הסכם עיבוד הנתונים (DPA) הזה הוא חלק מתנאי השירות שלנו וחל אוטומטית ברגע שאתה, כלקוח B2B, לוקח שירות שבו אנחנו מעבדים נתונים אישיים של משתמשי הקצה שלך בשמך (GDPR סעיף 28). אתה לא צריך לחתום עליו בנפרד — קבלת התנאים = קבלת ה-DPA הזה.
1. צדדים ותפקידים
בקר: אתה, הלקוח ("הלקוח").
מעבד: InternalHost (עוסק מורשה Xaviero Kajafas, KvK הולנדי 90174720).
InternalHost מעבדת נתונים אישיים רק על פי הנחיות הלקוח ורק במידה הנדרשת לאספקת השירותים המוסכמים (אחסון, אחסון נתונים, מייל, רשת).
2. נושא ומשך
- נושא: עיבוד נתונים אישיים במסגרת שירותי תשתית ה-IT שאנחנו מספקים.
- אופי העיבוד: אחסון, העברה (בתוך התשתית שלנו), גיבוי — אין עיבוד פעיל של תוכן משתמש קצה על ידינו.
- מטרה: הפיכת שירותי ה-IT המוסכמים לזמינים.
- קטגוריות של נושאי המידע: כפי שנקבע על ידי הלקוח. אין לנו נראות (אנחנו לא מסתכלים במסדי הנתונים שלך).
- סוגי נתונים אישיים: כפי שנקבע על ידי הלקוח. קטגוריות מיוחדות (בריאות, דת וכו') מותרות בתנאי שהלקוח נוקט באמצעים טכניים וארגוניים מתאימים.
- משך: כל עוד ההסכם הראשי בתוקף, פלוס תקופת שחזור של 14 יום לאחר סיום.
3. אמצעי אבטחה
InternalHost נוקטת לפחות באמצעים טכניים וארגוניים הבאים:
- הצפנה במעבר: TLS 1.2+ בכל ה-endpoints הציבוריים, WireGuard ל-mesh פנימי.
- הצפנה במנוחה: LUKS בכל אמצעי האחסון. הצפנה ברמת הלקוח היא באחריות הלקוח.
- בקרת גישה: SSH דרך מפתחות ed25519 בלבד, MFA חובה לגישת admin, עיקרון הרשאות מינימליות.
- לוגינג: גישה לתשתית מתועדת (90 ימים).
- גיבויים: snapshots מוצפנים יומיים של volumes של לקוחות, שמירה 7d/4w/12m (בצד שלנו — גיבוי אפליקציה הוא באחריות הלקוח).
- אבטחה פיזית: ל-Qupra DC יש גישה מאוישת 24/7, מוסמך ISO 27001 + 9001, גישה ביומטרית + mantrap.
- עדכוני תוכנה: תיקוני אבטחה תוך 7 ימים משחרור, קריטיים תוך 24 שעות.
- ניטור: CrowdSec + fail2ban על כל השירותים החשופים.
סקירה עדכנית של אמצעים טכניים זמינה לפי דרישה ב-[email protected].
4. תת-מעבדים
אנחנו משתמשים בתת-המעבדים הבאים. כולם ב-EU. אנחנו מודיעים על שינויים לפחות 30 ימים מראש, כך שהלקוח יוכל להתנגד.
| תת-מעבד | מטרה | מיקום |
|---|---|---|
| Qupra Data Centers BV | דאטה סנטר / קולוקיישן | אמסטרדם, NL |
| Mollie B.V. | תשלומים | אמסטרדם, NL |
| Revolut Payments UAB | תשלומים (חלופי) | וילנה, LT |
| Cloudflare Germany GmbH | CDN / DDoS | DE, אזור נתוני EU |
| Hoster B.V. (OpenProvider) | רישום דומיינים (אופציונלי) | האג, NL |
5. העברה מחוץ ל-EU
אנחנו לא מעבירים נתונים אישיים למדינות מחוץ ל-EU/EEA, למעט במקרים שבהם Cloudflare כ-CDN בהכרח מנתב דרך PoPs מחוץ ל-EU במקרה של DDoS. במקרה כזה, חלים Standard Contractual Clauses בינינו לבין Cloudflare.
6. נוהל הפרת נתונים
במקרה של הפרת נתונים אישיים המשפיעה על הלקוח, אנחנו מודיעים ללקוח תוך 24 שעות מהגילוי (דרך המייל הרשום) עם:
- אופי ההפרה
- קטגוריות ומספר משוער של אנשים מושפעים
- השלכות סבירות
- אמצעים שננקטו או הוצעו
הלקוח מחליט אם נדרשת הודעה לרשות להגנת הנתונים. אנחנו תומכים לפי הצורך.
7. סיום והחזרת נתונים
לאחר סיום ההסכם הראשי:
- ללקוח יש 14 ימים להוריד את כל הנתונים (דרך SSH/SFTP, או בקשת ייצוא).
- לאחר מכן, כל הנתונים האישיים נמחקים לצמיתות, למעט כאשר חלה שמירה חוקית (מס הולנדי: נתוני חשבונית 7 שנים).
- לפי בקשה אנחנו מספקים תעודת השמדה כתובה.
לחוזים ספציפיים (B2B גדול, בריאות, מגזר פיננסי) אנחנו יכולים לחתום על DPA מותאם. שלח מייל ל-[email protected].