aryaka aryaka
本数据保护附录(以下简称 “DPA“)构成Aryaka与客户之间的主订购协议(如适用,以下简称 “协议“)的一部分,根据本协议,Aryaka向客户提供服务。
本DPA中使用但未定义的术语应具有协议中规定的含义。

  • 1. 定义
  • 1.1“控制者 ” 指单独或与他人共同决定处理个人数据的目的和方式的实体。
  • 1.2“数据保护法 “指适用于各方处理个人数据的所有法律。
  • 1.3“数据当事人 ” 是指根据本 DPA 可以处理其个人数据的任何个人。
  • 1.4“个人数据 “是指客户向服务提供的与已识别或可识别的自然人有关的信息。
  • 1.5“处理 “或“处理 “系指对个人数据或个人数据集进行的任何操作或一系列操作,无论是否采用自动化手段,例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或其他方式提供、排列或组合、限制、删除或销毁个人数据。
  • 1.6“处理方 ” 指代表数据控制方处理个人数据的实体。
  • 2.双方之间的关系。 客户和Aryaka签订了服务协议。
    双方确认,就本协议而言,客户是控制方,Aryaka是处理方。
    双方将根据本协议和适用的数据保护法处理个人数据。
  • 3.客户义务。客户仅提供Aryaka执行服务所需的充分、相关和合理的个人数据。
    客户声明并保证,其收集个人数据和向Aryaka披露数据的行为符合所有适用的数据保护法。
  • 4. 说明.
    .     Aryaka仅在以下情况下处理个人数据
    (i) 根据本协议中记载的、附件IB中进一步说明的客户指示;以及
    (ii) 遵守适用法律的需要,但Aryaka无须按照(Aryaka合理认为)可能导致Aryaka违反适用法律的任何客户指示行事。
    如果Aryaka认为客户关于个人数据处理的任何指示会违反适用的数据保护法,Aryaka将通知客户。
  • 5.安全。Aryaka将采取合理步骤,实施适当的技术和组织措施,以保护个人数据的安全性、保密性或完整性免受预期威胁或危害。
    Aryaka将确保被授权处理个人数据的人员已承诺保密或负有适当的法定保密义务。
  • 6.数据泄露。 除非适用法律禁止,或执法部门或监管部门另有指示,否则Aryaka在得知安全漏洞导致所处理的个人数据遭到意外或非法破坏、丢失、篡改、未经授权披露或访问(以下称 “数据泄露“)时,将立即通知客户,不得无故拖延。
    考虑到数据处理的性质以及Aryaka所掌握的信息,Aryaka将应客户的合理要求,采取合理步骤协助客户履行适用法律规定的客户数据泄露通知义务。
    Aryaka保留就客户请求的任何协助向客户收取合理费用的权利。
  • 7.返还或处置。 在协议终止后30天内,客户可要求Aryaka销毁所有个人数据或将其归还给客户,除非适用法律要求Aryaka保存个人数据。
  • 8.审计;查询。 根据客户的合理要求(每年不得超过一次,除非监管机构要求更频繁),Aryaka将及时向客户提供其掌握的所有必要信息,以证明Aryaka遵守了本DPA规定的义务,并允许和协助进行合理的审计。
    所提供的所有信息均为Aryaka的保密信息,未经Aryaka事先书面同意不得披露,适用法律要求披露的除外。
  • 9.分包。 客户授权Aryaka为向客户提供服务而将个人资料转交给分包商。
    Aryaka将保存一份分包商名单。
    次级处理方的最新名单载于附件三。
    Aryaka在向该名单添加子处理方时,将提前14天向客户发出通知,并给予客户反对添加子处理方的机会。
    如果Aryaka在发出通知后14天内未收到反对意见,则视为客户接受该子处理人。
    Aryaka将与该子处理方签订一份协议,其中包括与本DPA类似的数据保护条款。
  • 10.Aryaka协助。在客户的合理要求下,并考虑到数据处理的性质,Aryaka将采取合理步骤,协助客户履行其义务,通过采取适当的技术和组织措施,回应数据当事人提出的行使其在适用法律下的权利的要求。
    考虑到数据处理的性质和Aryaka所掌握的信息,Aryaka还将应客户的合理要求,协助客户履行其在开展数据保护影响评估和向监管机构进行相关咨询方面的合规义务。
    Aryaka保留就客户要求的此类协助向客户收取合理费用的权利。
  • 11.加州消费者隐私法》(CCPA)条款。
  • 11.1 遵纪守法。 Aryaka将为加州居民的个人数据提供与CCPA要求客户提供的同等水平的隐私保护。
    如果Aryaka确定无法继续履行CCPA规定的义务,Aryaka将书面通知客户。
    客户有权在向Aryaka发出通知后,采取合理适当的措施,停止和补救未经授权使用个人数据的行为,包括在Aryaka已通知客户其无法再履行CCPA义务的情况下。
  • 11.2 处理限制。 在任何情况下,Aryaka均不得
    (a) 向第三方披露加州居民的个人数据,以换取金钱或其他有价值的对价,或向第三方披露个人数据用于跨语境行为广告;
    (b) 为了Aryaka或任何第三方的商业利益而向任何第三方披露加州居民的个人数据;
    (c) 在Aryaka与客户的直接业务关系之外保留、使用或披露加州居民的个人数据,或用于本协议规定的业务目的之外的商业目的,或适用法律允许的其他目的;或
    (d) 将加州居民的个人数据与Aryaka从其他人处或代表其他人收到的个人信息,或从其自身与数据主体的互动中收集的个人信息合并,但适用法律允许的情况除外。
    Aryaka保证理解并将遵守上述限制。
  • 12.数据传输
  • 12.1 受 GDPR 限制的个人数据传输。欧盟标准合同条款(模块 2 Controller to Processor)((EU) 2021/914)可在[www .aryaka.com/SCC2021-Controller-to-Processor /] (”EU SCC”)上查阅,并通过引用纳入此处,连同所附附件 I 和 II 将适用于受欧盟《一般数据保护条例》((EU) 2016/679)(”GDPR”)约束的任何个人数据传输。
    尽管有上述规定,但在以下情况下,欧盟 SCC 将不适用:(i) 对客户有管辖权的主管当局通过决定,宣布某一司法管辖区达到了充分保护个人数据的水平(”充分性决定”)。
  • 12.1.1 在第 9 条中,双方同意根据第 [9] 节(分包)适用选项 2。
  • 12.1.2 第 11 条中的可选语言除外。
  • 12.1.3 在第 17 条中,欧盟标准合同将受荷兰法律管辖。
  • 12.1.4 在第 18 条中,欧盟 SCC 引起的任何争议将由荷兰法院解决。
  • 12.1.5 在附件 IC 中,客户所在的数据保护机构为主管监管机构。
  • 12.2.Restricted Transfers from Switzerland. 经本节修订的欧盟 SCC 将适用于任何受《瑞士联邦数据保护法》(FADP)管辖且不受 “适当性决定 “管辖的个人数据传输:
  • 12.2.1 对 “欧盟成员国 “一词的解释不得排除瑞士的数据主体根据第 18(c)条在其惯常居住地(瑞士)提起诉讼的可能性。
  • 12.2.2 欧盟 SCC 中提到的 GDPR 应理解为 FADP。
  • 12.2.3 在第 17 条中,欧盟 SCC 将受瑞士法律管辖。
  • 12.2.4 在附件 IC 中,瑞士联邦数据保护和信息专员是主管监督机构。
  • 12.3 限制从联合王国转入。 如果个人数据的传输受英国法律(包括英国《通用数据保护条例》)管辖,且不受制于 “适当性决定”,则双方同意:
  • 12.3.1 自 2022 年 3 月 21 日起生效的《欧盟委员会标准合同条款英国国际数据传输附录》(B1.0 版)(见 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf,以下简称 “英国附录”)的条款,包括第 2 部分 “强制性条款”,均以引用的方式纳入本文,并应完全适用;
  • 12.3.2 在《联合王国增补件》表 1 中,各方的名称、作用及其详细情况应载于附件 1;
  • 12.3.3 在《英国附录》表 2 和表 3 中,以引用方式纳入本《数据保护协议》的《欧盟标准共识》 模块 2(包括所附附件中列出的信息)应适用;以及
  • 12.3.4.在《英国增补件》表 4 中,任何一方均可终止《英国增补件》。
  • 13.冲突;可执行性。如果本DPA的任何条款被任何有管辖权的法院认定为无效或不可执行,则该认定不会导致本DPA的任何其他条款或客户与Aryaka之间的任何其他合同无效或不可执行。
    本DPA是对本协议的补充。
    如果本协议与本DPA有任何不一致之处,应以本DPA为准。
    在其他方面不受本DPA影响的本协议的任何其他条款或义务仍将完全有效。
    如果本 DPA 或为履行本 DPA 而采取或计划采取的任何行动不符合或将不符合任何一方根据适用于各 方的法律所承担的义务,则双方将本着诚意就本 DPA 的适当修订进行谈判。

附 件 I

A.当事方名单

数据输出者:

名称:参见客户与 Aryaka 之间的订购单。

地址:参见客户与 Aryaka 之间的订购单。

联系人姓名、职位和联系方式:参见客户与 Aryaka 之间的订购单。

与根据本条款转让的数据有关的活动:参见客户与Aryaka之间的协议。

签名和日期: ————-

角色(控制器/处理器):控制器

数据导入者:

名称: Aryaka Networks, Inc:Aryaka Networks, Inc.

地址3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA

联系人姓名、职位和联系方式:Edward Frye,首席信息安全官,[email protected]

与根据本条款转让的数据有关的活动:见双方协议。

角色(控制器/处理器):处理器

B.转让说明

个人数据被转移的数据主体类别

  • 个人,包括客户的员工、临时工、顾问以及所有与客户员工有关的人员或使用所提供系统和服务的人员。

客户的客户、供应商、合作伙伴、销售商以及客户可能拥有个人数据的任何第三方:

  • 与客户用户有关的信息,包括其联系方式,或通过服务或其他渠道自愿与Aryaka共享的任何信息。

为客户的特定环境提供定制服务所必需的元数据。
这些元数据包括文件详细信息、文件类型、哈希值、命令行参数、网络访问数据(包括 IP 地址和协议)以及网络相关信息(包括内部网络 IP 地址、公共 IP 地址和网站 URL 数据)等属性。传输的敏感数据(如适用)和应用的限制或保障措施应充分考虑到数据的性质和所涉及的风险,例如严格的目的限制、访问限制(包括只有经过专门培训的员工才能访问)、保存数据访问记录、继续传输限制或额外的安全措施: 一般情况下没有。
但是,仅就 “安全网关 “和防火墙服务而言,客户通过服务的流量中可能可见或暴露的任何敏感数据都是附带的,取决于客户对这些服务的使用。传输频率:持续处理 的性质Aryaka Security at the Service Edge (SASE)服务是通过网络和安全软件的紧密结合实现的现代化企业网络边界。
该系统将分支机构、移动用户以及物理和云数据中心连接起来,确保广域网(WAN)和互联网接入安全可靠连接数据传输和进一步处理的目的:根据双方签订的协议和订单向客户提供服务。
个人数据的保留期限,如果无法保留,则说明用于确定该期限的标准:除非适用法律要求更长的期限,否则个人数据的保留期限为履行协议规定的服务所需的期限。
对于向(分)处理者的转让,还应说明处理的主题、性质和期限: 参见上述描述。

附件 II–安全措施

Aryaka制定了各种政策、标准和流程,以确保个人数据的安全。
以下是Aryaka实施的一些核心技术和组织安全措施的说明。物理访问控制Aryaka实施并维护旨在防止未经授权人员物理进入Aryaka地点的措施。技术访问控制Aryaka实施并维护旨在防止未经授权人员访问Aryaka数据处理系统的措施,包括:

  • 混合分布式拒绝服务 (DDoS) 保护,将检测和缓解(内部或云端)与基于云的体积 DDoS 攻击预防以及全天候应急响应小组 (ERT) 支持整合在一起;以及
  • 网络边缘安全,提供内置于客户软件定义广域网(SD-WAN)设备中的高级边界安全解决方案。

数据访问管理Aryaka采取并维持各种措施,限制数据处理系统的访问权限,只允许需要在其访问权限(授权)的范围和程度内访问该系统的个人访问。
工作控制Aryaka实施并维护旨在确保在为客户提供服务过程中处理的个人数据仅根据协议进行处理的措施。
可用性控制Aryaka实施并维护旨在保护个人数据免遭泄露、意外或未经授权的破坏或丢失的措施。

附件 III–分处理者名单

Salesforce: 用途: 客户关系管理客户关系管理实例所在位置:美国 Aryaka 人员从以下国家访问:美国、印度、德国、英国、加拿大、澳大利亚、日本、荷兰、韩国和瑞士
NetSuite:使用:会计实例所在位置:美国 Aryaka员工来自:美国和印度
Zuora:使用:账单 实例所在位置:美国Aryaka 人员从以下地点访问:美国和印度
Marketo:使用:营销和信息实例所在位置: 美国美国 Aryaka员工从以下地点访问:美国、英国和印度