Accord sur le traitement des données
Accord sur le traitement des données à caractère personnel pour le compte d’un responsable du traitement conformément à l’art. 28 GDPR entre le client (ci-après dénommé “Client“) et CA Customer Alliance GmbH, Ullsteinstr. 130, 12109 Berlin, Allemagne (ci-après dénommé “fournisseur“).
Contenu de la page :
- 1. Objet de l'accord
- 2. Champ d'application de la mise en service
- 3. Droit du client de donner des instructions
- 4. Responsabilité juridique du client
- 5. Exigences pour le personnel
- 6. Sécurité du traitement
- 7. Engagement d'autres transformateurs
- 8. Droits des personnes concernées
- 9. Obligations de notification et d'assistance du fournisseur
- 10. Suppression des données relatives aux clients
- 11. Preuves et audits
- 12. Durée et résiliation du contrat
- 13. Responsabilité
- 14. Dispositions finales
- Annexe 1 - Objet, type et étendue du traitement des données relatives aux clients, types de données à caractère personnel et catégories de personnes concernées
- Annexe 2 - Mesures techniques et organisationnelles
- Annexe 3 - Processeur complémentaire
1. Objet de l’accord
Dans le cadre de la prestation de services conformément à l’accord de services (ci-après dénommé “accord principal”), l’autorité compétente de l’État membre d’accueil est l’autorité compétente de l’État membre d’accueil.Contrat principal), il est nécessaire que le fournisseur traite des données à caractère personnel pour lesquelles le client agit en tant que responsable du traitement au sens de la loi sur la protection des données (ci-après dénommées “données du client”).Données du Client“). Le présent accord précise les obligations et les droits des parties en matière de protection des données dans le cadre de l’utilisation par le Fournisseur des Données du Client pour fournir les services prévus par le Contrat principal.
2. Champ d’application de la mise en service
2.1 Le Fournisseur traite les Données du Client pour le compte et selon les instructions du Client au sens de l’Art. 28 GDPR (Traitement pour le compte). Le Client reste le responsable du traitement au sens du droit de la protection des données.
2.2 Le traitement des données du client par le fournisseur s’effectue de la manière, dans le cadre et dans le but déterminés dans l’annexe 1 de la présente directive. l’annexe 1 du présent accord ; le traitement porte sur les types de données à caractère personnel et les catégories de personnes concernées qui y sont spécifiés. La durée du traitement correspond à la durée de l’Accord principal.
2.3 Le traitement des données du Client par le Fournisseur a lieu en principe à l’intérieur de l’Union européenne ou d’un autre État contractant de l’Espace économique européen (EEE). Le Fournisseur est néanmoins autorisé à traiter les Données du Client conformément aux dispositions du présent contrat en dehors de l’EEE s’il informe préalablement le Client du lieu de traitement des données et si les exigences des Art. 44 à 48 GDPR sont remplies ou si une exception selon l’Art. 49 GDPR s’applique.
3. Droit du client de donner des instructions
3.1 Le Fournisseur traite les Données du Client conformément aux instructions du Client, à moins qu’il ne soit légalement tenu de faire autrement. Dans ce dernier cas, le Fournisseur informera le Client de cette obligation légale avant le traitement, à moins que cette loi n’interdise une telle information pour des motifs importants d’intérêt public.
3.2 Les instructions du client sont en principe stipulées et documentées de manière concluante dans les dispositions du présent contrat. Les instructions individuelles qui s’écartent des dispositions du présent contrat ou qui imposent des exigences supplémentaires nécessitent un accord mutuel et doivent être consignées par écrit.
3.3 Le Fournisseur veillera à ce que les Données du Client soient traitées conformément aux instructions données par le Client. Si le Fournisseur estime qu’une instruction donnée par le Client enfreint la présente convention ou la législation applicable en matière de protection des données, il est autorisé, après en avoir informé le Client, à suspendre l’exécution de l’instruction jusqu’à ce que le Client la confirme.
4. Responsabilité juridique du client
4.1 Le client est seul responsable de l’admissibilité du traitement des données du client et de la sauvegarde des droits des personnes concernées dans la relation entre les parties.
4.2 Le Client est responsable de fournir au Fournisseur les Données du Client en temps utile pour la prestation de services conformément au Contrat principal et il est responsable de la qualité des Données du Client. Le Client informera immédiatement et complètement le Fournisseur si, lors de l’examen des résultats du Fournisseur, il constate des erreurs ou des irrégularités au regard des dispositions relatives à la protection des données ou de ses instructions.
4.3 Si le Fournisseur est tenu de fournir des informations à un organisme gouvernemental ou à une personne sur le traitement des Données du Client ou de coopérer avec ces organismes de toute autre manière, le Client est tenu, à la première demande, d’aider le Fournisseur à fournir ces informations et à remplir d’autres obligations de coopération.
5. Exigences pour le personnel
Le fournisseur s’engage à ce que toutes les personnes chargées du traitement des données du client respectent la confidentialité de ces données.
6. Sécurité du traitement
6.1 Le Fournisseur prend, conformément à l’Art. 32 GDPR les mesures techniques et organisationnelles nécessaires et appropriées, en tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités des Données Client, ainsi que des différentes probabilités et de la gravité du risque pour les droits et libertés des personnes concernées, afin d’assurer un niveau de protection des Données Client adapté au risque. Les mesures actuelles figurent à l l’annexe 2.
6.2 Le fournisseur a le droit de modifier les mesures techniques et organisationnelles pendant la durée du contrat, pour autant qu’elles restent conformes aux exigences légales.
7. Engagement d’autres transformateurs
7.1 Le Client donne au Fournisseur l’autorisation générale d’engager d’autres sous-traitants en ce qui concerne le traitement des Données du Client. Les sous-traitants ultérieurs consultés au moment de la conclusion du contrat résultent de de l’annexe 3. En général, aucune autorisation n’est requise pour les relations contractuelles avec les prestataires de services qui concernent l’examen ou la maintenance des procédures ou des systèmes de traitement des données par des tiers ou qui impliquent d’autres services supplémentaires, même si l’accès aux Données du Client ne peut être exclu, pour autant que le Fournisseur prenne des mesures raisonnables pour protéger la confidentialité des Données du Client.
7.2 Le Fournisseur notifie au Client tout changement envisagé en ce qui concerne la consultation ou le remplacement de sous-traitants supplémentaires. Dans des cas particuliers, le Client a le droit de s’opposer à l’engagement d’un sous-traitant ultérieur potentiel. Une objection ne peut être soulevée par le Client que pour des raisons importantes qui doivent être prouvées au Fournisseur. Si le client ne s’y oppose pas dans les 14 jours suivant la réception de la notification, son droit de s’opposer à l’engagement correspondant devient caduc. Si le Client s’y oppose, le Fournisseur a le droit de résilier le Contrat principal et le présent contrat avec un préavis de trois (3) mois.
7.3 L’accord entre le fournisseur et le sous-traitant ultérieur doit imposer à ce dernier les mêmes obligations que celles qui incombent au fournisseur en vertu du présent accord. Les parties conviennent que cette exigence est remplie si le contrat a un niveau de protection correspondant au présent accord, respectivement si les obligations prévues à l’art. 28 para. 3 GDPR sont imposées au sous-traitant ultérieur.
8. Droits des personnes concernées
8.1 Le Fournisseur soutiendra le Client, dans la mesure du raisonnable, par des mesures techniques et organisationnelles, dans l’accomplissement de l’obligation de ce dernier de répondre aux demandes d’exercice des droits des personnes concernées.
8.2 Dans la mesure où une personne concernée soumet une demande d’exercice de ses droits directement au Fournisseur, ce dernier transmettra cette demande au Client en temps utile.
8.3 Le Fournisseur communiquera au Client toute information relative aux Données Client stockées, aux destinataires des Données Client auxquelles le Fournisseur les transmettra conformément à l’instruction et à la finalité du stockage, pour autant que le Client ne dispose pas de ces informations et qu’il ne soit pas en mesure de les collecter lui-même.
8.4 Le Fournisseur doit, dans les limites du raisonnable et du nécessaire, permettre au Client de corriger, supprimer ou restreindre le traitement ultérieur des Données du Client, ou, sur instruction du Client, corriger, bloquer ou restreindre lui-même le traitement ultérieur, si et dans la mesure où cela est impossible pour le Client.
9. Obligations de notification et d’assistance du fournisseur
9.1 Dans la mesure où le Client est soumis à une obligation légale de notification en raison d’une violation de la sécurité des Données Client (en particulier en vertu des articles 33 et 34 du GDPR), le Fournisseur informera le Client en temps opportun de tout événement à signaler dans son domaine de responsabilité. Le Fournisseur assistera le Client dans l’exécution des obligations de notification à la demande de ce dernier dans la mesure du raisonnable et du nécessaire.
9.2 Le Fournisseur assistera le Client, dans la mesure du raisonnable et du nécessaire, dans les analyses d’impact sur la protection des données à réaliser par le Client et, si nécessaire, dans les consultations ultérieures avec l’autorité de contrôle conformément à l’Art. 35, 36 GDPR.
10. Suppression des données relatives aux clients
10.1 Le Fournisseur supprimera les Données du Client à la fin du présent contrat, à moins que le Fournisseur ne soit obligé par la loi de continuer à stocker les Données du Client.
10.2 Le Fournisseur peut conserver la documentation qui sert de preuve du traitement ordonné et exact des données du Client, même après la résiliation du contrat.
11. Preuves et audits
11.1 Le Fournisseur fournira au Client, à la demande de ce dernier, toutes les informations qui lui sont nécessaires et dont il dispose pour prouver qu’il respecte les obligations qui lui incombent en vertu de la présente convention.
11.2 Le Client a le droit de contrôler le Fournisseur en ce qui concerne le respect des dispositions du présent contrat, en particulier la mise en œuvre des mesures techniques et organisationnelles, y compris par des inspections.
11.3 Afin d’effectuer des inspections conformément à l’article 11.2, le Client a le droit d’accéder aux locaux professionnels du Fournisseur dans lesquels les Données Client sont traitées pendant les heures de bureau habituelles (du lundi au vendredi de 10 heures à 18 heures) après notification préalable en temps utile conformément à l’article 11.5. à ses propres frais, sans perturber le cours des affaires et dans le strict respect des secrets d’affaires et commerciaux du Fournisseur.
11.4 Le Fournisseur a le droit, à sa propre discrétion et en tenant compte des obligations légales du Client, de ne pas divulguer des informations qui sont sensibles en ce qui concerne les affaires du Fournisseur ou si le Fournisseur serait en infraction avec des dispositions légales ou d’autres dispositions contractuelles du fait de leur divulgation. Le Client n’a pas le droit d’accéder aux données ou informations relatives aux autres clients du Fournisseur, aux informations sur les coûts, aux rapports de contrôle de la qualité et de gestion des contrats, ou à toute autre donnée confidentielle du Fournisseur qui n’est pas directement pertinente pour les objectifs d’audit convenus.
11.5 Le Client informera le Fournisseur en temps utile (généralement au moins deux semaines à l’avance) de toutes les circonstances relatives à l’exécution de l’audit. Le Client peut effectuer un audit par année civile. Les audits supplémentaires sont effectués contre remboursement des frais et après concertation avec le Fournisseur.
11.6 Si le Client charge un tiers d’effectuer l’audit, il l’engage par écrit de la même manière qu’il s’engage vis-à-vis du Fournisseur en vertu de l’article 11 de la présente convention. En outre, le Client oblige le tiers à respecter le secret et la confidentialité, à moins que le tiers ne soit soumis à une obligation professionnelle de secret.
11.7 A la discrétion du Fournisseur, la preuve du respect des obligations découlant du présent contrat peut être apportée, au lieu d’une inspection, par la présentation d’un avis ou d’un rapport approprié et actuel d’une autorité indépendante (par exemple, un auditeur, un service d’audit, un responsable de la protection des données, un service de sécurité informatique, des auditeurs de protection des données ou des auditeurs de qualité) ou d’une certification appropriée par un audit de sécurité informatique ou de protection des données – par exemple selon “BSI-Grundschutz” – (“rapport d’audit”), si le rapport d’audit permet au Client de se convaincre d’une manière appropriée du respect des obligations contractuelles.
12. Durée et résiliation du contrat
La durée et la résiliation du présent accord sont régies par les dispositions relatives à la durée et à la résiliation de l’accord principal. La résiliation de l’accord principal entraîne automatiquement la résiliation du présent accord. Une résiliation isolée du présent contrat est exclue.
13. Responsabilité
13.1 La responsabilité du Fournisseur en vertu de la présente convention est régie par les limitations de responsabilité prévues dans la convention principale. Dans la mesure où des tiers font valoir à l’encontre du Fournisseur des prétentions causées par la violation fautive par le Client de la présente convention ou de l’une de ses obligations en tant que responsable du traitement en vertu de la loi sur la protection des données qui le concerne, le Client devra, à première demande, indemniser le Fournisseur et le tenir à l’écart de ces prétentions.
13.2 Le Client s’engage à indemniser le Fournisseur à première demande de toutes les amendes éventuelles imposées au Fournisseur correspondant à la part de responsabilité du Client dans l’infraction sanctionnée par l’amende.
14. Dispositions finales
14.1 Les litiges découlant du présent contrat sont régis par le droit allemand. Le lieu d’exécution et de juridiction est le siège du contractant. En cas de contradiction entre les deux versions linguistiques, la version allemande prévaut.
14.2 Si certaines dispositions du présent accord sont inefficaces ou deviennent inefficaces ou contiennent une lacune, les autres dispositions ne sont pas affectées. Les parties s’engagent à remplacer la disposition inefficace par une disposition légalement admissible qui se rapproche le plus de l’objectif de la disposition inefficace et qui satisfait ainsi aux exigences de l’art. 28 GDPR.
14.3 En cas de conflit entre le présent accord et d’autres arrangements entre les parties, en particulier l’accord principal, les dispositions du présent accord prévalent.
Annexe :
Annexe 1 : Objet, type et étendue du traitement des données relatives aux clients, types de données à caractère personnel et catégories de personnes concernées
Annexe 2 : Mesures techniques et organisationnelles
Annexe 3 : Autres transformateurs
Annexe 1 – Objet, type et étendue du traitement des données relatives aux clients, types de données à caractère personnel et catégories de personnes concernées
1. Finalité du traitement des données
Le fournisseur envoie des messages aux clients finaux du client et en son nom avant et pendant la fourniture de son service afin d’obtenir un retour d’information, d’améliorer, de normaliser et d’automatiser la communication entre le client et ses clients finaux. Les résultats sont traités et évalués pour le compte du Client. En outre, des évaluations provenant d’un retour d’information indirect et dérivé, telles que des informations provenant de sources internes et/ou publiques, sont utilisées pour représenter pleinement la voix du client final. Le fournisseur regroupe et anonymise ainsi les données du client collectées par le biais de la plateforme afin d’offrir au client des services supplémentaires tels que des rapports, des analyses comparatives et des fonctions de suivi des indicateurs clés de performance liés au retour d’information donné par les clients finaux du client.
2. Types de données à caractère personnel
a) données de base (par exemple, nom, sexe, langue) ;
b) données de contact (par exemple, adresse électronique, adresse, numéro de téléphone) ;
c) données de communication (par exemple, correspondance électronique) ;
d) données contractuelles (par exemple, durée du contrat, informations sur la prestation de services telles que le chiffre d’affaires ou les coûts) ;
e) le cas échéant, données de segmentation individuelle existantes du client pour ses clients finaux, telles que le mode de conclusion du contrat (Internet, téléphone, etc.), le pays d’origine, la catégorie de services ou le groupe d’âge ; f) évaluation du client par le client final (évaluation du client) ; g) analyses de la satisfaction (par exemple, évaluations textuelles, thématiques et d’expression).), le pays d’origine, la catégorie de service ou le groupe d’âge ;
f) l’évaluation du client par le client final (avis du client) ;
g) les analyses de satisfaction (par exemple, les évaluations de texte, de sujet et d’expression).
3. Catégories de personnes concernées
a) le personnel du client ;
b) les clients finaux du client ;
c) le fournisseur du client.
Annexe 2 – Mesures techniques et organisationnelles
Les mesures techniques et organisationnelles suivantes ont été prises pour protéger les données personnelles :
1. Contrôle de l’entrée
Les personnes non autorisées se voient refuser l’accès aux équipements de traitement des données avec lesquels les données à caractère personnel sont traitées et utilisées.
Assuré par :
a) Définition des zones de sécurité et des personnes autorisées
b) Sécurité des pièces (clé, store, etc.)
c) Registre des présences
d) Sécurité extérieure du bâtiment (clôture, portes/fenêtres de sécurité)
e) Attention portée à la sélection des agents de sécurité
f) Attention portée à la sélection des services de nettoyage
g) Vidéosurveillance des entrées
h) Gestion des clés / documentation de l’attribution des clés
i) Système de contrôle d’accès automatique
j) Cartes à puce / systèmes de transpondeurs
k) Système de verrouillage manuel
l) Serrures de sécurité
m) Portes à bouton (à l’extérieur)
2. Contrôle d’accès (externe)
Il faut éviter que les systèmes de traitement des données puissent être utilisés par des personnes non autorisées.
Assuré par :
a) Verrouillage de la station de données
b) Connexion avec nom d’utilisateur et mot de passe et spécifications pour les modifier
c) Chiffrement des mots de passe
d) Serveur de logiciel antivirus
e) Clients de logiciel antivirus
f) Pare-feu
g) Gestion des appareils mobiles
h) Utilisation de tunnels VPN pour l’accès à distance
i) Verrouillage des interfaces externes (USB)
j) Chiffrement des ordinateurs portables / tablettes
k) Gestion des autorisations des utilisateurs
l) Création de profils d’utilisateurs
m) Attribution centralisée des mots de passe
n) Politique de sécurisation des mots de passe
o) Politique de suppression / destruction
p) Politique de protection et de sécurité des données
3. Contrôle d’accès (interne)
Il convient de veiller à ce que les personnes autorisées à utiliser un système de traitement des données ne puissent accéder qu’aux données pour lesquelles elles disposent d’une autorisation d’accès et à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement, de l’utilisation et après le stockage.
Assuré par :
a) Gestion graduelle des droits des utilisateurs
b) Gestion des droits des utilisateurs par les administrateurs
c) Nombre minimum d’administrateurs
d) Documentation de la gestion des droits
e) Assombrissement de l’écran pendant l’interruption du travail
f) Mises à jour régulières de la sécurité
g) Déchiqueteuse (min. niveau 3, coupe transversale)
h) Enregistrement de l’accès aux applications, en particulier lors de la saisie, de la modification et de l’effacement des données.
4. Contrôle de la séparation
Veillez à ce que les données collectées à des fins différentes puissent être traitées séparément.
Assuré par :
a) Systèmes logiciels distincts
b) Bases de données et stockage distincts
c) Contrôle par le concept d’autorisation
d) Séparation par les règles d’accès
e) Définition des droits sur les bases de données
5. Contrôle des transferts
Il convient de veiller à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation au cours de la transmission électronique ou pendant leur transport ou leur stockage sur des supports de données, et à ce qu’il soit possible de vérifier et d’établir à quels points une transmission de données à caractère personnel est assurée par un équipement de transmission de données.
Assuré par :
a) Détermination des compétences pour le traitement des données
b) Détermination des émetteurs, des destinataires et des voies de transmission autorisés
c) Sécurité du transport des supports de données
d) W-LAN sécurisé
e) Réglementation sur la destruction des supports de données
f) Cryptage
6. Contrôle des entrées
Il faut veiller à ce qu’il soit possible de vérifier et d’établir a posteriori si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées.
Assuré par :
a) Gestion des accès en lecture/écriture
b) Enregistrement des accès en lecture/écriture et des appels de programme
c) Marquage des documents de saisie des données avec le nom et la date après la saisie
d) Dispositions relatives à la modification des droits d’accès et à la responsabilité des données
e) Responsabilités strictes pour les suppressions
7. Contrôle de la disponibilité
Il convient de veiller à ce que les données à caractère personnel soient protégées contre toute destruction ou perte accidentelle.
Assuré par :
a) Création de copies de sauvegarde périodiques
b) Protection par onduleur en cas de panne de courant
c) Protection contre les virus/pare-feu
d) Plan d’urgence
e) Plan de récupération
f) Protection DDoS active en permanence
8. Contrôle du traitement des commandes
Il convient de veiller à ce que les données à caractère personnel traitées pour le compte du client ne puissent l’être que conformément aux instructions de ce dernier.
Assuré par :
a) Détermination des droits et obligations du contractant
b) Contrat pour le traitement commandé des données
c) Formation de tous les employés ayant des droits d’accès
d) Audits réguliers de la protection des données
e) Accord sur les droits de contrôle et d’audit
Annexe 3 – Processeur complémentaire
| Société, adresse | Service / Type de traitement | Couverture juridique | Mesures pour un niveau de protection comparable (uniquement dans les pays tiers) |
|---|---|---|---|
| ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf Allemagne | Hébergement web | Accord sur le traitement des données | / |
| CHARGEBEE INC, 340 S. Lemon Avenue, Suite #1537, Walnut, CA 91789 USA | Facturation | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Certifications et audits de tiers ; certificat ISO 27001 ; normes SOC 1/SOC 2 et MFA ; politiques de sécurité au niveau du réseau, des applications et des opérations ; configuration de la sécurité AWS - multiples certifications pour les centres de données, y compris la conformité ISO 27001, la certification PCI et les rapports SOC. |
| Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA | Espace de travail Google Analytics | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Certificats ISO (ISO 27001, 27017, 27018) ; Lignes directrices sur la protection des données ; Centre de conformité et rapports |
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Allemagne | Hébergement | Accord sur le traitement des données | / |
| HubSpot, Inc. 25 First Street, Cambridge, MA 02141 USA | Inbound-Marketing et ventes | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Règles d'entreprise contraignantes ; centre de données (certificat ISO 27001 / audit SOC 2) ; cryptage HTTPs. |
| Intercom, Inc, 55 2nd Street, 4th Fl, San Francisco, CA 94105 USA | Live-Chat | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Audits externes, pentests et bug bounties ; audit SOC 2 ; certificat ISO 27001 ; audit HIPAA ; configuration de la sécurité AWS ; les points d'extrémité des API et des applications sont uniquement TLS/SSL ; politique de sécurité ; formation à la sécurité et à la sensibilisation. |
| Impala Travel Technology Ltd, 70 White Lion Street, Londres, N1 9PP Royaume-Uni | Extraction des données PMS (API) | Accord sur le traitement des données | Protection adéquate des données personnelles au Royaume-Uni - Décision d'exécution de la Commission européenne à compter du 28 juin 2021 - C(2021) 4800. |
| Mailgun Technologies, Inc, 548 Market Street, Suite 43099, San Francisco, CA 94101 USA | Fournisseur d'e-mail (e-mail-API) | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Analyse du réseau externe et test de pénétration ; cryptage des données ; détection des intrusions ; procédure de gestion des fournisseurs - contrôle et audit fréquent de tous les sous-traitants. |
| Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA | Office 365 | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Rapports d'audit et de confiance externes ; certificats ISO 27001, 27017, 27018, 22301, 277701 ; politique de prévention de la perte de données ; conformité SSAE 18 SOC 1 Type II & SSAE 18 SOC 2 Type II. |
| OVH GmbH, St. Johanner Str. 41-43, 66111 Saarbrücken Allemagne | Hébergement | Accord sur le traitement des données | / |
| Scaling Technologies GmbH, Pfarrer-Hillmann-Weg 1, 51069 Köln Allemagne | Opérations sur le web | Accord sur le traitement des données | / |
| Stripe, Inc. 510 Townsend Street San Francisco, CA 94103 USA | Solution de paiement | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Cryptage des données au repos et en transit - HTTPS pour tous les services utilisant TLS (SSL) ; tous les numéros de cartes sont cryptés au repos avec AES-256 ; journaux d'audit ; politique de gestion des accès ; certificat PCI Service Provider Level 1. |
| SugarCRM, Inc. 10050 N Wolfe Road, SW2-130 Cupertino, CA 95014 USA | Gestion des relations avec les clients | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Certificat SOC II ; cryptage de tous les mots de passe, des données clés et des sauvegardes ; toutes les données de production et des clients sont cryptées en transit et au repos ; authentification multifactorielle ; outils de prévention de la perte de données ; hébergé en Irlande (UE) ; configuration de sécurité AWS - multiples certifications pour les centres de données, y compris la conformité ISO 27001, la certification PCI et les rapports SOC. |
| Twilio, Inc. 375 Beale Street, Suite 300, San Francisco, CA 94105 USA | Fournisseur de messages courts (SMS) | Clause contractuelle standard et évaluation individuelle à un niveau de protection comparable à la norme au sein de l'UE. | Règles d'entreprise contraignantes ; cadre de sécurité basé sur ISO 27001 ; certificats ISO/IEC 27001, ISO/IEC 27017 & 27018, SOC 2 Type II, PCI DSS Niveau 1 ; configuration de la sécurité AWS - certifications multiples pour les centres de données, y compris la conformité ISO 27001, la certification PCI et le rapport SOC ; les bases de données (données des clients) sont cryptées à l'aide de l'Advanced Encryption Standard et les données des clients sont cryptées lorsqu'elles transitent entre l'application logicielle du client et les services à l'aide de TLS v1.2 ; tests de pénétration ; politiques et procédures de gestion des incidents de sécurité conformément à la norme NIST SP 800-61. |
