سياسة ملفات تعريف الارتباط الخاصة بـ CloudSek

ملحق حماية البيانات هذا (»إضافة«) بين شركة CloudSek للأبحاث PTE. المحدودة. (»كلاود سيك«جنبًا إلى جنب مع الشركات التابعة لها) و العميل (على النحو المحدد في الاتفاقية) يشكل جزءًا من شروط خدمة CloudSek أو أي اتفاقية مكتوبة أو إلكترونية أخرى تتضمن هذا الملحق، في كل حالة تحكم وصول العميل إلى الخدمات واستخدامها (ال»اتفاقية»). يُشار إلى CloudSek والعميل بشكل جماعي هنا باسم»الأطراف«وبشكل فردي باسم»حفلة». تم تحديث هذه الإضافة آخر مرة في مايو 2025.

يدخل العميل في هذا الملحق نيابة عن نفسه وعن أي شركة تابعة مخولة باستخدام الخدمات بموجب الاتفاقية ولم تدخل في ترتيب تعاقدي منفصل مع CloudSek. لأغراض هذا الملحق فقط، وباستثناء الحالات المشار إليها بخلاف ذلك، يجب أن تشمل الإشارات إلى «العميل» العميل والشركات التابعة.

يوافق الطرفان على إضافة الشروط والأحكام الموضحة أدناه كإضافة للاتفاقية.

تعريفات

1. 1. في هذا الملحق، يجب أن يكون للمصطلحات التالية المعاني الموضحة أدناه ويجب تفسير المصطلحات المشابهة وفقًا لذلك:
   • »شركة تابعة«يعني الكيان الذي يمتلك أو يتحكم أو يمتلكه أو يتحكم فيه أو يخضع لسيطرة أو ملكية مشتركة مع أي من العميل أو CloudSek (حسب ما يسمح به السياق)، حيث يتم تعريف السيطرة على أنها امتلاك، بشكل مباشر أو غير مباشر، سلطة توجيه أو التسبب في توجيه إدارة وسياسات الكيان، سواء من خلال ملكية الأوراق المالية المصوتة أو عن طريق العقد أو غير ذلك؛
   • «بيانات العميل الشخصية«تعني أي بيانات شخصية مقدمة من العميل أو أتاحها لـ CloudSek أو تم جمعها بواسطة CloudSek نيابة عن العميل والتي تتم معالجتها بواسطة CloudSek لأداء الخدمات؛
   • «وحدة تحكم إلى معالج SCCs«تعني البنود التعاقدية القياسية لعمليات النقل عبر الحدود التي نشرتها المفوضية الأوروبية في 4 يونيو 2021 والتي تحكم نقل البيانات الشخصية للمنطقة الأوروبية إلى بلدان ثالثة على النحو الذي اعتمدته المفوضية الأوروبية والمفوض الفيدرالي السويسري لحماية البيانات والمعلومات (»شركة FDPIC السويسرية«) فيما يتعلق بنقل البيانات إلى بلدان ثالثة (بشكل جماعي»SCCs في الاتحاد الأوروبي»)؛ `2` إضافة النقل الدولي للبيانات (»ملحق التحويل في المملكة المتحدة«) اعتمده مكتب مفوض المعلومات في المملكة المتحدة (»أيقونة المملكة المتحدة») لنقل البيانات من المملكة المتحدة إلى بلدان ثالثة؛ أو (3) أي بنود مماثلة معتمدة من قبل منظم حماية البيانات فيما يتعلق بنقل البيانات الشخصية إلى بلدان ثالثة، بما في ذلك على سبيل المثال لا الحصر أي بنود لاحقة لها؛
   • «قوانين حماية البيانات«يعني أي قانون محلي أو حكومي أو وطني يتعلق بمعالجة البيانات الشخصية المطبقة على CloudSek في الولايات القضائية التي يتم فيها تقديم الخدمات للعميل، بما في ذلك، على سبيل المثال لا الحصر، قانون الخصوصية والأمان وحماية البيانات؛
   • »منطقة الاتحاد الأوروبي«يعني الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية والمملكة المتحدة وسويسرا؛
   • »قانون منطقة الاتحاد الأوروبي«يعني (1) التوجيه 95/46/EC، واعتبارًا من 25 مايو 2018، اللائحة (الاتحاد الأوروبي) 2016/679 (»قانون حماية البيانات الخاص بالاتحاد«) جنبًا إلى جنب مع التشريعات المعمول بها التي تنفذ أو تكمل نفس الشيء أو فيما يتعلق بمعالجة البيانات الشخصية للأشخاص الطبيعيين؛ (2) قانون حماية البيانات لعام 1998 للمملكة المتحدة واللائحة العامة لحماية البيانات للاتحاد الأوروبي كما هو محفوظ في قانون المملكة المتحدة بموجب القسم 3 من قانون الاتحاد الأوروبي (الانسحاب) للمملكة المتحدة لعام 2018 (»GDPR في المملكة المتحدة»)؛ (iii) قانون حماية البيانات الاتحادي السويسري الصادر في 19 حزيران/يونيه 1992 ومرسوم القانون الخاص به (»وكالة حماية البيئة السويسرية«)؛ (iv) أي قانون آخر يتعلق بحماية البيانات أو الأمن أو خصوصية الأفراد ينطبق في منطقة الاتحاد الأوروبي؛ أو (v) أي قانون لاحق أو تعديلات عليه (بما في ذلك، على سبيل المثال لا الحصر، تنفيذ اللائحة العامة لحماية البيانات للاتحاد الأوروبي من قبل الدول الأعضاء في قانونها الوطني)؛
   • «حادث أمني«يعني أي خرق للأمن يؤدي إلى التدمير العرضي أو غير القانوني أو الخسارة أو التغيير أو الكشف غير المصرح به أو الوصول إلى بيانات العميل الشخصية التي تتم معالجتها بواسطة CloudSek؛
   • «خدمات«تعني الخدمات التي ستقدمها CloudSek للعميل أو الشركات التابعة للعميل وفقًا للاتفاقية؛ و
   • «البلد الثالث«يعني البلدان التي، عند الاقتضاء بموجب قوانين حماية البيانات المعمول بها، لم تتلق قرارًا كافيًا من سلطة معمول بها فيما يتعلق بنقل البيانات الشخصية عبر الحدود، بما في ذلك الهيئات التنظيمية مثل المفوضية الأوروبية أو UK ICO أو Swiss FDPIC.
2. ‍
3. 2. الشروط»الأعمال«،»الغرض التجاري«،»غرض تجاري«،»المقاول«،»وحدة التحكم«،»موضوع البيانات«،»البيانات الشخصية«،»خرق البيانات الشخصية«،»عملية«،»المعالج«،»بيع«،»مزود الخدمة«،»شارك«،»معالج فرعي«،»السلطة الإشرافية«، و»طرف ثالث» لها نفس المعاني الموضحة في قوانين حماية البيانات المعمول بها ويجب تفسير المصطلحات المشابهة وفقًا لذلك.
4. ‍
5. 3. يجب أن تحمل المصطلحات المكتوبة بحروف كبيرة والتي لم يتم تعريفها بطريقة أخرى في هذا الملحق المعاني المنسوبة إليها في الاتفاقية.
6. ‍

نطاق الإضافة

1. 1. ينطبق هذا الملحق على معالجة CloudSek للبيانات الشخصية للعملاء بموجب الاتفاقية إلى الحد الذي تخضع فيه هذه المعالجة لقوانين حماية البيانات. يخضع هذا الملحق للقانون الحاكم للاتفاقية ما لم تتطلب قوانين حماية البيانات خلاف ذلك.

أدوار الأطراف

1. 1. يقر الطرفان ويوافقان على أنه فيما يتعلق بمعالجة البيانات الشخصية للعميل، وكما هو موضح بشكل كامل في المرفق 1 وبالتالي، يعمل العميل كشركة أو وحدة تحكم، وتعمل CloudSek كمزود خدمة أو معالج. تنطبق هذه الإضافة فقط على معالجة البيانات الشخصية للعميل بواسطة CloudSek التي تعمل كمعالج أو معالج فرعي أو طرف ثالث (كما هو محدد في الملحق 1).
2. ‍
3. 2. يوافق الطرفان صراحةً على أن العميل هو المسؤول الوحيد عن ضمان الاتصالات في الوقت المناسب مع الشركات التابعة للعميل أو وحدة التحكم (وحدات التحكم) ذات الصلة التي تتلقى الخدمات، بقدر ما قد تكون هذه الاتصالات مطلوبة أو مفيدة في ضوء قوانين حماية البيانات المعمول بها لتمكين الشركات التابعة للعميل أو وحدة التحكم (وحدات) التحكم ذات الصلة من الامتثال لهذه القوانين.
4. ‍
5. 3. يتحمل العميل وحده مسؤولية الامتثال لقوانين الإخطار بالحوادث الأمنية المطبقة على العميل والوفاء بأي التزامات لتقديم إشعارات إلى السلطات الحكومية أو الأفراد المتضررين أو غيرهم فيما يتعلق بأي حوادث أمنية.
6. ‍

الوصف والغرض من معالجة البيانات الشخصية

1. 1. في الملحق 1 من هذا الملحق، حدد الطرفان بشكل متبادل فهمهما للموضوع وتفاصيل معالجة البيانات الشخصية للعميل التي ستتم معالجتها بواسطة CloudSek وفقًا لهذا الملحق. يجوز للطرفين إجراء تعديلات معقولة على الملحق 1 بشأن الاتفاق الكتابي المتبادل وحسب الضرورة المعقولة لتلبية تلك المتطلبات أو لتلبية متطلبات قوانين حماية البيانات من وقت لآخر. ولا ينشئ المرفق 1 أي التزام أو حقوق لأي طرف.
2. ‍
3. 2. الغرض من المعالجة بموجب هذا الملحق هو توفير الخدمات وفقًا للاتفاقية وأي نموذج (نماذج) طلب.
4. ‍

شروط معالجة البيانات

1. 1. يجب على العميل الامتثال لجميع قوانين حماية البيانات المعمول بها فيما يتعلق بأداء هذا الملحق ومعالجة البيانات الشخصية للعميل. فيما يتعلق بالوصول إلى الخدمات واستخدامها، يجب على العميل معالجة البيانات الشخصية للعميل ضمن هذه الخدمات وتزويد CloudSek بالتعليمات وفقًا لقوانين حماية البيانات المعمول بها. فيما بين الأطراف، يكون العميل هو المسؤول الوحيد عن الامتثال لقوانين حماية البيانات المعمول بها فيما يتعلق بجمع البيانات الشخصية للعميل ونقلها إلى CloudSek. يوافق العميل على عدم تزويد CloudSek بأي بيانات تتعلق بصحة الشخص الطبيعي أو دينه أو أي فئات خاصة من البيانات على النحو المحدد في المادة 9 من اللائحة العامة لحماية البيانات.
   1. ‍
2. 2. يجب أن تلتزم CloudSek بجميع قوانين حماية البيانات المعمول بها في معالجة البيانات الشخصية للعميل ويجب على CloudSek:
   1. ‍
   2. أ- معالجة البيانات الشخصية للعميل لأغراض الاتفاقية وللأغراض المحددة في كل حالة على النحو المبين في المرفق 1 إلى هذا الملحق وغير ذلك فقط بناءً على تعليمات العميل الموثقة، لأغراض تقديم الخدمات وحسب الضرورة لأداء التزاماتها بموجب الاتفاقية. تعد الاتفاقية وهذا الملحق واستخدام العميل لميزات ووظائف الخدمات تعليمات مكتوبة من العميل إلى CloudSek فيما يتعلق بمعالجة البيانات الشخصية للعميل، بما في ذلك ما يلي:
      • يجب على CloudSek استخدام البيانات الشخصية للعميل أو الاحتفاظ بها أو الكشف عنها أو معالجتها بطريقة أخرى فقط نيابة عن العميل ولأغراض تجارية محددة تتمثل في تقديم الخدمات ووفقًا لتعليمات العميل، بما في ذلك كما هو موضح في الاتفاقية. لا يجوز لـ CloudSek بيع البيانات الشخصية للعميل أو مشاركتها، ولا استخدام البيانات الشخصية للعميل أو الاحتفاظ بها أو الكشف عنها أو معالجتها بطريقة أخرى خارج علاقتها التجارية مع العميل أو لأي غرض آخر (بما في ذلك الغرض التجاري لـ CloudSek) باستثناء ما يقتضيه أو يسمح به القانون. يجب على CloudSek إبلاغ العميل على الفور (أ) إذا قررت CloudSek أنها لم تعد قادرة على الوفاء بالتزاماتها بموجب قوانين حماية البيانات أو (ب) إذا كانت التعليمات، في رأي CloudSek، تنتهك قوانين حماية البيانات المعمول بها. يحتفظ العميل بالحق في اتخاذ خطوات معقولة ومناسبة لضمان توافق معالجة CloudSek للبيانات الشخصية للعميل مع التزامات العميل بموجب قانون حماية البيانات ووقف ومعالجة الاستخدام غير المصرح به لبيانات العميل الشخصية؛
      • تتمتع CloudSek بالحق في معالجة البيانات الشخصية للعملاء فقط (1) بالقدر اللازم لـ (أ) تنفيذ أغراض الأعمال والتزاماتها بموجب الاتفاقية؛ (ب) تشغيل الخدمات وإدارتها واختبارها وصيانتها وتعزيزها بما في ذلك كجزء من عملياتها التجارية؛ (ج) الكشف عن إحصاءات مجمعة حول الخدمات بطريقة تمنع تحديد الهوية الفردية أو إعادة تعريف البيانات الشخصية للعميل، بما في ذلك على سبيل المثال لا الحصر أي جهاز فردي أو شخص فردي؛ و/أو (د) حماية الخدمات من تهديد لـ الخدمات أو البيانات الشخصية للعميل؛ أو (2) إذا كان ذلك مطلوبًا بموجب أمر محكمة أو وكالة حكومية معتمدة، بشرط تقديم إشعار مسبق إلى العميل أولاً؛ (3) على النحو الذي يأذن به العميل صراحةً؛
      • لن تقوم CloudSek بدمج بيانات العميل الشخصية التي تعالجها CloudSek نيابة عن العميل، مع البيانات الشخصية التي تتلقاها من أو نيابة عن شخص أو أشخاص آخرين، أو تجمعها من تفاعلها الخاص مع الفرد، شريطة أن تقوم CloudSek بدمج المعلومات الشخصية لأداء أي غرض تجاري مسموح به أو مطلوب بموجب الاتفاقية لأداء الخدمات؛
   3. ‍
   4. ب. تنفيذ والحفاظ على التدابير المصممة لضمان أن موظفي CloudSek المخولين بمعالجة البيانات الشخصية للعميل قد التزموا بالسرية أو أنهم يخضعون لالتزام قانوني مناسب بالسرية ما لم يكن الكشف مطلوبًا بموجب القانون أو اللوائح المهنية؛
   5. ‍
   6. ج. تنفيذ والحفاظ على التدابير الفنية والتنظيمية المنصوص عليها في الاتفاقية، ومع مراعاة أحدث ما توصلت إليه التكنولوجيا وتكاليف التنفيذ وطبيعة ونطاق وسياق وأغراض المعالجة، بالإضافة إلى مخاطر اختلاف الاحتمالات والشدة بالنسبة لحقوق وحريات الأشخاص الطبيعيين، تنفيذ والحفاظ على أي تدابير إدارية وتقنية وتنظيمية أخرى معقولة تجاريًا ومناسبة مصممة لضمان مستوى من الأمان مناسب لمخاطر معالجة البيانات الشخصية للعملاء في وفقًا للمادة 32 من اللائحة العامة لحماية البيانات، وعلى وجه التحديد:
      • الاسم المستعار وتشفير البيانات الشخصية للعميل؛
      • ضمان استمرار السرية والنزاهة والتوافر والمرونة لأنظمة المعالجة والخدمات الخاصة بـ CloudSek التي تعالج البيانات الشخصية للعملاء؛
      • استعادة التوافر والوصول إلى البيانات الشخصية للعميل في الوقت المناسب في حالة وقوع حادث مادي أو تقني؛ و
      • اختبار وتقييم وتقييم فعالية التدابير الفنية والتنظيمية بانتظام لضمان أمن معالجة البيانات الشخصية للعميل.
   7. ‍
   8. د. يوافق العميل بموجب هذا على أن CloudSek مفوّض عمومًا بإشراك المعالجين الفرعيين وتعيينهم، وتحديدًا المعالجات الفرعية المدرجة في الملحق 2 هنا، وفقًا لـ CloudSek:
      • إخطار العميل قبل ثلاثين (30) يومًا تقويميًا على الأقل بأي تغييرات أو إضافات مقصودة للمعالجين الفرعيين المدرجين في الملحق 2 عن طريق إرسال إشعار بالبريد الإلكتروني بالتغيير المقصود إلى العميل؛
      • بما في ذلك التزامات حماية البيانات في عقدها مع كل معالج فرعي والتي تتشابه جوهريًا مع تلك المنصوص عليها في هذا الملحق؛ و
      • يظل مسؤولاً أمام العميل عن أي فشل من قبل كل معالج فرعي في الوفاء بالتزاماته فيما يتعلق بمعالجة البيانات الشخصية للعميل. فيما يتعلق بأي إشعار يتم تلقيه بموجب القسم 4.2 (د) (i)، يجب أن يكون لدى العميل فترة 30 (ثلاثين) يومًا من تاريخ الإشعار لإبلاغ CloudSek كتابيًا بأي اعتراض معقول لأسباب حماية البيانات على استخدام هذا المعالج الفرعي. سيعمل الطرفان بعد ذلك، لمدة لا تزيد عن 30 (ثلاثين) يومًا من تاريخ اعتراض العميل، معًا بحسن نية لمحاولة إيجاد حل معقول تجاريًا للعميل يتجنب استخدام المعالج الفرعي المعترض عليه. في حالة عدم العثور على مثل هذا الحل، يجوز لأي من الطرفين (بغض النظر عن أي شيء مخالف في الاتفاقية) إنهاء الخدمات ذات الصلة فورًا بناءً على إشعار كتابي للطرف الآخر، دون أضرار أو عقوبة أو تعويض من أي نوع (ولكن دون المساس بأي رسوم يتكبدها العميل قبل الإنهاء)؛
   9. ‍
   10. e. إلى الحد المسموح به قانونًا، قم بإخطار العميل على الفور في حالة وجود أي طلبات ملزمة قانونًا (مثل الإفصاحات المطلوبة بموجب القانون أو أمر المحكمة أو أمر الاستدعاء) للكشف عن بيانات العميل الشخصية بواسطة CloudSek. في حالة عدم كونها ملزمة قانونًا، فلن يتم الكشف عن البيانات الشخصية للعميل وستقوم CloudSek بإخطار العميل برفض هذا الطلب. يجب الاحتفاظ بسجل لجميع طلبات الإفصاح الملزمة قانونًا المتعلقة بالبيانات الشخصية للعميل.
   11. ‍
   12. f. إلى الحد المسموح به قانونًا، قم بإخطار العميل على الفور بأي اتصال من موضوع البيانات فيما يتعلق بمعالجة البيانات الشخصية للعميل، أو أي اتصال آخر (بما في ذلك من السلطة الإشرافية) يتعلق بأي التزام بموجب قوانين حماية البيانات المعمول بها فيما يتعلق بالبيانات الشخصية للعميل. لن تستجيب CloudSek لأي طلب أو شكوى من هذا القبيل ما لم يصرح العميل بذلك صراحةً أو يُطلب منها الرد بموجب قوانين حماية البيانات المعمول بها. مع الأخذ في الاعتبار طبيعة المعالجة، ستساعد CloudSek العميل (أو وحدة التحكم ذات الصلة) بشكل معقول من خلال التدابير الفنية والتنظيمية المناسبة، بقدر الإمكان، للوفاء بالتزام العميل أو الشركات التابعة للعميل أو وحدة التحكم (وحدات التحكم) ذات الصلة بالرد على طلبات ممارسة حقوق موضوع البيانات المنصوص عليها في الفصل الثالث من اللائحة العامة لحماية البيانات. يوافق العميل على دفع CloudSek مقابل الوقت والنفقات الشخصية التي تتكبدها CloudSek فيما يتعلق بأداء التزاماتها بموجب هذا القسم 4.2 (e)؛
   13. ‍
   14. ز. عند علم CloudSek بخرق البيانات الشخصية الذي يتضمن البيانات الشخصية للعميل، قم بإخطار العميل دون تأخير لا داعي له بأي خرق للبيانات الشخصية يتضمن بيانات العميل الشخصية، ويتضمن هذا الإشعار، إلى الحد المتاح بشكل معقول لـ CloudSek، جميع المعلومات في الوقت المناسب المطلوبة بشكل معقول من قبل العميل (أو وحدة التحكم ذات الصلة) للامتثال لالتزامات الإبلاغ عن خرق البيانات بموجب قوانين حماية البيانات المعمول بها. يجب على CloudSek أيضًا اتخاذ جميع التدابير والإجراءات اللازمة لمعالجة أو تخفيف آثار مثل هذا الحادث الأمني وإبقاء العميل على علم معقول بالتطورات المتعلقة بالبيانات الشخصية للعميل. يقر العميل بأن إخطار CloudSek بحادث أمني ليس إقرارًا من CloudSek بخطأها أو مسؤوليتها. لا تشمل الحوادث الأمنية المحاولات أو الأنشطة غير الناجحة التي لا تعرض أمن البيانات الشخصية للعميل للخطر، بما في ذلك محاولات تسجيل الدخول غير الناجحة أو عمليات فحص المنافذ أو هجمات رفض الخدمة أو هجمات الشبكة الأخرى على جدران الحماية أو الأنظمة الشبكية؛
   15. ‍
   16. ح. إلى الحد الذي تتطلبه قوانين حماية البيانات المعمول بها، تقديم مساعدة معقولة للعميل أو «الشركات التابعة للعميل» أو «وحدة التحكم» ذات الصلة فيما يتعلق بالتزاماته وفقًا للمواد من 32 إلى 36 من اللائحة العامة لحماية البيانات مع مراعاة طبيعة المعالجة والمعلومات المتاحة لـ CloudSek؛ يوافق العميل على دفع CloudSek مقابل الوقت والنفقات الشخصية التي تتكبدها CloudSek فيما يتعلق بأي مساعدة مقدمة فيما يتعلق بالمادتين 35 و 36 من اللائحة العامة لحماية البيانات؛
   17. ‍
   18. i. التوقف عن معالجة البيانات الشخصية للعميل عند إنهاء الاتفاقية أو انتهائها، وباختيار العميل أو الشركات التابعة للعميل أو وحدة التحكم (الجهات) ذات الصلة إما بإرجاع أو حذف (بما في ذلك عن طريق التأكد من أن هذه البيانات بصيغة غير قابلة للقراءة) جميع نسخ البيانات الشخصية للعميل التي تتم معالجتها بواسطة CloudSek، ما لم (وفقط إلى الحد ولفترة مثل) يتطلب القانون المعمول به من CloudDesk الاحتفاظ ببعض أو كل البيانات الشخصية للعميل. تظل أي بيانات شخصية للعميل يتم الاحتفاظ بها خاضعة لالتزامات السرية المنصوص عليها في الاتفاقية؛ و
   19. ‍
   20. j. يجب أن تحتفظ CloudSek بالسجلات اللازمة لدعم إثبات الامتثال لالتزاماتها (على النحو المحدد في العقد المعمول به) لمعالجة البيانات الشخصية للعميل التي تتم نيابة عن العميل.
   21. ‍
   22. k. إتاحة جميع المعلومات اللازمة للعميل بشكل معقول لإثبات الامتثال لهذا الملحق والسماح بعمليات التدقيق والمساهمة فيها، بما في ذلك عمليات التفتيش، من قبل العميل أو مدقق حسابات مستقل من طرف ثالث مفوض من العميل، شريطة أن يعطي العميل CloudSek إشعارًا مسبقًا معقولاً بعزمه على التدقيق، ويجري تدقيقه خلال ساعات العمل العادية لـ CloudSek، ويتخذ جميع التدابير المعقولة لمنع أي تعطيل غير ضروري لعمليات CloudSek. لأغراض إثبات الامتثال لهذا الملحق بموجب هذا القسم 4.2 (i)، يتفق الطرفان على أنه في المقام الأول، مرة واحدة سنويًا خلال مدة الاتفاقية (باستثناء ما إذا كان ذلك مطلوبًا بموجب تعليمات من سلطة إشرافية مختصة أو عندما يعتقد العميل أن هناك حاجة إلى مزيد من التدقيق بسبب خرق البيانات الشخصية فيما يتعلق ببيانات العميل الشخصية التي عانت منها CloudDesk)، ستقدم CloudSek استجابات العملاء للأمن السيبراني والتقييمات الأخرى وفقط عندما لا يستطيع العميل إنشاء CloudDesk امتثال K لهذا يجب أن يطلب العميل إضافة من ردود CloudSek فحص عمليات معالجة CloudSek. يوافق العميل على دفع CloudSek مقابل الوقت والنفقات الشخصية التي تتكبدها CloudSek فيما يتعلق بالمساعدة المقدمة فيما يتعلق بعمليات التدقيق هذه والاستجابات للأمن السيبراني والتقييمات الأخرى.

ضمانات

1. 1. تضمن الأطراف أنهم وأي موظفين و/أو مقاولين من الباطن سوف يمتثلون لالتزاماتهم بموجب قوانين حماية البيانات طوال المدة.
2. ‍

التحويلات المقيدة

1. 1. يوافق الطرفان على أنه عندما يكون نقل البيانات الشخصية للعميل من العميل و/أو أي من الشركات التابعة له (كمصدر) إلى CloudSek (كمستورد) نقلًا مقيدًا وينطبق قانون منطقة الاتحاد الأوروبي، يجب أن يخضع النقل لوحدة التحكم المناسبة إلى المعالج SCCs، والذي سيتم اعتباره مدمجًا في هذا الملحق ويشكل جزءًا منه على النحو التالي:
2. ‍
   1. أ- فيما يتعلق بالبيانات الشخصية للعملاء المحمية بموجب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي والتي تتم معالجتها بواسطة CloudSek نيابة عن العميل وتحت تعليماته، سيتم تطبيق SCCs في الاتحاد الأوروبي بشكل مكتمل على النحو التالي:
      • سيتم تطبيق الوحدة الثانية (نقل وحدة التحكم إلى المعالج)؛
      • في البند 7، سيتم تطبيق شرط الإرساء الاختياري؛
      • في البند 9، سيتم تطبيق الخيار 2، ويجب أن تكون الفترة الزمنية للإشعار المسبق بتغييرات المعالج الفرعي كما هو موضح في القسم 4.2 (د) من هذا الملحق؛
      • في البند 11، لن يتم تطبيق اللغة الاختيارية؛
      • في البند 17، سيتم تطبيق الخيار 1، وستخضع مراكز SCCs التابعة للاتحاد الأوروبي للقانون الأيرلندي؛
      • في البند 18 (ب)، يجب حل النزاعات أمام محاكم جمهورية أيرلندا؛
      • يعتبر المرفق الأول من مراكز تخزين المواد الكيميائية التابعة للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في المرفق 1 لهذه الإضافة؛ و
      • يعتبر الملحق الثاني من SCCs التابعة للاتحاد الأوروبي مكتملاً بالمعلومات الواردة في القسم 4 من الملحق 1 لهذه الإضافة.
   2. ‍
   3. ب- فيما يتعلق بالبيانات الشخصية للعملاء المحمية بموجب قانون حماية البيانات السويسري، يجب تطبيق معايير SCCs التابعة للاتحاد الأوروبي وفقًا للقسم 5.1 (أ) من هذا الملحق، ولكن مع التعديلات التالية:
      • يجب تفسير أي إشارات في SCCs للاتحاد الأوروبي إلى «اللائحة (الاتحاد الأوروبي) 2016/679» على أنها إشارات إلى DPA السويسري والمواد أو الأقسام المماثلة فيه؛
      • يجب تفسير أي إشارات إلى «الاتحاد الأوروبي» و «الاتحاد» و «الدولة العضو» و «قانون الدول الأعضاء» على أنها إشارات إلى سويسرا والقانون السويسري، حسب الحالة؛
      • يجب تفسير أي إشارة إلى «السلطة الإشرافية المختصة» و «المحاكم المختصة» على أنها إشارات إلى سلطة حماية البيانات ذات الصلة والمحاكم في سويسرا؛ و
      • تخضع وحدة التحكم في المعالجات SCCs لقوانين سويسرا ويجب حل النزاعات أمام المحاكم السويسرية المختصة.
   4. ‍
      1. ج- فيما يتعلق بالبيانات الشخصية للعملاء المحمية بموجب اللائحة العامة لحماية البيانات (GDPR) في المملكة المتحدة، تُطبق قواعد البيانات الخاصة بالاتحاد الأوروبي وفقًا للقسم 5.1 (أ) من هذه الإضافة، ولكن وفقًا لتعديلها وتفسيرها في الجزء 2: البنود الإلزامية من ملحق المملكة المتحدة، والتي يجب دمجها في هذه الإضافة وتشكل جزءًا لا يتجزأ منها. يجب حل أي تعارض بين شروط الاتحاد الأوروبي SCCs وإضافة المملكة المتحدة وفقًا للقسم 10 والقسم 11 من ملحق المملكة المتحدة. بالإضافة إلى ذلك، يجب استكمال الجداول من 1 إلى 3 في الجزء 1 من ملحق المملكة المتحدة على التوالي بالمعلومات الواردة في المرفق الأول من هذه الإضافة، ويعتبر الجدول 4 في الجزء 1 من ملحق المملكة المتحدة مكتملاً باختيار كل من «المستورد» و «المصدر».
      2. ‍
      3. د. ستقوم CloudSek بمعالجة البيانات الشخصية داخل منطقة توافر الخدمات في باريس التابعة لـ AWS بفرنسا، وفقًا لشروط هذا الملحق وقوانين حماية البيانات المعمول بها، بما في ذلك اللائحة العامة لحماية البيانات (GDPR). يقتصر الغرض من هذه المعالجة على الخدمات التي تقدمها أداة/منصة CloudSek. يجب أن تضمن CloudSek أن أي معالجة للبيانات الشخصية تتم فقط بالقدر اللازم لتحقيق الأغراض المحددة.
      4. ‍
3. 2. لن تشارك CloudSek في أي عمليات نقل مقيدة أخرى لبيانات العميل الشخصية (سواء كمستورد أو مصدر للبيانات الشخصية للعميل) ما لم يتم النقل المقيد وفقًا لقانون حماية البيانات المعمول به ووفقًا للبنود التعاقدية القياسية ذات الصلة المنفذة بين المصدر والمستورد ذي الصلة لبيانات العميل الشخصية، حسب الضرورة من أجل الامتثال لقانون حماية البيانات المعمول به.
4. ‍
5. 3. يجب على العميل مراجعة جميع عمليات النقل الدولية للبيانات الشخصية بشكل روتيني على أساس كل حالة على حدة من أجل مراقبة المخاطر الجديدة بسبب التغييرات في القوانين المحلية وممارسات البيانات وما إلى ذلك، وتنفيذ إجراءات حماية إضافية (مثل التشفير أو الاسم المستعار) للتخفيف من المخاطر المحددة لضمان بقاء البيانات الشخصية محمية وفقًا للمعايير المطلوبة بموجب قوانين حماية البيانات.
6. ‍
7. 4. آلية النقل عندما يكون الطرف موجودًا خارج المنطقة الاقتصادية الأوروبية أو بلدًا مناسبًا ويتلقى البيانات الشخصية: (أ) سيعمل هذا الطرف كمستورد للبيانات، (ب) يكون الطرف الآخر هو مصدر البيانات، و (ج) سيتم تطبيق آلية النقل ذات الصلة. «آلية النقل» يشير إلى أي وسيلة قانونية لنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية (EEA) أو أي بلد مناسب إلى بلد ثالث وفقًا لقوانين حماية البيانات المعمول بها. قد يشمل ذلك، على سبيل المثال لا الحصر، ما يلي:
   • البنود التعاقدية القياسية (SCCs) المعتمدة بموجب قرار المفوضية الأوروبية الصادر في 4 يونيو 2021 (بصيغتها المعدلة من وقت لآخر) لنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية أو البلدان المناسبة إلى بلد ثالث؛
   • اتفاقية نقل البيانات الدولية الصادرة عن مكتب مفوض المعلومات (ICO) بموجب القسم 119A من قانون حماية البيانات 2018، اعتبارًا من 21 مارس 2022؛
   • ملحق نقل البيانات الدولي الصادر عن مكتب مفوض المعلومات (ICO) بموجب القسم 119A من قانون حماية البيانات 2018، اعتبارًا من 21 مارس 2022.
8. ‍
   1. تدابير إضافية
      • إذا كانت آلية النقل غير كافية لحماية البيانات الشخصية المنقولة، فسيقوم مستورد البيانات على الفور بتنفيذ تدابير تكميلية لضمان حماية البيانات الشخصية بنفس المعايير المطلوبة بموجب قوانين حماية البيانات.
   2. الإفصاحات
      • وفقًا لشروط آلية النقل ذات الصلة، إذا تلقى مستورد البيانات طلبًا من سلطة عامة للوصول إلى البيانات الشخصية، فسوف يقوم (إذا كان ذلك مسموحًا به قانونًا) بما يلي: الطعن في الطلب وإخطار جهة تصدير البيانات على الفور به، والكشف للسلطة العامة فقط عن الحد الأدنى من البيانات الشخصية المطلوبة والاحتفاظ بسجل للإفصاح.
   3. ‍

الأسبقية

1. 1. تعتبر أحكام هذا الملحق مكملة لأحكام الاتفاقية. في حالة وجود أي تضارب بين أحكام هذا الملحق وأحكام الاتفاقية، سيأخذون الأولوية بهذا الترتيب: (أ) أي بنود تعاقدية قياسية أو تدابير أخرى اتفق عليها الطرفان (آليات النقل عبر الحدود)، (ب) هذه الإضافة، (ج) الاتفاقية. في حالة تعارض أي شرط من أحكام هذا الملحق و/أو الاتفاقية، بشكل مباشر أو غير مباشر، مع وحدة التحكم في معالج SCCs، فإن وحدة التحكم في المعالج SCCs هي التي ستتحكم.
2. ‍

التعويض

1. 1. إلى الحد الذي يسمح به القانون، يجب على العميل (أ) الدفاع عن CloudSek والشركات التابعة لها (بشكل جماعي، «الأطراف المعوّضة») من وضد أي وجميع المطالبات أو المطالب أو الدعاوى أو الإجراءات المرفوعة أو المرفوعة ضد أي من الأطراف المعوّضة من قبل أي طرف ثالث (كل منها، أ «المطالبة»)، و (ب) تعويض وتبرئة الأطراف المعوضة من أي وجميع الخسائر والأضرار والالتزامات والغرامات والغرامات الإدارية والعقوبات والتسويات والتكاليف والنفقات من أي نوع (بما في ذلك، على سبيل المثال لا الحصر، الرسوم والنفقات القانونية والتحقيقية والاستشارية المعقولة) التي تكبدها أو تكبدها أي من الأطراف المعوضة، في كل حالة تنشأ عن أي خرق من جانب العميل لهذا الملحق أو لالتزاماته بموجب قوانين حماية البيانات المعمول بها. قد تشارك CloudSek في الدفاع و/أو تسوية المطالبة بموجب هذا القسم 9 مع محام من اختيارها على نفقتها الخاصة.
2. ‍

قابلية الفصل

1. 1. يتفق الطرفان على أنه في حالة اعتبار أي قسم أو قسم فرعي من هذا الملحق من قبل أي محكمة أو سلطة مختصة غير قانوني أو غير قابل للتنفيذ، فإنه لن يبطل أو يجعل أي قسم آخر من هذا الملحق غير قابل للتنفيذ.
2. ‍

متنوع

1. 1. تتناول الإضافة ما يلي وما يلي:
   • الخصوصية حسب التصميم والافتراضي
   • تحقيق أمان المعالجة
   • الإخطار بالانتهاكات التي تنطوي على بيانات العميل الشخصية إلى السلطة الإشرافية ذات الصلة
   • إخطار العميل بالانتهاكات التي تنطوي على بيانات العميل الشخصية
   • إجراء تقييم تأثير الخصوصية حيثما كان ذلك مناسبًا ومطلوبًا بموجب قانون حماية البيانات المعمول به
   • ضمان مساعدة CloudSek من خلال ما إذا كانت هناك حاجة إلى مشاورات مسبقة مع السلطات الإشرافية ذات الصلة ومتطلبة بموجب قوانين حماية البيانات المعمول بها.
2. ‍
3. يجب أن تمتثل CloudSEK لجميع المتطلبات القانونية والتنظيمية، ISO 27001:2022، ISO 9001:2015، ISO 27002، ISO 27017، ISO 22301، SOC II TYPE II، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي
4. ‍
5. في حالة رغبة موضوع البيانات في ممارسة حقوق موضوع البيانات الخاصة به بموجب قانون حماية البيانات المعمول به، بما في ذلك، على سبيل المثال لا الحصر، حق موضوع البيانات في الوصول إلى بياناته الشخصية وتصحيحها و/أو محوها تحت سيطرة CloudSek، يمكن لموضوعات البيانات تقديم هذا الطلب عن طريق الاتصال بمسؤول حماية البيانات في CloudSek (DPO) أدناه. أيضًا، لإثارة المخاوف و/أو أي شكاوى تتعلق بالبيانات الشخصية للعميل والتي يمكن القيام بها عن طريق الاتصال بمسؤول حماية البيانات أدناه:
6. ‍
7. ‍الاسم: راهول ساسي
8. ‍معرف البريد الإلكتروني: [email protected]، سم مكعب: [email protected]
9. لا توجد ملفات مؤقتة يتم إنشاؤها أثناء المعالجة.

الملحق 1 إلى ملحق حماية البيانات

وصف أنشطة المعالجة لبيانات العميل الشخصية

يتضمن هذا الملحق تفاصيل معينة عن معالجة البيانات الشخصية للعملاء بواسطة CloudSek فيما يتعلق بالخدمات.

1. 1. قائمة الأطراف
   • مُصدّر البيانات

• مستورد البيانات

2. 2. السلطة الإشرافية المختصة

3. 3. معلومات المعالجة

‍

4. 4. تدابير الأمن الفني والتنظيمي
   • وصف التدابير الأمنية الفنية والتنظيمية التي تنفذها CloudSek كمعالج البيانات/مستورد البيانات لضمان مستوى مناسب من الأمان، مع مراعاة طبيعة ونطاق وسياق وغرض المعالجة والمخاطر على حقوق وحريات الأشخاص الطبيعيين.
5. ‍
6. الأمان
   • نظام إدارة الأمن
     • المنظمة
       • تقوم CloudSek بتعيين موظفي الأمن المؤهلين الذين تشمل مسؤولياتهم التطوير والتنفيذ والصيانة المستمرة لبرنامج أمن المعلومات.
     • السياسات
       • تقوم الإدارة بمراجعة ودعم جميع السياسات المتعلقة بالأمان لضمان أمان وتوافر وسلامة وسرية بيانات العميل الشخصية. يتم تحديث هذه السياسات مرة واحدة سنويًا على الأقل.
     • التقييمات
       • تقوم CloudSek بإشراك طرف ثالث مستقل حسن السمعة لإجراء تقييمات المخاطر لجميع الأنظمة التي تحتوي على بيانات العميل الشخصية مرة واحدة على الأقل سنويًا.
     • علاج المخاطر
       • تحتفظ CloudSek ببرنامج رسمي وفعال لمعالجة المخاطر يتضمن اختبار الاختراق وإدارة الثغرات الأمنية وإدارة التصحيح لتحديد التهديدات المحتملة لأمن وسلامة وسرية البيانات الشخصية للعملاء والحماية منها.
     • إدارة المورّدين
       • تحتفظ CloudSek ببرنامج فعال لإدارة البائعين.
     • إدارة الحوادث
       • تقوم CloudSek بمراجعة الحوادث الأمنية بانتظام، بما في ذلك التحديد الفعال للسبب الجذري والإجراءات التصحيحية.
     • المعايير
       • تقوم CloudSek بتشغيل نظام إدارة أمن المعلومات الذي يتوافق مع متطلبات ISO 27001:2022، ISO 9001:2015، ISO 27002، ISO 27017، ISO 22301، SOC II TYPE II، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي
7. ‍
8. أمن الموظفين
   • يُطلب من موظفي CloudSek التصرف بطريقة تتفق مع إرشادات الشركة فيما يتعلق بالسرية وأخلاقيات العمل والاستخدام المناسب والمعايير المهنية. تُجري CloudSek فحوصات خلفية مناسبة بشكل معقول لأي موظف سيتمكن من الوصول إلى بيانات العميل بموجب هذه الاتفاقية، بما في ذلك فيما يتعلق بتاريخ التوظيف والسجلات الجنائية، إلى الحد المسموح به قانونًا ووفقًا لقانون العمل المحلي المعمول به والممارسات العرفية واللوائح القانونية.
9. ‍
   • يُطلب من الموظفين تنفيذ اتفاقية السرية كتابيًا في وقت التوظيف وحماية البيانات الشخصية للعملاء في جميع الأوقات. يجب أن يقر الموظفون باستلام سياسات السرية والخصوصية والأمان الخاصة بـ CloudSek والامتثال لها. يتم تزويد الموظفين بالتدريب على الخصوصية والأمان حول كيفية تنفيذ برنامج أمن المعلومات والامتثال له. يُطلب من الموظفين الذين يتعاملون مع البيانات الشخصية للعملاء إكمال المتطلبات الإضافية المناسبة لدورهم (مثل الشهادات). لن يقوم موظفو CloudSek بمعالجة البيانات الشخصية للعملاء دون إذن.
10. ‍
11. عناصر التحكم في الوصول
    • إدارة الوصول
      • تحتفظ CloudSek بعملية إدارة وصول رسمية لطلب ومراجعة واعتماد وتزويد جميع الموظفين بإمكانية الوصول إلى بيانات العميل الشخصية للحد من الوصول إلى البيانات الشخصية للعملاء والأنظمة التي تخزن بيانات العميل الشخصية أو الوصول إليها أو تنقلها إلى الأشخاص المصرح لهم بشكل صحيح والذين يحتاجون إلى هذا الوصول. يتم إجراء مراجعات الوصول بشكل دوري للتأكد من أن الموظفين الذين لديهم حق الوصول إلى البيانات الشخصية للعميل فقط هم الذين لا يزالون يطلبون ذلك.
    • موظفو أمن البنية التحتية
      • تمتلك CloudSek سياسة أمنية لموظفيها وتحافظ عليها، وتتطلب تدريبًا أمنيًا كجزء من حزمة التدريب لموظفيها. موظفو أمن البنية التحتية في CloudSek مسؤولون عن المراقبة المستمرة للبنية التحتية الأمنية لـ CloudSek، ومراجعة الخدمات، والاستجابة للحوادث الأمنية.
    • التحكم في الوصول وإدارة الامتيازات
      • يجب على مسؤولي CloudSek والعملاء والمستخدمين النهائيين المصادقة على أنفسهم عبر نظام مصادقة متعدد العوامل أو عبر نظام تسجيل دخول واحد من أجل استخدام الخدمات.
    • عمليات وسياسات الوصول إلى البيانات الداخلية - سياسة الوصول
      • تم تصميم عمليات وسياسات الوصول إلى البيانات الداخلية لـ CloudSek للحماية من الوصول غير المصرح به أو الاستخدام أو الكشف أو التغيير أو إتلاف بيانات العميل الشخصية. تصمم CloudSek أنظمتها للسماح فقط للأشخاص المصرح لهم بالوصول إلى البيانات المصرح لهم بالوصول إليها بناءً على مبادئ «الأقل امتيازًا» و «الحاجة إلى المعرفة»، ولمنع الآخرين الذين لا ينبغي أن يكون لديهم حق الوصول من الوصول. يتطلب CloudSek استخدام معرفات المستخدم الفريدة وكلمات المرور القوية والمصادقة الثنائية وقوائم الوصول المراقبة بعناية لتقليل احتمالية الاستخدام غير المصرح به للحساب. يعتمد منح حقوق الوصول أو تعديلها على: المسؤوليات الوظيفية للموظفين المعتمدين؛ متطلبات الواجب الوظيفي اللازمة لأداء المهام المصرح بها؛ أساس الحاجة إلى المعرفة؛ ويجب أن يكون وفقًا لسياسات الوصول إلى البيانات الداخلية والتدريب في CloudSek. تتم إدارة الموافقات من خلال أدوات سير العمل التي تحتفظ بسجلات التدقيق لجميع التغييرات. يتم تسجيل الوصول إلى الأنظمة لإنشاء مسار تدقيق للمساءلة. عند استخدام كلمات المرور للمصادقة (على سبيل المثال، تسجيل الدخول إلى محطات العمل)، تتبع سياسات كلمات المرور الممارسات القياسية في الصناعة. تتضمن هذه المعايير تعقيد كلمة المرور وانتهاء صلاحية كلمة المرور وقفل كلمة المرور والقيود المفروضة على إعادة استخدام كلمة المرور وإعادة المطالبة بكلمة المرور بعد فترة من عدم النشاط.
12. ‍
13. مركز البيانات وأمن الشبكة
    • مراكز البيانات
      • البنية التحتية
        • لدى CloudSek AWS كمركز بيانات خاص بها.
      • المرونة
        • يتم تمكين مناطق التوفر المتعددة على AWS وتجري CloudSek اختبار استعادة النسخ الاحتياطي على أساس منتظم لضمان المرونة.
      • أنظمة تشغيل السيرفر
        • تم تخصيص خوادم CloudSek لبيئة التطبيق وتم تقوية الخوادم من أجل أمان الخدمات. تستخدم CloudSek عملية مراجعة التعليمات البرمجية لزيادة أمان الكود المستخدم لتوفير الخدمات وتحسين منتجات الأمان في بيئات الإنتاج.
      • التعافي من الكوارث
        • تقوم CloudSek بنسخ البيانات عبر أنظمة متعددة للمساعدة في الحماية من التدمير العرضي أو الخسارة. صممت CloudSek برامج التعافي من الكوارث وتخطط لها وتختبرها بانتظام.
      • سجلات الأمان
        • تم تمكين تسجيل الدخول إلى أنظمة CloudSek في مرفق سجل النظام الخاص بها من أجل دعم عمليات تدقيق الأمان ومراقبة واكتشاف الهجمات الفعلية والمحاولات على أنظمة CloudSek أو الاختراقات فيها.
      • إدارة نقاط الضعف
        • تقوم CloudSek بإجراء عمليات مسح منتظمة للثغرات الأمنية على جميع مكونات البنية التحتية لبيئة الإنتاج والتطوير الخاصة بها. تتم معالجة الثغرات الأمنية على أساس المخاطر، مع تثبيت تصحيحات الأمان الحرجة والعالية والمتوسطة لجميع المكونات في أقرب وقت ممكن تجاريًا.
14. ‍
    • الشبكات والإرسال
      • نقل البيانات
        • يتم إرسال عمليات الإرسال في بيئة الإنتاج عبر بروتوكولات الإنترنت القياسية.
      • سطح الهجوم الخارجي
        • توجد قوائم التحكم في الوصول الخاصة بمجموعة AWS Security Group وشبكة AWS التي تعادل جدار الحماية الافتراضي على AWS.
      • الاستجابة للحوادث
        • تحتفظ CloudSek بسياسات وإجراءات إدارة الحوادث، بما في ذلك إجراءات تصعيد الحوادث الأمنية المفصلة. تراقب CloudSek مجموعة متنوعة من قنوات الاتصال للحوادث الأمنية، وسيقوم موظفو الأمن في CloudSek بالرد على الفور على الحوادث المشتبه بها أو المعروفة، والتخفيف من الآثار الضارة لمثل هذه الحوادث الأمنية، وتوثيق مثل هذه الحوادث الأمنية ونتائجها.
      • تقنيات التشفير
        • يجعل CloudSek تشفير HTTPS (المشار إليه أيضًا باسم SSL أو TLS) متاحًا للبيانات أثناء النقل وينفذ تقنيات التشفير للبيانات المتبقية لضمان أمان وسرية بيانات العميل.
15. ‍
    • تخزين البيانات والعزل والمصادقة والتدمير
      • تقوم CloudSek بتخزين البيانات في بيئة متعددة المستأجرين على خوادم AWS. يتم نسخ البيانات وقاعدة بيانات الخدمات وبنية نظام الملفات بين مناطق التوفر المتعددة على AWS. تقوم CloudSek بعزل بيانات العملاء المختلفين منطقيًا. يتم استخدام نظام مصادقة مركزي عبر جميع الخدمات لزيادة الأمان الموحد للبيانات. تضمن CloudSek التخلص الآمن من بيانات العميل من خلال استخدام سلسلة من عمليات تدمير البيانات.