस) पर आधारित है।
उच्च प्रदर्शन और पुनरावृत्ति: AWS स्वचालित रूप से लोड संतुलन करता है, और Shoprocket अमेज़न S3 पर दैनिक बैकअप बनाए रखता है। बैकअप विभिन्न AWS क्षेत्रों में संग्रहीत होते हैं ताकि लचीलापन सुनिश्चित हो सके। इसके अतिरिक्त, बैकअप Hetzner ऑनलाइन के समर्पित सर्वरों पर (RAID-1 डिस्क सिस्टम के साथ) संग्रहीत होते हैं।
डिज़ाइन द्वारा सुरक्षा: Shoprocket नियमित रूप से ज्ञात वेब कमजोरियों (जैसे, OWASP टॉप टेन) के लिए जांच करता है और XSS- सुरक्षा और स्वच्छता को लागू करता है। एक विशेषज्ञ तृतीय पक्ष हर साल कोड और बुनियादी ढांचे की कमजोरियों के लिए परीक्षण करता है, जिसे एक तृतीय पक्ष की कमजोरियों की स्कैनिंग सेवा द्वारा पूरक किया जाता है।

4. एनक्रिप्शन

आराम में: AWS/Hetzner पर व्यक्तिगत डेटा AES-256 या उससे उच्चतर के साथ एनक्रिप्टेड होता है।
की प्रबंधन: AWS की प्रबंधन सेवा (KMS) सुनिश्चित करती है कि कोई भी (AWS कर्मियों सहित) स्पष्ट पाठ कुंजियों तक पहुँच नहीं प्राप्त कर सके; कुंजियाँ साल में एक बार घूमती हैं। Hetzner पूर्ण-डिस्क AES-256 एनक्रिप्शन के साथ अनिवार्य प्रमाणीकरण लागू करता है।
गमन में: सभी बाहरी डेटा ट्रांसफर TLS 1.2+ का उपयोग करते हैं। एपीआई और वेब इंटरफेस HTTPS की आवश्यकता है (कोई असुरक्षित कनेक्शनों की अनुमति नहीं)।

5. सर्वर स्थानों की ईईए/ईयू तक सीमितता

Shoprocket डेटा को केवल ईईए में संग्रहीत करता है (आयरलैंड में AWS, जर्मनी में Hetzner), गैर-ईईए डेटा ट्रांसफर से संबंधित जोखिमों को कम करते हुए (जैसे, Schrems II निर्णय के अनुपालन)।

6. उपलब्धता क्षेत्र

Shoprocket के फ्रंट-एंड/बैक-एंड सिस्टम अवधारणात्मक रूप से वितरित होते हैं जिसमें कई उपलब्धता क्षेत्र (AWS और Hetzner दोनों) होते हैं। प्रत्येक क्षेत्र में कई ISPs, बिजली के स्रोत, और उच्च गति की कड़ियाँ होती हैं, जो उच्च उपलब्धता और सुविधाजनक प्रदर्शन सुनिश्चित करते हैं।

7. घुसपैठ पहचान

Shoprocket घुसपैठ पहचान प्रणाली (IDS) का उपयोग करता है:

असामान्य प्रविष्टियों के लिए लॉग फ़ाइलों की निगरानी;
फ़ाइल अखंडता परिवर्तनों;
नेटवर्क ट्रैफ़िक (फर्जीकरण, ज्ञात शोषण, रूटकिट);
पोर्ट परिवर्तनों, और
AWS खाता घटनाएँ (जैसे, कॉन्फ़िगरेशन में परिवर्तन)।

महत्वपूर्ण विसंगतियाँ स्वचालित निवारक उपायों को सक्रिय करती हैं। IDS PCI DSS 3.0 आवश्यकताओं को भी समर्थन करता है।

8. लॉगिंग / ऑडिट ट्रेल

Shoprocket लॉग करता है:

प्रणाली घटनाएँ,
त्रुटियाँ,
उपयोगकर्ता गतिविधि,
डेटाबेस लॉगिन/अनुरोध,
अन्य सुरक्षा संबंधित घटनाएँ।

AWS CloudTrail का उपयोग करके, Shoprocket अपने क्लाउड वातावरण में सभी घटनाओं को पारदर्शिता और फॉरेंसिक के लिए रिकॉर्ड करता है।

9. निगरानी

Shoprocket कई निगरानी उपकरणों का उपयोग करता है ताकि उपलब्धता और प्रदर्शन सुनिश्चित हो सके, जिसमें ट्रैक करना शामिल है:

उपलब्धता: अनुप्रयोग की पहुंच, बैकएंड/प्रणाली की स्थिति;
संसाधन: CPU, नेटवर्क इंटरफेस, भंडारण का उपयोग;
प्रदर्शन: अनुप्रयोग/डेटाबेस प्रतिक्रिया समय;
सुरक्षा: IDS स्थिति, प्रणाली के अद्यतन, त्रुटि/पहुंच लॉग।

Shoprocket का कर्मचारी भी सुरक्षा अद्यतनों, कमजोरियों की रिपोर्ट, और संबंधित सुरक्षा ब्लॉग (जैसे OWASP) की निगरानी करता है।

10. सुरक्षा ऑडिट और घुसपैठ परीक्षण

Shoprocket समय-समय पर आंतरिक और बाहरी सुरक्षा परीक्षण करता है। बाहरी प्रदाता कमजोरियों की जांच करते हैं, जबकि आंतरिक ऑडिट तकनीकी और संगठनात्मक उपायों की प्रभावशीलता का आकलन करते हैं।

11. परिवर्तन प्रबंधन

Shoprocket परिवर्तन के लिए संस्करण नियंत्रित भंडार बनाए रखता है, जिसमें स्टेजिंग वातावरण होता है जो उत्पादन को दर्शाता है। परिवर्तन तैनाती से पहले परीक्षण किए जाते हैं, समय/सामग्री की ट्रेसबिलिटी सुनिश्चित करते हैं।

12. पहुंच नियंत्रण

जरूरत-पर-जानकारी सिद्धांत: केवल वे कर्मचारी जिनकी भूमिकाएँ प्रणाली की पहुँच के लिए आवश्यक होती हैं, उन्हें यह पहुँच मिलती है।
IAM सिस्टम: पहुँच नियंत्रण AWS/Hetzner पहचान प्रबंधन का उपयोग करता है।
सुरक्षा: बैकएंड सिस्टम केवल सुरक्षित, प्रमाणित कनेक्शनों के माध्यम से सुलभ हैं। बहुत सीमित संख्या में कर्मचारी डायग्नोस्टिक उद्देश्यों के लिए डेटा तक सीधी पहुँच रखते हैं; ऐसी पहुँच को लॉग और निगरानी की जाती है।

अनुलग्नक बी

सीमा पार ट्रांसफर

भाग 1 - एक्स-ईईए ट्रांसफर

मानक संविदागत धाराओं (SCCs) का अनुलग्नक I.A
- डेटा निर्यातक: आप (समझौते के अनुसार)।
  - संपर्क विवरण: समझौते के अनुसार।
  - भूमिका: डेटा नियंत्रक।
  - मॉड्यूल एक: डेटा आयातक एक डेटा नियंत्रक है (क्लाइंट खाता डेटा और क्लाइंट उपयोग डेटा के लिए)।
  - मॉड्यूल दो: डेटा आयातक एक डेटा प्रोसेसर है (अन्य सभी व्यक्तिगत डेटा के लिए)।
  - हस्ताक्षर/तारीख: समझौते और DPA में प्रवेश करने के द्वारा, डेटा निर्यातक को प्रभावी तिथि के रूप में SCCs पर हस्ताक्षर करने के लिए माना जाता है।
- डेटा आयातक: Shoprocket।
  - संपर्क विवरण: समझौते के अनुसार।
  - हस्ताक्षर/तारीख: समझौते और DPA में प्रवेश करके, डेटा आयातक को प्रभावी तिथि के रूप में SCCs पर हस्ताक्षर करने के लिए माना जाता है।
SCCs का अनुलग्नक I.B
- डेटा विषय: ऐडेंडम धारा 4.6 में वर्णित।
- व्यक्तिगत डेटा श्रेणियाँ: ऐडेंडम धारा 4.5 में वर्णित।
- कोई विशेष श्रेणी डेटा भेजने का इरादा नहीं है।
- आवृत्ति: समझौते की अवधि के लिए निरंतर आधार पर।
- स्वभाव: देखें ऐडेंडम धारा 4.4।
- उद्देश्य: देखें ऐडेंडम धारा 4.3।
- रखरखाव: समझौते की अवधि जब तक अन्यथा न कहा गया हो।
- उप-प्रोसेसर ट्रांसफर: विषय वस्तु, स्वभाव, और अवधि के अनुसार ऐडेंडम धारा 9।
SCCs का अनुलग्नक I.C
- सक्षम पर्यवेक्षी प्राधिकरण: ऐडेंडम के अनुच्छेद 10(e) में के अनुसार।
- Shoprocket सुरक्षा मानक (अनुलग्नक ए) अनुलग्नक II SCC आवश्यकताओं को पूरा करते हैं।
संघर्ष
- यदि SCCs और DPA या समझौता के बीच कोई संघर्ष होता है, तो SCCs के प्रावधान होंगे।

भाग 2 - एक्स-यूके ट्रांसफर

IDTA ऐडेंडम एक्स-यूके ट्रांसफर पर लागू होता है, प्रभावी 21 मार्च 2022 से।
जो शर्तें समझौते या DPA में परिभाषित नहीं हैं, वे अनुलग्नक 2 के भाग 2 (अनिवार्य धाराएँ) में अर्थ का पालन करेंगी।

भाग 1: तालिकाएँ

IDTA ऐडेंडम की तालिका 1

तालिका 1
- डेटा निर्यातक: आप (समझौते के अनुसार)।
  - संपर्क विवरण: समझौते के अनुसार।
  - हस्ताक्षर/तारीख: समझौते और ऐडेंडम में प्रवेश करने के द्वारा, निर्यातक को प्रभावी तिथि के रूप में IDTA ऐडेंडम पर हस्ताक्षर करने के लिए माना जाता है।
- डेटा आयातक: Shoprocket।
  - संपर्क विवरण: समझौते के अनुसार।
  - हस्ताक्षर/तारीख: समझौते और DPA में प्रवेश करके, आयातक को प्रभावी तिथि के रूप में IDTA ऐडेंडम पर हस्ताक्षर करने के लिए माना जाता है।

IDTA ऐडेंडम की तालिका 2

तालिका 2
- स्वीकृत EU SCCs: इस ऐडेंडम के लिए प्रभावी स्वीकृत EU SCCs से धाराएँ/मॉड्यूल।
- उपयोग की गई मॉड्यूल/धाराएँ:
  - मॉड्यूल 1 और मॉड्यूल 2, धारा 7 और धारा 11 (विकल्प) लागू नहीं होते हैं, धारा 9a सामान्य प्राधिकरण है जिसमें 30-दिन की सूचना अवधि है (ऐडेंडम धारा 9.2)।
  - निर्यातक डेटा के साथ आयातक डेटा का कोई संयोजन नहीं।

IDTA ऐडेंडम की तालिका 3

अनुलग्नक I.A
- डेटा निर्यातक: आप (नियामक)।
- डेटा आयातक: Shoprocket (क्लाइंट खाता/उपयोग डेटा के लिए नियंत्रक; अन्य व्यक्तिगत डेटा के लिए प्रोसेसर)।
- हस्ताक्षर/तारीख: समझौते और DPA में प्रवेश करते समय हस्ताक्षर किया गया माना जाता है।
अनुलग्नक I.B
- डेटा विषय, डेटा श्रेणियाँ, विशेष श्रेणी डेटा की अनुपस्थिति, निरंतर ट्रांसफर, प्रोसेसिंग का स्वभाव/उद्देश्य, और रखरखाव ऐडेंडम की धारा 4.4, 4.3, 4.5, 4.6 से मेल खाते हैं।
- उप-प्रोसेसर की जानकारी ऐडेंडम के धारा 9 के अनुसार।
- अनुलग्नक III (उप-प्रोसेसरों की सूची) लागू नहीं होता, क्योंकि Shoprocket सामान्य प्राधिकरण का उपयोग करता है।

IDTA ऐडेंडम की तालिका 4

आयातक इस IDTA ऐडेंडम को इस IDTA ऐडेंडम के धारा 26 के तहत समाप्त कर सकता है।

भाग 2: अनिवार्य धाराएँ

प्रत्येक पक्ष इन IDTA ऐडेंडम की शर्तों के तहत एक-दूसरे पक्ष के समझौते के बदले में बंधे हुए हैं, डेटा विषयों को अधिकारों को लागू करने की अनुमति देते हैं जैसा कि बताया गया है।
इस IDTA ऐडेंडम में प्रवेश करना स्वीकृत EU SCCs पर हस्ताक्षर करने के बराबर है (अनुलग्नक 1A/धारा 7 के अनुसार आवश्यक किसी भी हस्ताक्षर सहित)।

व्याख्या

स्वीकृत EU SCCs से शर्तें यहां वही अर्थ रखती हैं; अतिरिक्त प्रासंगिक शर्तें (जैसे, "ऐडेंडम EU SCCs," "स्वीकृत ऐडेंडम," "यूके डेटा सुरक्षा कानून") इस IDTA ऐडेंडम के भीतर परिभाषित हैं।
इस IDTA ऐडेंडम को यूके डेटा सुरक्षा कानूनों के साथ संगत रूप से व्याख्या किया जाना चाहिए और "उचित सुरक्षा उपायों" को पूरा करना चाहिए।
स्वीकृत EU SCCs में अनुमति न दिए गए किसी भी संशोधन या स्वीकृत ऐडेंडम में शून्य हैं। संघर्षकारी प्रावधान बिना संशोधित SCC शर्तों की ओर लौटते हैं।
यदि UK डेटा सुरक्षा अधिनियमों के साथ कोई संघर्ष है, तो बाद का प्रवर्तन होगा।
किसी भी अस्पष्टता को UK डेटा सुरक्षा अधिनियमों के साथ सबसे अच्छे तरीके से संरेखण करने के लिए हल किया जाएगा।
कानून के संदर्भ कोई भी संशोधित या एकीकृत संस्करणों में शामिल हैं।

क्रम

स्वीकृत EU SCCs की धारा 5 कहती है कि वे अन्य समझौतों पर अधिकार रखते हैं, लेकिन प्रतिबंधित ट्रांसफर के लिए, नीचे धारा 17 में विभाजन लागू होता है।
यदि स्वीकृत EU SCCs के साथ असंगत या विरोधाभासी है, तो स्वीकृत ऐडेंडम बाहर निकलता है, जब तक कि SCCs डेटा विषयों को <strong>अधिक सुरक्षा<</strong> प्रदान करते हैं, तब SCC शर्तें प्राथमिकता रखते हैं।
यहां कुछ भी उन SCCs को प्रभावित नहीं करता है जो पक्ष EU GDPR अनुपालन के लिए उपयोग करते हैं।

EU SCCs के सम्मिलन और परिवर्तनों

IDTA ऐडेंडम आवश्यक संशोधनों के साथ स्वीकृत EU SCCs को समाहित करता है ताकि वे यूके से संबंधित ट्रांसफरों के लिए कार्य कर सकें, धारा 5 की हाइरार्की को खत्म कर सकें, और सुनिश्चित कर सकें कि उन्हें अंग्रेजी न्यायालयों/कानूनों द्वारा शासन किया जाता है (जब तक कि स्कॉटलैंड या उत्तरी आयरलैंड के लिए अन्यथा चयनित न किया गया हो)।
यदि कोई विशिष्ट विकल्प सहमति नहीं दी जाती है, तो धारा 22 लागू होती है।
अनुच्छेद 19 में आवश्यक के अलावा स्वीकृत EU SCCs में आगे का संशोधन की अनुमति नहीं है।
अनुबंधों के संशोधन में यूके डेटा सुरक्षा कानूनों के संदर्भों को स्पष्ट करना शामिल है, जो कि "UK डेटा सुरक्षा कानून" के साथ EU विनियमन (EU) 2016/679 के संदर्भों को प्रतिस्थापित करना, EU विनियमन (EU) 2018/1725 के संदर्भों को हटाना, धारा 17/18 को अंग्रेजी कानून/न्यायालयों के अनुसार समायोजित करना आदि। फुटनोट्स IDTA का हिस्सा नहीं हैं, सिवाय फुटनोट्स 8, 9, 10, 11 के।

इस IDTA में संशोधन

पक्ष धारा 17 या 18 को स्कॉटिश या उत्तरी आयरिश न्यायालयों का संदर्भ देने के लिए बदल सकते हैं।
पार्टीस आपसी लिखित सहमति पर तालिका स्वरूप को भी समायोजित कर सकते हैं, यह सुनिश्चित करते हुए कि उसी स्तर की सुरक्षा बनी रहे।
ICO समय-समय पर संशोधित स्वीकृत ऐडेंडम जारी कर सकता है, जो प्रभावी तिथि से इस IDTA ऐडेंडम को स्वचालित रूप से संशोधित कर सकता है, संभवतः पक्षों द्वारा एक समीक्षा की आवश्यकता हो सकती है।
यदि ICO का परिवर्तन किसी पार्टी के खर्चों या जोखिमों को महत्वपूर्ण और असमान रूप से बढ़ा देता है, और उन खर्चों/जोखिमों में कमी करना संभव नहीं है, तो उस पार्टी को अन्य को उचित सूचना देकर इस IDTA को समाप्त करने का अधिकार होगा जबकि संशोधित ऐडेंडम लागू होने से पहले।
संशोधनों के लिए किसी तीसरे पक्ष की सहमति की आवश्यकता नहीं है, लेकिन परिवर्तनों को इस IDTA ऐडेंडम की शर्तों को पूरा करना चाहिए।