Lampiran Pemrosesan Data
Lampiran Pemrosesan Data Shoprocket ("Lampiran") ini mengubah Syarat & Ketentuan Shoprocket ("Perjanjian") antara Anda ("Anda") dan Shoprocket LTD (nomor perusahaan 12656598, terdaftar di Inggris & Wales di 20-22 Wenlock Road, London, NG 17U). Jika Anda memiliki SLA terpisah dengan Shoprocket, referensi pada Perjanjian berarti SLA tersebut. Lampiran ini tunduk pada dan merupakan bagian dari Perjanjian. Setiap istilah yang diawali dengan huruf kapital yang tidak didefinisikan di sini memiliki makna yang diberikan dalam Perjanjian.
Definisi
Pengaturan Akun: Konfigurasi untuk Akun Shoprocket Anda (termasuk keamanan) yang memungkinkan Anda mengelola bagaimana Shoprocket memproses Data Pribadi.
Tujuan Bisnis: Layanan yang didefinisikan dalam Perjanjian.
Data Akun Klien: Data Pribadi tentang hubungan Anda dengan Shoprocket (misalnya kontak yang diberi wewenang, rincian penagihan), serta informasi yang dikumpulkan oleh Shoprocket untuk manajemen akun, pemeriksaan identitas, atau persyaratan hukum.
Data Penggunaan Klien: Data penggunaan yang diproses oleh Shoprocket sehubungan dengan penggunaan Anda atas Layanan (misalnya log, metrik kinerja, data pencegahan penyalahgunaan).
Peraturan Perlindungan Data: Termasuk CCPA, GDPR UE, Undang-Undang Federal Swiss tentang Perlindungan Data, GDPR Inggris, DPA 2018, dan PECR 2003, masing-masing diperbarui. Istilah (misalnya "Pengendali Data," "Pemroses Data") mengikuti GDPR UE.
EEA: Area Ekonomi Eropa.
EU SCCs: Klausul Kontraktual Standar sesuai Keputusan Komisi 2021/914.
Transfer Ex-EEA: Transfer Data Pribadi (di bawah GDPR UE) di luar EEA tanpa keputusan kecukupan berdasarkan Pasal 45 GDPR UE.
Transfer Ex-UK: Transfer Data Pribadi (di bawah GDPR Inggris) di luar Inggris tanpa keputusan kecukupan oleh Sekretaris Negara Inggris.
Penyedia Layanan: Seperti yang didefinisikan dalam CCPA.
Layanan: Alat Shoprocket untuk membuat/mengelola toko online ("Toko Shoprocket"), menangani produk, pembayaran, pengiriman, pemasaran, serta alat atau layanan lainnya yang mungkin ditawarkan oleh Shoprocket.
Akun Shoprocket: Akun Anda yang memberikan akses ke Layanan, termasuk Pengaturan Akun, di https://www.shoprocket.io.
Kebijakan Privasi Shoprocket: Pemberitahuan di https://shoprocket.io/privacy, sebagaimana diperbarui.
Toko Shoprocket: Situs ecommerce Anda yang dihosting atau difasilitasi oleh Shoprocket.
Data Kategori Khusus: Seperti yang didefinisikan dalam Pasal 4(13), 4(14), 4(15), dan 9 dari GDPR UE/Inggris (jika berlaku).
Klausul Kontraktual Standar (SCCs): SCCs UE dan SCCs Inggris, sesuai dengan relevansi.
UK SCCs: SCCs UE yang diubah oleh Lampiran IDTA ICO Inggris.
Kami/Kita/Kami: Shoprocket LTD (termasuk "Shoprocket" dan "Shoprocket.io").
Anda/Your: Pihak yang terikat dalam Perjanjian.
Petunjuk Pelanggan
Lampiran ini dan Perjanjian (termasuk petunjuk dalam Pengaturan Akun Anda) membentuk Petunjuk yang Didokumentasikan untuk bagaimana Shoprocket memproses Data Pribadi. Shoprocket hanya akan memproses Data Pribadi sesuai petunjuk. Petunjuk tambahan di luar persyaratan ini memerlukan persetujuan tertulis sebelumnya (dan mungkin memerlukan biaya tambahan).
Shoprocket dapat mengakhiri Lampiran ini dan Perjanjian jika petunjuk Anda melanggar Peraturan Perlindungan Data atau menyimpang dari petunjuk yang disepakati. Mengingat sifat pemrosesan, Shoprocket umumnya tidak dapat menilai apakah petunjuk Anda melanggar hukum; jika Shoprocket membentuk pendapat seperti itu, Shoprocket akan memberi tahu Anda, dan Anda dapat memodifikasi atau mencabut petunjuk tersebut.
Pemrosesan Data
Pemrosesan Shoprocket
Pemroses Data/Penyedia Layanan: Kecuali untuk Data Akun Klien dan Data Penggunaan Klien, Shoprocket memproses Data Pribadi (di bawah GDPR UE/Inggris) atau informasi pribadi (di bawah CCPA) atas nama Anda.
Pengendali Data Independen: Shoprocket adalah Pengendali Data untuk Data Pribadi yang dikumpulkan langsung dari pelanggan Toko dan untuk Data Akun Klien atau Data Penggunaan Klien.
Penyimpanan
Data Pribadi disimpan di:
Server AWS di Irlandia (atau wilayah EEA lainnya),
Server Hetzner di Nuremberg/Falkenstein (Jerman).
Ruang Lingkup dan Tujuan
Shoprocket hanya memproses Data Pribadi sebagaimana diperlukan untuk Tujuan Bisnis yang Anda tentukan (sesuai dengan Layanan yang dibeli) dan dalam kepatuhan terhadap Peraturan Perlindungan Data.
Jika diharuskan oleh hukum untuk memproses secara berbeda, Shoprocket akan memberi tahu Anda kecuali dihalangi oleh hukum.
Shoprocket mengikuti dengan cepat petunjuk tertulis Anda untuk mengubah, mentransfer, atau menghapus Data Pribadi, atau untuk menghentikan pemrosesan yang tidak sah.
Shoprocket menjaga kerahasiaan Data Pribadi kecuali pengungkapan diizinkan atau diwajibkan secara hukum.
Shoprocket membantu Anda dalam memenuhi kewajiban kepatuhan (misalnya, permintaan subjek data, DPIA) tanpa biaya tambahan.
Shoprocket memberi tahu Anda tentang perubahan hukum yang mungkin mempengaruhi Perjanjian atau Lampiran ini.
Shoprocket sebagai Pengendali Data Independen
Untuk Data Akun Klien dan Data Penggunaan Klien, Shoprocket bukan pengendali bersama tetapi memproses data tersebut untuk mengelola hubungannya dengan Anda, mencegah penipuan/insiden keamanan, memenuhi kewajiban hukum, dll., sesuai dengan Kebijakan Privasi Shoprocket.
CCPA
Kecuali untuk Data Akun Klien dan Data Penggunaan Klien, Shoprocket adalah Penyedia Layanan Anda di bawah CCPA; tidak akan "menjual" informasi pribadi tersebut dan hanya menggunakannya untuk melaksanakan Layanan atau sebagaimana diizinkan oleh hukum.
Tambahan
Anda dapat mengintegrasikan tambahan pihak ketiga ("Add-Ons") di bawah EULA terpisah dengan masing-masing penerbit. Shoprocket mentransfer Data Pribadi yang diperlukan kepada Penerbit Add-On, tetapi tidak bertanggung jawab atas pemrosesan mereka. Add-On saat ini yang dipasarkan oleh Shoprocket termasuk:
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Pemenuhan multi-saluran dan sinkronisasi.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Integrasi pembayaran yang mendukung berbagai metode/mata uang.
Zapier: Mengotomatiskan transfer data/alur kerja antara Shoprocket dan aplikasi lainnya.
Jika Shoprocket dan Anda memiliki SCCs, instruksi Anda untuk mengintegrasikan Add-Ons dianggap sebagai persetujuan untuk mentransfer Data Pribadi ke Penerbit Add-On tersebut jika diperlukan oleh SCCs.
Tanggung Jawab Anda
Anda adalah Pengendali Data untuk setiap Data Pribadi yang dikumpulkan atau diproses oleh Shoprocket atas nama Anda.
Anda bertanggung jawab untuk memenuhi persyaratan pemberitahuan/persetujuan dan memastikan kepatuhan terhadap Peraturan Perlindungan Data.
Jenis Data Pribadi dan Tujuan Pemrosesan
Subjek Masalah: Data Pribadi yang Anda unggah ke Layanan, termasuk Akun atau Toko Shoprocket Anda.
Durasi: Ditentukan oleh Anda (hingga Anda menangguhkan/mengakhiri langganan Shoprocket atau integrasi yang relevan).
Tujuan: Untuk menyediakan Layanan sesuai instruksi Anda (misalnya, mengoperasikan Toko/Akun Shoprocket Anda).
Sifat Pemrosesan: Platform ecommerce Shoprocket (dan Sub-pemroses/ Penerbit Add-On) dapat menyimpan atau memproses Data Pribadi.
Jenis Data Pribadi: Data yang Anda unggah (misalnya informasi kontak, rincian pelanggan, catatan transaksi).
Subjek Data: Anda, pelanggan Anda, karyawan, kontraktor, agen, pemasok, atau vendor.
Keamanan Pemrosesan Data
Shoprocket akan mempertahankan langkah-langkah teknis dan organisasi yang sesuai untuk melindungi Data Pribadi dari pemrosesan yang tidak sah atau ilegal, kehilangan, atau penghancuran yang tidak disengaja sesuai dengan Pasal 32 dari GDPR UE/Inggris. Langkah-langkah tersebut termasuk (sesuai kebutuhan):
Pseudonimisasi/enkripsi data;
Memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem;
Mengembalikan ketersediaan data dalam waktu yang tepat setelah insiden;
Menguji, menilai, dan mengevaluasi langkah-langkah tersebut secara berkala.
Karyawan Shoprocket
Shoprocket memastikan karyawan, kontraktor, dan agen yang menangani Data Pribadi dilatih, terikat oleh kerahasiaan, dan sepenuhnya menyadari kewajiban perlindungan data mereka.
Keamanan (Dinyatakan Ulang)
Shoprocket terus memperbarui perlindungan teknis/organisasi untuk mencegah pemrosesan yang tidak sah, termasuk enkripsi, ketahanan sistem, kemampuan pemulihan, dan pengujian efektivitas.
Pelanggaran Data Pribadi
Pemberitahuan
Shoprocket memberi tahu Anda dalam waktu 72 jam (dan tanpa penundaan yang tidak semestinya) jika menyadari:
Kehilangan/kerusakan Data Pribadi;
Pemrosesan yang tidak sah, tidak sah, atau tidak disengaja;
Pelanggaran Data Pribadi.
Informasi
Shoprocket memberikan deskripsi tentang insiden, kategori/data yang terpengaruh, dan langkah-langkah yang diambil atau diusulkan untuk mengurangi dampak.
Kerjasama
Shoprocket berkoordinasi dengan Anda dalam penyelidikan dan tidak akan memberitahu pihak ketiga tanpa persetujuan tertulis Anda kecuali diwajibkan oleh hukum.
Biaya
Shoprocket menanggung biaya yang wajar untuk kewajiban ini kecuali insiden tersebut terjadi akibat petunjuk, kelalaian, atau pelanggaran Anda, dalam hal ini Anda menanggung biaya yang wajar dari Shoprocket (termasuk penasihat profesional).
Sub-pemroses
Shoprocket saat ini menggunakan Sub-pemroses berikut untuk hosting/memproses data, layanan infrastruktur/jaringan, atau fungsi layanan lainnya:
| Nama | Deskripsi | Lokasi |
|---|---|---|
| 200OK LLC (Profitwell) | Laporan/analisis langganan. | MA, AS |
| Amazon Web Services EMEA SARL | Penyimpanan dan pengolahan cloud. | Luxembourg, UE |
| Automattic, Inc. (Gravatar) | Memungkinkan pengguna untuk mengunggah gambar profil ke akun Shoprocket. | CA, AS |
| Cloudflare, Inc. | Keamanan jaringan dan konektivitas. | CA, AS |
| Crisp IM SAS | Aplikasi obrolan langsung dan pengiriman pesan pelanggan untuk dukungan pengguna. | Prancis, UE |
| Facebook Technologies Ireland | Facebook Pixels untuk konversi, optimisasi iklan, membangun audiens. | Irlandia, UE |
| Google Ireland Limited | Google Analytics (analisis perilaku), Adwords (penempatan/mendapatkan uang dari iklan). | Irlandia, UE |
| GmbH | Penyimpanan, pengolahan, dan penyimpanan cloud. | Jerman, UE |
| TPS Unlimited, Inc. (Taxjar) | Automatisasi pajak untuk PPN UE & pajak penjualan AS di Toko Shoprocket. | CA, AS |
| Twilio, Inc. (Sendgrid) | Pesan multi-saluran (email, SMS, WhatsApp). | Irlandia, UE |
| Twitter, Inc. | Twitter Pixel untuk pelacakan konversi dan metrik kinerja iklan. | CA, AS |
Anda mengizinkan Shoprocket untuk menggunakan Sub-pemroses di atas dan memberikan izin umum bagi Shoprocket untuk menambahkan lainnya ("Sub-pemroses yang Diizinkan"). Shoprocket akan memberikan pemberitahuan setidaknya 30 hari (melalui situs web, email, atau pemberitahuan Akun) sebelum menggunakan Sub-pemroses baru. Anda dapat menolak dalam waktu 10 hari setelah pemberitahuan, secara tertulis, dengan alasan perlindungan data yang masuk akal. Jika Sub-pemroses penting terlibat dan tidak ada alternatif ditemukan dalam waktu 90 hari, Anda dapat menghentikan atau mengakhiri Layanan terkait (tetap membayar biaya yang terutang).
Jika Anda tidak menolak dalam waktu 10 hari, Sub-pemroses baru dianggap disetujui. Di mana Shoprocket melibatkan Sub-pemroses, ia:
Batasi akses hanya pada apa yang diperlukan untuk menyediakan atau meningkatkan Layanan;
Memberlakukan kewajiban perlindungan data yang sama pada mereka;
Masih bertanggung jawab atas kepatuhan mereka.
Jika SCC berlaku, persetujuan Anda dianggap sebagai persetujuan tertulis sebelumnya sesuai Pasal 9(c) atau pasal SCC Inggris yang relevan. Shoprocket dapat menghapus rincian komersial yang tidak penting sebelum membagikan kontrak sub-pemrosesan dengan Anda.
Transfer Data Pribadi
Shoprocket dapat mentransfer Data Pribadi di luar EEA, Inggris, atau Swiss untuk menyediakan Layanan (misalnya, beberapa Penerbit Add-On/Sub-pemroses di AS). Di mana tidak ada keputusan kecukupan yang berlaku, Shoprocket akan memastikan perlindungan yang sesuai sesuai dengan Peraturan Perlindungan Data.
Transfer Ex-EEA: Ditanggung oleh SCCs UE (Modul Satu untuk Shoprocket sebagai Pengendali, Modul Dua untuk Shoprocket sebagai Pemroses). Klausul tertentu (misalnya, docking Klausul 7) tidak berlaku; sengketa berada di bawah hukum/pengadilan Irlandia.
Transfer Ex-UK: Ditanggung oleh Lampiran IDTA.
Transfer dari Swiss: Mirip dengan SCCs UE, dengan modifikasi untuk FADP Swiss.
Tindakan Tambahan:
Tidak ada permintaan akses data pemerintah yang formal pada tanggal Lampiran ini.
Jika dipaksa untuk mengungkapkan data Anda, Shoprocket akan memberi tahu Anda (kecuali jika dilarang) dan membantu Anda mencari langkah-langkah perlindungan.
Shoprocket dan Anda akan membahas secara teratur apakah hukum di negara pengimpor memberikan perlindungan yang setara atau memerlukan tindakan tambahan.
Jika mekanisme transfer manapun berhenti berlaku atau Otoritas Pengawas menghentikannya, Shoprocket dapat melaksanakan pengaturan alternatif atau menghentikan transfer.
Di mana Anda menyetujui Sub-pemroses/Add-On di luar EEA, Anda juga memberi wewenang kepada Shoprocket untuk menandatangani SCC atas nama Anda.
Keluhan, Permintaan Subjek Data, dan Hak Pihak Ketiga
Shoprocket akan segera memberikan informasi atau bantuan yang Anda perlukan untuk:
Memenuhi hak Subjek Data (akses, perbaikan, penghapusan, portabilitas, keberatan, dll.).
Menanggapi atau mematuhi pemberitahuan informasi/dari regulator.
Shoprocket memberi tahu Anda segera jika menerima keluhan atau komunikasi tentang pemrosesan, dan dalam waktu 14 hari jika menerima permintaan Subjek Data. Shoprocket membantu dalam merespons, dan tidak akan mengungkapkan Data Pribadi kepada pihak ketiga kecuali diwajibkan oleh hukum atau instruksi Anda.
Jangka Waktu dan Pengakhiran
Lampiran ini tetap berlaku selama Perjanjian berlaku, atau Shoprocket menyimpan Data Pribadi terkait. Ketentuan yang harus bertahan untuk perlindungan data tetap berlaku. Setiap pelanggaran material dari DPA ini adalah pelanggaran material dari Perjanjian, memberikan hak kepada Anda untuk segera mengakhiri tanpa liabilitas lebih lanjut.
Jika perubahan Peraturan Perlindungan Data mencegah pihak untuk memenuhi kewajibannya, pihak-pihak dapat menangguhkan pemrosesan hingga kepatuhan tercapai. Jika tidak terselesaikan dalam waktu 90 hari, salah satu pihak dapat mengakhiri dengan segera melalui pemberitahuan.
Pengembalian dan Penghancuran Data
Atas permintaan, Shoprocket menyediakan Anda (atau pihak ketiga yang Anda tunjuk secara tertulis) dengan salinan atau akses ke Data Pribadi dalam format yang Anda tentukan (jika perlu).
Saat pengakhiran, Shoprocket mengembalikan atau menghapus Data Pribadi kecuali penyimpanan yang terus berlanjut diwajibkan secara hukum. Jika penghapusan tidak dapat dilaksanakan atau ilegal, Shoprocket memblokir pemrosesan lebih lanjut dan terus melindungi data tersebut.
Sertifikasi SCC: Jika SCC berlaku, Shoprocket akan menyertifikasi penghapusan berdasarkan Klausul 8.1(d) dari SCCs UE (atau SCCs Inggris) atas permintaan tertulis Anda.
Jika ada undang-undang/peraturan yang mengharuskan Shoprocket untuk menyimpan data tertentu, ia akan memberi tahu Anda tentang dasar, jangka waktu, dan kemudian menghapus saat tidak lagi diperlukan.
Shoprocket menyertifikasi penghapusan dalam waktu 30 hari setelah menyelesaikannya.
Catatan
Shoprocket menyimpan catatan terperinci, akurat, dan terkini untuk semua pemrosesan Data Pribadi (misalnya, langkah-langkah keamanan, sub-pemroses, tujuan pemrosesan, setiap transfer internasional). Catatan ini harus memungkinkan Anda untuk memverifikasi kepatuhan Shoprocket. Salinan disediakan atas permintaan.
Jaminan
Shoprocket menjamin bahwa:
Karyawannya, subkontraktor, atau agen yang memiliki akses ke Data Pribadi dapat diandalkan, terpercaya, dan terlatih dengan sesuai.
Akan memproses Data Pribadi sepenuhnya sesuai dengan Peraturan Perlindungan Data dan hukum terkait.
Tidak ada alasan untuk percaya bahwa hukum mencegah penyediaan Layanan yang disepakati.
Dengan mempertimbangkan teknologi dan biaya, Shoprocket akan mengambil langkah-langkah yang sesuai untuk mencegah pemrosesan yang tidak sah atau kerusakan/kehilangan yang tidak disengaja, memastikan keamanan yang proporsional terhadap risiko dan sensitivitas data.
Pelaksanaan dan Modifikasi
Dengan menandatangani Perjanjian, Anda setuju dan terikat oleh Lampiran ini. Shoprocket dapat memperbarui Lampiran ini dengan pemberitahuan tertulis 30 hari jika diperlukan untuk alasan hukum atau regulasi. Jika Anda menolak dan tidak ada solusi timbal balik yang dicapai, Anda dapat mengakhiri Layanan yang terpengaruh dengan pemberitahuan tertulis dalam periode itu (membayar biaya yang ditanggung). Tidak ada klaim lebih lanjut yang muncul dari pengakhiran tersebut.
Lampiran A
Standar Keamanan Shoprocket
(Istilah kapital yang tidak didefinisikan di sini memiliki makna yang diberikan dalam Lampiran.)
Lampiran ini menguraikan langkah-langkah teknis dan organisasi Shoprocket untuk:
Melindungi Data Pribadi terhadap kehilangan, akses, atau pengungkapan yang tidak disengaja atau ilegal;
Menentukan risiko keamanan yang dapat diperkirakan dan mencegah akses yang tidak sah ke Layanan (termasuk akun Shoprocket Anda);
Meminimalkan risiko keamanan melalui penilaian dan pengujian risiko.
Shoprocket menunjuk satu atau lebih karyawan untuk mengawasi praktik keamanan informasi ini dan menanggapi pertanyaan terkait.
1. Model Tanggung Jawab Bersama
Shoprocket adalah aplikasi berbasis cloud, SaaS yang dihosting oleh:
Amazon Web Services (AWS) di wilayah eu-west-1 (Irlandia)
Hetzner Online di Falkenstein, Jerman
AWS menjalankan platform utama Shoprocket, infrastruktur, dan hosting data. Hetzner Online menyediakan ruang server tambahan yang didedikasikan untuk gambar, unduhan digital, log, dan faktur. Di bawah model ini:
Shoprocket mengelola keamanan tingkat aplikasi (misalnya, akses pengguna, tambalan aplikasi).
AWS / Hetzner mengelola keamanan fisik dan lingkungan cloud yang mendasarinya.
Untuk detail lebih lanjut mengenai keamanan AWS dan Hetzner, silakan lihat dokumentasi masing-masing.
2. Server AWS dan Hetzner Online
AWS
Shoprocket memilih AWS setelah tinjauan yang cermat berdasarkan Pasal 28(3)(c) dan 32 dari GDPR Inggris. AWS disertifikasi di bawah berbagai standar (misalnya, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) dan menyediakan dokumentasi kepatuhan yang ekstensif. Shoprocket mengonfigurasi AWS untuk menyimpan Data Pribadi hanya di UE/EEA.
Hetzner Online
Hetzner Online, disertifikasi di bawah DIN ISO/IEC 27001, menyediakan ruang server yang didedikasikan untuk beberapa cadangan data dan log tertentu. Pusat data Hetzner Online di Nuremberg dan Falkenstein diaudit dan disertifikasi oleh pihak ketiga, menerapkan Sistem Manajemen Keamanan Informasi (ISMS).
3. Desain, Integritas, dan Ketersediaan Aplikasi Shoprocket
Arsitektur: Dibangun dengan kerangka kerja JavaScript, aplikasi Shoprocket mengandalkan Layanan Database Relasional Amazon (Amazon RDS) untuk MySQL.
Performa Tinggi dan Redundansi: AWS secara otomatis menangani pengimbangan beban, dan Shoprocket mempertahankan cadangan harian di Amazon S3. Cadangan disimpan di berbagai wilayah AWS untuk ketahanan. Selain itu, cadangan disimpan di server khusus Hetzner Online (dengan sistem disk RAID-1).
Keamanan Sejak Desain: Shoprocket secara berkala memeriksa kerentanan web yang dikenal (misalnya, OWASP Top Ten) dan menerapkan perlindungan XSS serta sanitasi. Pihak ketiga spesialis menguji kode dan infrastruktur setiap tahun untuk kerentanan, dilengkapi dengan layanan pemindaian kerentanan pihak ketiga.
4. Enkripsi
At Rest: Data Pribadi di AWS/Hetzner dienkripsi menggunakan AES-256 atau lebih tinggi.
Manajemen Kunci: Layanan Manajemen Kunci AWS (KMS) memastikan tidak ada satu orang pun (termasuk staf AWS) yang dapat mengakses kunci dalam bentuk teks biasa; kunci berputar setiap tahun. Hetzner menerapkan enkripsi AES-256 penuh-disk ditambah otentikasi wajib.
In Transit: Semua transfer data eksternal menggunakan TLS 1.2+. API dan antarmuka web memerlukan HTTPS (tidak ada koneksi tidak terenkripsi).
5. Pembatasan Lokasi Server ke EEA/UE
Shoprocket menyimpan data hanya di EEA (AWS di Irlandia, Hetzner di Jerman), meminimalkan risiko terkait transfer data non-EEA (misalnya, kepatuhan terhadap keputusan Schrems II).
6. Zona Ketersediaan
Sistem front-end/back-end Shoprocket didistribusikan dengan redundansi di beberapa zona ketersediaan (baik AWS maupun Hetzner). Setiap zona memiliki beberapa ISP, sumber daya listrik, dan tautan kecepatan tinggi, memastikan ketersediaan tinggi dan kinerja optimal.
7. Deteksi Penyusupan
Shoprocket menggunakan Sistem Deteksi Penyusupan (IDS) untuk memantau:
File log untuk entri yang tidak biasa,
Perubahan integritas file,
Lalu lintas jaringan (penipuan, eksploitasi yang dikenal, rootkit),
Perubahan port, dan
Acara akun AWS (misalnya, perubahan konfigurasi).
Anomali kritis memicu langkah-langkah pencegahan otomatis. IDS juga mendukung persyaratan PCI DSS 3.0.
8. Pencatatan / Jejak Audit
Shoprocket mencatat:
Acara sistem,
Kesalahan,
Aktivitas pengguna,
Login/permintaan database,
Peristiwa keamanan lainnya.
Dengan menggunakan AWS CloudTrail, Shoprocket mencatat semua peristiwa di lingkungan cloud-nya untuk transparansi dan forensik.
9. Pemantauan
Shoprocket menggunakan berbagai alat pemantauan untuk memastikan ketersediaan dan kinerja, melacak:
Ketersediaan: Aksesibilitas aplikasi, kesehatan sistem/backend;
Sumber Daya: CPU, antarmuka jaringan, penggunaan penyimpanan;
Kinerja: Waktu respons aplikasi/database;
Keamanan: status IDS, pembaruan sistem, log kesalahan/akses.
Staf Shoprocket juga memantau pembaruan keamanan, laporan kerentanan, dan blog keamanan terkait (seperti OWASP).
10. Audit Keamanan dan Uji Penetrasi
Shoprocket melakukan uji keamanan internal dan eksternal secara berkala. Penyedia eksternal memeriksa kerentanan, sementara audit internal menilai langkah-langkah teknis dan organisasi untuk efektivitas.
11. Manajemen Perubahan
Shoprocket mempertahankan repositori yang dikendalikan versi untuk perubahan kode, dengan lingkungan staging yang mencerminkan produksi. Perubahan diuji sebelum diterapkan, memastikan keterlacakan waktu/konten.
12. Kontrol Akses
Prinsip Perlu Tahu: Hanya karyawan yang perannya memerlukan akses sistem yang menerimanya.
Sistem IAM: Kontrol akses menggunakan manajemen identitas AWS/Hetzner.
Keamanan: Sistem backend hanya dapat diakses melalui koneksi yang aman dan terautentikasi. Jumlah personel yang sangat terbatas memiliki akses langsung ke data untuk tujuan diagnostik; akses tersebut dicatat dan dimonitor.
Lampiran B
Transfer Lintas Batas
PART 1 - Transfer Ex-EEA
Lampiran I.A dari Klausul Kontraktual Standar (SCCs)
Ekspor Data: Anda (sesuai Perjanjian).
Detail kontak: Sesuai yang ada dalam Perjanjian.
Peran: Pengendali Data.
Modul Satu: Pengimpor Data adalah Pengendali Data (untuk Data Akun Klien & Data Penggunaan Klien).
Modul Dua: Pengimpor Data adalah Pemroses Data (untuk semua Data Pribadi lainnya).
Tanda tangan / Tanggal: Dengan masuknya ke dalam Perjanjian & DPA, Pengirim Data dianggap telah menandatangani SCCs per Tanggal Efektif.
Pengimpor Data: Shoprocket.
Detail kontak: Sesuai yang ada dalam Perjanjian.
Tanda tangan / Tanggal: Dengan masuknya ke dalam Perjanjian & DPA, Pengimpor dianggap telah menandatangani SCCs per Tanggal Efektif.
Lampiran I.B dari SCCs
Subjek Data: Dideskripsikan dalam klausul Lampiran 4.6.
Kategori Data Pribadi: Dideskripsikan dalam klausul Lampiran 4.5.
Tidak ada Data Kategori Khusus yang dimaksudkan untuk transfer.
Kepercayaan: Basis kontinu selama jangka waktu Perjanjian.
Sifat: Lihat klausul Lampiran 4.4.
Tujuan: Lihat klausul Lampiran 4.3.
Retensi: Durasi Perjanjian kecuali dinyatakan lain.
Transfer sub-pemroses: Subjek masalah, sifat, dan durasi sesuai klausul Lampiran 9.
Lampiran I.C dari SCCs
Otoritas Pengawas yang Kompeten: Sesuai klausul 10(e) dari Lampiran.
- Standar Keamanan Shoprocket (Lampiran A) memenuhi persyaratan Lampiran II SCC.
Konflik
Jika terjadi konflik antara SCCs dan DPA atau Perjanjian, SCCs yang berlaku.
PART 2 - Transfer Ex-UK
Lampiran IDTA berlaku untuk Transfer Ex-UK, berlaku mulai 21 Maret 2022.
Istilah yang tidak didefinisikan dalam Perjanjian atau DPA mengikuti arti dalam Bagian 2 Lampiran 2 (Klausul Wajib).
Bagian 1: Tabel
Tabel 1 dari Lampiran IDTA
Tabel 1
Ekspor Data: Anda (sesuai Perjanjian).
Detail kontak: Sesuai yang ada dalam Perjanjian.
Tanda tangan / Tanggal: Dengan masuknya ke dalam Perjanjian & Lampiran, Pengirim dianggap telah menandatangani Lampiran IDTA per Tanggal Efektif.
Pengimpor Data: Shoprocket.
Detail kontak: Sesuai yang ada dalam Perjanjian.
Tanda tangan / Tanggal: Dengan masuknya ke dalam Perjanjian & DPA, Pengimpor dianggap telah menandatangani Lampiran IDTA per Tanggal Efektif.
Tabel 2 dari Lampiran IDTA
Tabel 2
SCCs UE yang Disetujui: Klausul/modul dari SCCs UE yang Disetujui yang berlaku untuk Lampiran ini.
Modul/klausul yang digunakan:
Modul 1 dan Modul 2, Klausul 7 dan Klausul 11 (opsi) tidak berlaku, Klausul 9a adalah Otorisasi Umum dengan periode pemberitahuan 30 hari (klausul Lampiran 9.2).
Tidak ada kombinasi Data Pribadi dari Pengimpor dengan data Pengirim.
Tabel 3 dari Lampiran IDTA
Lampiran I.A
Ekspor Data: Anda (pengendali).
Pengimpor Data: Shoprocket (pengendali untuk Data Akun/Penggunaan Klien; pemroses untuk Data Pribadi lainnya).
Tanda tangan / Tanggal: Dianggap telah ditandatangani setelah masuknya Perjanjian & DPA.
Lampiran I.B
Subjek data, kategori data, ketidakadaan Data Kategori Khusus, transfer kontinu, sifat/tujuan pemrosesan, dan retensi sesuai dengan klausul 4.4, 4.3, 4.5, 4.6 dari Lampiran.
Informasi sub-pemroses sesuai dengan klausul Lampiran 9.
Lampiran III (daftar sub-pemroses) tidak berlaku, karena Shoprocket menggunakan otorisasi umum.
Tabel 4 dari Lampiran IDTA
Pengimpor dapat mengakhiri Lampiran IDTA ini sesuai dengan klausul 26 dari Lampiran IDTA ini.
Bagian 2: Klausul Wajib
Setiap Pihak terikat oleh ketentuan Lampiran IDTA ini sebagai imbalan atas kesepakatan Pihak lain, memungkinkan subjek data untuk menegakkan hak sebagaimana dinyatakan.
Masuk ke dalam Lampiran IDTA ini setara dengan menandatangani SCCs UE yang Disetujui (termasuk tanda tangan yang diperlukan sesuai Lampiran 1A/Klausul 7).
Interpretasi
Istilah dari SCCs UE yang Disetujui memiliki arti yang sama di sini; istilah lain yang relevan (misalnya, "SCCs UE Lampiran," "Lampiran Disetujui," "Hukum Perlindungan Data Inggris") didefinisikan dalam Lampiran IDTA ini.
Lampiran IDTA ini harus diinterpretasikan sesuai dengan Hukum Perlindungan Data Inggris dan harus memenuhi "Perlindungan yang Tepat."
Setiap amandemen terhadap SCCs UE yang Disetujui yang tidak diizinkan di bawahnya atau Lampiran yang Disetujui menjadi tidak berlaku. Ketentuan yang bertentangan dikembalikan ke ketentuan SCC yang tidak diubah.
Jika ada konflik dengan Hukum Perlindungan Data Inggris, yang terakhir berlaku.
Setiap ketidakjelasan diselesaikan untuk sejalan dengan Hukum Perlindungan Data Inggris.
Referensi terhadap undang-undang mencakup setiap versi yang direvisi atau dikonsolidasikan.
Hierarki
Klausul 5 dari SCCs UE yang Disetujui menyatakan bahwa mereka lebih unggul dari perjanjian lain, tetapi untuk Transfer Terbatas, hierarki di Bagian 17 di bawah ini berlaku.
Jika tidak konsisten atau bertentangan dengan SCCs UE yang Disetujui, Lampiran yang Disetujui menggantikan kecuali SCCs memberikan perlindungan lebih besar untuk subjek data, dalam hal ini syarat SCC berlaku.
Tidak ada yang di sini mempengaruhi SCCs yang digunakan pihak-pihak untuk kepatuhan GDPR UE.
Penyertaan dan Perubahan pada SCCs UE
Lampiran IDTA menyertakan SCCs UE yang Disetujui dengan modifikasi yang diperlukan agar dapat berfungsi untuk transfer terkait Inggris, menggantikan hierarki Klausul 5, dan memastikan diatur oleh hukum/pengadilan Inggris (kecuali dipilih sebaliknya untuk Skotlandia atau Irlandia Utara).
Jika tidak ada alternatif spesifik yang disepakati, Bagian 22 berlaku.
Tidak ada perubahan lebih lanjut pada SCCs UE yang Disetujui yang diizinkan di luar apa yang diperlukan dalam Bagian 19.
Perubahan pada SCCs UE Lampiran mencakup klarifikasi tentang referensi ke Hukum Perlindungan Data Inggris, mengganti referensi ke Regulasi (EU) 2016/679 dengan "Hukum Perlindungan Data Inggris," menghapus referensi ke Regulasi (EU) 2018/1725, menyesuaikan Klausul 17/18 dengan hukum/pengadilan Inggris, dll. Catatan kaki tidak merupakan bagian dari IDTA kecuali catatan kaki 8, 9, 10, 11.
Perubahan pada IDTA ini
Para Pihak dapat mengubah Klausul 17 atau 18 untuk merujuk pada pengadilan Skotlandia atau Irlandia Utara.
Para Pihak juga dapat menyesuaikan format Tabel berdasarkan kesepakatan tertulis bersama, memastikan tingkat perlindungan yang sama tetap ada.
ICO dapat mengeluarkan Lampiran yang Disetujui yang direvisi dari waktu ke waktu, yang secara otomatis mengubah Lampiran IDTA ini mulai tanggal efektifnya, mungkin memerlukan tinjauan oleh pihak-pihak.
Jika perubahan ICO secara substansial dan secara tidak proporsional meningkatkan biaya atau risiko pihak, dan tidak ada pengurangan biaya/risiko tersebut yang mungkin dilakukan, pihak tersebut dapat mengakhiri IDTA ini dengan pemberitahuan yang wajar kepada pihak lain sebelum Lampiran yang direvisi berlaku.
Tidak ada persetujuan pihak ketiga yang diperlukan untuk perubahan, tetapi modifikasi harus memenuhi ketentuan Lampiran IDTA ini.
Siap mulai menjual?
Semua alat yang Anda butuhkan untuk menjual dari situs web Anda yang ada, saluran media sosial, dan lainnya.
Tidak diperlukan keahlian teknis.
34,384 penjual telah memproses lebih dari US$3.090.935,20
seperti ditampilkan di
