Dodatek do przetwarzania danych
Niniejszy Załącznik do Przetwarzania Danych Shoprocket ("Załącznik") modyfikuje Warunki i Zasady Shoprocket ("Umowa") pomiędzy Tobą ("Ty") a Shoprocket LTD (nr firmy 12656598, zarejestrowana w Anglii i Walii pod adresem 20-22 Wenlock Road, Londyn, NG 17U). Jeśli masz oddzielną umowę SLA z Shoprocket, odniesienia do Umowy oznaczają tę umowę SLA. Niniejszy Załącznik podlega Umowie i jest jej częścią. Każdy termin oznaczony wielką literą, który nie jest tutaj zdefiniowany, ma znaczenie nadane w Umowie.
Definicje
Ustawienia Konta: Konfiguracje dla Twojego Konta Shoprocket (w tym bezpieczeństwo), które pozwalają zarządzać tym, jak Shoprocket przetwarza Dane Osobowe.
Cele Biznesowe: Usługi zdefiniowane w Umowie.
Dane Konta Klienta: Dane Osobowe dotyczące Twojej relacji z Shoprocket (np. upoważnione kontakty, szczegóły dotyczące płatności), plus informacje zbierane przez Shoprocket w celu zarządzania kontem, kontroli tożsamości lub wymogów prawnych.
Dane Użytkowania Klienta: Dane dotyczące użytkowania przetwarzane przez Shoprocket w związku z Twoim korzystaniem z Usług (np. logi, metryki wydajności, dane dotyczące zapobiegania nadużyciom).
Ustawodawstwo o Ochronie Danych: Obejmuje CCPA, EU GDPR, Swiss Federal Act on Data Protection, UK GDPR, DPA 2018 i PECR 2003, każdą zaktualizowaną wersję. Terminy (np. "Administrator Danych," "Procesor Danych") stosują się do EU GDPR.
EEA: Europejski Obszar Gospodarczy.
EU SCC: Standardowe Klauzule Umowne zgodne z decyzją Komisji 2021/914.
Transfer Ex-EEA: Transfer Danych Osobowych (na podstawie EU GDPR) poza EEA bez decyzji o adekwatności zgodnie z Artykułem 45 EU GDPR.
Transfer Ex-UK: Transfer Danych Osobowych (na podstawie UK GDPR) poza Wielką Brytanię bez decyzji o adekwatności wydanej przez Sekretarza Stanu Wielkiej Brytanii.
Dostawca Usług: Zdefiniowany w CCPA.
Usługi: Narzędzia Shoprocket do tworzenia/zarządzania sklepami internetowymi ("Sklep Shoprocket"), obsługi produktów, płatności, wysyłki, marketingu oraz wszelkie narzędzie lub usługa, które Shoprocket może oferować.
Konto Shoprocket: Twoje konto dające dostęp do Usług, w tym Ustawień Konta, pod https://www.shoprocket.io.
Polityka Prywatności Shoprocket: Powiadomienie znajdujące się pod https://shoprocket.io/privacy, w zaktualizowanej wersji.
Sklep Shoprocket: Twoja strona e-commerce hostowana lub ułatwiana przez Shoprocket.
Dane Specjalnej Kategorii: Jak zdefiniowano w Artykułach 4(13), 4(14), 4(15) i 9 EU/UK GDPR (gdy ma zastosowanie).
Standardowe Klauzule Umowne (SCC): EU SCC i UK SCC, w zależności od kontekstu.
UK SCC: EU SCC zmienione przez IDTA Addendum UK ICO.
My/Nas/Nasz: Shoprocket LTD (w tym "Shoprocket" i "Shoprocket.io").
Ty/Twój: Strona umowy wymieniona w Umowie.
Instrukcje dla Klientów
Niniejszy Załącznik oraz Umowa (w tym instrukcje w Ustawieniach Konta) stanowią Udokumentowane Instrukcje dotyczące tego, jak Shoprocket przetwarza Dane Osobowe. Shoprocket będzie przetwarzać Dane Osobowe wyłącznie zgodnie z instrukcjami. Dodatkowe instrukcje poza tymi warunkami wymagają wcześniejszej pisemnej zgody (i mogą wiązać się z dodatkowymi opłatami).
Shoprocket może zakończyć niniejszy Załącznik i Umowę, jeśli Twoje instrukcje naruszają Ustawodawstwo o Ochronie Danych lub odbiegają od uzgodnionych instrukcji. Biorąc pod uwagę charakter przetwarzania, Shoprocket generalnie nie może ocenić, czy Twoje instrukcje naruszają prawo; jeśli wyrazi taką opinię, poinformuje Cię o tym, a Ty możesz zmodyfikować lub wycofać instrukcje.
Przetwarzanie Danych
Przetwarzanie Shoprocket
Procesor Danych/Dostawca Usług: Z wyjątkiem Danych Konta Klienta i Danych Użytkowania Klienta, Shoprocket przetwarza Dane Osobowe (na podstawie EU/UK GDPR) lub informacje osobiste (na podstawie CCPA) w Twoim imieniu.
Niepodlegający Przykrywce Zarządca Danych: Shoprocket jest Administratorem Danych w odniesieniu do Danych Osobowych zbieranych bezpośrednio od klientów Sklepu oraz dla Danych Konta Klienta lub Danych Użytkowania Klienta.
Przechowywanie
Dane Osobowe są przechowywane na:
serwerach AWS w Irlandii (lub innych regionach EEA),
serwerach Hetzner w Norymberdze/Falkenstein (Niemcy).
Zakres i Cel
Shoprocket przetwarza Dane Osobowe tylko w zakresie koniecznym dla Celów Biznesowych, które określasz (zgodnie z zakupionymi Usługami) oraz zgodnie z Ustawodawstwem o Ochronie Danych.
Jeśli wymaga tego prawo do przetwarzania w inny sposób, Shoprocket powiadomi Cię, chyba że prawo tego zabrania.
Shoprocket natychmiast stosuje się do Twoich pisemnych instrukcji dotyczących modyfikacji, przeniesienia lub usunięcia Danych Osobowych, lub wstrzymania nieautoryzowanego przetwarzania.
Shoprocket zachowuje poufność Danych Osobowych, chyba że ujawnienie jest dozwolone lub wymuszone przez przepisy prawne.
Shoprocket wspiera Cię w Twoich zobowiązaniach dotyczących zgodności (np. żądania osób, DPIA) bez dodatkowych kosztów.
Shoprocket informuje Cię o zmianach prawnych, które mogą wpływać na Umowę lub niniejszy Załącznik.
Shoprocket jako Niepodlegający Przykrywce Zarządca Danych
W odniesieniu do Danych Konta Klienta i Danych Użytkowania Klienta, Shoprocket nie jest współadministrowcą, ale przetwarza te dane dla zarządzania relacją z Tobą, zapobiegania oszustwom/zdarzeniom bezpieczeństwa, spełniania zobowiązań prawnych itd., zgodnie z Polityką Prywatności Shoprocket.
CCPA
Z wyjątkiem Danych Konta Klienta i Danych Użytkowania Klienta, Shoprocket jest Twoim Dostawcą Usług na podstawie CCPA; nie "sprzedaje" takich informacji osobistych i wykorzystuje je tylko do świadczenia Usług lub w inny sposób dozwolony przez prawo.
Rozszerzenia
Możesz zintegrować dodatki osób trzecich ("Dodatki") na podstawie oddzielnych EULA z każdym wydawcą. Shoprocket przekazuje niezbędne Dane Osobowe Wydawcy Dodatków, ale nie ponosi odpowiedzialności za ich przetwarzanie. Obecne Dodatki oferowane przez Shoprocket obejmują:
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Multikanałowe realizacje i synchronizacja.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Integracje płatności obsługujące różne metody/waluty.
Zapier: Automatyzuje transferty danych/procesy między Shoprocket a innymi aplikacjami.
Jeśli Shoprocket i Ty macie SCC, Twoja instrukcja dotycząca integracji Dodatków jest zgodą na transfer Danych Osobowych do tych Wydawców Dodatków, jeśli wymaga tego SCC.
Twoje Obowiązki
Jesteś Administratorem Danych dla wszelkich Danych Osobowych zebranych lub przetwarzanych przez Shoprocket w Twoim imieniu.
Jesteś odpowiedzialny za spełnienie wymogów dotyczących powiadomień/zgód oraz zapewnienie zgodności z Ustawodawstwem o Ochronie Danych.
Rodzaje Danych Osobowych i Cele Przetwarzania
Przedmiot: Dane Osobowe, które przesyłasz do Usług, w tym Twoje Konto Shoprocket lub Sklep.
Czas trwania: Ustalony przez Ciebie (do momentu, gdy wstrzymasz/zakończysz subskrypcję Shoprocket lub związane integracje).
Cel: Świadczenie Usług zgodnie z Twoją instrukcją (np. prowadzenie Twojego Sklepu/Konta Shoprocket).
Przyroda Przetwarzania: Platforma e-commerce Shoprocket (i wszyscy Pod-procesorzy/Dostawcy Dodatków) mogą przechowywać lub przetwarzać Dane Osobowe.
Typy Danych Osobowych: Dane, które przesyłasz (np. informacje kontaktowe, szczegóły klientów, zapisy transakcji).
Podmioty Danych: Ty, Twoi klienci, pracownicy, wykonawcy, agenci, dostawcy lub sprzedawcy.
Bezpieczeństwo Przetwarzania Danych
Shoprocket zachowa odpowiednie techniczne i organizacyjne środki zabezpieczające, aby chronić Dane Osobowe przed nieautoryzowanym lub bezprawnym przetwarzaniem, przypadkową utratą lub zniszczeniem zgodnie z Artykułem 32 EU/UK GDPR. Środki obejmują (w stosownych przypadkach):
Pseudonimizację/szyfrowanie danych;
Zapewnienie poufności, integralności, dostępności i odporności systemów;
Przywracanie dostępności danych w odpowiednim czasie po incydentach;
Regularne testowanie, ocenianie i ocena tych środków.
Pracownicy Shoprocket
Shoprocket zapewnia, że pracownicy, wykonawcy i agenci zajmujący się Danymi Osobowymi są przeszkoleni, zobowiązani do zachowania poufności i w pełni świadomi swoich zobowiązań dotyczących ochrony danych.
Bezpieczeństwo (Powtórzone)
Shoprocket na bieżąco aktualizuje techniczne/organizacyjne środki zabezpieczające, aby zapobiegać nieautoryzowanemu przetwarzaniu, w tym szyfrowaniu, odporności systemu, odzyskiwalności i testowaniu skuteczności.
Naruszenie Danych Osobowych
Powiadomienie
Shoprocket powiadamia Cię w ciągu 72 godzin (i bez zbędnej zwłoki), jeśli dowie się o:
Utracie/zniszczeniu Danych Osobowych;
Jakimkolwiek przypadkowym, nieautoryzowanym lub bezprawnym przetwarzaniu;
Naruszeniu Danych Osobowych.
Informacje
Shoprocket dostarcza opis incydentu, dotkniętych kategorii/liczby danych oraz podjętych lub proponowanych środków w celu złagodzenia skutków.
Współpraca
Shoprocket koordynuje z Tobą dochodzenie i nie poinformuje osób trzecich bez Twojej pisemnej zgody, chyba że wymaga tego prawo.
Koszty
Shoprocket pokrywa uzasadnione wydatki związane z tymi obowiązkami, chyba że incydent wynika z Twoich instrukcji, niedbalstwa lub naruszenia, w takim przypadku pokrywasz uzasadnione wydatki Shoprocket (w tym koszty doradcze).
Pod-procesorzy
Shoprocket aktualnie korzysta z tych Pod-procesorów w celu hostowania/przetwarzania danych, infrastruktury/usług sieciowych lub innych funkcji serwisowych:
| Nazwa | Opis | Lokalizacja |
|---|---|---|
| 200OK LLC (Profitwell) | Raportowanie/analiza subskrypcyjna. | MA, USA |
| Amazon Web Services EMEA SARL | Hosting w chmurze, obliczenia, przechowywanie. | Luxemburg, UE |
| Automattic, Inc. (Gravatar) | Umożliwia użytkownikom przesyłanie obrazów profilowych do kont Shoprocket. | CA, USA |
| Cloudflare, Inc. | Bezpieczeństwo sieci i łączność. | CA, USA |
| Crisp IM SAS | Aplikacja czatu na żywo i wiadomości dla wsparcia użytkowników. | Francja, UE |
| Facebook Technologies Ireland | Piksele Facebooka do konwersji, optymalizacji reklam, budowania publiczności. | Irlandia, UE |
| Google Ireland Limited | Google Analytics (analiza zachowań), Adwords (umieszczanie reklam/monetyzacja). | Irlandia, UE |
| GmbH | Hosting w chmurze, obliczenia i przechowywanie. | Niemcy, UE |
| TPS Unlimited, Inc. (Taxjar) | Automatyzacja podatków dla VAT UE i podatku od sprzedaży w USA na Sklepach Shoprocket. | CA, USA |
| Twilio, Inc. (Sendgrid) | Wielokanałowe wiadomości (e-mail, SMS, WhatsApp). | Irlandia, UE |
| Twitter, Inc. | Piksel Twittera do śledzenia konwersji i metryk wydajności reklam. | CA, USA |
Zezwalasz Shoprocket na korzystanie z powyższych Pod-procesorów i udzielasz ogólnego zezwolenia Shoprocket na dodawanie innych ("Pod-procesory Autoryzowane"). Shoprocket powiadomi co najmniej 30 dni wcześniej (poprzez stronę internetową, e-mail lub powiadomienie w Koncie) przed użyciem nowego Pod-procesora. Możesz zgłosić sprzeciw w ciągu 10 dni od powiadomienia, na piśmie, z uzasadnionych powodów dotyczących ochrony danych. Jeśli zaangażowany jest istotny Pod-procesor i nie znajdzie się alternatywa w ciągu 90 dni, możesz zrezygnować lub zakończyć odpowiednie Usługi (nadal płacąc wszelkie należne opłaty).
Jeśli nie zgłosisz sprzeciwu w ciągu 10 dni, nowy Pod-procesor uznawany jest za zatwierdzony. Gdy Shoprocket angażuje Pod-procesora,:
Ogranicza dostęp tylko do tego, co jest niezbędne do świadczenia lub ulepszania Usług;
Nakłada na nich takie same obowiązki dotyczące ochrony danych;
Pozostaje odpowiedzialny za ich zgodność.
Jeśli mają zastosowanie SCC, Twoje zezwolenie liczy się jako wcześniejsza pisemna zgoda na mocy Klauzuli 9(c) lub odpowiednich klauzul UK SCC. Shoprocket może wykreślić nieistotne szczegóły handlowe przed udostępnieniem umów o pod-przetwarzaniu.
Transfery Danych Osobowych
Shoprocket może transferować Dane Osobowe poza EEA, UK lub Szwajcarię, aby świadczyć Usługi (np. niektórzy Wydawcy Dodatków/Pod-procesorzy w USA). Gdzie żadne decyzje o adekwatności nie mają zastosowania, Shoprocket zapewni odpowiednie zabezpieczenia zgodnie z Ustawodawstwem o Ochronie Danych.
Transfery Ex-EEA: Podlegają EU SCC (Moduł Pierwszy dla Shoprocket jako Administrator, Moduł Drugi dla Shoprocket jako Procesor). Niektóre klauzule (np. dokowanie Klauzuli 7) nie mają zastosowania; spory podlegają prawu/sądowi Irlandii.
Transfery Ex-UK: Podlegają IDTA Addendum.
Transfery ze Szwajcarii: Podobnie jak w EU SCC, z modyfikacjami dla Szwajcarskiego FADP.
Dodatkowe Środki:
Na dzień niniejszego Załącznika nie istnieją formalne żądania dostępu do danych przez rząd.
Jeśli będą zmuszeni do ujawnienia Twoich danych, Shoprocket powiadomi Cię (chyba że zabrania tego prawo) i pomoże w podjęciu środków ochronnych.
- Shoprocket i Ty regularnie będziecie omawiać, czy przepisy w kraju importującym zapewniają równoważną ochronę lub wymagają dodatkowych środków.
Jeśli jakikolwiek mechanizm transferu przestanie być ważny lub organ nadzoru go zawiesi, Shoprocket może wdrożyć alternatywne rozwiązania lub wstrzymać transfery.
Gdzie aprobujesz Pod-procesora/Dodatek poza EEA, również upoważniasz Shoprocket do podpisania SCC w Twoim imieniu.
Skargi, Żądania Podmiotów Danych i Prawa Stron Trzecich
Shoprocket niezwłocznie dostarczy Ci wszelkie informacje lub pomoc, której potrzebujesz, aby:
Wypełnić prawa Podmiotów Danych (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciwy itp.).
Zająć się lub dostosować do powiadomień/ocen z organów regulacyjnych.
Shoprocket niezwłocznie informuje Cię, jeśli otrzyma skargi lub komunikacje dotyczące przetwarzania, oraz w ciągu 14 dni, jeśli otrzyma żądanie Podmiotu Danych. Shoprocket wspiera w odpowiedziach i nie ujawnia Danych Osobowych osobom trzecim, chyba że wymaga tego prawo lub Twoje instrukcje.
Okres i Zakończenie
Niniejszy Załącznik pozostaje w mocy tak długo, jak trwa Umowa, lub Shoprocket zachowuje jakiekolwiek powiązane Dane Osobowe. Postanowienia, które muszą przetrwać zgodność z ochroną danych, pozostają w mocy. Jakiekolwiek istotne naruszenie tego DPA stanowi istotne naruszenie Umowy, dając Ci prawo do natychmiastowego zakończenia bez dalszej odpowiedzialności.
Jeśli değiş biçim Ustawodawstwa o Ochronie Danych uniemożliwia którejkolwiek ze stron wypełnienie swoich zobowiązań, strony mogą zawiesić przetwarzanie, dopóki nie zostaną spełnione normy. Jeśli sprawa nie zostanie rozwiązana w ciągu 90 dni, którakolwiek ze stron może wypowiedzieć umowę ze skutkiem natychmiastowym po powiadomieniu.
Zwrot i Zniszczenie Danych
Na żądanie, Shoprocket dostarczy Ci (lub osobie trzeciej, którą wskazujesz na piśmie) kopie lub dostęp do Danych Osobowych w formacie przez Ciebie określonym (gdzie to możliwe).
Przy zakończeniu, Shoprocket zwraca lub usuwa Dane Osobowe, chyba że ich dalsze przechowywanie jest wymagane przez prawo. Jeśli usunięcie jest niemożliwe lub niezgodne z prawem, Shoprocket blokuje dalsze przetwarzanie i nadal chroni dane.
Certyfikacje SCC: Jeśli SCC mają zastosowanie, Shoprocket potwierdzi usunięcie zgodnie z Klauzulą 8.1(d) EU SCC (lub UK SCC) na Twoje pisemne żądanie.
Jeśli jakiekolwiek prawo/przepis wymaga od Shoprocket zachowania pewnych danych, powiadomi Cię o podstawie, harmonogramie, a następnie usunie je, gdy nie będą już wymagane.
Shoprocket potwierdzi usunięcie w ciągu 30 dni po jego zakończeniu.
Rejestry
Shoprocket prowadzi szczegółowe, dokładne, aktualne rejestry wszystkich przetwarzań Danych Osobowych (np. środki bezpieczeństwa, pod-procesorzy, cele przetwarzania, wszelkie międzynarodowe transfery). Te rejestry muszą pozwalać Ci zweryfikować zgodność Shoprocket. Kopie są dostępne na żądanie.
Gwarancje
Shoprocket gwarantuje, że:
Jej pracownicy, podwykonawcy lub agenci z dostępem do Danych Osobowych są rzetelni, godni zaufania i odpowiednio przeszkoleni.
Przetwarza Dane Osobowe w pełnej zgodności z Ustawodawstwem o Ochronie Danych i pokrewnymi przepisami.
Nie ma podstaw do przypuszczenia, że prawo uniemożliwia świadczenie uzgodnionych Usług.
Biorąc pod uwagę technologię i koszty, podejmie odpowiednie środki, aby zapobiegać nieautoryzowanemu przetwarzaniu lub przypadkowym uszkodzeniom/utracie, zapewniając bezpieczeństwo proporcjonalne do ryzyka i wrażliwości danych.
Wykonanie i Modyfikacje
Podpisując Umowę, zgadzasz się na ten Załącznik i jesteś nim związany. Shoprocket może zaktualizować ten Załącznik po 30 dniach pisemnego powiadomienia, jeśli będzie to konieczne z powodów prawnych lub regulacyjnych. Jeśli zgłosisz sprzeciw, a nie osiągnięto zgody wzajemnej, możesz wypowiedzieć dotknięte Usługi na piśmie w tym okresie (zobowiązując się do zapłaty za wszystkie koszty poniesione). Żadne dalsze roszczenia nie powstaną w wyniku takiego wypowiedzenia.
Załącznik A
Standardy Bezpieczeństwa Shoprocket
(Pojęcia z wielką literą, które nie zostały tutaj zdefiniowane, mają znaczenia przypisane w Załączniku.)
Niniejszy Załącznik określa techniczne i organizacyjne środki Shoprocket mające na celu:
Zapewnienie bezpieczeństwa Danych Osobowych przed przypadkową lub bezprawną utratą, dostępem lub ujawnieniem;
Identyfikacja przewidywalnych ryzyk dla bezpieczeństwa oraz zapobieganie nieautoryzowanemu dostępowi do Usług (w tym Twojego konta Shoprocket);
Minimalizacja ryzyka bezpieczeństwa poprzez ocenę ryzyka i testowanie.
Shoprocket wyznacza jednego lub więcej pracowników do nadzoru tych praktyk ochrony informacji i do reagowania na związane z nimi zapytania.
1. Model Zbiorowej Odpowiedzialności
Shoprocket jest opartą na chmurze aplikacją SaaS hostowaną przez:
Amazon Web Services (AWS) w regionie eu-west-1 (Irlandia)
Hetzner Online w Falkenstein, Niemcy
AWS obsługuje główną platformę Shoprocket, infrastrukturę i hosting danych. Hetzner Online zapewnia dodatkową dedykowaną przestrzeń serwerową dla obrazów, cyfrowych pobrań, logów i faktur. W ramach tego modelu:
Shoprocket zarządza bezpieczeństwem na poziomie aplikacji (np. dostęp użytkowników, poprawki aplikacji).
AWS / Hetzner zarządzają bezpieczeństwem fizycznym i środowiskiem chmury.
Po więcej informacji na temat bezpieczeństwa AWS i Hetznera proszę zapoznać się z ich odpowiednimi dokumentami.
2. Serwery AWS i Hetzner Online
AWS
Shoprocket wybrał AWS po dokładnym przeglądzie zgodnie z Artykułami 28(3)(c) i 32 UK GDPR. AWS jest certyfikowane na podstawie licznych standardów (np. SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) i dostarcza obszerne dokumenty związane z zgodnością. Shoprocket konfiguruje AWS w celu przechowywania Danych Osobowych wyłącznie w UE/EEA.
Hetzner Online
Hetzner Online, certyfikowane zgodnie z DIN ISO/IEC 27001, zapewnia dedykowaną przestrzeń serwerową dla niektórych kopii zapasowych i logów danych. Centra danych Hetzner Online w Norymberdze i Falkenstein są audytowane i certyfikowane przez strony trzecie, implementując System Zarządzania Bezpieczeństwem Informacji (ISMS).
3. Projekt, Integralność i Dostępność Aplikacji Shoprocket
Architektura: Zbudowane z wykorzystaniem frameworka JavaScript, aplikacja Shoprocket korzysta z Relacyjnej Usługi Bazy Danych Amazona (Amazon RDS) dla MySQL.
Wysoka Wydajność i Redundancja: AWS automatycznie obsługuje równoważenie obciążenia, a Shoprocket utrzymuje codzienne kopie zapasowe na Amazon S3. Kopie zapasowe są przechowywane w różnych regionach AWS dla odporności. Dodatkowo, kopie zapasowe są przechowywane na dedykowanych serwerach Hetzner Online (z systemami dysków RAID-1).
Bezpieczeństwo przez Projektowanie: Shoprocket regularnie sprawdza znane podatności internetowe (np. OWASP Top Ten) oraz wdraża ochronę XSS i sanitację. Co roku kodeks i infrastruktura są testowane przez specjalistyczną firmę zewnętrzną na podatności, uzupełniane przez usługę skanowania podatności stron trzecich.
4. Szyfrowanie
W Spoczynku: Dane Osobowe na AWS/Hetzner są szyfrowane przy użyciu AES-256 lub wyższego.
Zarządzanie Kluczami: Usługa Zarządzania Kluczami AWS (KMS) zapewnia, że nikt (w tym pracownicy AWS) nie ma dostępu do kluczy w postaci prostego tekstu; klucze są obracane co roku. Hetzner wdraża szyfrowanie AES-256 na całym dysku oraz obowiązkową autoryzację.
W Tranzycie: Wszystkie zewnętrzne transfery danych korzystają z TLS 1.2+. API i interfejsy internetowe wymagają HTTPS (brak niezaszyfrowanych połączeń).
5. Ograniczenie Lokalizacji Serwerów do EEA/EU
Shoprocket przechowuje dane wyłącznie w EEA (AWS w Irlandii, Hetzner w Niemczech), minimalizując ryzyka związane z transferami danych poza EEA (np. zgodność z decyzją Schrems II).
6. Strefy Dostępności
Systemy front-end/back-end Shoprocket są redundantnie rozproszone w różnych strefach dostępności (zarówno AWS, jak i Hetzner). Każda strefa ma wiele dostawców usług internetowych, źródeł zasilania i łącz high-speed, co zapewnia wysoką dostępność i optymalną wydajność.
7. System Wykrywania Intruzów
Shoprocket korzysta z Systemu Wykrywania Intruzów (IDS) do monitorowania:
Plików logów w poszukiwaniu nietypowych wpisów,
Zmian integralności plików,
Ruchu sieciowego (fałszerstwa, znane exploity, rootkity),
Zmian portów oraz
Wydarzeń konta AWS (np. zmiany konfiguracji).
Krytyczne anomalie uruchamiają automatyczne środki zapobiegawcze. IDS wspiera również wymogi PCI DSS 3.0.
8. Logi / Ślad Audytu
Shoprocket rejestruje:
Wydarzenia systemowe,
Błędy,
Aktywność użytkowników,
Loginy/żądania bazy danych,
Inne wydarzenia związane z bezpieczeństwem.
Używając AWS CloudTrail, Shoprocket rejestruje wszystkie wydarzenia w swoich środowiskach chmurowych, aby zapewnić przejrzystość i audyt.
9. Monitoring
Shoprocket korzysta z wielu narzędzi monitorujących, aby zapewnić dostępność i wydajność, monitorując:
Dostępność: Dostępność aplikacji, zdrowie systemu/back-end;
Zasoby: CPU, interfejsy sieciowe, użycie pamięci;
Wydajność: Czasy odpowiedzi aplikacji/bazy danych;
Bezpieczeństwo: Status IDS, aktualizacje systemu, logi błędów/dostępu.
Pracownicy Shoprocket również monitorują aktualizacje zabezpieczeń, raporty o podatności oraz istotne blogi o bezpieczeństwie (np. OWASP).
10. Audyty Bezpieczeństwa i Testy Penetracyjne
Shoprocket regularnie przeprowadza wewnętrzne i zewnętrzne testy bezpieczeństwa. Zewnętrzni dostawcy sprawdzają podatności, podczas gdy audyty wewnętrzne oceniają środki techniczne i organizacyjne pod kątem ich skuteczności.
11. Zarządzanie Zmianami
Shoprocket utrzymuje wersjonowane repozytoria dla zmian w kodzie, z środowiskiem staging, które odwzorowuje produkcję. Zmiany są testowane przed wdrożeniem, co zapewnia ich ścisłość co do czasu/zawartości.
12. Kontrola Dostępu
Zasada Need-to-Know: Dostęp do systemów otrzymują wyłącznie pracownicy, których role tego wymagają.
Systemy IAM: Kontrola dostępu korzysta z zarządzania tożsamościami AWS/Hetzner.
Bezpieczeństwo: Systemy zaplecza są dostępne tylko za pośrednictwem bezpiecznych, uwierzytelnionych połączeń. Bardzo ograniczona liczba osób ma bezpośredni dostęp do danych w celach diagnostycznych; dostęp ten jest rejestrowany i monitorowany.
Załącznik B
Transfery Międzynarodowe
CZĘŚĆ 1 - Transfery Ex-EEA
Załącznik I.A Standardowych Klauzul Umownych (SCC)
Eksporter Danych: Ty (zgodnie z Umową).
Szczegóły kontaktowe: Jak w Umowie.
Rola: Administrator Danych.
Moduł Pierwszy: Importer Danych jest Administratorem Danych (dla Danych Konta Klienta i Danych Użytkowania Klienta).
Moduł Drugi: Importer Danych jest Procesorem Danych (dla wszystkich innych Danych Osobowych).
Podpis/Data: Podpisując Umowę i DPA, Eksporter Danych jest uważany za podpisującego SCC z dniem obowiązywania.
Importer Danych: Shoprocket.
Szczegóły kontaktowe: Jak w Umowie.
Podpis/Data: Podpisując Umowę i DPA, Importer Danych jest uważany za podpisującego SCC z dniem obowiązywania.
Załącznik I.B SCC
Podmioty Danych: Opisane w klauzuli 4.6 Załącznika.
Kategorie Danych Osobowych: Opisane w klauzuli 4.5 Załącznika.
Brak Danych Specjalnej Kategorii przewidzianych do transferu.
Częstotliwość: Na podstawie ciągłej trwania Umowy.
Charakter: Zobacz klauzula 4.4 Załącznika.
Cel: Zobacz klauzula 4.3 Załącznika.
Przechowanie: Czas trwania Umowy, chyba że stwierdzono inaczej.
Transfery Pod-procesorów: Przedmiot, charakter i czas trwania zgodnie z klauzulą 9 Załącznika.
Załącznik I.C SCC
Kompetentny organ nadzorczy: Jak w klauzuli 10(e) Załącznika.
Standardy Bezpieczeństwa Shoprocket (Załącznik A) spełniają wymagania Załącznika II SCC.
Konflikt
Jeśli jakikolwiek konflikt między SCC a DPA lub Umową się pojawi, SCC mają pierwszeństwo.
CZĘŚĆ 2 - Transfery Ex-UK
WIDTA Addendum mają zastosowanie do transferów Ex-UK, obowiązujące od 21 marca 2022.
Terminy nie zdefiniowane w Umowie ani DPA mają znaczenie określone w Część 2 Załącznika 2 (Klauzule Obowiązkowe).
Część 1: Tabele
Tabela 1 IDTA Addendum
Tabela 1
Eksporter Danych: Ty (zgodnie z Umową).
Szczegóły kontaktowe: Jak w Umowie.
Podpis/Data: Podpisując Umowę i Załącznik, Eksporter jest uważany za podpisującego IDTA Addendum z dniem obowiązywania.
Importer Danych: Shoprocket.
Szczegóły kontaktowe: Jak w Umowie.
Podpis/Data: Podpisując Umowę i DPA, Importer jest uważany za podpisującego IDTA Addendum z dniem obowiązywania.
Tabela 2 IDTA Addendum
Tabela 2
Zatwierdzone EU SCC: Klauzule/moduły z Zatwierdzonych EU SCC obowiązujących dla tego Załącznika.
Moduły/klauzule używane:
Moduł 1 i Moduł 2, Klauzula 7 i Klauzula 11 (opcja) nie mają zastosowania, Klauzula 9a to Generalne Zezwolenie z 30-dniowym okresem wypowiedzenia (klauzula 9.2 Załącznika).
Kombinacja Danych Osobowych z Importera z danymi Eksportera nie jest dozwolona.
Tabela 3 IDTA Addendum
Załącznik I.A
Eksporter Danych: Ty (administrator).
Importer Danych: Shoprocket (administrator Danych Konta/Użytkowania Klienta; procesor dla pozostałych Danych Osobowych).
Podpis/Data: Uważane za podpisane przy wejściu w umowę i DPA.
Załącznik I.B
Podmioty danych, kategorie danych, brak Danych Specjalnej Kategorii, transfery ciągłe, charakter/cel przetwarzania i przechowywanie odpowiadają klauzulom 4.4, 4.3, 4.5, 4.6 Załącznika.
Informacje o Pod-procesorach zgodnie z klauzulą 9 Załącznika.
Załącznik III (lista Pod-procesorów) nie ma zastosowania, ponieważ Shoprocket korzysta z ogólnego zezwolenia.
Tabela 4 IDTA Addendum
Importer może zakończyć niniejszy IDTA Załącznik zgodnie z klauzulą 26 niniejszego IDTA Załącznika.
Część 2: Klauzule Obowiązkowe
Każda Strona jest związana tymi warunkami IDTA Załącznika w zamian za zgodę drugiej Strony, umożliwiając podmiotom danych egzekwowanie praw, jak określono.
Wejście w życie tego IDTA Załącznika równa się podpisaniu Zatwierdzonych EU SCC (w tym wszelkie wymagane podpisy zgodnie z Załącznikiem 1A/Klauzula 7).
Interpretacja
Terminy z Zatwierdzonych EU SCC mają tu takie samo znaczenie; dodatkowe odpowiednie terminy (np. "Dodatek EU SCC," "Zatwierdzony Dodatek," "UK Data Protection Laws") są zdefiniowane w tym IDTA Załączniku.
Niniejszy IDTA Załącznik musi być interpretowany w sposób zgodny z przepisami prawa ochrony danych w UK i musi spełniać "Odpowiednie Środki Ochronne."
Jakiekolwiek zmiany w Zatwierdzonych EU SCC, które nie są dozwolone w ramach nich lub Zatwierdzonego Załącznika są nieważne. Sprzeczne postanowienia wracają do niezmienionych warunków SCC.
Jeśli zachodzi konflikt z przepisami ochrony danych w UK, mają one pierwszeństwo.
Jakiekolwiek niejasności są rozwiązywane w najlepszy sposób zgodny z przepisami ochrony danych w UK.
Odniesienia do ustawodawstwa obejmują wszelkie zmienione lub skonsolidowane wersje.
Hierarchia
Klauzula 5 Zatwierdzonych EU SCC stanowi, że mają pierwszeństwo przed innymi umowami, ale w przypadku Transferów Ograniczonych, hierarchia podana w Rozdziale 17 poniżej ma zastosowanie.
Jeśli są one niespójne lub sprzeczne z Zatwierdzonymi EU SCC, Zatwierdzony Dodatek ma pierwszeństwo, chyba że SCC zapewniają większą ochronę dla podmiotów danych, w takim przypadku stosuje się warunki SCC.
Żadne z postanowień nie ma wpływu na wszelkie SCC, które strony stosują dla zgodności z EU GDPR.
Włączenie i Zmiany w EU SCC
IDTA Dodatek włącza Zatwierdzone EU SCC z niezbędnymi modyfikacjami, aby działały dla transferów związanych z UK, przewyższa hierarchię Klauzuli 5 i zapewnia, że podlegają one prawu/sądom angielskim (chyba że wybrano inaczej dla Szkocji lub Irlandii Północnej).
Jeśli brak jest szczególnej alternatywy uzgodnionej, stosuje się Rozdział 22.
Nie są dozwolone żadne dalsze zmiany w Zatwierdzonych EU SCC poza tymi, które są niezbędne w Rozdziale 19.
Zmiany w Zatwierdzonych EU SCC obejmują wyjaśnienia dotyczące odniesień do przepisów ochrony danych w UK, zastępując odniesienia do Rozporządzenia (UE) 2016/679 "przepisami ochrony danych w UK," usuwając odniesienia do Rozporządzenia (UE) 2018/1725, dostosowując Klauzule 17/18 do prawa/sądów angielskich itd. Przypisy nie stanowią częścią IDTA z wyjątkiem przypisów 8, 9, 10, 11.
Zmiany w tym IDTA
Strony mogą zmienić Klauzule 17 lub 18, aby odnosiły się do sądów szkockich lub irlandzkich północnych.
Strony mogą również dostosować formatowanie Tabeli na podstawie wspólnej pisemnej zgody, zapewniając ten sam poziom ochrony.
ICO może co pewien czas wydać zaktualizowany Zatwierdzony Dodatek, który automatycznie zmienia ten IDTA Dodatek od daty jego wejścia w życie, mogąc wymagać przeglądu przez strony.
Jeżeli zmiany ICO znacznie i nieproporcjonalnie zwiększają koszty lub ryzyko którejkolwiek ze stron, a redukcja tych kosztów/ryzyk nie jest możliwa, ta strona może zakończyć ten IDTA po rozsądnej poprzednio powiadomieniu drugiej strony, zanim zaktualizowany Dodatek wejdzie w życie.
Nie jest wymagane zezwolenie żadnej strony trzeciej na zmiany, ale modyfikacje muszą spełniać warunki niniejszego IDTA Załącznika.
Gotowy zacząć sprzedawać?
Wszystkie narzędzia potrzebne do sprzedaży ze strony internetowej, kanałów społecznościowych i więcej.
Brak umiejętności technicznych.
34,384 sprzedawców przetworzyli ponad 3 090 935,20 USD
jak w mediach
