데이터 보호 부록 Aryaka

본 데이터 보호 부록(“DPA“)은 아리아카와 고객 간의 기본 구독 계약(해당되는 경우 “계약“)의 일부를 구성하며, 아리아카가 고객에게 서비스를 제공하는 근거가 됩니다.
본 DPA에서 사용되었으나 정의되지 않은 대문자로 표기된 용어는 계약에 명시된 의미를 갖습니다.

1.정의
1.1“관리자”는 단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 주체를 의미합니다.
1.2 “데이터 보호법 “이란 각 당사자의 개인 데이터 처리에 적용되는 모든 법률을 의미합니다.
1.3 “데이터 주체” 란 본 DPA에 따라 개인 데이터를 처리할 수 있는 모든 개인을 의미합니다.
1.4 “개인정보” 란 고객이 서비스에 제공한 식별되거나 식별 가능한 자연인과 관련된 정보를 의미합니다.
1.5 ” 처리 ” 또는 “처리 ” 란 개인정보의 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 상담, 사용, 전송, 배포 또는 기타 방법으로 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등 자동화된 수단에 의한 것인지 여부에 관계없이 개인정보 또는 개인정보 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다.
1.6 “처리자”는 데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 주체를 의미합니다.
2. 당사자 간의 관계. 고객과 아리아카는 서비스 계약을 체결하였습니다.
양 당사자는 고객이 본 계약의 목적상 컨트롤러이고 아리아카가 프로세서임을 인정합니다.
양 당사자는 계약 및 해당 데이터 보호법에 따라 개인 데이터를 처리합니다.
3. 고객의 의무. 고객은 아리아카가 서비스를 수행하는 데 적절하고 관련성이 있으며 합리적으로 필요한 개인정보만 제공해야 합니다.
고객은 개인 데이터 수집 및 아리아카에 대한 공개가 모든 관련 데이터 보호법을 준수함을 진술하고 보증합니다.
4. 지침.
. 아리아카는 다음 경우에만 개인 데이터를 처리합니다.
(i) 계약서에 문서화되고 부속서 IB에 추가로 설명된 고객의 지시에 따라; 및
(ii) 관련 법률을 준수하기 위해 필요한 경우, 단, 아리아카가 (아리아카의 합리적인 판단에 따라) 관련 법률을 위반할 수 있는 고객의 지시에 따라 행동하지 않아도 된다는 전제 하에.
아리아카는 개인정보 처리에 관한 고객의 지시가 해당 데이터 보호법을 위반할 수 있다고 판단되는 경우 고객에게 통지합니다.
5. 보안. 아리아카는 보안, 기밀성 또는 무결성에 대한 예상되는 위협이나 위험으로부터 개인정보를 보호하기 위해 설계된 적절한 기술적 및 조직적 조치를 구현하기 위해 합리적인 조치를 취합니다.
아리아카는 개인 데이터를 처리할 권한이 있는 사람이 기밀유지를 약속했거나 적절한 법적 기밀유지 의무를 준수하도록 보장합니다.
6. 데이터 침해. 아리아카는 관련 법률에 의해 금지되거나 법 집행 기관 또는 감독 기관의 지시가 없는 한, 처리된 개인 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반(각각 “데이터 위반“)이 발생했음을 알게 되면 지체 없이 고객에게 통지합니다.
처리의 성격과 아리아카가 이용할 수 있는 정보를 고려하여, 아리아카는 관련 법률에서 요구하는 데이터 침해에 대한 고객의 통지 의무를 준수하기 위해 고객의 합리적인 요청에 따라 고객을 지원하기 위한 합리적인 조치를 취합니다.
아리아카는 요청된 지원에 대해 고객에게 합리적인 수수료를 청구할 수 있는 권리를 보유합니다.
7. 반환 또는 폐기. 고객은 계약 종료 후 30일 이내에 관련 법률에 따라 아리아카가 개인 데이터를 보관해야 하는 경우를 제외하고 모든 개인 데이터를 파기하거나 고객에게 반환하도록 요청할 수 있습니다.
8. 감사; 문의. 고객의 합리적인 요청(감독 기관에서 더 자주 요구하지 않는 한 1년에 한 번만 행사 가능)이 있는 경우, 아리아카는 아리아카가 본 DPA에 따른 의무를 준수하는 데 필요한 모든 정보를 고객에게 즉시 제공하며 합리적인 감사를 허용하고 이에 기여합니다.
제공된 모든 정보는 아리아카의 기밀 정보이며 관련 법률에서 요구하는 경우를 제외하고는 아리아카의 사전 서면 동의 없이 공개할 수 없습니다.
9. 하도급. 고객은 아리아카가 고객에게 서비스를 제공하기 위한 목적으로 개인정보를 하위 처리자에게 전송하는 것을 승인합니다.
아리아카는 하위 처리자 목록을 유지합니다.
현재 하위 처리자 목록은 부록 III에 포함되어 있습니다.
아리아카는 이 목록에 하위 처리자를 추가할 때 고객에게 14일 전에 통지하고 그러한 추가에 이의를 제기할 기회를 제공합니다.
통지 후 14일 이내에 고객이 이의를 제기하지 않으면 해당 하위 프로세서는 고객이 수락한 것으로 간주됩니다.
아리아카는 해당 하위 처리자와 본 DPA와 유사한 데이터 보호 조항이 포함된 계약을 체결합니다.
10. 아리아카 지원. 고객의 합리적인 요청이 있고 처리의 특성을 고려할 때, 아리아카는 적절한 기술적 및 조직적 조치를 취함으로써 관련 법률에 따른 정보 주체의 권리 행사 요청에 응답해야 하는 고객의 의무를 지원하기 위해 합리적인 조치를 취합니다.
처리의 성격과 Aryaka가 이용할 수 있는 정보를 고려하여, Aryaka는 또한 고객의 합리적인 요청에 따라 고객이 데이터 보호 영향 평가 및 감독 당국의 관련 협의 수행에 관한 규정 준수 의무를 이행할 수 있도록 지원할 것입니다.
아리아카는 이러한 요청된 지원에 대해 고객에게 합리적인 수수료를 청구할 권리를 보유합니다.
11. 캘리포니아 소비자 개인정보 보호법(CCPA) 조항.
11.1 법률 준수. 아리아카는 캘리포니아 거주자의 개인정보에 대해 CCPA에 따라 고객에게 요구되는 것과 동일한 수준의 개인정보 보호를 제공합니다.
아리아카는 더 이상 CCPA에 따른 의무를 이행할 수 없다고 판단하는 경우 고객에게 서면으로 통지합니다.
고객은 아리아카에 통지하면 아리아카가 더 이상 CCPA 의무를 이행할 수 없다고 고객에게 통지한 경우를 포함하여 개인 데이터의 무단 사용을 중지하고 시정하기 위한 합리적이고 적절한 조치를 취할 수 있는 권리가 있습니다.
11.2 처리 제한. 어떠한 경우에도 Aryaka:
(a) 금전적 또는 기타 가치 있는 대가를 받고 캘리포니아 거주자의 개인 데이터를 제3자에게 공개하거나 맥락 간 행동 광고를 위해 제3자에게 개인 데이터를 공개할 수 없습니다;
(b) 아리아카 또는 제3자의 상업적 이익을 위해 캘리포니아 거주자의 개인정보를 제3자에게 공개하는 경우;
(c) 고객과 아리아카의 직접적인 비즈니스 관계 외부에서 또는 계약에 명시된 비즈니스 목적 또는 관련 법률에서 허용하는 상업적 목적 이외의 목적으로 캘리포니아 거주자의 개인 데이터를 보유, 사용 또는 공개하는 경우.
(d) 관련 법률에서 허용하는 경우를 제외하고, 캘리포니아 거주자의 개인 데이터를 다른 사람으로부터 또는 다른 사람을 대신하여 수신하거나 데이터 주체와의 자체 상호 작용을 통해 수집한 개인 정보와 결합하는 경우.
아리아카는 앞서 언급한 제한 사항을 이해하고 준수할 것임을 인증합니다.
12. 데이터 전송
12.1 GDPR의 적용을 받는 개인정보의 제한적 이전. [www .aryaka.com/SCC2021-Controller-to-Processor /] ((EU) 2021/914)에서 확인할 수 있고 본 계약에 참조용으로 통합되어 있는 EU 표준 계약 조항(모듈 2 컨트롤러에서 처리자로)((EU) 2016/679)(“EU SCC”)과 첨부된 부록 I 및 II는 EU 일반 개인정보 보호 규정((EU) 2016/679)(“GDPR”)의 적용을 받는 모든 개인 데이터 전송에 적용됩니다.
전술한 내용에도 불구하고, (i) 고객을 관할하는 관할 당국이 관할권이 적절한 수준의 개인정보 보호에 부합한다고 선언하는 결정(“적정성 결정”)에 따라 이전이 적용되는 범위에는 EU SCC가 적용되지 않습니다.
12.1.1 제9항에서 양 당사자는 옵션 2가 섹션 [9](하도급)에 따라 적용된다는 데 동의합니다.
12.1.2 11항의 선택적 언어는 제외됩니다.
12.1.3 17항에서 EU SCC는 네덜란드 법률의 적용을 받습니다.
12.1.4 제18항에서 EU SCC로 인해 발생하는 모든 분쟁은 네덜란드 법원에서 해결합니다.
12.1.5 부속서 IC에서 고객이 위치한 데이터 보호 기관은 관할 감독 기관입니다.
12.2.스위스에서의 제한된 전송. 이 섹션에서 수정된 EU SCC는 스위스 연방 데이터 보호법(FADP)의 적용을 받으며 적정성 결정의 적용을 받지 않는 모든 개인 데이터 전송에 적용됩니다:
12.2.1 “EU 회원국”이라는 용어는 18조(c)항에 따라 스위스에 있는 정보 주체가 자신의 거주지(스위스)에서 권리를 주장할 수 있는 가능성을 배제하는 방식으로 해석되어서는 안 됩니다.
12.2.2 EU SCC에서 GDPR에 대한 언급은 FADP에 대한 언급으로 이해해야 합니다.
12.2.3 17항에서 EU SCC는 스위스 법률의 적용을 받습니다.
12.2.4 부록 IC에서는 스위스 연방 데이터 보호 및 정보 위원회가 관할 감독 기관입니다.
12.3 영국에서의 제한된 전송. 개인 데이터 전송이 영국 법률(영국 일반 데이터 보호 규정 포함)의 적용을 받으며 달리 적정성 결정의 적용을 받지 않는 경우, 양 당사자는 이에 동의합니다:
12.3.1 2022년 3월 21일부터 시행되는 EU 위원회 표준 계약 조항 버전 B1.0에 대한 영국 국제 데이터 전송 부록( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf )의 조항(제2부 ‘필수 조항’을 포함하여 “영국 부록”)은 여기에 참조로 통합되어 있으며, 전적으로 적용됩니다;
12.3.2 영국 부록의 표 1에는 당사자의 이름, 역할 및 세부 사항이 첨부된 부록 1에 명시되어 있습니다;
12.3.3 영국 부록의 표 2 및 3에서는 첨부된 부록에 명시된 정보를 포함하여 참조로 본 DPA에 통합된 EU SCC의 모듈 2를 적용합니다.
12.3.4.영국 부록의 표 4에서 양 당사자는 영국 부록을 종료할 수 있습니다.
13. 충돌; 집행 가능성. 본 DPA의 어떤 조항이 관할 법원에 의해 무효 또는 집행 불가능하다고 판단되는 경우, 그러한 판단이 본 DPA의 다른 조항 또는 고객과 아리아카 간의 다른 계약을 무효화하거나 집행 불가능하게 만들지는 않습니다.
본 DPA는 계약을 보완합니다.
계약과 본 DPA 간에 불일치가 발생하는 경우 본 DPA가 우선합니다.
본 DPA의 영향을 받지 않는 계약의 다른 조항이나 의무는 완전한 효력을 유지합니다.
본 DPA 또는 본 DPA를 이행하기 위해 취하거나 고려 중인 조치가 각 당사자에게 적용되는 법률에 따른 각 당사자의 의무를 충족하지 않거나 충족하지 못할 경우, 양 당사자는 본 DPA의 적절한 개정에 대해 성실하게 협상합니다.

부속서 I

A. 당사자 목록

데이터 내보내기:

이름: 고객과 아리아카 간의 주문 양식을 참조하세요.

주소: 고객과 아리아카 간의 주문 양식을 참조하세요.

담당자의 이름, 직위 및 연락처 정보: 고객과 아리아카 간의 주문 양식을 참조하세요.

본 조항에 따라 전송된 데이터와 관련된 활동: 고객과 아리아카 간의 계약을 참조하세요.

서명 및 날짜: ————-

역할(컨트롤러/프로세서): 컨트롤러

데이터 가져오기:

Name: 이름: 아리아카 네트웍스, Inc.

주소 3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 미국

담당자 이름, 직위 및 연락처 정보: 에드워드 프라이, 최고 정보 보안 책임자, [email protected].

본 조항에 따라 전송된 데이터와 관련된 활동: 당사자 간의 계약을 참조하세요.

역할(컨트롤러/프로세서): 프로세서

B. 전송에 대한 설명

개인 데이터가 전송되는 데이터 주체의 범주

고객의 직원, 임시 근로자, 고문 및 고객의 인력에 소속되어 있거나 제공되는 시스템 및 서비스를 이용하는 모든 사람을 포함하는 개인.

고객의 고객, 공급업체, 파트너, 벤더 및 고객이 개인 데이터를 보유할 수 있는 모든 제3자.전송되는 개인 데이터의 범주:

연락처 세부 정보를 포함하여 고객 사용자와 관련된 정보 또는 서비스 또는 대체 채널을 통해 아리아카와 자발적으로 공유한 모든 정보.

메타데이터는 고객의 특정 환경에 맞는 서비스를 제공하는 데 필수적입니다.
이 메타데이터에는 파일 세부 정보, 파일 유형, 해시 값, 명령줄 인수, 네트워크 액세스 데이터(IP 주소 및 프로토콜로 구성), 네트워크 관련 정보(내부 네트워크 IP 주소, 공용 IP 주소, 웹사이트 URL 데이터 포함)와 같은 속성이 포함됩니다.전송된 민감한 데이터(해당되는 경우) 및 엄격한 목적 제한, 액세스 제한(전문 교육을 받은 직원만 액세스), 데이터 액세스 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 성격과 관련된 위험을 완전히 고려한 제한 또는 안전 장치를 적용합니다: 일반적으로 없음.
그러나 ‘보안 웹 게이트웨이’ 및 방화벽 서비스와 관련된 경우에만 서비스를 통해 흐르는 고객의 트래픽에 표시되거나 노출될 수 있는 민감한 데이터는 부수적이며 고객의 해당 서비스 사용에 따라 달라집니다. 전송 빈도:지속적처리 특성: 서비스 엣지 보안(SASE) 서비스는 네트워크와 보안 소프트웨어의 긴밀하게 통합된 조합을 통해 실현되는 현대화된 기업 네트워크 경계를 나타냅니다.
이 시스템은 지사, 모바일 사용자, 물리적 및 클라우드 기반 데이터 센터를 연결하여 데이터 전송 및 추가 처리 목적의 광역 네트워크(WAN)와 인터넷 액세스 모두에 대해 안전하고 안정적인 연결을 보장합니다 : 당사자 간에 체결된 계약 및 주문에 따라 고객에게 서비스 제공.
개인 데이터를 보유할 기간 또는 이것이 불가능할 경우 해당 기간을 결정하는 데 사용되는 기준: 개인정보는 관련 법률에서 더 긴 기간을 요구하지 않는 한 계약에 따라 서비스를 수행하는 데 필요한 기간 동안 보관됩니다.
(하위) 처리자에게 전송하는 경우 처리의 주제, 성격 및 기간도 명시합니다: 위의 설명을 참조하세요.

부록 II – 보안 조치

아리아카는 개인정보를 보호하기 위해 다양한 정책, 표준 및 프로세스를 유지합니다.
다음은 아리아카가 시행하는 핵심적인 기술적 및 조직적 보안 조치에 대한 설명입니다. 물리적 접근 통제 Aryaka는 권한이 없는 사람이 Aryaka 위치에 물리적으로 접근하지 못하도록 설계된 조치를 구현하고 유지합니다. 기술적 접근 통제 Aryaka는 권한이 없는 사람이 Aryaka의 데이터 처리 시스템에 접근하지 못하도록 설계된 조치를 시행하고 유지합니다:

탐지 및 완화(온프레미스 또는 클라우드)와 클라우드 기반 볼륨 DDoS 공격 방어, 연중무휴 24시간 긴급 대응팀(ERT) 지원을 통합하는 하이브리드 분산 서비스 거부(DDoS) 보호.

네트워크 엣지 보안은 고객의 소프트웨어 정의 – 광역 네트워크(SD-WAN) 어플라이언스에 내장된 고급 경계 보안 솔루션을 제공합니다.

데이터 액세스 제어 Aryaka는 데이터 처리 시스템에 대한 액세스를 해당 액세스 권한(승인)이 적용되는 범위 내에서 해당 액세스가 필요한 개인으로 제한하도록 설계된 조치를 구현하고 유지 관리합니다.
업무 통제 아리아카는 고객을 위한 서비스 수행 시 처리되는 개인정보가 계약에 따라서만 처리되도록 보장하기 위해 고안된 조치를 구현하고 유지합니다.
가용성 제어 아리아카는 개인정보의 공개, 우발적 또는 무단 파기 또는 손실로부터 보호하기 위해 고안된 조치를 구현하고 유지합니다.

부속서 III – 하위 프로세서 목록

Salesforce: 사용: 고객 관계 관리 인스턴스가 상주하는 위치: 미국 접속자: 미국, 인도, 독일, 영국, 캐나다, 호주, 일본, 네덜란드, 한국, 스위스 출신 직원
NetSuite: 사용: 인스턴스가 상주하는 계정 위치: 미국 아리아카 접속자 출신 국가: 미국 및 인도
Zuora: 용도: 인스턴스가 상주하는 청구 위치: 미국 Aryaka 접속자: 미국 및 인도 출신 직원
Marketo: 용도: 사용: 마케팅 및 메시징 인스턴스가 상주하는 위치: 미국 액세스 대상: 미국, 영국 및 인도 출신 직원