$ cat /etc/internalhost/dpa

Data Processing Agreement

संस्करण 1.0 · अंतिम बार अपडेट: 2026-05-19 · सेवा शर्तों का हिस्सा

यह Data Processing Agreement (DPA) हमारे सेवा शर्तों का हिस्सा है और स्वचालित रूप से लागू होता है जैसे ही तुम, B2B ग्राहक के रूप में, ऐसी सेवा लेते हो जिसमें हम तुम्हारी ओर से तुम्हारे end-users का व्यक्तिगत डेटा process करते हैं (GDPR art. 28)। इसे अलग से sign करने की ज़रूरत नहीं — शर्तें स्वीकार करना = इस DPA को स्वीकार करना।

1. पक्ष और भूमिकाएँ

Controller: तुम, ग्राहक ("Customer")।

Processor: InternalHost (एकल स्वामित्व Xaviero Kajafas, Dutch CoC 90174720)।

InternalHost व्यक्तिगत डेटा केवल Customer के निर्देशों पर और केवल उतना ही process करता है जितना सहमत सेवाएँ (hosting, storage, mail, network) देने के लिए ज़रूरी है।

2. विषय वस्तु और अवधि

  • विषय: हम जो IT infrastructure सेवाएँ देते हैं उनके संदर्भ में व्यक्तिगत डेटा का processing।
  • Processing की प्रकृति: storage, transmission (हमारे infrastructure के भीतर), backup — हमारे द्वारा end-user content का कोई active processing नहीं।
  • उद्देश्य: सहमत IT सेवाएँ उपलब्ध कराना।
  • Data subjects की श्रेणियाँ: जैसा Customer तय करे। हमारी visibility नहीं है (हम तुम्हारे databases में नहीं देखते)।
  • व्यक्तिगत डेटा के प्रकार: जैसा Customer तय करे। विशेष श्रेणियाँ (स्वास्थ्य, धर्म, आदि) की अनुमति है बशर्ते Customer उपयुक्त तकनीकी और संगठनात्मक उपाय करे।
  • अवधि: जब तक मुख्य समझौता चलता है, साथ ही termination के बाद 14 दिन की recovery अवधि।

3. सुरक्षा उपाय

InternalHost कम से कम निम्नलिखित तकनीकी और संगठनात्मक उपाय करता है:

  • Encryption in transit: सभी सार्वजनिक endpoints पर TLS 1.2+, internal mesh के लिए WireGuard।
  • Encryption at-rest: सभी storage volumes पर LUKS। Customer-level encryption Customer की ज़िम्मेदारी है।
  • Access control: केवल ed25519 keys के ज़रिए SSH, admin access के लिए MFA अनिवार्य, least privilege का सिद्धांत।
  • Logging: infrastructure access log किया जाता है (90 दिन)।
  • Backups: ग्राहक volumes के दैनिक encrypted snapshots, 7d/4w/12m retention (हमारी ओर से — application backup Customer की ज़िम्मेदारी)।
  • भौतिक सुरक्षा: Qupra DC में 24/7 staffed access, ISO 27001 + 9001 certified, biometric access + mantrap।
  • Software updates: release के 7 दिनों के भीतर security patches, critical 24 घंटों के भीतर।
  • Monitoring: सभी exposed services पर CrowdSec + fail2ban।

तकनीकी उपायों का वर्तमान अवलोकन [email protected] पर अनुरोध करने पर उपलब्ध है।

4. Sub-processors

हम निम्नलिखित sub-processors का उपयोग करते हैं। सभी EU में। हम बदलावों की सूचना कम से कम 30 दिन पहले देते हैं, ताकि Customer आपत्ति कर सके।

Sub-processorउद्देश्यस्थान
Qupra Data Centers BVDatacenter / colocationAmsterdam, NL
Mollie B.V.भुगतानAmsterdam, NL
Revolut Payments UABभुगतान (वैकल्पिक)Vilnius, LT
Cloudflare Germany GmbHCDN / DDoSDE, EU data-region
Hoster B.V. (OpenProvider)डोमेन registration (वैकल्पिक)The Hague, NL

5. EU के बाहर स्थानांतरण

हम EU/EEA के बाहर के देशों में व्यक्तिगत डेटा स्थानांतरित नहीं करते, सिवाय जहाँ Cloudflare CDN के रूप में DDoS की स्थिति में अनिवार्य रूप से गैर-EU PoPs के ज़रिए route करता है। उस स्थिति में, हमारे और Cloudflare के बीच Standard Contractual Clauses लागू होते हैं।

6. डेटा breach प्रक्रिया

Customer को प्रभावित करने वाले व्यक्तिगत-डेटा breach के लिए, हम खोज के 24 घंटों के भीतर Customer को सूचित करते हैं (file पर मौजूद ईमेल के ज़रिए) इसके साथ:

  • Breach की प्रकृति
  • प्रभावित व्यक्तियों की श्रेणियाँ और अनुमानित संख्या
  • संभावित परिणाम
  • उठाए गए या प्रस्तावित उपाय

Customer तय करता है कि Data Protection Authority को सूचना देना ज़रूरी है या नहीं। हम ज़रूरत के अनुसार सहायता करते हैं।

7. Termination और डेटा वापसी

मुख्य समझौते के termination के बाद:

  • Customer के पास सारा डेटा download करने के लिए 14 दिन हैं (SSH/SFTP के ज़रिए, या export request)।
  • उसके बाद, सभी व्यक्तिगत डेटा स्थायी रूप से हटा दिया जाता है, सिवाय जहाँ statutory retention लागू हो (Dutch tax: invoice डेटा 7 साल)।
  • अनुरोध पर हम विनाश का लिखित प्रमाणपत्र देते हैं।

विशिष्ट contracts (बड़े B2B, healthcare, financial sector) के लिए हम custom DPA sign कर सकते हैं। [email protected] पर ईमेल करो।