Gegevensverwerking bijlage
Deze Shoprocket Gegevensverwerkingsaddendum ("Addendum") wijzigt de Shoprocket Algemene Voorwaarden ("Overeenkomst") tussen jou ("Jij") en Shoprocket LTD (bedrijfsnummer 12656598, geregistreerd in Engeland en Wales op 20-22 Wenlock Road, Londen, NG 17U). Als je een aparte SLA met Shoprocket hebt, verwijzen verwijzingen naar de Overeenkomst naar die SLA. Dit Addendum is onderworpen aan en opgenomen in de Overeenkomst. Elke met hoofdletters geschreven term die hier niet is gedefinieerd, heeft de betekenis die in de Overeenkomst is gegeven.
Definities
Accountinstellingen: Configuraties voor jouw Shoprocket Account (inclusief beveiliging) waarmee je beheert hoe Shoprocket Persoonlijke Gegevens verwerkt.
Zakelijke Doeleinden: De Diensten zoals gedefinieerd in de Overeenkomst.
Klantenaccountgegevens: Persoonlijke Gegevens over jouw relatie met Shoprocket (bijv. geautoriseerde contacten, factuurgegevens), plus informatie die Shoprocket verzamelt voor accountbeheer, identiteitscontroles of wettelijke vereisten.
Klantgebruiksgegevens: Gebruiksgegevens die door Shoprocket worden verwerkt in verband met jouw gebruik van de Diensten (bijv. logs, prestatiemetingen, gegevens ter voorkoming van misbruik).
Gegevensbeschermingswetgeving: Inclusief de CCPA, EU GDPR, Zwitserse Federale Wet op Gegevensbescherming, UK GDPR, DPA 2018 en PECR 2003, elk zoals bijgewerkt. Termen (bijv. "Gegevensbeheerder," "Gegevensverwerker") volgen de EU GDPR.
EEA: Europese Economische Ruimte.
EU SCC's: De Standaard Contractuele Clausules per Commissie Besluit 2021/914.
Ex-EEA Overdracht: Een overdracht van Persoonlijke Gegevens (onder EU GDPR) buiten de EEA zonder een adequaatheidsbesluit onder Artikel 45 EU GDPR.
Ex-UK Overdracht: Een overdracht van Persoonlijke Gegevens (onder UK GDPR) buiten het VK zonder een adequaatheidsbesluit van de UK Secretary of State.
Dienstverlener: Zoals gedefinieerd in de CCPA.
Diensten: De tools van Shoprocket voor het creëren/beheren van online winkels ("Shoprocket Store"), het afhandelen van producten, betalingen, verzending, marketing en elke tool of dienst die Shoprocket mogelijk aanbiedt.
Shoprocket Account: Jouw account die toegang geeft tot de Diensten, inclusief Accountinstellingen, op https://www.shoprocket.io.
Shoprocket Privacybeleid: De kennisgeving op https://shoprocket.io/privacy, zoals bijgewerkt.
Shoprocket Store: Jouw e-commerce site gehost of gefaciliteerd door Shoprocket.
Bijzondere Categorie Gegevens: Zoals gedefinieerd in Artikelen 4(13), 4(14), 4(15) en 9 van EU/UK GDPR (indien van toepassing).
Standaard Contractuele Clausules (SCC's): De EU SCC's en UK SCC's, indien relevant.
UK SCC's: De EU SCC's zoals gewijzigd door de IDTA-addendum van de UK ICO.
Wij/Ons/Onze: Shoprocket LTD (inclusief "Shoprocket" en "Shoprocket.io").
Jij/Jouw: De contractuele partij genoemd in de Overeenkomst.
Klantinstructies
Dit Addendum en de Overeenkomst (inclusief instructies in jouw Accountinstellingen) vormen de Documenteerde Instructies voor hoe Shoprocket Persoonlijke Gegevens verwerkt. Shoprocket zal Persoonlijke Gegevens alleen verwerken zoals geïndiceerd. Extra instructies buiten deze voorwaarden vereisen voorafgaande schriftelijke goedkeuring (en kunnen extra kosten met zich meebrengen).
Shoprocket kan dit Addendum en de Overeenkomst beëindigen als jouw instructies in strijd zijn met de Gegevensbeschermingswetgeving of afwijken van afgesproken instructies. Gezien de aard van de verwerking kan Shoprocket over het algemeen niet beoordelen of jouw instructies de wet overtreden; als het zo'n mening vormt, zal het jou informeren, en kun je de instructies aanpassen of intrekken.
Gegevensverwerking
Shoprocket's Verwerking
Gegevensverwerker/Dienstverlener: Behalve voor Klantenaccountgegevens en Klantgebruiksgegevens, verwerkt Shoprocket Persoonlijke Gegevens (onder EU/UK GDPR) of persoonlijke informatie (onder CCPA) namens jou.
Onafhankelijke Gegevensbeheerder: Shoprocket is een Gegevensbeheerder voor Persoonlijke Gegevens die rechtstreeks van klanten van de Winkel zijn verzameld en voor Klantenaccountgegevens of Klantgebruiksgegevens.
Opslag
Persoonlijke Gegevens worden opgeslagen op:
AWS-servers in Ierland (of andere EEA-regio's),
Hetzner-servers in Neurenberg/Falkenstein (Duitsland).
Scope en Doel
Shoprocket verwerkt alleen Persoonlijke Gegevens voor zover nodig voor de Zakelijke Doeleinden die jij opgeeft (in overeenstemming met de aangeschafte Diensten) en in overeenstemming met de Gegevensbeschermingswetgeving.
Als de wet vereist dat anders wordt verwerkt, zal Shoprocket jou op de hoogte stellen, tenzij de wet dit verbiedt.
Shoprocket volgt jouw schriftelijke instructies om Persoonlijke Gegevens aan te passen, over te dragen of te verwijderen, of om ongeoorloofde verwerking te stoppen.
Shoprocket houdt Persoonlijke Gegevens vertrouwelijk, tenzij openbaarmaking is goedgekeurd of wettelijk vereist.
Shoprocket helpt met jouw nalevingsverplichtingen (bijv. verzoeken van betrokkenen, DPIA's) zonder extra kosten.
Shoprocket stelt je op de hoogte van juridische veranderingen die de Overeenkomst of dit Addendum kunnen beïnvloeden.
Shoprocket als Onafhankelijke Gegevensbeheerder
Voor Klantenaccountgegevens en Klantgebruiksgegevens is Shoprocket geen gezamenlijke beheerder maar verwerkt die gegevens voor het beheren van zijn relatie met jou, het voorkomen van fraude/beveiligingsincidenten, het voldoen aan wettelijke verplichtingen, enz., in overeenstemming met het Shoprocket Privacybeleid.
CCPA
Behalve voor Klantenaccountgegevens en Klantgebruiksgegevens, is Shoprocket jouw Dienstverlener onder de CCPA; het zal dergelijke persoonlijke informatie niet "verkopen" en gebruikt het alleen om de Diensten uit te voeren of zoals anderszins wettelijk toegestaan.
Toevoegingen
Je kunt derde partij toevoegingen ("Add-Ons") integreren onder aparte EULA's met elke uitgever. Shoprocket geeft noodzakelijke Persoonlijke Gegevens door aan de Add-On Uitgever, maar is niet verantwoordelijk voor hun verwerking. Huidige Add-Ons die door Shoprocket worden aangeboden zijn:
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Multi-channel fulfillment en synchronisatie.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Betalingsintegraties ter ondersteuning van verschillende methoden/valuta.
Zapier: Automatiseert gegevensoverdrachten/workflows tussen Shoprocket en andere applicaties.
Jouw Verantwoordelijkheden
Jij bent de Gegevensbeheerder voor alle Persoonlijke Gegevens die door Shoprocket namens jou zijn verzameld of verwerkt.
Jij bent verantwoordelijk voor het voldoen aan de eisen van kennisgevingen/toestemmingen en zorgt voor naleving van de Gegevensbeschermingswetgeving.
Persoonlijke Gegevens Types en Verwerkingsdoelen
Onderwerp: Persoonlijke Gegevens die je uploadt naar de Diensten, inclusief jouw Shoprocket Account of Winkel.
Duur: Bepaald door jou (totdat je jouw Shoprocket-abonnement of relevante integraties staakt/beëindigt).
Doel: Het aanbieden van de Diensten op jouw verzoek (bijv. het运营 van jouw Shoprocket Store/Account).
Natuur van Verwerking: Het e-commerceplatform van Shoprocket (en eventuele Sub-processor/Agregar-uitgevers) kunnen Persoonlijke Gegevens opslaan of verwerken.
Types van Persoonlijke Gegevens: Gegevens die je uploadt (bijv. contactinformatie, klantgegevens, transactiegegevens).
Betrokkenen: Jij, jouw klanten, werknemers, aannemers, vertegenwoordigers, leveranciers of verkopers.
Beveiliging van Gegevensverwerking
Shoprocket zal passende technische en organisatorische maatregelen handhaven om Persoonlijke Gegevens te beschermen tegen ongeoorloofde of onwettige verwerking, accidenteel verlies of vernietiging in overeenstemming met Artikel 32 van de EU/UK GDPR. Maatregelen omvatten (indien van toepassing):
Pseudonimisering/encryptie van gegevens;
Zorgdragen voor vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van systemen;
Herstel van gegevensbeschikbaarheid op een tijdige manier na incidenten;
Regelmatig testen, beoordelen en evalueren van deze maatregelen.
Shoprocket's Werknemers
Shoprocket zorgt ervoor dat werknemers, aannemers en vertegenwoordigers die met Persoonlijke Gegevens omgaan, getraind zijn, gebonden aan vertrouwelijkheid, en volledig op de hoogte zijn van hun verplichtingen op het gebied van gegevensbescherming.
Beveiliging (Herhaald)
Shoprocket werkt continu technische/organisatorische waarborgen bij om ongeoorloofde verwerking te voorkomen, waaronder encryptie, systeemveerkracht, herstelbaarheid en effectiviteitstests.
Persoonlijke Gegevens Datalek
Kennisgeving
Shoprocket meldt jou binnen 72 uur (en zonder onredelijke vertraging) als het zich bewust wordt van:
Verlies/schade van Persoonlijke Gegevens;
Elke accidentele, ongeoorloofde of onwettige verwerking;
Een Persoonlijke Gegevens Datalek.
Informatie
Shoprocket geeft een beschrijving van het incident, getroffen gegevenscategorieën/aantallen, en maatregelen die zijn genomen of voorgesteld om de impact te mitigeren.
Samenspel
Shoprocket coördineert met jou over het onderzoek en zal geen derden informeren zonder jouw schriftelijke toestemming tenzij wettelijk vereist.
Kosten
Shoprocket dekt redelijke kosten voor deze verplichtingen, tenzij het incident voortkomt uit jouw instructies, nalatigheid of schending, in welk geval jij de redelijke kosten van Shoprocket dekt (inclusief professionele adviseurs).
Sub-verwerkers
Shoprocket gebruikt momenteel deze Sub-verwerkers voor hosting/verwerking van gegevens, infrastructuur/netwerkdiensten of andere servicefuncties:
| Naam | Beschrijving | Locatie |
|---|---|---|
| 200OK LLC (Profitwell) | Abonnementsrapportage/analyse. | MA, VS |
| Amazon Web Services EMEA SARL | Cloudhosting, computing, opslag. | Luxemburg, EU |
| Automattic, Inc. (Gravatar) | Stelt gebruikers in staat om profielfoto's te uploaden naar Shoprocket-accounts. | CA, VS |
| Cloudflare, Inc. | Netwerkbeveiliging en connectiviteit. | CA, VS |
| Crisp IM SAS | Live chat en klantenberichten-app voor gebruikersondersteuning. | Frankrijk, EU |
| Facebook Technologies Ireland | Facebook Pixels voor conversies, advertentieoptimalisatie, publiekopbouw. | Ierland, EU |
| Google Ireland Limited | Google Analytics (gedragsanalyse), Adwords (advertentieplaatsing/monetarisatie). | Ierland, EU |
| GmbH | Cloudhosting, computing en opslag. | Duitsland, EU |
| TPS Unlimited, Inc. (Taxjar) | Belastingautomatisering voor EU BTW & Amerikaanse verkoopbelasting op Shoprocket Stores. | CA, VS |
| Twilio, Inc. (Sendgrid) | Multi-channel messaging (e-mail, SMS, WhatsApp). | Ierland, EU |
| Twitter, Inc. | Twitter Pixel voor conversietracking en advertentieprestatie metrics. | CA, VS |
Je machtigt Shoprocket om de bovenstaande Sub-verwerkers te gebruiken en geeft algemene autorisatie voor Shoprocket om andere toe te voegen ("Autorisatie Sub-verwerkers"). Shoprocket zal ten minste 30 dagen kennisgeving geven (via de website, e-mail of Accountmelding) voordat een nieuwe Sub-verwerker wordt gebruikt. Je kunt binnen 10 dagen bezwaar maken, schriftelijk, op redelijke gegevensbeschermingsgronden. Als een essentiële Sub-verwerker betrokken is en er binnen 90 dagen geen alternatief wordt gevonden, kun je de relevante Diensten stopzetten of beëindigen (en toch alle verschuldigde vergoedingen betalen).
Als je niet binnen 10 dagen bezwaar maakt, wordt de nieuwe Sub-verwerker als goedgekeurd beschouwd. Wanneer Shoprocket een Sub-verwerker inschakelt,:
Beperkt de toegang tot alleen wat nodig is voor het verlenen of verbeteren van de Diensten;
Legt dezelfde gegevensbeschermingsverplichtingen aan hen op;
Blijft aansprakelijk voor hun naleving.
Als SCC's van toepassing zijn, telt jouw autorisatie als voorafgaande schriftelijke toestemming onder Clausule 9(c) of relevante UK SCC-clausules. Shoprocket kan niet-essentiële commerciële details weglaten voordat ze sub-verwerkingscontracten met jou deelt.
Overdrachten van Persoonlijke Gegevens
Shoprocket kan Persoonlijke Gegevens buiten de EEA, VK of Zwitserland overdragen om de Diensten te leveren (bijv. enkele Add-On Uitgevers/Sub-verwerkers in de VS). Waar geen adequaatheidsbesluit van toepassing is, zal Shoprocket passende waarborgen waarborgen volgens de Gegevensbeschermingswetgeving.
Ex-EEA Overdrachten: Gedekt door de EU SCC's (Module Eén voor Shoprocket als Beheerder, Module Twee voor Shoprocket als Verwerker). Bepaalde clausules (bijv. het dokken van Clausule 7) zijn niet van toepassing; geschillen vallen onder de Ierse wet/rechters.
Ex-UK Overdrachten: Gedekt door de IDTA-addendum.
Overdrachten uit Zwitserland: Vergelijkbaar met EU SCC's, met aanpassingen voor de Zwitserse FADP.
Aanvullende Maatregelen:
Er zijn op datum van dit Addendum geen formele verzoeken van de overheid voor gegevenstoegang.
Als Shoprocket gedwongen wordt om jouw gegevens openbaar te maken, zal het jou op de hoogte stellen (tenzij dit verboden is) en helpen je beschermende maatregelen te zoeken.
- Shoprocket en jij zullen regelmatig bespreken of de wetten in het importerende land gelijkwaardige bescherming bieden of dat aanvullende maatregelen vereist zijn.
- If any transfer mechanism ceases to be valid or a Supervisory Authority suspends it, Shoprocket may implement alternative arrangements or suspend transfers.
Waar jij een Sub-verwerker/Add-On buiten de EEA goedkeurt, machtig je ook Shoprocket om SCC's namens jou te ondertekenen.
Klachten, Verzoeken van Betrokkenen en Rechten van Derden
Shoprocket zal jou onmiddellijk alle informatie of hulp bieden die je nodig hebt om:
De rechten van Betrokkenen te vervullen (toegang, rectificatie, verwijdering, overdraagbaarheid, bezwaren, enz.).
Te reageren op of te voldoen aan informatie/assessments van regelgevers.
Shoprocket stelt je onmiddellijk op de hoogte als het klachten of communicatie over de verwerking ontvangt, en binnen 14 dagen als het een verzoek van een Betrokkene ontvangt. Shoprocket helpt bij het beantwoorden en zal Persoonlijke Gegevens niet aan derden openbaar maken tenzij wettelijk vereist of jouw instructies.
Termijn en Beëindiging
Dit Addendum blijft effectief zolang de Overeenkomst dat doet, of zolang Shoprocket enige gerelateerde Persoonlijke Gegevens behoudt. Bepalingen die moeten overleven voor gegevensbescherming blijven van kracht. Elke materiële schending van deze DPA is een materiële schending van de Overeenkomst, waardoor jij het recht hebt om onmiddellijk te beëindigen zonder verdere aansprakelijkheid.
Als de Gegevensbeschermingswetgeving verandert en een partij verhindert de verplichtingen na te komen, kunnen de partijen de verwerking opschorten totdat naleving is bereikt. Als dit niet binnen 90 dagen is opgelost, kan elke partij onmiddellijk beëindigen bij kennisgeving.
Gegevens Terugkeer en Vernietiging
Op verzoek, verstrekt Shoprocket jou (of een derde partij die je schriftelijk aangewezen hebt) kopieën of toegang tot Persoonlijke Gegevens in een door jou gespecificeerd formaat (waar redelijk).
Bij beëindiging, retourneert of verwijdert Shoprocket Persoonlijke Gegevens tenzij voortdurende opslag wettelijk vereist is. Als verwijdering onpraktisch of illegaal is, blokkeert Shoprocket verdere verwerking en blijft het de gegevens beschermen.
SCC Certificeringen: Als SCC's van toepassing zijn, zal Shoprocket de verwijdering certificeren onder Clausule 8.1(d) van de EU SCC's (of UK SCC's) op jouw schriftelijk verzoek.
Als enige wet/regelgeving Shoprocket verplicht om bepaalde gegevens te behouden, zal het jou op de hoogte stellen van de basis, tijdlijn, en zal het verwijderen wanneer de gegevens niet langer nodig zijn.
Shoprocket certificeert verwijdering binnen 30 dagen nadat dit is voltooid.
Registraties
Shoprocket houdt gedetailleerde, nauwkeurige, en actuele registraties bij van alle verwerking van Persoonlijke Gegevens (bijv. beveiligingsmaatregelen, sub-verwerkers, verwerkingsdoeleinden, eventuele internationale overdrachten). Deze registraties moeten jou in staat stellen om Shoprocket's naleving te verifiëren. Kopieën worden op verzoek verstrekt.
Waarborgen
Shoprocket waarborgt dat:
Zijn personeel, onderaannemers, of vertegenwoordigers met toegang tot Persoonlijke Gegevens betrouwbaar, vertrouwelijk, en geschikt getraind zijn.
Het zal Persoonlijke Gegevens in volledige overeenstemming met de Gegevensbeschermingswetgeving en -regels verwerken.
Het heeft geen reden om aan te nemen dat de wet het voorkomen van de afgesproken Diensten voorkomt.
Bij het overwegen van technologie en kosten, zal het passende maatregelen nemen om ongeoorloofde verwerking of accidentele schade/verlies te voorkomen, en daarmee veiligheid te waarborgen die in verhouding staat tot het risico en de gevoeligheid van de gegevens.
Uitvoering en Wijzigingen
Door het ondertekenen van de Overeenkomst ga je akkoord met en ben je gebonden aan dit Addendum. Shoprocket kan dit Addendum bijwerken met 30 dagen schriftelijke kennisgeving als dat nodig is om juridische of regelgevende redenen. Als je bezwaar maakt en er geen onderlinge oplossing wordt bereikt, kun je de betreffende Diensten beëindigen door binnen die periode schriftelijke kennisgeving te geven (waarbij eventuele gemaakte kosten verschuldigd zijn). Er ontstaan geen verdere claims uit een dergelijke beëindiging.
Bijlage A
Shoprocket Beveiligingsnormen
(Hoofdletters niet hier gedefinieerd hebben de betekenissen die zijn toegewezen in het Addendum.)
Deze Bijlage schetst de technische en organisatorische maatregelen van Shoprocket om:
Persoonlijke Gegevens te beveiligen tegen accidenteel of onwettig verlies, toegang of openbaarmaking;
Voorziene risico's voor de beveiliging te identificeren en ongeoorloofde toegang tot de Diensten (inclusief jouw Shoprocket account) te voorkomen;
Beveiligingsrisico's te minimaliseren via risicoanalyse en -testen.
Shoprocket stelt één of meer werknemers aan om toezicht te houden op deze praktijken voor informatiebeveiliging en te reageren op verwante vragen.
1. Gedeeld Verantwoordelijkheidsmodel
Shoprocket is een cloud-gebaseerde, SaaS applicatie gehost door:
Amazon Web Services (AWS) in de eu-west-1 regio (Ierland)
Hetzner Online in Falkenstein, Duitsland
AWS beheert het belangrijkste Shoprocket-platform, infrastructuur en gegevenshosting. Hetzner Online biedt extra dedicated serverruimte voor afbeeldingen, digitale downloads, logs en facturen. Onder dit model:
Shoprocket beheert de beveiliging op applicatieniveau (bijv. gebruikers toegang, applicatie patches).
AWS / Hetzner beheren fysieke beveiliging en de onderliggende cloudomgeving.
Voor meer details over de beveiliging van AWS en Hetzner, raadpleeg hun respectieve documentatie.
2. AWS en Hetzner Online Servers
AWS
Shoprocket heeft AWS geselecteerd na zorgvuldige beoordeling onder Artikelen 28(3)(c) en 32 van de UK GDPR. AWS is gecertificeerd onder tal van standaarden (bijv. SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) en biedt uitgebreide nalevingsdocumentatie. Shoprocket configureert AWS om Persoonlijke Gegevens alleen in de EU/EEA op te slaan.
Hetzner Online
Hetzner Online, gecertificeerd onder DIN ISO/IEC 27001, biedt dedicated serverruimte voor bepaalde gegevensback-ups en logs. De datacenters van Hetzner Online in Neurenberg en Falkenstein worden gecontroleerd en gecertificeerd door derden, met implementatie van een Informatiebeveiligings Management Systeem (ISMS).
3. Ontwerp, Integriteit en Beschikbaarheid van de Shoprocket Applicatie
Architectuur: Gebouwd met een JavaScript-framework, vertrouwt de Shoprocket-applicatie op Amazon's Relationele Database Service (Amazon RDS) voor MySQL.
Hoge Prestaties en Redundantie: AWS beheert automatisch load balancing, en Shoprocket houdt dagelijkse back-ups op Amazon S3. Back-ups worden in verschillende AWS-regio's opgeslagen voor veerkracht. Bovendien worden back-ups opgeslagen op de dedicated servers van Hetzner Online (met RAID-1 schijfsystemen).
Beveiliging door Ontwerp: Shoprocket controleert regelmatig op bekende webkwetsbaarheden (bijv. OWASP Top Tien) en implementeert XSS-bescherming en sanering. Een gespecialiseerde derde partij test jaarlijks de code en infrastructuur op kwetsbaarheden, aangevuld met een derde partij kwetsbaarheidsscanningservice.
4. Encryptie
In Rust: Persoonlijke Gegevens op AWS/Hetzner zijn versleuteld met AES-256 of hoger.
Sleutelbeheer: AWS Key Management Service (KMS) zorgt ervoor dat niemand (inclusief AWS-personeel) toegang heeft tot platte tekstsleutels; sleutels draaien jaarlijks. Hetzner implementeert volledige schijf-AES-256-encryptie plus verplichte authenticatie.
In Transitie: Alle externe gegevensoverdrachten gebruiken TLS 1.2+. API's en webinterfaces vereisen HTTPS (geen onbeveiligde verbindingen).
5. Beperkingen van Serverlocaties tot de EEA/EU
Shoprocket slaat gegevens exclusief in de EEA op (AWS in Ierland, Hetzner in Duitsland), waardoor risico's met betrekking tot niet-EEA-gegevensoverdrachten (bijv. naleving van de Schrems II-beslissing) worden geminimaliseerd.
6. Beschikbaarheidszones
De front-end/back-end systemen van Shoprocket zijn redundant verdeeld over meerdere beschikbaarheidszones (zowel AWS als Hetzner). Elke zone heeft meerdere ISP's, energiebronnen en hogesnelheidsverbindingen, wat zorgt voor hoge beschikbaarheid en optimale prestaties.
7. Inbraakdetectie
Shoprocket gebruikt een Inbraakdetectiesysteem (IDS) om te monitoren:
Logbestanden voor ongewone vermeldingen,
Bestand integriteitswijzigingen,
Netwerkverkeer (spoofing, bekende exploits, rootkits),
Poortwijzigingen, en
AWS-account evenementen (bijv. wijzigingen in configuratie).
Kritieke anomalieën activeren automatische preventieve maatregelen. Het IDS ondersteunt ook de vereisten van PCI DSS 3.0.
8. Logging / Audittrail
Shoprocket logt:
Systeemgebeurtenissen,
Fouten,
Gebruikerseffecten,
Database logins/verzoeken,
Andere beveiligingsgerelateerde gebeurtenissen.
Met behulp van AWS CloudTrail registreert Shoprocket alle evenementen in zijn cloudomgevingen voor transparantie en forensisch onderzoek.
9. Monitoren
Shoprocket gebruikt meerdere monitoringtools om beschikbaarheid en prestaties te waarborgen, en volgt:
Beschikbaarheid: Toegankelijkheid van de applicatie, backend/systeemgezondheid;
Bronnen: CPU, netwerkaansluitingen, opslaggebruik;
Prestaties: Reactietijden van de applicatie/database;
Beveiliging: IDS-status, systeemupdates, fout- en toegangslogs.
Shoprocket personeel monitort ook beveiligingsupdates, kwetsbaarheid rapporten en relevante beveiligingsblogs (zoals OWASP).
10. Beveiligingsaudits en Penetratietests
Shoprocket voert interne en externe beveiligingstests periodiek uit. Externe providers controleren op kwetsbaarheden, terwijl interne audits technische en organisatorische maatregelen op effectiviteit beoordelen.
11. Wijzigingsbeheer
Shoprocket onderhoudt versie-gecontroleerde opslagplaatsen voor codewijzigingen, met een stagingomgeving die de productie weerspiegelt. Wijzigingen worden getest vóór implementatie, wat zorgt voor traceerbaarheid van tijd/inhoud.
12. Toegangscontrole
Need-to-Know Principe: Alleen werknemers wiens functies toegang tot het systeem vereisen, krijgen deze.
IAM Systemen: Toegangscontrole maakt gebruik van AWS/Hetzner identiteitsbeheer.
Beveiliging: Backend-systemen zijn alleen toegankelijk via veilige, geauthenticeerde verbindingen. Een zeer beperkt aantal medewerkers heeft directe toegang tot gegevens voor diagnostische doeleinden; dergelijke toegang wordt gelogd en gecontroleerd.
Bijlage B
Grensoverschrijdende Overdrachten
DEEL 1 - ex-EEA Overdrachten
Bijlage I.A van de Standaard Contractuele Clausules (SCC's)
Gegevensexporteur: Jij (volgens de Overeenkomst).
Contactgegevens: Zoals in de Overeenkomst.
Rol: Gegevensbeheerder.
Module Eén: Gegevensimporteur is een Gegevensbeheerder (voor Klantenaccountgegevens & Klantgebruiksgegevens).
Module Twee: Gegevensimporteur is een Gegevensverwerker (voor alle andere Persoonlijke Gegevens).
Handtekening/Data: Door de Overeenkomst & DPA te sluiten, wordt de Gegevensexporteur geacht de SCC's te hebben ondertekend vanaf de Ingangsdatum.
Gegevensimporteur: Shoprocket.
Contactgegevens: Zoals in de Overeenkomst.
Handtekening/Data: Door de Overeenkomst & DPA te sluiten, wordt de Gegevensimporteur geacht de SCC's te hebben ondertekend vanaf de Ingangsdatum.
Bijlage I.B van de SCC's
Gegevenssubjecten: Beschreven in de clausule 4.6 van het Addendum.
Persoonlijke gegevenscategorieën: Beschreven in de clausule 4.5 van het Addendum.
Geen Bijzondere Categorie Gegevens bedoeld voor overdracht.
Frequentie: Continue basis voor de duur van de Overeenkomst.
Natuur: Zie clausule 4.4 van het Addendum.
Doel: Zie clausule 4.3 van het Addendum.
Bewaring: Duur van de Overeenkomst, tenzij anders vermeld.
Sub-verwerker overdrachten: Onderwerp, natuur, en duur volgens clausule 9 van het Addendum.
Bijlage I.C van de SCC's
Bevoegde Toezichthoudende Autoriteit: Zoals in clausule 10(e) van het Addendum.
Shoprocket Beveiligingsnormen (Bijlage A) voldoen aan de vereisten van Bijlage II SCC.
Conflict
Als zich een conflict tussen de SCC's en de DPA of Overeenkomst voordoet, prevaleren de SCC's.
DEEL 2 - ex-UK Overdrachten
De IDTA Addendum is van toepassing op ex-UK Overdrachten, effectief 21 maart 2022.
Termen die niet in de Overeenkomst of DPA zijn gedefinieerd, volgen de betekenis in Deel 2 van Bijlage 2 (Verplichte Clausules).
Deel 1: Tabellen
Tabel 1 van de IDTA Addendum
Tabel 1
Gegevensexporteur: Jij (volgens de Overeenkomst).
Contactgegevens: Zoals in de Overeenkomst.
Handtekening/Data: Door de Overeenkomst & Bijlage te sluiten, wordt de Exporteur geacht de IDTA Addendum te hebben ondertekend vanaf de Ingangsdatum.
Gegevensimporteur: Shoprocket.
Contactgegevens: Zoals in de Overeenkomst.
Handtekening/Data: Door de Overeenkomst & DPA te sluiten, wordt de Importeur geacht de IDTA Addendum te hebben ondertekend vanaf de Ingangsdatum.
Tabel 2 van de IDTA Addendum
Tabel 2
Goedgekeurde EU SCC's: De clausules/modules van de Goedgekeurde EU SCC's die van kracht zijn voor deze Addendum.
Modules/clausules die gebruikt worden:
Module 1 en Module 2, Clausule 7 en Clausule 11 (optie) zijn niet van toepassing, Clausule 9a is Algemene Autorisatie met een kennisgevingsperiode van 30 dagen (Bijlage clausule 9.2).
Geen combinatie van Persoonlijke Gegevens van de Importeur met Exporteurgegevens.
Tabel 3 van de IDTA Addendum
Bijlage I.A
Gegevensexporteur: Jij (beheerder).
Gegevensimporteur: Shoprocket (beheerder voor Klantenaccount/Klantgebruik Gegevens; verwerker voor andere Persoonlijke Gegevens).
Handtekening/Data: Geacht te zijn ondertekend bij het aangaan van de Overeenkomst & DPA.
Bijlage I.B
Gegevenssubjecten, gegevenscategorieën, afwezigheid van Bijzondere Categorie Gegevens, continue overdrachten, natuur/doel van verwerking, en bewaring komen overeen met clausules 4.4, 4.3, 4.5, 4.6 van het Addendum.
Informatie over sub-verwerkers volgens clausule 9 van het Addendum.
Bijlage III (lijst van Sub-verwerkers) is niet van toepassing, aangezien Shoprocket algemene autorisatie gebruikt.
Tabel 4 van de IDTA Addendum
De Importeur kan deze IDTA Addendum beëindigen onder clausule 26 van deze IDTA Addendum.
Deel 2: Verplichte Clausules
Elke Partij is gebonden aan deze IDTA Addendum voorwaarden in ruil voor de overeenkomst van de andere Partij, waardoor betrokkenen hun rechten zoals vermeld kunnen afdwingen.
Het aangaan van deze IDTA Addendum is gelijk aan het ondertekenen van de Goedgekeurde EU SCC's (inclusief eventuele vereiste handtekeningen volgens Bijlage 1A/Clausule 7).
Interpretatie
Klaar om te beginnen met verkopen?
Alle tools die je nodig hebt om te verkopen vanaf je bestaande website, sociale kanalen en meer.
Geen technische vaardigheden nodig.
34,384 verkopers hebben meer dan verwerkt US$ 3.090.935,20
zoals te zien in
